Una mica de hardering…<\/p>\n\n\n\n
REM Limita l'acc\u00e9s an\u00f2nim a recursos del sistema (com llistes d'usuaris o recursos compartits).\nREM Amb valor 1, es bloquegen certes consultes an\u00f2nimes (nivell b\u00e0sic de restricci\u00f3).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v RestrictAnonymous \/t REG_DWORD \/d 1 \/f\n\nREM Fa que el grup \"Everyone\" NO inclogui usuaris an\u00f2nims.\nREM Aix\u00f2 evita que usuaris sense autenticar tinguin permisos assignats a \"Everyone\".\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v EveryoneIncludesAnonymous \/t REG_DWORD \/d 0 \/f\n\nREM Restringeix l'acc\u00e9s remot a la base de dades SAM (comptes d'usuari).\nREM Nom\u00e9s permet acc\u00e9s als administradors (BA = Built-in Administrators).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v RestrictRemoteSAM \/t REG_SZ \/d \"O:BAG:BAD:(A;;RC;;;BA)\" \/f\n\nREM Fa que el sistema utilitzi un identificador \u00fanic de m\u00e0quina (Machine ID) en operacions de seguretat\/autenticaci\u00f3.\nREM Pot ajudar a refor\u00e7ar la tra\u00e7abilitat i coher\u00e8ncia en autenticacions.\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v UseMachineId \/t REG_DWORD \/d 1 \/f\n\nREM Impedeix que comptes amb contrasenya en blanc es puguin utilitzar per iniciar sessi\u00f3 remotament.\nREM Nom\u00e9s es podran usar localment (millora de seguretat important).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v LimitBlankPasswordUse \/t REG_DWORD \/d 1 \/f\n\nREM Evita que el sistema faci fallback a sessions nulles (sense autenticaci\u00f3) si falla l'autenticaci\u00f3.\nREM Redueix el risc d'acc\u00e9s no autoritzat.\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA\\MSV1_0\" \/v allownullsessionfallback \/t REG_DWORD \/d 0 \/f\n\nREM Habilita la signatura SMB al client (equip que es connecta).\nREM Garanteix la integritat de les comunicacions SMB (protecci\u00f3 contra manipulaci\u00f3).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanWorkstation\\Parameters\" \/v EnableSecuritySignature \/t REG_DWORD \/d 1 \/f\n\nREM Obliga a que el servidor SMB requereixi signatura en totes les connexions.\nREM Evita connexions SMB sense signar (augmenta seguretat, pot afectar compatibilitat amb sistemes antics).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Parameters\" \/v RequireSecuritySignature \/t REG_DWORD \/d 1\n\nREM Desactiva la possibilitat de demanar assist\u00e8ncia remota (Remote Assistance) a trav\u00e9s de Terminal Services.\nreg add \"HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Terminal Services\" \/v fAllowToGetHelp \/t REG_DWORD \/d 0 \/f\n\nREM Obliga a xifrar el tr\u00e0nsit RPC (Remote Procedure Call) en connexions de serveis d'escriptori remot, millorant la seguretat.\nreg add \"HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Terminal Services\" \/v fEncryptRPCTraffic \/t REG_DWORD \/d 1 \/f\n\nREM Desactiva la redirecci\u00f3 de dispositius locals (com discos, USB, etc.) en sessions remotes.\nreg add \"HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\Terminal Services\" \/v fDisableCdm \/t REG_DWORD \/d 1 \/f\n\nREM Desactiva l'AutoPlay per a dispositius que no es consideren volums (per exemple, alguns dispositius externs o multim\u00e8dia).\nreg add \"HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\Explorer\" \/v NoAutoplayfornonVolume \/t REG_DWORD \/d 1 \/f\n\nREM Desactiva l'AutoRun per a tots els tipus de dispositius (USB, CD\/DVD, xarxa, etc.).\nreg add \"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\" \/v NoDriveTypeAutoRun \/t REG_DWORD \/d 255 \/f\n\nREM Desactiva completament la funcionalitat d'AutoRun al sistema.\nreg add \"HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\" \/v NoAutorun \/t REG_DWORD \/d 1 \/f\n\nREM Deshabilita el driver SMBv1 (protocol antic de compartici\u00f3 de fitxers) evitant que s'inici\u00ef.\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Services\\mrxsmb10\" \/v Start \/t REG_DWORD \/d 4 \/f\n\nREM Desactiva el suport del protocol SMBv1 al servidor SMB de Windows.\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\" \/v SMB1 \/t REG_DWORD \/d 0 \/f\n\nREM Impedeix l'acc\u00e9s an\u00f2nim (sessions nulles) als recursos compartits del servidor.\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Parameters\" \/v RestrictNullSessAccess \/t REG_DWORD \/d 1 \/f\n\nREM Restringeix que usuaris an\u00f2nims puguin consultar la base de dades SAM (comptes d'usuari).\nreg add \"HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa\" \/v RestrictAnonymousSAM \/t REG_DWORD \/d 1\n\nREM Desactiva la caracter\u00edstica SMBv1 (protocol antic i insegur de compartici\u00f3 de fitxers) sense reiniciar el sistema.\nDisable-WindowsOptionalFeature -Online -FeatureName smb1protocol -norestart\n\nREM Activa el tallafoc de Windows per a tots els perfils (domini, privat i p\u00fablic).\nnetsh Advfirewall set allprofiles state on\n\nREM Defineix el fitxer on es guardaran els logs del tallafoc per al perfil actual.\nnetsh advfirewall set currentprofile logging filename %systemroot%\\system32\\LogFiles\\Firewall\\pfirewall.log\n\nREM Estableix la mida m\u00e0xima del fitxer de logs del tallafoc (en KB, aqu\u00ed 4 MB).\nnetsh advfirewall set currentprofile logging maxfilesize 4096\n\nREM Activa el registre de connexions bloquejades pel tallafoc.\nnetsh advfirewall set currentprofile logging droppedconnections enable\n\nREM Configura el perfil p\u00fablic del tallafoc per bloquejar totes les connexions entrants i permetre les sortints.\nnetsh advfirewall set publicprofile firewallpolicy blockinboundalways,allowoutbound\n\nREM Afegeix una regla al tallafoc que permet rebre pings (ICMP Echo Request) nom\u00e9s des de la IP 10.95.9.8 (Zabbix Proxy).\nnetsh advfirewall firewall add rule name=\"Allow Ping from Zabbix Proxy\" protocol=icmpv4:8,any dir=in action=allow remoteip=10.0.0.33\n\nREM Activa la protecci\u00f3 de xarxa de Microsoft Defender, que bloqueja connexions a dominis\/IPs maliciosos coneguts.\nSet-MpPreference -EnableNetworkProtection Enabled\n<\/code><\/pre>\n","protected":false},"excerpt":{"rendered":"Una mica de hardering…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[30,29],"tags":[],"class_list":["post-83","post","type-post","status-publish","format-standard","hentry","category-hardering","category-windows"],"_links":{"self":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/83","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=83"}],"version-history":[{"count":1,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/83\/revisions"}],"predecessor-version":[{"id":84,"href":"https:\/\/xavs.cat\/index.php?rest_route=\/wp\/v2\/posts\/83\/revisions\/84"}],"wp:attachment":[{"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=83"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=83"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xavs.cat\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=83"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}