Heineken Team
Para poder disfrutar del contenido completo del foro debes estar registrado

Unirse al foro, es rápido y fácil

Heineken Team
Para poder disfrutar del contenido completo del foro debes estar registrado
Heineken Team
¿Quieres reaccionar a este mensaje? Regístrate en el foro con unos pocos clics o inicia sesión para continuar.
Últimos temas
» Boyero electronico o seguridad para rejas jeje
Conocer el regedit Icon_minitimeMar Dic 14, 2010 6:42 pm por Seiya

» Sacar virus de forma manual
Conocer el regedit Icon_minitimeSáb Oct 17, 2009 9:24 pm por warang

» Paginas PTC
Conocer el regedit Icon_minitimeMar Oct 13, 2009 8:05 pm por phillip

» McDonnell Douglas F-4 Phantom II
Conocer el regedit Icon_minitimeSáb Oct 10, 2009 10:27 pm por warang

» Cañon Bofors de 40 mm
Conocer el regedit Icon_minitimeDom Sep 27, 2009 12:24 pm por warang

» calculadora de imperia
Conocer el regedit Icon_minitimeSáb Sep 26, 2009 8:09 am por warang

» Imperial Hero
Conocer el regedit Icon_minitimeMar Sep 15, 2009 8:32 am por TanoCyrano

» Gif's animados
Conocer el regedit Icon_minitimeMar Sep 15, 2009 8:27 am por TanoCyrano

» Reparacion Monitores (Rev Electronica y servicio)
Conocer el regedit Icon_minitimeMar Sep 15, 2009 8:22 am por warang

Compañeros
Crear foro

Conocer el regedit

Ir abajo

Conocer el regedit Empty Conocer el regedit

Mensaje  warang Sáb Abr 18, 2009 1:58 pm

- EL REGISTRO
El registro es la mayor base de datos q existe en una maquina corriendo bajo Windows para ingresar a ella de una forma rápida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro
Esta centralizada a toda la configuración de la maquina en ella se guarda todo tipo de información tanto de los programas como del SO en si.
Aprender a manejar configurar y toquetear el regedit de win nos ayudara a personalizar gran parte de nuestro win ... así como también da el caso de poder violar la seguridad del sistema con diferentes técnicas incluyendo el crakeo de ciertas aplicaciones
En esta parte del articulo me centrare sobre el registro de NT/ W2K
Tenemos q tener en cuenta una cosa todos los windows tienen parecido a ello, la única diferencia sobre aquellos q conocen el registro del recordado WIN95 q los WinNT ni el W2k no utilizan una sub estructura HKEY_DYN_DATA.

ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG

Sub-Estructuras del Registro

HKEY_CLASSES_ROOT
-------------------------------------------------------
En esta sub estructura se mantienen una lista extensa así como también las extensiones de la mayoría de los archivos q se encuentran enlazados a algún tipo de aplicacion.En ella también encontramos información sobre las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede definir la extensión *.cualquiera (ojo no tocar si no sabemos q estamos haciendo) esta también para aquellos q de una manera simpática le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiarlo los documentos de textos a extensiones *.exe o viceversa baaaa win tiene en el regedit extensiones para todos los colores y sabores .

HKEY_CURRENT_USER
--------------------------------------------------------
En este sub directorio por así llamarlo se centra en la configuración del escritorio en el cual estamos trabajando así como también sobre los programas el entorno de la maquina

Existen y tienen ciertas aplicaciones y están diferenciadas en 7 sub claves nuevamente

-Applevents= Aquí se encuentra la configuración del sonido de nuestro Win
-Console=Configuración de la consola del DOS q vendría a ser la famosa Shell en entornos Linux
-Control Panel=sub directorio donde se almacena la configuración así como también la info sobre los dispositivos de entrada y salida de nuestro sistema a la par de varios elementos de nuestro panel de control
-Identies=Aquí se encuentra información sobre el usuario actual q posee una cantidad X de programas
-Software=Información sobre los programas q tenemos instalados
-Enviroment=Ruta q corre sobre los directorios de los archivos temporales
-System= info del sistema en la sesión donde se encuentra el usuario

HKEY_LOCAL_MACHINE
--------------------------------------------------------
Quizás en esta sub estructura a la q mas importancia se le da sobre el registro, nos brinda información sobre las aplicaciones, las configuraciones del sistema de hardware etc, etc vamos a nombrarlos según el orden q tenemos en nuestro registro

-HKEY_LOCAL_MACHINE\HARDWARE=Aquí se encuentra almacenada toda la info q soporta nuestra maquina incluyendo los driver del sistema así como también los componentes

-HKEY_LOCAL_MACHINE\SAM= Aquí se guardan la información acerca del usuario del sistema así como también los pass (*.sam)


-HKEY_LOCAL_MACHINE\SECURITY= Se centra en la información q tienen los usuarios en cuanto a privilegios


-HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas q tenemos instalados


-HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena información imprescindible para q win NT arranque el sistema

HKEY_USERS
--------------------------------------------------------

casi los mismo q el sub directorio del registro HKEY_CURRENT_USER pero con una particularidad q tiene una sub estructura para cada usuario especifico del sistema

HKEY_CURRENT_CONFIG
--------------------------------------------------------
Aquí se guarda información sobre lo q seria la configuración actual de distintos dispositivos de nuestro sistema así como también las propiedades de Internet etc.

