El Registro
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View El Registro as PDF for free.
More details
- Words: 2,730
- Pages: 10
EL REGISTRO
El registro es la mayor base de datos que existe en una maquina correindo bajo Windows para ingresar a ella de una forma rapida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro. Esta centralizada a toda la configuracion de la maquina, en ella se guarda todo tipo de informacion tanto de los programas como del SO en si. Aprender a manejar y configurar el regedir de windows nos ayudara a personalizar gran parte de el, asi como tambien da el caso de poder violar la seguridad del sistema con diferentes tecnicas incluyendo el crakeo de ciertas aplicaciones. En esta parte del articulo me centrare sobre el registro de NT/ W2K. Tenemos que tener en cuenta una cosa, todos los windows son parecidos, la unica direfencia sobre aquellos que conocen el registro del recordado WIN95, es que los WinNT ni el W2k no utilizan una sub estrctura HKEY_DYN_DATA. ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG Sub-Estructuras del Regitro HKEY_CLASSES_ROOT En esta sub estructura se mantienen una lista extensa, asi como tambien las extensiones de la mayoria de los archivos que se encuantran enlazados a algun tipo de aplicacion. En ella tambien encontramos informacion sobre las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede definir la extensión *. cualquiera (ojo no tocar si no sabemos que estamos haciendo) esta tambien para aquellos qu de una manera simpatica le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiar los documentos de textos a extensiones *.exe o viceversa, windows tiene en el regedit extenciones para todos los colores y sabores. HKEY_CURRENT_USER En este sub directorio por asi llamarlo se centra en la configuracion del escritorio en el cual estamos trabajando asi como tambien sobre los programas del entorno de la maquina. Existen y tienen ciertas aplicaciones y estan difrenciadas en 7 sub claves nuevamente -Applevents= Aqui se encuentra la configuracion del sonido de nuestro Windows -Console=Configuracion de la consola del DOS que vendria a ser la famosa Shell en entornos Linux -Control Panel= sub directorio donde se almacena la configuracion asi como tambien la info sobre los dispositivos de entrada y salida de nuestro sitema a la par de varios elementos de nuestro panel de control -Identies= Aqui se encuentra infomarcion sobre el usuario actual que posee una cantidad X de programas -Software= Informacion sobre los programas que tenemos instalados -Enviroment= Ruta que corre sobre los directorios de los archivos temporales
-System= info del sistema en la sesion donde se encuentra el usuario HKEY_LOCAL_MACHINE Quizas es esta sub estrctura a la que mas importacia se le da sobre el registro, nos brinda informacion sobre las aplicaciones, las configuraciones del sistema de hardware etc, etc. Vamos a nombrarlos segun el orden que tenemos en nuetro registro -HKEY_LOCAL_MACHINE\HARDWARE= Aqui se encuentra almacenada toda la info que soporta nuestra maquina incluyendo los driver del sistema asi como tambien los componentes -HKEY_LOCAL_MACHINE\SAM= Aqui se guarda la informacion acerca del usuario del sistema asi como tambien los pass (*.sam)
-HKEY_LOCAL_MACHINE\SECURITY= Se centra en la informacion que tienen los usuarios en cuanto a privilegios
-HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas que tenemos instalados
-HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena informacion impresindible para que windows NT arranque el sistema HKEY_USERS Casi los mismo que el sub directorio del regitro HKEY_CURRENT_USER pero con una particularidad, tiene una sub estrcura para cada usuario especifico del sistema HKEY_CURRENT_CONFIG Aqui se guarda informacion sobre lo que seria la configuracion actual de distintos dispositivos de nuestro sistema asi como tambien las propiedades de Internet etc. En una cierta forma hemos visto a grandes rasgos los componentes del registro de windows asi como tambien los sub directorios (sub-claves) y de la importacia de manejar y trabajar con el registro. Como tambien cabe recalcar que ningun asuario deberia de tener acceso al registro tanto de forma remota asi como tambien local, con la ecepcion de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra red, ya que implica un problema de seguridad muy importante para lo que estariamos expuestos asi como tambien la gran mayoria de los administradores. Existen muchos soft para impedir el toqueteo tanto del registro de nuestro sistema y muchas otras aplicaciones. Una persona que ingresara a este y por ente no tendria intenciones muy buenas que digamos, trataria de configurar cambiar las rutas de accesos de ciertos programas, o tal vez modificar un monton de cosas para que luego nuetra red sea un caos y salga beneficiado de alguna manera ya sea el proposito que sea.
