En esta tercera entrega sobre la configuración del registro en los
sistemas NT vamos a conocer como podemos evitar ciertos riesgos
que pueden darse a través de las redes. Deshabilitar las unidades
compartidas por defecto, impedir el uso de credenciales nulas que
pueden facilitar información sensible, o como elegir el sistema de
cifrado para que las passwords viajen seguras.
NT por defecto comparte cada uno de los discos duros o particiones
que tengamos en nuestro sistema. Para evitar este hecho deberemos
crear una nueva variable tipo DWORD, a través del editor del
registro, en la trayectoria:
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Variable: AutoShareServer
Valor: 0
Esta será la entrada correcta en el caso de que estemos en un
NT Server, para las versiones Workstation deberemos cambiar la
variable por AutoShareWks.
Iniciar una sesión nula, o login anónimo, permite obterner información
sensible como pueden ser los nombres de usuario, grupos, recursos
compartidos, propiedades de las passwords, etc. Por defecto NT permite
las credenciales nulas contra \\nombreservidor\IPC$, y es utilizado
por aplicaciones, como es el caso de asexplorer.exe, para enumerar
los recursos compartidos en servidores remotos.
Esta misma vía podría ser utilizada con malas intenciones, por ejemplo
a través del comando NET USE, para recopilar información de cara a un
posterior ataque. Se puede forzar la autentificación en este tipo de
sesiones mediante la activación de la variable RestricAnonymous.
HKLM\System\CurrentControlSet\Control\LSA
Variable: RestricAnonymous
Valor: 1
Los sistemas NT permiten dos tipos de desafíos para lograr la
autentificación ante el servidor. El más seguro es el propietaro
de NT (MD4), y tenemos en el desafío LanManager (DES), para clientes
Windows 95/98 y NetWare, el eslabón más débil. NT trabaja por defecto
con ambos sistemas simultaneamente, por lo que un atacante que
interceptara los paquetes durante el desafío podría llegar a conseguir
las contraseñas.
Para evitar dar facilidades en este sentido se pueden configurar
nuestros sistemas para que únicamente utilicen el sistema de
autentificación LanManager cuando se necesite. Para ello deberemos
igualar la variable LMCompatibilityLevel a 1.
HKLM\System\CurrentControlSet\Control\LSA
Variable: LMCompatibilityLevel
Valor: 1
Deja una respuesta