Segurizando equipos en la empresa

Segurizando equipos en la empresa - DattaMagazine

Esta nota está orientada a restringir, limitar, monitorear y controlar a los usuarios de nuestro hogar o nuestra empresa, evitando el uso indebido de los equipos, el robo de información, bloqueando el acceso a los webmails o sitios de esparcimiento durante las jornadas de trabajo, etc.

Este artículo fue publicado originalmente en la edición de marzo de 2010 de DattaMagazine, la revista de tecnología de DonWeb.
Autor: Javier Richarte – javier.richarte@dattamagazine.com


SITIOS PROHIBIDOS

En todas las versiones de Microsoft Windows existe un archivo llamado hosts, el mismo no tiene extensión. En Windows 9x, se encuentra en la carpeta donde está instalado el sistema (c:windows) y para el caso de Windows 2000/XP/Vista/7, este archivo se encuentra en la ubicación c:windowssystem32driversetc.

Al ser un archivo de texto plano, podremos editarlo con el Notepad o bloc de notas. Generalmente termina con esta línea:

127.0.0.1 localhost

A continuación, debajo de esta última le agregaremos las direcciones a las cuales nuestros usuarios no deben ingresar, por ejemplo:

127.0.0.1 hotmail.com
127.0.0.1 live.com
127.0.0.1 msn.com
127.0.0.1 gmail.com
127.0.0.1 yahoo.com
127.0.0.1 youtube.com

En este caso lo que se buscó es negar el acceso a sitios de webmail y ocio (como el glorioso YouTube). El funcionamiento de esto es la redirección de nombre de dominio hacia una dirección IP concreta. El archivo HOSTS se utiliza para un gran número de funciones, en este caso redirecciona los sitios que le especificamos hacia la dirección IP local del equipo donde se está trabajando. Obviamente, al no encontrar un servidor web en la dirección local, el navegador no puede mostrar el sitio. Esto sirve para cualquier web browser, no solamente para Internet Explorer.

APLICACIONES RESTRINGIDAS

No, no nos referimos al DEP incorporado desde Windows XP SP2, sino a directamente evitar la ejecución de ciertos programas instalados, como mensajeros instantáneos, juegos, software P2P, etc. A software para establecer una contraseña a las aplicaciones instaladas, la cual es solicitada cuando se ejecutan. Los usuarios que desconozcan esa clave, no podrán hacer uso de los programas protegidos.

Existen dos métodos para hacer esto, hay programas básicos que encriptan los ejecutables que elijamos con una contraseña, pero si el usuario decide descargar y reinstalar la aplicación, el ejecutable cifrado se sobre-escribirá con uno nuevo sin protección.

Otra forma, más compleja pero más efectiva, está basada en una aplicación que se instala en el sistema y monitoriza los ejecutables externamente, sin siquiera modificarlos internamente.

Una de estas aplicaciones es Password Door (http://www.toplang.com/passworddoor.htm)

Para el caso de una encriptación simple de archivos ejecutables, podemos recomendar la aplicación gratuita ProtectEXE (http://www.paehl.de/proex.zip)

CONFIGURACION EXTREMA

Hay infinidad de tweakers para Windows que pueden limitar a los usuarios en varios aspectos, como por ejemplo impedir el uso del editor de registro, el administrador de tareas, entre otros. También podemos esconder unidades de disco, de la A a la Z, en Mi PC, el explorador de archivos y el resto de las aplicaciones. Podremos remover la función “Ejecutar…” del menú Inicio, impedir el acceso al Panel de Control, entre otras funciones relativas a la seguridad.

Si tuviera que recomendar un solo tweaker, recomendaría el Tweaki for Power Users (http://www.jermar.com/tweaki.htm).
Otra opción muy interesante relativa a limitar usuarios curiosos o mal intencionados es, con este mismo tweaker, impedir que aparezca el menú de carga de Windows. Por más que se pulse la tecla F8 y sus variantes, en el arranque del equipo, no aparecerá el listado de opciones que ofrece arrancar en modo seguro o modo consola.

Obviamente, este tweaker permite establecer una contraseña para que otros usuarios no puedan modificar o volver a habilitar las funciones restringidas.

EVITAR EL ROBO DE INFORMACIÓN

En un caso extremo de maximizar la seguridad y/o el robo de información, lo ideal es limitar o bloquear el acceso a Internet, a los puertos USB y la disquetera. Los mismos pueden ser desactivados desde el BIOS Setup (configurar la opción Onboard USB Ports en Disabled) y obligadamente colocar una contraseña al BIOS Setup (desde Set Administrator Password en el menú principal).

Como existen formas de borrar la configuración del BIOS Setup, borrando la CMOS RAM desde el sistema operativo o desde el jumper llamado Clear CMOS en el motherboard, dependiendo del nivel de conocimientos de cada usuario podemos optar por seguir con los siguientes pasos o no:

Con el tweaker podemos eliminar la función “Ejecutar…” del menú Inicio y además negar el acceso a la consola de comandos (cmd.exe). Todo esto es para impedir la ejecución del comando debug del DOS, ya que desde el mismo se pueden ingresar sentencias para borrar la CMOS RAM y establecer así la configuración de fábrica, que habilitaría nuevamente los puertos USB del equipo.

Otro detalle importante es segurizar el chasis de la computadora por medio de un candado, para evitar el acceso al jumper de borrado de la CMOS. Muchos gabinetes vienen con la posibilidad de colocarles uno fácilmente, es decir, vienen de fábrica con dos pequeñas chapas perforadas en donde se puede colocar la traba, que resulta útil además, para evitar el robo de componentes internos.

EMPLEADOS MONITOREADOS

Si bien es una práctica cuestionable, que invade la privacidad de los demás, muchas veces es un recurso necesario. Los keyloggers son aplicaciones destinadas a monitorear todo lo que ingresa por teclado un usuario, qué sitios web visita, qué programas utiliza y además, puede tomar capturas de pantalla a determinados intervalos de tiempo. Toda esta información puede guardarse en el disco local, enviarse por mail o subirla a un servidor FTP con la frecuencia que le indiquemos.
BlazingTools Perfect Keylogger es una herramienta ideal para realizar todas estas tareas. Se puede descargar desde http://www.blazingtools.com. El único problema que surge de utilizar este tipo de aplicaciones es que los antivirus suelen detectarlas al ser programas espía, por lo que se recomienda desactivar temporalmente el antivirus al instalar esta herramienta y luego, excluirla del escaneo. Todo antivirus decente tiene una opción llamada Exclusions.
Otra buena opción, para monitorear en tiempo real a los usuarios es emplear el programa Tight VNC Server, que se puede conseguir en http://www.tightvnc.com.

Este programa sirve para ver en nuestra pantalla lo que esté ocurriendo en otra PC y en tiempo real.
Instalando su parte que actúa como servidor (VNC Server) en los equipos a monitorear, se puede acceder desde cualquier otro equipo de la red interna, incluso desde afuera, vía Internet; utilizando su componente cliente, llamado VNC Viewer.

PALABRAS FINALES

Como hemos visto, no hace falta ser un experto administrador de sistemas para poder controlar a nuestros usuarios. Gestionar las políticas de grupo no es una tarea que se pueda implementar en todos los ámbitos, como el de una pequeña empresa o en el hogar.

Otros consejos relacionados, para estos casos, podrían ser: siempre usar la cuenta de Administrador con contraseña (útil además para encriptar los archivos personales), crear cuentas limitadas de usuario y usar siempre el sistema de archivos NTFS.