Trabajando con el Registry Configuraciones de Seguridad para nuestro sistema En la sigueinte lista expondre algunas configuraciones del registro que los administradores de sistema podrian aplicar para que se establesca una mejor seguridad sobre el NT de Windows. En las maquinas que corren bajo NT se emplea un archivo de paginacion llamado Pagefile.sys en el cual se almacenan o se pueden almacenar datos sensitivos. Las paginas de memorias son intercambiadas los cual se denomina swaping. El archivo de paginacion no se encuantra disponible cuando el sistama se encuentra en ejecucion, de igual manera este
puede ser accedido de la manera siguiente: Pulsar el boton derecho de nuestro mouse sobre my computer e ir a la pestaña properties y Selecionar la etiqueta Performance. Luego ir a virtual Memory. A partir de aqui trabajaremos directamente con el regedit.exe Ojo si no tenemos conociemiento alguno del regedit, no tocar bajo ninguna circustancia el registro. Es mejor bajarnos unos manuales de la net y leer sobre el tema, tambien deberias de tener un backup tanto de nuestro sistema como de nuestro registro, tambien tenemos el regedit help, que se encuentra en nuestro sistema C\WINNT\HELP y tener cuidado en este, ya que al hecer algun cambio o pulsando cualqier cosa por el echo de probar que pasa, se nos puede ir todo a la puta y cagamos, sobre el final expondre algunos enlaces interesantes buscado en google. Todo cambio al regedit debe ser reiniciado. Vamos con nuestro tema de paginacion: Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\Memory Management Value Name ClearPageFileAtShotdown Type REG_DWORD Value 1 -Proteger el acceso de manera remota Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas que evidentes, de seguridad, podemos restringir el acceso desde la red al registry se debe de utilizar el registry editor para crear la directiva siguiente: Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg Value Name Description Type REG_SZ Value Registry Srver Indicar los siguientes pasos: -Seleccionar el Winreg, ir al menu Security, y a continuacion a Permissions -|Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrador, o sea, netamente para los administradores del sistema y verificar que ningun otro grupo o usuario esten listados, luego OK. Los permisos de seguridad que son establecidos con esta directiva difinen que usuarios o grupo de usuarios pueden conectarse al registry de forma remota. La tipica istalacion de los Sistemas Win por default, y en este caso en NT WOrstattion no define esta directiva asi como tampoco restringe el acceso de forma remota. La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo Everynone que tienen acceso, asi como tambien permite especificar las funciones dentro del sistema ejemplo verificar el estado de las impresoras para tabajar correctamente e independientemente de como esta en acceso restringido por medio de la directiva del registri winreg. -Asegurando el Eventlog Viewing
La confuguracion por default permite el acceso estableciendo sesiones de guest y null sessions para observar los eventos (events logs) (system y aplications). El security Log se encuetra protegido del acceso guest por default, es visible para los usuarios que tienen los derechos de usuarios MANAGE AUDIT LOGS. Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para restringir el acceso de sesiones guest a los registros Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\EventLog\[LogName] Value RestringGuestAccess Type REG_DWORD Value 1 Para que los cambios tengan sus efectos correpondientes, es necesario reiniciar el sistema asi como tambien se debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone y dando acceso solo y nuevamente al grupo Administrator y System para evitar cualquier acceso de algun usuario malicioso. -Asegurando las instalacoines de driver de impresora Por motivos de seguridad y para controlar quienes pueden agregar los driver correspondientes a impresoras usando el directorio Print, se utiliza la siguiente directiva del registry. En esta directiva solamente debe ser establecida a uno, asi permitir que el SYSTEM SPOOLER restrinja la operacion solo al grupo de Administrator Y operadores de impresion (PRINT OPERATOR) en server's o *** en Wordstations Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers Value AddPrinterDrivers Type REG_DWORD Value 1 -Removiendo los sistemas 0S\2 y POSIX Aqui hablaremos algo del Posix, son las siglas del Portable Operating System interface para UNIX, este sistema es el que da soporte a las aplicaciones UNIX, el fin de esta aplicacion es tratar de lograr la compatibilidad de los programas en distintos entornos UNIX; es un total de un conjunto de 23 normas establecida por la IEEE, de todos estos sistemas posix NT tan solo soporta uno, la posix.1 que es un conjunto de llamadas al sistema de lenguaje C, asi como tambien sirve para llamadas cuando ineteractuan conjuntamente con el Executive. Aunque no hay una evidencia clara de que estos sistemas son un claro riesgo de seguridad es mejor removerlos, si evidentemente por algun motivo no son requeridos. Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\SuBsystems Value Name 022 Type REG_EXPAND_sz Value remover Valor Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\SuBsystems Value Name POSIX Type REG_EXPAND_sz Value remover Valor -Previniendo Null Sessions:
