Regional Distrito Capital

Centro de Gestión de Mercados, Logística y

Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS
DE CÓMPUTO

Jeison steven cañon sanchez

40093

Teleinformática

2009
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Control del Documento

Nombre Cargo Dependencia Firma Fecha

Centro de Gestión de
Mercados, Logística y
Autores Jeison Steven cañón s. Alumno
Tecnologías de la
Información
Centro de Gestión de
Mercados, Logística y
Revisión Ing. Luís redondo Instructor
Tecnologías de la
Información

Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

- EL REGISTRO
El registro es la mayor base de datos q existe en una maquina correindo bajo Win para ingresar a ella de
una forma rapida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro
Esta centralizada a toda la configuracion de la maquina en ella se guarda todo tipo de informacion tanto
de los programas como del SO en si .
Aprender a manejar configurar y toketear el regedir de win nos ayudara a personalizar gran parte de
nuestro win ... asi como tb da el caso de poder violar la seguridad del sistema con diferentes tecnicas
incluyendo el crakeo de ciertas aplicaciones
En esta parte del articulo me centrare sobre el registro de NT/ W2K
Tenemos q tener en cuenta una cosa todos los win$ tienen parecido a ello,la unica direfencia sobre
aquellos q conocen el registro del recordado WIN95 q los WinNT ni el W2k no utilizan una sub estrctura
HKEY_DYN_DATA.

ESTRUCTURA
EL regedit del NT esta divido en partes la llamaremos sub-estructuras

HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
HKEY_USERS
HKEY_CURRENT_CONFIG

Sub-Estructuras del Regitro

HKEY_CLASSES_ROOT
-------------------------------------------------------
En esta sub estructura se mantienen una lista extensa asi como tb las extensiones de la mayoria de los
archivos q se encuantran enlazados a algun tipo de aplicacion.En ella tb encontramos informacion sobre
las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede
definir la extensión *.cualquiera (ojo no tocar si no sabemos q estamos haciendo) esta tb para aquellos
q de una manera simpatica le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de
cambiarlo los documentos de textos a extensiones *.exe o viceversa baaaa win tiene en el regedit
exteciones para todos los colores y sabores .

HKEY_CURRENT_USER
--------------------------------------------------------
En este sub directorio por asi llamarlo se centra en la configuracion del escritorio en el cual estamos
trabajando asi como tb sobre los programas el entorno de la maquina

Existen y tienen ciertas aplicaciones y estan difrenciadas en 7 sub claves nuevamente

-Applevents= Aqui se encuentra la configuracion del sonido de nuestro Win

-Console=Configuracion de la consola del DOS q vendria a ser la famosa Shell en entornos Linux
-Control Panel=sub directorio donde se almacena la configuracion asi como tb la info sobre los
dispositivos de entrada y salida de nuestro sitema a la par de varios elementos de
nuestro panel de control
-Identies=Aqui se encuentra infomarcion sobre el usuario actual q posee una cantidad X de programas
-Software=Informacion sobre los programas q tenemos instalados
-Enviroment=Ruta q corre sobre los directorios de los archivos temporales
-System= info del sistema en la sesion donde se encuentra el usuario

HKEY_LOCAL_MACHINE
--------------------------------------------------------
Quizas en esta sub estrctura a la q mas importacia se le da sobre el registro,nos brinda informacion
sobre las aplicaciones,las configuraciones del sistema de hardware etc,etc vomos a nombrarlos segun el
orden q tenemos en nuetro registro

-HKEY_LOCAL_MACHINE\HARDWARE=Aqui se encuentra almacenada toda la info q soporta nuestra

maquina incluyendo los driver del sistema asi como tb los componentes
-HKEY_LOCAL_MACHINE\SAM= Aqui se guardan la informacion acerca del usuario del sistema asi como
tb los pass (*.sam)

-HKEY_LOCAL_MACHINE\SECURITY= Se centra en la informacion q tienen los usuarios en cuanto a

privilegios
Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

-HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas q tenemos instalados

-HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena informacion impresindible para q

win NT arranque el sistema

HKEY_USERS
--------------------------------------------------------

casi los mismo q el sub directorio del regitro HKEY_CURRENT_USER pero con una particularidad q tiene
una sub estrcura para cada usuario especifico del sistema

HKEY_CURRENT_CONFIG
--------------------------------------------------------
Aqui se guarda informacion sobre lo q seria la configuracion actual de distintos dispositivos de nuestro
sistema asi como tb las propiedades de Internet etc.