EN una cierta forma hemos visto a grandes rasgos los componentes del registro de win así como también los sub directorios (sub-claves) y de la importancia de manejar y trabajar con el registro así como también cabe recalcar que ningún usuario debería de tener acceso al registro tanto de forma remota así como también local con la excepción de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra red ya q implica un problema de seguridad muy importante `para lo q estaríamos expuestos así como también la gran mayoría de los administradores, existen muchos soft para impedir el toqueteo tanto del registro de nuestro sistema así como también muchas otras aplicaciones una persona q ingresara a este y por ente no tendría intenciones muy buenas q digamos trataría de configurar cambiar las rutas de accesos de ciertos programas o tal vez modificar un montón de cosas para q luego nuestra red sea un caos y salga beneficiado de alguna manera ya sea el propósito q sea.

Trabajando con el Registry
Configuraciones de Seguridad para nuestro sistema
--------------------------------------------------------
En la siguiente lista expondré algunas configuraciones del registro q los administradores de sistema podrían aplicar para q se establezca una mejor seguridad sobre el NT de Windows

En las maquinas q corren bajo NT se emplea un archivo de paginación llamado Pagefile.sys en el cual se almacenan o se pueden almacenar datos sensitivos. Las páginas de memorias son intercambiadas los cual se denomina swaping. El archivo de paginación no se encuentra disponible cuando el sistema se encuentra en ejecución ... de igual manera este puede ser accedido de la manera siguiente

Pulsar el botón derecho de nuestro mouse sobre my computer e ir a la pestaña properties
Seleccionar la etiqueta Performance
Luego ir a virtual Memory

A partir de aquí trabajaremos directamente con el regedit.exe
Ojo si no tenemos conocimiento alguno del regedit no tocar bajo ninguna circunstancia el registro es mejor bajarnos unos manuales de la net y leer sobre asi como también deberías de tener un bakkup tanto de nuestro sistema como de nuestro registro también tenemos el regedit help q se encuentra en nuestro sistema C\WINNT\HELP y tenet cuidado en este ya q al hacer algún cambio o pulsando cualquier cosa con el echo de probar q pasa se nos puede ir todo a la p..t? y cagamos ..... sobre el final expondré algunos enlaces interesantes buscado en google.com hasta eso ahorrare de una manera ya :>)

Todo cambio al regedit debe ser reiniciado
Vamos con nuestro tema de paginacion

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\Memory Management
Value Name ClearPageFileAtShotdown
Type REG_DWORD
Value 1

-Proteger el acceso de manera remota
Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas q evidentes de seguridad podemos restringir el acceso desde la red al registry se debe de utilizar el registry editor para crear la directiva siguiente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg
Value Name Description
Type REG_SZ
Value Registry Srver

He indicar los siguientes pasos
-Seleccionar el Winreg ,ir al menu Security e ir a continuación a Permissions
-|Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrator o sea Netamente para los administradores del sistema y verificar q ningún otro grupo o usuario estén listados luego OK

Los permisos de seguridad q son establecidos con esta directiva definen q usuarios o grupo de usuarios pueden conectarse al registry de forma remota, La típica instalación de los Sistemas Win por defauld y en este caso en NT WOrstattion no define esta directiva asi como tampoco restringe el acceso de forma remota. La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo Everynone q tienen acceso así como también permite especificar las funciones dentro del sistema ejemplo verificar el estado de las impresoras para trabajar correctamente e independientemente de como esta en acceso restringido por medio de la directiva del registri winreg .