Es tipico de cualquier administrador despistado, dejar establecer una conexion de estas caracteristicas. Las conexiones Null Session mas conocidas como Anonymous Logon, es de una manera dejar que cierto usuario que no inicie sesion ontenga al maximo informacion de grupos, recursos compartidos de nuestra red, incluyendo dominios, ETC. Prevenir este tipo de conexiones Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name RestricAnonymous Type REG_DWORD Value remover 1 -Deshabilitando el uso de LMPS Existiendo dos tipos de autenticacion que utiliza NT, uno de ellos es el LanManager (LM) que es un protocolo de autenticacion que fue utilizado originalmente por los productos de Red de la familia Microsoft, que es vulnerable a ciertos ataques basados en Red. El otro protocolo es de la autenticacion de NT, que tiene un metodo de encriptacion y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts. Para prevenir esta autenticacion Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name LMCompatibilityLevel Type REG_DWORD Value (Workstation) 3 Value (Domian Controller) 5 Este tipo de configuracion puede ser incompatible con algunas versiones de samba http://support.microsoft.com/support\...\06.asp -Prevenir que los usuarios remotos Vean el Registro Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManServer\Parameters Value Name NullSessionPips Type REG_MULTI_SZ Value remover: Aqui se puede agregar o mover los nombres de las listas segun se requiera Mas detalles sobre esto en la page de microsoft http://support.microsoft.com/default.aspx?...d;EN-Us;q143138 -Asegurando los Archivos Compartidos Para prevenir este tipo de ataques man in middle se deberia de habilitar el SMB signing, en este tipo de caso estan 2 tratativas para inplementar el SMB signing la primera con la que trabajariamos seria del lado del workstations Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters Value Name RequireSecuritySignature Type REG_DWORD Value 1 Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Rdr\Parameters Value Name Enable SecuritySignature Type REG_DWORD Value 1 La directiva siguiente son los pasos para habilitar SMB signing del lado servidor Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManServer\Parameters Value Name RequireSecuritySignature Type REG_DWORD Value 1 Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerServer\Parameters Value Name EnableSecuritySignature Type REG_DWORD Value 1 -Protegiendo los recursos compartidos En WinNT se crea un numero de recursos que estan ocultos y que no son visibles a traves del el buscador,pero si se puede acceder a ellos. Estos recursos son conocidos como recursos compartidos administrativos y el siguente proposito del mismo es que son para realizar copias de seguridad remota, pero en el caso de que no fueran necesarios es mejor desabilitarlo Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerServer\Parameters Value Name (Domain Controllers) : AutoshareServer Value Name (Workstations): AutoshareWks Type REG_DWORD Value 1 En otro metodo para prevenir que los usuarios examinen otros equipos de Nuestra red NT workstations seria desabilitando los servicios de server y computer browser, en este caso seria buena practica para que los usuarios de sistemas no compratan nada. Si estos servicios estan desabilitados es posibe conectarse a otros dispositivos que se esten compartiendo. Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerserver\ Value Name Start Type REG_DWORD