EN una cierta forma hemos visto a grandes rasgos los componentes del registro de win asi como tb los
sub directorios (sub-claves) y de la importacia de manejar y trabajar con el registro asi como tb cabe
recalcar q ningun asuario deberia de tener acceso al registro tanto de forma remota asi como tb local
con la ecepcion de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra
red ya q implica un problema de seguridad muy importante `para lo q estariamos expuestos asi como tb
la gran mayoria de los administradores,existen muchos soft para impedir el toqueteo tanto del registro
de nuestro sistema asi como tb muchas otras aplicaciones una persona q ingresara a este y por ente no
tendria intenciones muy buenas q digamos trataria de configurar cambiar las rutas de accesos de ciertos
programas o tal vez modificar un monton de cosas para q luego nuetra red sea un caos y salga
beneficiado de alguna manera ya sea el proposito q sea.

Trabajando con el Registry

Configuraciones de Seguridad para nuestro sistema
--------------------------------------------------------
En la sigueinte lista expondre algunas configuraciones del registro q los administradores de sistema
podrian aplicar para q se establesca una mejor seguridad sobre el NT de Windows

En las maquinas q corren bajo NT se emplea un archivo de paginacion llamado Pagefile.sys en el cual se
almacenan o se pueden almacenar datos sensitivos.Las paginas de memorias son intercambiadas los
cual se denomina swaping.El archivo de paginacion no se encuantra disponible cuando el sistama se
encuentra en ejecucion ... de igual manera este puede ser accedido de la manera siguiente

Pulsar el boton derecho de nuestro mouse sobre my computer e ir a la pestaña properties

Selecionar la etiqueta Performance
Luego ir a virtual Memory

A partir de aqui trabajaremos directamente con el regedit.exe

Ojo si no tenemos conociemiento alguno del regedit no toicar bajo ninguna circustancia el registro es
mejor bajarnos unos manuales de la net y leer sobre asi como tb deberias de tener un bakkup tanto de
nuestro sistema como de nuestro registro tb tenemos el regedit help q se encuentra en nuestro sistema
C\WINNT\HELP y tenet cuidado en este ya q al hecer algun cambio o pulsando cualqier cosa con el echo
de probar q pasa se nos puede ir todo a la puta y cagamos ..... sobre el final expondre algunos enlaces
interesantes buscado en google.com hasta eso ahorrare de una manera ya :>)

Todo cambio al regedit debe ser reiniciado

Vamos con nuestro tema de paginacion

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\Memory Management
Value Name ClearPageFileAtShotdown
Type REG_DWORD
Value 1

-Proteger el acceso de manera remota

Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas q
evidentes de seguridad podemos restringir el acceso desde la red al registry se bede de utilizar el
Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

registry editor para crear la directiva siguiente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg
Value Name Description
Type REG_SZ
Value Registry Srver

He indicar los siguientes pasos

-Seleccionar el Winreg ,ir al menu Security e ir a continuacion a Permissions
-|Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrator o sea Netamente
para los administradores del sistema y verificar q ningun otro grupo o usuario esten listados luego OK

Los permisos de seguridad q son establecidos con esta directiva difinen q suarios o grupo de usuarios
pueden conectarse al registry de forma remota,La tipica istalacion de los Sistemas Win por defauld y en
este caso en NT WOrstattion no define esta directiva asi como tampoco restringe el acceso de forma
remota.La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo
Everynone q tienen acceso asi como tb permite especificar las funciones dentro del sistema ejemplo
verificar el estado de las impresoras para tabajar correctamente e independientemente de como esta en
acceso restringido por medio de la directiva del registri winreg .

-Asegurando el Eventlog Viewing

La confuguracion por defaul pero\mite el acceso estableciendo sesiones de guest y null sessions para
observar los eventos (events logs) (system y aplications).El security Log se encuetra protegido del
acceso guest por defauld,es visible para los usuarios q tienen los derechos de usuarios MANAGE AUDIT
LOGS . Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para
restringir el acceso de sesiones guest a los registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\EventLog\[LogName]
Value RestringGuestAccess
Type REG_DWORD
Value 1

Para q los cambios tengas sus efectos correpondientes es necesario reiniciar el sistema asi como tb se
debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone y dando acceso solo y
nuevamente al grupo Administrator y System para evitar cualquier acceso de algun usuario malicioso

-Asegurando las instalacoines de driver de impresora

Por motivos de seguridad y para controlar quienes pueden agragar los driver correspondientes a
impresoras usando el directorio Print se utiliza la siguiente directiva del registry.En esta directiva
solamente debe ser establecida a 1 para asi permitir que el SYSTEM SPOOLER restrinja la operacion solo
al grupo de Administrator Y operadores de impresion (PRINT OPERATOR) en server's o POWER USERS en
Wordstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers
Value AddPrinterDrivers
Type REG_DWORD
Value 1