-Asegurando el Eventlog Viewing
La configuración por defaul pero\mite el acceso estableciendo sesiones de guest y null sessions para observar los eventos (events logs) (system y aplications).El security Log se encuentra protegido del acceso guest por defauld,es visible para los usuarios q tienen los derechos de usuarios MANAGE AUDIT LOGS . Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para restringir el acceso de sesiones guest a los registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\EventLog\[LogName]
Value RestringGuestAccess
Type REG_DWORD
Value 1

Para q los cambios tengas sus efectos correspondientes es necesario reiniciar el sistema así como también se debe establecer la seguridad en esta directiva removiendo el grupo Everinone y dando acceso solo y nuevamente al grupo Administrador y System para evitar cualquier acceso de algún usuario malicioso

-Asegurando las instalaciones de driver de impresora
Por motivos de seguridad y para controlar quienes pueden agregar los driver correspondientes a impresoras usando el directorio Print se utiliza la siguiente directiva del registry. En esta directiva solamente debe ser establecida a 1 para así permitir que el SYSTEM SPOOLER restrinja la operación solo al grupo de Administrador Y operadores de impresión (PRINT OPERATOR) en server's o POWER USERS en Wordstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers
Value AddPrinterDrivers
Type REG_DWORD
Value 1

-Removiendo los sistemas 0S\2 y POSIX
Aquí hablaremos algo de ello Posix son las siglas del Portable Operating System interface para UNIX ,este sistema es el q da soporte a las aplicaciones UNIX el fin de esta aplicación es tratar de lograr la compatibilidad de los programas en distintos entornos UNIX es un total de un conjunto de 23 normas establecida por la IEEE, de todos estos sistemas posix NT tan solo soporta 1 la posix.1 q es un conjunto de llamadas al sistema de lenguaje C así como también es un sirve para llamadas cuando interactúan conjuntamente con el Executive....Aunque no hay una evidencia clara q estos sistemas son un claro riesgo de seguridad es mejor removerlos si evidentemente por algún motivo no son requeridos

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name 022
Type REG_EXPAND_sz
Value remover Valor

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name POSIX
Type REG_EXPAND_sz
Value remover Valor

-Previniendo Null Sessions
Un típico de cualquier administrador despistado dejar establecer una conexión de estas características Las conexiones Null Session mas conocidas como Anonymous Logon es de una manera dejar q cierto usuario q no inicie sesión contenga al máximo información de grupos, recursos compartidos de nuestra red así como también incluyendo dominios ETC,

Prevenir este tipo de conexiones

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name RestricAnonymous
Type REG_DWORD
Value remover 1

-Deshabilitando el uso de LMPS

Existiendo dos tipos de autenticación q utiliza NT ... Uno de ellos es el LanManager (LM) q es un protocolos de autenticación q fue utilizado originalmente por los productos de Red de la familia Microsoft q es vulnerable a ciertos ataques basados en Red El otro protocolo es de la autenticación de NT q tiene un método de encriptación y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts.

Para prevenir esta autenticación

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name LMCompatibilityLevel
Type REG_DWORD
Value (Workstation) 3
Value (Domian Controller) 5

Este tipo de configuración puede ser incompatible con algunas versiones de samba

http://support.microsoft.com/support\...2;7\06.asp

-Prevenir q los usuarios remotos Vean el Registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name NullSessionPips
Type REG_MULTI_SZ
Value remover Aquí se puede agregar o mover los nombres de las listas según se requiera

Mas detalles sobre esto en la page de microsoft

http://support.microsoft.com/default.aspx?...d;EN-Us;q143138
warang
warang
Admin
Admin

Cantidad de envíos : 100
Puntos : 5995
Reputación : -2
Fecha de inscripción : 13/04/2009
Edad : 40
Localización : Argentina

https://heinekenanonimus.forosactivos.net

Volver arriba Ir abajo

Conocer el regedit Empty Re: Conocer el regedit

Mensaje  warang Sáb Abr 18, 2009 1:58 pm

-Asegurando los Archivos Compartidos

Para prevenir este tipo de ataques man in middle se debería de habilitar el SMB signing en este tipo de caso están 2 tratativas para implementar el SMB signing la primera con la q trabajaríamos seria del lado del workstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name Enable SecuritySignature
Type REG_DWORD
Value 1

La directiva siguiente son los pasos para habilitar SMB signing del lado servidor

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name EnableSecuritySignature
Type REG_DWORD
Value 1

-Protegiendo los recursos compartidos

En WinNT se crea un numero de recursos q están ocultos y q no son visibles a través del el buscador, pero si se puede acceder a ellos Estos recursos son conocidos como recursos compartidos administrativos y el siguiente propósito del mismo es que son para realizar copias de seguridad remota pero en el caso de q no fueran necesarios es mejor deshabilitarlo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name (Domain Controllers) : AutoshareServer
Value Name (Workstations): AutoshareWks
Type REG_DWORD
Value 1

En otro método para prevenir q los usuarios examinen otros equipos de Nuestra red NT workstations seria deshabilitando los servicios de server y computer browser, en este caso seria buena practica para q usuarios de sistemas q no compartan nada. Si estos servicios están deshabilitados es posible conectarse a otros dispositivos q se estén compartiendo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerserver\
Value Name Start
Type REG_DWORD
Value 3

Para q deshabilitemos el computer browser

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Browser
Value Name Start
Type REG_DWORD
Value 3