Value 3 Para que desabilitemos el computer browser Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Browser Value Name Start Type REG_DWORD Value 3 -Asegurando la Base System Objet Para que habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT Session Manager debemos verificar o agragar si fuese necesaro la sigiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\SessoinManager\ Value Name PortectionMode Type REG_DWORD Value 1 -Habilitando la Auditoria en Base a Objetos Para que habilitemos en base a objetos debemos agregar la siguiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name AuditBaseObjects Type REG_DWORD Value 1 Debemos de notar que en esta directiva no iniciamos la creacion de una auditoria, en este caso el administrador necesita activar la auditoria para la categoria "Objett Access" desde el User Manager, en esta directiva solo dice al Local Security Authority que los objetos bases deberian de ser cerrados con una lista de control de auditoria en el sistema por default -El servivio Schedule Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automaticamente, por default solamente los administradores pueden incorporar comandos AT para asi permitir que los System Operator puedan tambien incorporar comandos At, se debe de recurrit al registry editor para que creemos la siguiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name Submit Control Type REG_DWORD Value 1 con el acceso a la directiva anterior deberia de ser restringido solamente a los grupos que son permitidos suministrar trabajos al servicio schedule (Administrators) usualmente
Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Schedule Permisos Recomendados CREATOR OWNER: Full Control Administrator: Full Control SYSTEM: Full Control Everyone:Read -Protegiendo el registry con Apropiadas ACL's Para que obtengamos una mejor seguridad en nuestro sistema, se recomienda proteger algunas directivas del Registry, ya que por default estas protecciones no son establecidas a varios de los componentes del registry, lo cual permite que sean hechos cambios proporcionando una mala seguridad EL acceso permitido al grupo EVERYONE es el siguiente Grupo: Everyone Permisos: QueryValue Enumerate SubKeys Notufy Read Control Para q podamos modificar los permisos en el registry hacemos lo siguente INICIO/EJECUTAR/REGEDT32.EXE ingresamos al editor Sleccionamos la directiva modificar Seleccionamos Permission del menu Security En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los permisos En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine \Software Se recomienda este cambio debido a que bloquea en terminos que quien puede instalar software, no es recomendable el bloqueo de todo el sub-arbol debido a que este puede afectar ciertos programas de funcionamiento impresindible para nuestro sistema y pueden dejar de fucionar \Software\Microsoft\RPC (aqui incluyen todas la directivas dentro de esta) \Software\Microsoft\Windows\CurrentVersion\Run \Software\Microsoft\Windows\CurrentVersion\Run\RunOnce \Software\Microsoft\Windows\CurrentVersion\Unistall \Software\Microsoft\Windows NT\CurrentVersion \Software\Microsoft\Windows NT\CurrentVersion\Profilelist \Software\Microsoft\Windows NT\CurrentVersion\Aedebug
\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility \Software\Microsoft\Windows NT\CurrentVersion\Drivers \Software\Microsoft\Windows NT\CurrentVersion\Embedding \Software\Microsoft\Windows NT\CurrentVersion\Fonts \Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules \Software\Microsoft\Windows NT\CurrentVersion\Font Drivers \Software\Microsoft\Windows NT\CurrentVersion\Font Mapper \Software\Microsoft\Windows NT\CurrentVersion\Font Cache \Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize \Software\Microsoft\Windows NT\CurrentVersion\MCI \Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions \Software\Microsoft\Windows NT\CurrentVersion\PerfLib
Es importamnte considerar mover el permiso read al grupo Everyone en esta directiva, esta permite que usuarios remotos puedan ver los datos de rendimiento de nuestro sistema, sin embargo se podria dar el permiso de Read a INTERACTIVE, lo cual permitiria que solamente los usuarios que inicien sesion interactivamente accedan a esta directiva ademas de los grupos Administrador Y SYSTEM \Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta) \Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller \Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas) \Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva dentro de esta) \Software\Windows 3.1 Migration Status System\CurrentControlSet\Services\LanManServer\Shares System\CurrentControlSet\Services\UPS Debemos de hacer notar que ademas de las configuraciones de seguridad en esta directiva, tambien se requiere que el archivo Command asociado con el servicio UPS se encuente apropiadamente asegurado permitiendo asi solamente a los Administrators: Full Control y a SYSTEM : full Control System\CurrentControlSet\CurrentVersion\Run System\CurrentControlSet\CurrentVersion\Run\RunOnce System\CurrentControlSet\CurrentVersion\RunUnistall
Remueve la habilidad para escribir la subdirectiva, la configuracion por default permite a un usuario cambia la sub directiva y otorgar nivel de acceso de Administrador En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine \HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta) En el cuadro de dialogo HKEY_USERS on Local Machine \DEFAULT