-Removiendo los sistemas 0S\2 y POSIX

Aqui hablaremos algo de ello Posix son las siglas del Portable Operating System interface para UNIX
,este sistema es el q da soporte a las aplicaciones UNIX el fin de esta aplicacion es tratar de lograr la
compatibilidad de los programas en distintos entornos UNIX es un total de un conjunto de 23 normas
establecida por la IEEE,de todos estos sistemas posix NT tan solo soporta 1 la posix.1 q es un conjunto
de llamadas al sistema de lenguaje C asi como tb es un sirve para llamadas cuando ineteractuan
conjunta,mente conn el Executive....Aunque no hay una evidencia clara q estos sistemas son un claro
riesgo de seguridad es mejor removerlos si evidentemente por algun motivo no son requeridos

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name 022
Type REG_EXPAND_sz
Value remover Valor

Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Session Manager\SuBsystems
Value Name POSIX
Type REG_EXPAND_sz
Value remover Valor

-Previniendo Null Sessions

Un tipico de cualquier administrador despistado djar establecer una conexion de estas caracteristicas Las
conexiones Null Session mas conocidas como Anonymous Logon es de una manera dejar q cierto usuario
q no inicie sesion ontenga al maximo informacion de grupos,recursos compartidos de nuestra red asi
como tb incluyendo dominios ETC,

Prevenir este tipo de conexiones

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name RestricAnonymous
Type REG_DWORD
Value remover 1

-Deshabilitando el uso de LMPS

Existtiendo dos tipos de autenticacion q utiliza NT ... Uno de ellos es el LanManager (LM) q es un
protocolos de autenticacion q fue utilizado originalmente por los productos de Red de la familia Microsoft
q es vulnerable a ciertos atakes basados en Red El otro protocolo es de laautenticacion de NT q tiene un
metodo de encriptacion y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts.

Para prevenir esta autenticacion

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name LMCompatibilityLevel
Type REG_DWORD
Value (Workstation) 3
Value (Domian Controller) 5

Este tipo de configuracion puede ser incompatible con algunas versiones de samba

http://support.microsoft.com/support\kb\articles\g147\7\06.asp

-Prevenir q los usuarios remotos Vean el Registro

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name NullSessionPips
Type REG_MULTI_SZ
Value remover Aqui se puede agregar o mover los nombres de las listas segun se requiera

Ma detalles sobre esto en la page de microsoft

http://support.microsoft.com/default.aspx?scid=kd;EN-Us;q143138

-Asegurando los Archivos Compartidos

Para prevenir este tipo de ataques man in middle se deberia de habilitar el SMB signing en este tipo de
caso estan 2 tratativas para inplementar el SMB signing la primera con la q trabajariamos seria del lado
del workstations

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Rdr\Parameters
Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Value Name Enable SecuritySignature

Type REG_DWORD
Value 1

La directiva siguiente son los pasos para habilitar SMB signing del lado servidor

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManServer\Parameters
Value Name RequireSecuritySignature
Type REG_DWORD
Value 1

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name EnableSecuritySignature
Type REG_DWORD
Value 1

-Protegiendo los recursos compartidos

En WinNT se crea un numero de recursos q estan ocultos y q no son visibles a traves del el
buscador,pero si se puede acceder a ellos Estos recursos son conocidos como recursos compartidos
administrativos y el siguente proposito del mismo es que son para realizar copias de seguridad remota
pero en el caso de q no fueran necesarios es mejor desabilitarlo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerServer\Parameters
Value Name (Domain Controllers) : AutoshareServer
Value Name (Workstations): AutoshareWks
Type REG_DWORD
Value 1

En otro metodo para prevenir q los usuarios examinen otros equipos de Nuestra red NT workstations
seria desabilitando los servicios de server y computer browser,en este caso seria buena practica para q
usuarios de sistemas q no compratn nada.Si estos servicios stan desabilitados es posibe conectarse a
otros dispositivos q se esten compartiendo

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\LanManagerserver\
Value Name Start
Type REG_DWORD
Value 3

Para q desabilitemos el computer browser

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Browser
Value Name Start
Type REG_DWORD
Value 3

-Asegurando la Base System Objet

Para q habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT Session Manager
debemos verificar o agragar si fuese necesaroi la sigiente directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\SessoinManager\
Value Name PortectionMode
Type REG_DWORD
Value 1

-Habilitando la Auditoria en Base a Objetos

Para q habilitemos en base a objetos debemos agregar la siguiente directiva

Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name AuditBaseObjects
Type REG_DWORD
Value 1

