Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MANTENIMIENTO DE EQUIPOS
DE CÓMPUTO
Teleinformática
2009
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
Sistema de Gestión
de la Calidad
EL REGISTRO
El registro es la mayor base de datos q existe en una maquina correindo bajo Win para
ingresar a ella de una forma rapida tan solo basta con teclear
INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro
Esta centralizada a toda la configuracion de la maquina en ella se guarda todo tipo de
informacion tanto de los programas como del SO en si .
Aprender a manejar configurar y toketear el regedir de win nos ayudara a personalizar
gran parte de nuestro win ... asi como tb da el caso de poder violar la seguridad del
sistema con diferentes tecnicas incluyendo el crakeo de ciertas aplicaciones
En esta parte del articulo me centrare sobre el registro de NT/ W2K
Tenemos q tener en cuenta una cosa todos los win$ tienen parecido a ello,la unica
direfencia sobre aquellos q conocen el registro del recordado WIN95 q los WinNT ni el W2k
no utilizan una sub estrctura HKEY_DYN_DATA.
ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_CLASSES_ROOT
-------------------------------------------------------
En esta sub estructura se mantienen una lista extensa asi como tb las extensiones de la
mayoria de los archivos q se encuantran enlazados a algun tipo de aplicacion.En ella tb
encontramos informacion sobre las operaciones (OBJECT LINKING AND EMMENDDING)
OLE.dentro de esta sub estructura se puede definir la extensión *.cualquiera (ojo no tocar
si no sabemos q estamos haciendo) esta tb para aquellos q de una manera simpatica le
gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiarlo los
documentos de textos a extensiones *.exe o viceversa baaaa win tiene en el regedit
exteciones para todos los colores y sabores .
HKEY_CURRENT_USER
--------------------------------------------------------
En este sub directorio por asi llamarlo se centra en la configuracion del escritorio en el cual
estamos trabajando asi como tb sobre los programas el entorno de la maquina
Sistema de Gestión
de la Calidad
HKEY_LOCAL_MACHINE
--------------------------------------------------------
Quizas en esta sub estrctura a la q mas importacia se le da sobre el registro,nos brinda
informacion sobre las aplicaciones,las configuraciones del sistema de hardware etc,etc
vomos a nombrarlos segun el orden q tenemos en nuetro registro
HKEY_USERS
--------------------------------------------------------
casi los mismo q el sub directorio del regitro HKEY_CURRENT_USER pero con una
particularidad q tiene una sub estrcura para cada usuario especifico del sistema
HKEY_CURRENT_CONFIG
--------------------------------------------------------
Aqui se guarda informacion sobre lo q seria la configuracion actual de distintos dispositivos
de nuestro sistema asi como tb las propiedades de Internet etc.
EN una cierta forma hemos visto a grandes rasgos los componentes del registro de win asi
como tb los sub directorios (sub-claves) y de la importacia de manejar y trabajar con el
registro asi como tb cabe recalcar q ningun asuario deberia de tener acceso al registro
July Paola borda
40093
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
tanto de forma remota asi como tb local con la ecepcion de poder trabajar y tocar el
registro siendo administrador de nuestro sistema o nuestra red ya q implica un problema
de seguridad muy importante `para lo q estariamos expuestos asi como tb la gran
mayoria de los administradores,existen muchos soft para impedir el toqueteo tanto del
registro de nuestro sistema asi como tb muchas otras aplicaciones una persona q
ingresara a este y por ente no tendria intenciones muy buenas q digamos trataria de
configurar cambiar las rutas de accesos de ciertos programas o tal vez modificar un
monton de cosas para q luego nuetra red sea un caos y salga beneficiado de alguna
manera ya sea el proposito q sea.
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\Memory Management
Value Name ClearPageFileAtShotdown
Type REG_DWORD
Value 1
Sistema de Gestión
de la Calidad
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg
Value Name Description
Type REG_SZ
Value Registry Srver
Los permisos de seguridad q son establecidos con esta directiva difinen q suarios o grupo
de usuarios pueden conectarse al registry de forma remota,La tipica istalacion de los
Sistemas Win por defauld y en este caso en NT WOrstattion no define esta directiva asi
como tampoco restringe el acceso de forma remota.La subdirectiva AllowedPaths se
encuentran las directivas unificada a los miembros del grupo Everynone q tienen acceso
asi como tb permite especificar las funciones dentro del sistema ejemplo verificar el
estado de las impresoras para tabajar correctamente e independientemente de como esta
en acceso restringido por medio de la directiva del registri winreg .
