Configuración segura del Registro en Windows NT (III)
En esta tercera entrega sobre la configuración del registro en los sistemas NT, escrita por Bernardo Quintero, de HispaSec, vamos a conocer como podemos evitar ciertos riesgos que pueden darse a través de las redes. Deshabilitar las unidades compartidas por defecto, impedir el uso de credenciales nulas que pueden facilitar información sensible, o como elegir el sistema de cifrado para que las passwords viajen seguras. NT por defecto comparte cada uno de los discos duros o particiones que tengamos en nuestro sistema. Para evitar este hecho deberemos crear una nueva variable tipo DWORD, a través del editor del registro, en la trayectoria:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters Variable: AutoShareServer Valor: 0
Esta será la entrada correcta en el caso de que estemos en un NT Server, para las versiones Workstation deberemos cambiar la variable por AutoShareWks.
Iniciar una sesión nula, o login anónimo, permite obtener información sensible como pueden ser los nombres de usuario, grupos, recursos compartidos, propiedades de las passwords, etc. Por defecto NT permite las credenciales nulas contra \\nombreservidor\IPC$, y es utilizado por aplicaciones, como es el caso de asexplorer.exe, para enumerar los recursos compartidos en servidores remotos.
Esta misma vía podría ser utilizada con malas intenciones, por ejemplo a través del comando NET USE, para recopilar información de cara a un posterior ataque. Se puede forzar la autenticación en este tipo de sesiones mediante la activación de la variable RestricAnonymous.
HKLM\System\CurrentControlSet\Control\LSA Variable: RestricAnonymous Valor: 1
Los sistemas NT permiten dos tipos de desafíos para lograr la autenticación ante el servidor. El más seguro es el propietario de NT (MD4), y tenemos en el desafío LanManager (DES), para clientes Windows 95/98 y NetWare, el eslabón más débil. NT trabaja por defecto con ambos sistemas simultáneamente, por lo que un atacante que interceptara los paquetes durante el desafío podría llegar a conseguir las contraseñas.
Para evitar dar facilidades en este sentido se pueden configurar nuestros sistemas para que únicamente utilicen el sistema de autenticación LanManager cuando se necesite. Para ello deberemos igualar la variable LMCompatibilityLevel a 1.
HKLM\System\CurrentControlSet\Control\LSA Variable: LMCompatibilityLevel Valor: 1
| Participa con tus consejos y trucos |
¿Tienes algún consejo o truco que te gustaría compartir con otros usuarios? Envíamelo y aparecerá publicado con tu nombre.
Copyright © 1997-1999 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.
Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.