El registro es la mayor base de datos que existe en una maquina correindo bajo Windows para ingresar a ella de una forma rapida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro. Esta centralizada a toda la configuracion de la maquina, en ella se guarda todo tipo de informacion tanto de los programas como del SO en si. Aprender a manejar y configurar el regedir de windows nos ayudara a personalizar gran parte de el, asi como tambien da el caso de poder violar la seguridad del sistema con diferentes tecnicas incluyendo el crakeo de ciertas aplicaciones. En esta parte del articulo me centrare sobre el registro de NT/ W2K. Tenemos que tener en cuenta una cosa, todos los windows son parecidos, la unica direfencia sobre aquellos que conocen el registro del recordado WIN95, es que los WinNT ni el W2k no utilizan una sub estrctura HKEY_DYN_DATA. ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG Sub-Estructuras del Regitro HKEY_CLASSES_ROOT En esta sub estructura se mantienen una lista extensa, asi como tambien las extensiones de la mayoria de los archivos que se encuantran enlazados a algun tipo de aplicacion. En ella tambien encontramos informacion sobre las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede definir la extensión *. cualquiera (ojo no tocar si no sabemos que estamos haciendo) esta tambien para aquellos qu de una manera simpatica le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiar los documentos de textos a extensiones *.exe o viceversa, windows tiene en el regedit extenciones para todos los colores y sabores. HKEY_CURRENT_USER En este sub directorio por asi llamarlo se centra en la configuracion del escritorio en el cual estamos trabajando asi como tambien sobre los programas del entorno de la maquina. Existen y tienen ciertas aplicaciones y estan difrenciadas en 7 sub claves nuevamente -Applevents= Aqui se encuentra la configuracion del sonido de nuestro Windows -Console=Configuracion de la consola del DOS que vendria a ser la famosa Shell en entornos Linux -Control Panel= sub directorio donde se almacena la configuracion asi como tambien la info sobre los dispositivos de entrada y salida de nuestro sitema a la par de varios elementos de nuestro panel de control -Identies= Aqui se encuentra infomarcion sobre el usuario actual que posee una cantidad X de programas -Software= Informacion sobre los programas que tenemos instalados -Enviroment= Ruta que corre sobre los directorios de los archivos temporales
-System= info del sistema en la sesion donde se encuentra el usuario HKEY_LOCAL_MACHINE Quizas es esta sub estrctura a la que mas importacia se le da sobre el registro, nos brinda informacion sobre las aplicaciones, las configuraciones del sistema de hardware etc, etc. Vamos a nombrarlos segun el orden que tenemos en nuetro registro -HKEY_LOCAL_MACHINE\HARDWARE= Aqui se encuentra almacenada toda la info que soporta nuestra maquina incluyendo los driver del sistema asi como tambien los componentes -HKEY_LOCAL_MACHINE\SAM= Aqui se guarda la informacion acerca del usuario del sistema asi como tambien los pass (*.sam)
-HKEY_LOCAL_MACHINE\SECURITY= Se centra en la informacion que tienen los usuarios en cuanto a privilegios
-HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas que tenemos instalados
-HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena informacion impresindible para que windows NT arranque el sistema HKEY_USERS Casi los mismo que el sub directorio del regitro HKEY_CURRENT_USER pero con una particularidad, tiene una sub estrcura para cada usuario especifico del sistema HKEY_CURRENT_CONFIG Aqui se guarda informacion sobre lo que seria la configuracion actual de distintos dispositivos de nuestro sistema asi como tambien las propiedades de Internet etc. En una cierta forma hemos visto a grandes rasgos los componentes del registro de windows asi como tambien los sub directorios (sub-claves) y de la importacia de manejar y trabajar con el registro. Como tambien cabe recalcar que ningun asuario deberia de tener acceso al registro tanto de forma remota asi como tambien local, con la ecepcion de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra red, ya que implica un problema de seguridad muy importante para lo que estariamos expuestos asi como tambien la gran mayoria de los administradores. Existen muchos soft para impedir el toqueteo tanto del registro de nuestro sistema y muchas otras aplicaciones. Una persona que ingresara a este y por ente no tendria intenciones muy buenas que digamos, trataria de configurar cambiar las rutas de accesos de ciertos programas, o tal vez modificar un monton de cosas para que luego nuetra red sea un caos y salga beneficiado de alguna manera ya sea el proposito que sea.