-Asegurando la Base System Objet

Para q habilitemos una fuerte protección en nuestra base a objetos en nustro winNT Session Manager debemos verificar o agregar si fuese necesario la siguiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SessoinManager\
Value Name PortectionMode
Type REG_DWORD
Value 1

-Habilitando la Auditoria en Base a Objetos

Para q habilitemos en base a objetos debemos agregar la siguiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name AuditambienaseObjects
Type REG_DWORD
Value 1

Debemos de notar q en esta directiva no iniciamos la creación de una auditoria, en este caso el administrador necesita activar la auditoria para la categoría "Objett Access" desde el User Manager en esta directiva solo dice al Local Security Authority q los objetos bases deberían de ser cerrados con una lista de control de auditoria en el sistema por default

-El servicio Schedule

Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automáticamente, por default solamente los administradores pueden incorporar comandos AT para así permitir q los System Operator puedan también incorporar comandos At se Debe de recurrit al registry editor para q creemos la siguiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name Submit Control
Type REG_DWORD
Value 1

con el acceso a la directiva anterior debería de ser restringido solamente a los grupos q son permitidos suministrar trabajos al servicoi schedule (Administrators) usualmente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Schedule
Permisos Recomendados
CREATOR OWNER:Full Control
Administrator:Full Control
SYSTEM:Full Control
Everyone:Read

-Protegiendo el registry con Apropiadas ACL's

Para q obtengamos una mejor seguridad en nuestro sistema se recomienda proteger algunas directivas del Registry ya q por default estas protecciones no son establecidas a varios de los componentes del registry lo cual permite q sean hechos cambios proporcionando una mala seguridad

EL acceso permitido al grupo EVERYONE es el siguiente

Grupo: Everyone
Permisos : QueryValue
Enumerate SubKeys
Notufy
Read Control

Para q podamos modificar los `permisos en el registry hacemos lo siguiente

INICIO/EJECUTAR/REGEDT32.EXE
ingresamos al editor
Seleccionamos la directiva modificar
Seleccionamos Permission del menu Security
En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los permisos

En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine

\Software

Se recomienda este cambio debido a q bloquea en términos q quien puede instalar software, no es recomendable el bloqueo de todo el subarbol debido a q este puede afectar ciertos programas de funcionamiento imprescindible para nuestro sistema y pueden dejar de funcionar

\Software\Microsoft\RPC (aqui incluyen todas la directivas dentro de esta)

\Software\Microsoft\Windows\CurrentVersion\Run

\Software\Microsoft\Windows\CurrentVersion\Run\RunOnce

\Software\Microsoft\Windows\CurrentVersion\Unistall

\Software\Microsoft\Windows NT\CurrentVersion

\Software\Microsoft\Windows NT\CurrentVersion\Profilelist

\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility

\Software\Microsoft\Windows NT\CurrentVersion\Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Embedding

\Software\Microsoft\Windows NT\CurrentVersion\Fonts

\Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules

\Software\Microsoft\Windows NT\CurrentVersion\Font Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Font Mapper

\Software\Microsoft\Windows NT\CurrentVersion\Font Cache

\Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize

\Software\Microsoft\Windows NT\CurrentVersion\MCI

\Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions

\Software\Microsoft\Windows NT\CurrentVersion\PerfLib


Es importante considerar mover el permiso read al grupo Everyone en esta directiva, esta permite q usuarios remotos puedan ver los datos de rendimiento de nuestro sistema sin embargo se podrían da el permiso de Read a INTERACTIVE lo cual permitiría q solamente los usuarios q inicien sesión intectivamente accedan a esta directiva además de los grupos Administrador Y SYSTEM

\Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta)

\Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller

\Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas)

\Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva dentro de esta)

\Software\Windows 3.1 Migration Status

System\CurrentControlSet\Services\LanManServer\Shares

System\CurrentControlSet\Services\UPS

Debemos de hacer notar q además de las configuraciones de seguridad en esta directiva también se requiere q el archivo Command asociado con el servicio UPS se encuentre apropiadamente asegurado permitiendo así solamente a los Administrators:Full Control y a SYSTEM :full Control

System\CurrentControlSet\CurrentVersion\Run

System\CurrentControlSet\CurrentVersion\Run\RunOnce

System\CurrentControlSet\CurrentVersion\RunUnistall

Remueve la habilidad para escribir la subdirectiva, la configuración por default permite a un usuario cambia la sub directiva y otorgar nivel de acceso de Administrador

En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine

\HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta)

En el cuadro de dialogo HKEY_USERS on Local Machine

\DEFAULT
warang
warang
Admin
Admin

Cantidad de envíos : 100
Puntos : 5995
Reputación : -2
Fecha de inscripción : 13/04/2009
Edad : 40
Localización : Argentina

https://heinekenanonimus.forosactivos.net

Volver arriba Ir abajo

Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.