Restringir estación con XP

Vamos a restringir el uso de un equipo con XP para su uso como kiosko público. Para ello partimos de un equipo con una instalación limpia del Windows XP, en un grupo de trabajo independiente y con todos los parches actualizados.

BIOS

  • Dejar como único dispositivo de arranque el disco Duro
  • Desactivar iniciar la sesión desde USB
  • Proteger la BIOS con contraseña

DISCO

En caso de no tener espacio libre para crear una partición de recuperación con al menos 1GB libre o el 10 % del disco la creamos con el partición magic o con el programa Booit (www.terabyteunlimited.com). Para ello creamos un disco de arranque con el Boiit Next Generation y redimensionamos el disco para crear otra partición.

WINDOWS

Arrancar la estación crear dos usuarios uno como administrador local y otro como usuario restringido. Eliminar los demás usuarios (en caso de taner más)

Instalar Microsoft Shared Computer Toolkit

Prepara el disco para aplicar la protección de disco del toolkit

Desinstalar todos los programas innecesarios.

Instalar los programas como administrador.

Seleccionar la configuración de seguridad del equipo

Crear un usuario restringido

Configurar el perfil del usuario restringido

Bloquear el perfil

Probar el perfil

Activar la protección del disco.

Atención que cuando se tenga que instalar un nuevo programa hay que desactivar primero la protección de disco, instalar el programa y volver a activar la protección del disco. (En caso de no hacerlo así la protección de disco borrará los cambios.

Otras consideraciones de seguridad

  • Utilizar en todas la particiones y disco el formato NTFS
  • Habilitar el cortafuegos integrado
  • usar políticas de restricción de software
  • Deshabilitar servicios innecesarios en especial
  • Si no comparte archivos deshabilitar el servicio compartir impresoras y archivos
  • Telnet
  • Universal Plug and Play Device Host
  • IIS (not installed by default)
  • Netmeeting Remote Desktop Sharing
  • Remote Desktop Help Session Manager
  • Remote Registry
  • Routing & Remote Access
  • SSDP Discovery Service
  • Deshabilitar el servicio servidor (server service) y el examinador de equipos (computer browser) en caso de ser una máquina individual conectada a internet
  • Deshabilitar la cuenta invitado
  • Borrar las cuentas innecesarias
  • Poner una política de contraseñas complejas
  • Poner una política de restricción del nº de reintentos
  • Actualizar el equipo con todos los parches
  • Instalar un antivirus