Trabajando con el Registry Configuraciones de Seguridad para nuestro sistema En la sigueinte lista expondre algunas configuraciones del registro que los administradores de sistema podrian aplicar para que se establesca una mejor seguridad sobre el NT de Windows. En las maquinas que corren bajo NT se emplea un archivo de paginacion llamado Pagefile.sys en el cual se almacenan o se pueden almacenar datos sensitivos. Las paginas de memorias son intercambiadas los cual se denomina swaping. El archivo de paginacion no se encuantra disponible cuando el sistama se encuentra en ejecucion, de igual manera este
puede ser accedido de la manera siguiente: Pulsar el boton derecho de nuestro mouse sobre my computer e ir a la pestaña properties y Selecionar la etiqueta Performance. Luego ir a virtual Memory. A partir de aqui trabajaremos directamente con el regedit.exe Ojo si no tenemos conociemiento alguno del regedit, no tocar bajo ninguna circustancia el registro. Es mejor bajarnos unos manuales de la net y leer sobre el tema, tambien deberias de tener un backup tanto de nuestro sistema como de nuestro registro, tambien tenemos el regedit help, que se encuentra en nuestro sistema C\WINNT\HELP y tener cuidado en este, ya que al hecer algun cambio o pulsando cualqier cosa por el echo de probar que pasa, se nos puede ir todo a la puta y cagamos, sobre el final expondre algunos enlaces interesantes buscado en google. Todo cambio al regedit debe ser reiniciado. Vamos con nuestro tema de paginacion: Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\Memory Management Value Name ClearPageFileAtShotdown Type REG_DWORD Value 1 -Proteger el acceso de manera remota Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas que evidentes, de seguridad, podemos restringir el acceso desde la red al registry se debe de utilizar el registry editor para crear la directiva siguiente: Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg Value Name Description Type REG_SZ Value Registry Srver Indicar los siguientes pasos: -Seleccionar el Winreg, ir al menu Security, y a continuacion a Permissions -|Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrador, o sea, netamente para los administradores del sistema y verificar que ningun otro grupo o usuario esten listados, luego OK. Los permisos de seguridad que son establecidos con esta directiva difinen que usuarios o grupo de usuarios pueden conectarse al registry de forma remota. La tipica istalacion de los Sistemas Win por default, y en este caso en NT WOrstattion no define esta directiva asi como tampoco restringe el acceso de forma remota. La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo Everynone que tienen acceso, asi como tambien permite especificar las funciones dentro del sistema ejemplo verificar el estado de las impresoras para tabajar correctamente e independientemente de como esta en acceso restringido por medio de la directiva del registri winreg. -Asegurando el Eventlog Viewing
La confuguracion por default permite el acceso estableciendo sesiones de guest y null sessions para observar los eventos (events logs) (system y aplications). El security Log se encuetra protegido del acceso guest por default, es visible para los usuarios que tienen los derechos de usuarios MANAGE AUDIT LOGS. Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para restringir el acceso de sesiones guest a los registros Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\EventLog\[LogName] Value RestringGuestAccess Type REG_DWORD Value 1 Para que los cambios tengan sus efectos correpondientes, es necesario reiniciar el sistema asi como tambien se debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone y dando acceso solo y nuevamente al grupo Administrator y System para evitar cualquier acceso de algun usuario malicioso. -Asegurando las instalacoines de driver de impresora Por motivos de seguridad y para controlar quienes pueden agregar los driver correspondientes a impresoras usando el directorio Print, se utiliza la siguiente directiva del registry. En esta directiva solamente debe ser establecida a uno, asi permitir que el SYSTEM SPOOLER restrinja la operacion solo al grupo de Administrator Y operadores de impresion (PRINT OPERATOR) en server's o *** en Wordstations Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers Value AddPrinterDrivers Type REG_DWORD Value 1 -Removiendo los sistemas 0S\2 y POSIX Aqui hablaremos algo del Posix, son las siglas del Portable Operating System interface para UNIX, este sistema es el que da soporte a las aplicaciones UNIX, el fin de esta aplicacion es tratar de lograr la compatibilidad de los programas en distintos entornos UNIX; es un total de un conjunto de 23 normas establecida por la IEEE, de todos estos sistemas posix NT tan solo soporta uno, la posix.1 que es un conjunto de llamadas al sistema de lenguaje C, asi como tambien sirve para llamadas cuando ineteractuan conjuntamente con el Executive. Aunque no hay una evidencia clara de que estos sistemas son un claro riesgo de seguridad es mejor removerlos, si evidentemente por algun motivo no son requeridos. Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\SuBsystems Value Name 022 Type REG_EXPAND_sz Value remover Valor Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Session Manager\SuBsystems Value Name POSIX Type REG_EXPAND_sz Value remover Valor -Previniendo Null Sessions:
