BUGS EN WINDOWS NT Y RECOMENDACIONES

1
BUGS EN WINDOWS NT Y RECOMENDACIONES
La cuenta de Invitado. Siempre se debe bloquear
la cuenta de invitados en servidores que deben
tener un nivel de seguridad importante. Además es
recomendable renombrar la cuenta de invitado a
pesar de bloquearla. La cuenta de Usuario
Anónimo. En Windows la cuenta se usuario
Anónimo, por defecto, tiene acceso a algunas
operaciones que pueden ser de mucha utilidad para
un hacker, ya que esta cuenta no requiere ningún
tipo de identificación.
2
Para impedir el acceso anónimo a un servidor es
necesario modificar el siguiente valor del
Registry
Con el Service Pack de Windows NT se crea un
nuevo grupo denominado Usuarios Autentificados.
Este grupo es similar al de Todos pero no
permite incluir en el a los usuarios anónimos.
3
El servicio Scheduler. Este servicio permite el
arranque automático de procesos a través del
comando at.exe. El problema esta que el servicio
scheduler se ejecuta con la cuenta del sistema,
luego, tiene poder ilimitado. Un usuario
malicioso podría ponerse a ejecutar un programa
que tendría acceso a cualquier recurso. Para
evitar este problema hay dos soluciones La
primera consiste en dar permisos al comando at,
de manera que solo sea ejecutado por el servidor
la otra opción consiste en arrancar el servicio
de scheduler con un usuario distinto.
4
El bug Getadmin Circula por Internet una
utilidad denominada GETADMIN.EXE que permite a un
usuario sin privilegios, obtener derechos
administrativos introduciéndolo en el grupo de
administradores. Esta utilidad puede ser
ejecutada desde el contexto de un usuario normal,
excepto desde la cuenta de invitados. Posterior
al Service Pack 3 se ha diseñado un parche para
fijar este problema.
5
Desencriptación de contraseñas PWDUMP.EXE
utilidad que accede a la base de datos
SAM(contraseña LAN
manager y contraseña NT) y desencripta su
contenido. NTCRACK.EXE
Utilidad que permite realizar ataques de
diccionario. L0PHTCRACK.EXE Utilidad que
permite realizar ataques de fuerza bruta
y de diccionario. Para
impedir el acceso a la base de datos SAM desde
la red. Primero Árbol HKEY_LOCAL_MACHINE S
ituación \system\CurrentControlSet\Control\Secur
ePipeServers Nombre \winreg Tipo
REG_DWORD Acción Poner a 1
6
b) Instalar el match lm-fix de Microsoft c)
Realizar la encriptación de la base de datos SAM.
Servicio NetBios en Entornos de red no
seguros. El sistema de comparición de
impresoras, archivos, carpetas y unidades, se
basa en los protocolos NETBIOS (Network Basic
Input/Output System) desarrollado por IBM NETBEUI
(NetBIOS Extended User Interface) desarrollado
por Microsoft SMB (Server Message Block)
Protocolo que se utiliza para acceder a recursos
compartidos, desarrollado por Pathworks de
DEC. Compartir recursos en Windows, sobre todo
unidades o directorios es un tema delicado en
temas de seguridad, ya que suministra a usuarios
remotos la posibilidad de acceder al servidor, es
decir, si ese servidor esta conectado a Internet,
da la posibilidad de acceso a un pirata
informático desde Internet a los recursos
internos.
7
Para evitar el acceso a recursos compartidos
desde Internet habría que deshabilitar los
servicios de Workstation, Server y el protocolo
NETBIOS del servidor. El problema es que
desactivando estos servicios nadie tendría acceso
a esos recursos, ni desde Internet ni desde la
red interna. La recomendación es evitar en todo
lo posible la utilización de recursos compartidos
en computadores que tengan acceso desde Internet.
De esta manera se evita cualquier tipo de
filtración desde Internet. La compartición de
recursos es útil y mas recomendable en redes
internas, donde el acceso siempre este mas
controlado y sea por usuarios de la propia
empresa.
8
Solución mediante un Firewall. El protocolo
NETBIOS utiliza tres puertos para comunicarse
137,138 y 139. Nombre asoc Puerto Protocolo
Descripción netbios-ns 137 TCP NETBIOS name
service netbios-ns 137 UDP NETBIOS name
service netbios-dgm 138 TCP NETBIOS datagram
service netbios-dgm 138 UDP NETBIOS datagram
service netbios-ssn 139 TCP NETBIOS session
service netbios-ssn 139 UDP NETBIOS session
service Para impedir el acceso a través de
internet a esos puertos del servidor, lo mejor es
tener instalado un Firewall que compruebe cada
paquete TCP/IP de entrada y deshabilite todos
aquellos cuyo puerto de origen estén en ese
rango.
9
(No Transcript)