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\EventLog\[LogName]
Value RestringGuestAccess
Type REG_DWORD
Value 1
Para q los cambios tengas sus efectos correpondientes es necesario reiniciar el sistema asi
como tb se debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone
y dando acceso solo y nuevamente al grupo Administrator y System para evitar cualquier
acceso de algun usuario malicioso
Sistema de Gestión
de la Calidad
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers
Value AddPrinterDrivers
Type REG_DWORD
Value 1
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name 022
Type REG_EXPAND_sz
Value remover Valor
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name POSIX
Type REG_EXPAND_sz
Value remover Valor
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name RestricAnonymous
Type REG_DWORD
Value remover 1
Existtiendo dos tipos de autenticacion q utiliza NT ... Uno de ellos es el LanManager (LM) q
es un protocolos de autenticacion q fue utilizado originalmente por los productos de Red
de la familia Microsoft q es vulnerable a ciertos atakes basados en Red El otro protocolo es
de laautenticacion de NT q tiene un metodo de encriptacion y puede soportar pass con una
mezcla de caracteres especiales HASH 128 bts.
July Paola borda
40093
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name LMCompatibilityLevel
Type REG_DWORD
Value (Workstation) 3
Value (Domian Controller) 5
Este tipo de configuracion puede ser incompatible con algunas versiones de samba
http://support.microsoft.com/support\kb\articles\g147\7\06.asp
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name NullSessionPips
Type REG_MULTI_SZ
Value remover Aqui se puede agregar o mover los nombres de las listas segun se requiera
http://support.microsoft.com/default.aspx?scid=kd;EN-Us;q143138
Para prevenir este tipo de ataques man in middle se deberia de habilitar el SMB signing en
este tipo de caso estan 2 tratativas para inplementar el SMB signing la primera con la q
trabajariamos seria del lado del workstations
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name Enable SecuritySignature
Type REG_DWORD
Value 1
La directiva siguiente son los pasos para habilitar SMB signing del lado servidor
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name RequireSecuritySignature
July Paola borda
40093
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
Type REG_DWORD
Value 1
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name EnableSecuritySignature
Type REG_DWORD
Value 1
En WinNT se crea un numero de recursos q estan ocultos y q no son visibles a traves del el
buscador,pero si se puede acceder a ellos Estos recursos son conocidos como recursos
compartidos administrativos y el siguente proposito del mismo es que son para realizar
copias de seguridad remota pero en el caso de q no fueran necesarios es mejor
desabilitarlo
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name (Domain Controllers) : AutoshareServer
Value Name (Workstations): AutoshareWks
Type REG_DWORD
Value 1
En otro metodo para prevenir q los usuarios examinen otros equipos de Nuestra red NT
workstations seria desabilitando los servicios de server y computer browser,en este caso
seria buena practica para q usuarios de sistemas q no compratn nada.Si estos servicios
stan desabilitados es posibe conectarse a otros dispositivos q se esten compartiendo
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerserver\
Value Name Start
Type REG_DWORD
Value 3
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Browser
Value Name Start
Type REG_DWORD
Value 3
Para q habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT
Session Manager debemos verificar o agragar si fuese necesaroi la sigiente directiva
Lugar HKEY_LOCAL_MACHINE
July Paola borda
40093
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
Key \System\CurrentControlSet\Control\SessoinManager\
Value Name PortectionMode
Type REG_DWORD
Value 1
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name AuditBaseObjects
Type REG_DWORD
Value 1
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name Submit Control
Type REG_DWORD
Value 1
con el acceso a la directiva anterior deberia de ser restringido solamente a los grupos q
son permitidos suministrar trabajos al servicoi schedule (Administrators) usualmente
Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Schedule
Permisos Recomendados
CREATOR OWNER:Full Control
Administrator:Full Control
SYSTEM:Full Control
Everyone:Read
Sistema de Gestión
de la Calidad
Grupo: Everyone
Permisos : QueryValue
Enumerate SubKeys
Notufy
Read Control
INICIO/EJECUTAR/REGEDT32.EXE
ingresamos al editor
Sleccionamos la directiva modificar
Seleccionamos Permission del menu Security
En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y
modificamos los permisos
\Software
\Software\Microsoft\Windows\CurrentVersion\Run
\Software\Microsoft\Windows\CurrentVersion\Run\RunOnce
\Software\Microsoft\Windows\CurrentVersion\Unistall
\Software\Microsoft\Windows NT\CurrentVersion
\Software\Microsoft\Windows NT\CurrentVersion\Profilelist
\Software\Microsoft\Windows NT\CurrentVersion\Aedebug
\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility
\Software\Microsoft\Windows NT\CurrentVersion\Drivers
\Software\Microsoft\Windows NT\CurrentVersion\Embedding
\Software\Microsoft\Windows NT\CurrentVersion\Fonts
July Paola borda
40093
Regional Distrito Capital Fecha:
Centro de Gestión de Mercados, Logística y
Tecnologías de la Información
Sistema de Gestión
de la Calidad
\Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules
\Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize
\Software\Microsoft\Windows NT\CurrentVersion\MCI
\Software\Microsoft\Windows NT\CurrentVersion\PerfLib
System\CurrentControlSet\Services\LanManServer\Shares
System\CurrentControlSet\Services\UPS
System\CurrentControlSet\CurrentVersion\Run
System\CurrentControlSet\CurrentVersion\Run\RunOnce
Sistema de Gestión
de la Calidad
System\CurrentControlSet\CurrentVersion\RunUnistall
\DEFAULT