Es tipico de cualquier administrador despistado, dejar establecer una conexion de estas caracteristicas. Las conexiones Null Session mas conocidas como Anonymous Logon, es de una manera dejar que cierto usuario que no inicie sesion ontenga al maximo informacion de grupos, recursos compartidos de nuestra red, incluyendo dominios, ETC. Prevenir este tipo de conexiones Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name RestricAnonymous Type REG_DWORD Value remover 1 -Deshabilitando el uso de LMPS Existiendo dos tipos de autenticacion que utiliza NT, uno de ellos es el LanManager (LM) que es un protocolo de autenticacion que fue utilizado originalmente por los productos de Red de la familia Microsoft, que es vulnerable a ciertos ataques basados en Red. El otro protocolo es de la autenticacion de NT, que tiene un metodo de encriptacion y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts. Para prevenir esta autenticacion Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name LMCompatibilityLevel Type REG_DWORD Value (Workstation) 3 Value (Domian Controller) 5 Este tipo de configuracion puede ser incompatible con algunas versiones de samba http://support.microsoft.com/support\...\06.asp -Prevenir que los usuarios remotos Vean el Registro Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManServer\Parameters Value Name NullSessionPips Type REG_MULTI_SZ Value remover: Aqui se puede agregar o mover los nombres de las listas segun se requiera Mas detalles sobre esto en la page de microsoft http://support.microsoft.com/default.aspx?...d;EN-Us;q143138 -Asegurando los Archivos Compartidos Para prevenir este tipo de ataques man in middle se deberia de habilitar el SMB signing, en este tipo de caso estan 2 tratativas para inplementar el SMB signing la primera con la que trabajariamos seria del lado del workstations Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters Value Name RequireSecuritySignature Type REG_DWORD Value 1 Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Rdr\Parameters Value Name Enable SecuritySignature Type REG_DWORD Value 1 La directiva siguiente son los pasos para habilitar SMB signing del lado servidor Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManServer\Parameters Value Name RequireSecuritySignature Type REG_DWORD Value 1 Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerServer\Parameters Value Name EnableSecuritySignature Type REG_DWORD Value 1 -Protegiendo los recursos compartidos En WinNT se crea un numero de recursos que estan ocultos y que no son visibles a traves del el buscador,pero si se puede acceder a ellos. Estos recursos son conocidos como recursos compartidos administrativos y el siguente proposito del mismo es que son para realizar copias de seguridad remota, pero en el caso de que no fueran necesarios es mejor desabilitarlo Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerServer\Parameters Value Name (Domain Controllers) : AutoshareServer Value Name (Workstations): AutoshareWks Type REG_DWORD Value 1 En otro metodo para prevenir que los usuarios examinen otros equipos de Nuestra red NT workstations seria desabilitando los servicios de server y computer browser, en este caso seria buena practica para que los usuarios de sistemas no compratan nada. Si estos servicios estan desabilitados es posibe conectarse a otros dispositivos que se esten compartiendo. Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\LanManagerserver\ Value Name Start Type REG_DWORD
Value 3 Para que desabilitemos el computer browser Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Browser Value Name Start Type REG_DWORD Value 3 -Asegurando la Base System Objet Para que habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT Session Manager debemos verificar o agragar si fuese necesaro la sigiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\SessoinManager\ Value Name PortectionMode Type REG_DWORD Value 1 -Habilitando la Auditoria en Base a Objetos Para que habilitemos en base a objetos debemos agregar la siguiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name AuditBaseObjects Type REG_DWORD Value 1 Debemos de notar que en esta directiva no iniciamos la creacion de una auditoria, en este caso el administrador necesita activar la auditoria para la categoria "Objett Access" desde el User Manager, en esta directiva solo dice al Local Security Authority que los objetos bases deberian de ser cerrados con una lista de control de auditoria en el sistema por default -El servivio Schedule Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automaticamente, por default solamente los administradores pueden incorporar comandos AT para asi permitir que los System Operator puedan tambien incorporar comandos At, se debe de recurrit al registry editor para que creemos la siguiente directiva Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Control\Lsa Value Name Submit Control Type REG_DWORD Value 1 con el acceso a la directiva anterior deberia de ser restringido solamente a los grupos que son permitidos suministrar trabajos al servicio schedule (Administrators) usualmente
Lugar HKEY_LOCAL_MACHINE Key \System\CurrentControlSet\Services\Schedule Permisos Recomendados CREATOR OWNER: Full Control Administrator: Full Control SYSTEM: Full Control Everyone:Read -Protegiendo el registry con Apropiadas ACL's Para que obtengamos una mejor seguridad en nuestro sistema, se recomienda proteger algunas directivas del Registry, ya que por default estas protecciones no son establecidas a varios de los componentes del registry, lo cual permite que sean hechos cambios proporcionando una mala seguridad EL acceso permitido al grupo EVERYONE es el siguiente Grupo: Everyone Permisos: QueryValue Enumerate SubKeys Notufy Read Control Para q podamos modificar los permisos en el registry hacemos lo siguente INICIO/EJECUTAR/REGEDT32.EXE ingresamos al editor Sleccionamos la directiva modificar Seleccionamos Permission del menu Security En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los permisos En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine \Software Se recomienda este cambio debido a que bloquea en terminos que quien puede instalar software, no es recomendable el bloqueo de todo el sub-arbol debido a que este puede afectar ciertos programas de funcionamiento impresindible para nuestro sistema y pueden dejar de fucionar \Software\Microsoft\RPC (aqui incluyen todas la directivas dentro de esta) \Software\Microsoft\Windows\CurrentVersion\Run \Software\Microsoft\Windows\CurrentVersion\Run\RunOnce \Software\Microsoft\Windows\CurrentVersion\Unistall \Software\Microsoft\Windows NT\CurrentVersion \Software\Microsoft\Windows NT\CurrentVersion\Profilelist \Software\Microsoft\Windows NT\CurrentVersion\Aedebug
\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility \Software\Microsoft\Windows NT\CurrentVersion\Drivers \Software\Microsoft\Windows NT\CurrentVersion\Embedding \Software\Microsoft\Windows NT\CurrentVersion\Fonts \Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules \Software\Microsoft\Windows NT\CurrentVersion\Font Drivers \Software\Microsoft\Windows NT\CurrentVersion\Font Mapper \Software\Microsoft\Windows NT\CurrentVersion\Font Cache \Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize \Software\Microsoft\Windows NT\CurrentVersion\MCI \Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions \Software\Microsoft\Windows NT\CurrentVersion\PerfLib
Es importamnte considerar mover el permiso read al grupo Everyone en esta directiva, esta permite que usuarios remotos puedan ver los datos de rendimiento de nuestro sistema, sin embargo se podria dar el permiso de Read a INTERACTIVE, lo cual permitiria que solamente los usuarios que inicien sesion interactivamente accedan a esta directiva ademas de los grupos Administrador Y SYSTEM \Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta) \Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller \Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas) \Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva dentro de esta) \Software\Windows 3.1 Migration Status System\CurrentControlSet\Services\LanManServer\Shares System\CurrentControlSet\Services\UPS Debemos de hacer notar que ademas de las configuraciones de seguridad en esta directiva, tambien se requiere que el archivo Command asociado con el servicio UPS se encuente apropiadamente asegurado permitiendo asi solamente a los Administrators: Full Control y a SYSTEM : full Control System\CurrentControlSet\CurrentVersion\Run System\CurrentControlSet\CurrentVersion\Run\RunOnce System\CurrentControlSet\CurrentVersion\RunUnistall
Remueve la habilidad para escribir la subdirectiva, la configuracion por default permite a un usuario cambia la sub directiva y otorgar nivel de acceso de Administrador En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine \HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta) En el cuadro de dialogo HKEY_USERS on Local Machine \DEFAULT
Related Documents
El Registro
June 2020 7
El Registro
June 2020 6
Registro
May 2020 29
Registro
August 2019 51
Registro
June 2020 36