Debemos de notar q en esta directiva no iniciamos la creacion de una auditoria,en este caso el
administrador necesita activar la auditoria para la categoria "Objett Access" desde el User Manager en
esta directiva solo dice al Local Security Authority q los objetos bases deberia de ser cerados con una
lista de control de auditoria en el sistema por default

-El servivio Schedule

Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automaticamente,por default
solamente los administradores pueden incorporar comandos AT para asi permitir q los System Operator
puedan tb incorporar comandos At se Debe de recurrit al registry editor para q creemos la siguiente
directiva

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Control\Lsa
Value Name Submit Control
Type REG_DWORD
Value 1

con el acceso a la directiva anterior deberia de ser restringido solamente a los grupos q son permitidos
suministrar trabajos al servicoi schedule (Administrators) usualmente

Lugar HKEY_LOCAL_MACHINE
Key \System\CurrentControlSet\Services\Schedule
Permisos Recomendados
CREATOR OWNER:Full Control
Administrator:Full Control
SYSTEM:Full Control
Everyone:Read

-Protegiendo el registry con Apropiadas ACL's

Para q obtengamos una mejor seguridad en nuestro sistema se recomienda proteger algunas directivas
del Registry ya q por default estas protecciones no son establecidas a varios de los componentes del
registry lo cual permite q sean hechos cambios proporcionando uan mala seguridad

EL acceso permitido al grupo EVERYONE es el siguiente

Grupo: Everyone
Permisos : QueryValue
Enumerate SubKeys
Notufy
Read Control

Para q podamos modificar los `permisos en el registry hacemos lo siguente

INICIO/EJECUTAR/REGEDT32.EXE
ingresamos al editor
Sleccionamos la directiva modificar
Seleccionamos Permission del menu Security
En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los
permisos

En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine

\Software

Se recomienda este cambio debido a q bloquea en terminos q quien puede instalar software,no es
recomendable el bloqueo de todo el subarbol debido a q este puede afectar ciertos programas de
funcionamiento impresindible para nuestro sistema y pueden dejar de fucionar

Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

\Software\Microsoft\RPC (aqui incluyen todas la directivas dentro de esta)

\Software\Microsoft\Windows\CurrentVersion\Run

\Software\Microsoft\Windows\CurrentVersion\Run\RunOnce

\Software\Microsoft\Windows\CurrentVersion\Unistall

\Software\Microsoft\Windows NT\CurrentVersion

\Software\Microsoft\Windows NT\CurrentVersion\Profilelist

\Software\Microsoft\Windows NT\CurrentVersion\Aedebug

\Software\Microsoft\Windows NT\CurrentVersion\Conpatibility

\Software\Microsoft\Windows NT\CurrentVersion\Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Embedding

\Software\Microsoft\Windows NT\CurrentVersion\Fonts

\Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules

\Software\Microsoft\Windows NT\CurrentVersion\Font Drivers

\Software\Microsoft\Windows NT\CurrentVersion\Font Mapper

\Software\Microsoft\Windows NT\CurrentVersion\Font Cache

\Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize

\Software\Microsoft\Windows NT\CurrentVersion\MCI

\Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions

\Software\Microsoft\Windows NT\CurrentVersion\PerfLib

Es importamnte considerar mover el permiso read al grupo Everyone en esta directiva,esta permite q
usuarios remotos puedan ver los datos de rendimiento de nuestro sistema sin embargo se podrian da el
permiso de Read a INTERACTIVE lo cual permitiria q solamente los usuaroios q inicien sesion
intectivamente accedad a esta directiva ademas de los grupos Administrator Y SYSTEM

\Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta)

\Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller

\Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas)

\Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva

dentro de esta)

\Software\Windows 3.1 Migration Status

System\CurrentControlSet\Services\LanManServer\Shares

System\CurrentControlSet\Services\UPS

Debemos de hacer notar q ademas de las configuraciones de seguridad en esta directiva tb se reuere q
el archivo Command asociadocon el servicio UPS se encuente apropiadamente asegurado permitiendo
asi solamente a los Administrators:Full Control y a SYSTEM :full Control

System\CurrentControlSet\CurrentVersion\Run

System\CurrentControlSet\CurrentVersion\Run\RunOnce
Jeison Steven cañón s.

40093
 Regional Distrito Capital Fecha:
Sistema de Gestión Centro de Gestión de Mercados, Logística y
de la Calidad Tecnologías de la Información

MANTENIMIENTO DE EQUIPOS DE COMPUTO

System\CurrentControlSet\CurrentVersion\RunUnistall

Remueve la habilidad para escribir la subdirectiva,la configuracion por default permite a un usuario
cambia la sub directiva y otorgar nivel de acceso de Administrador

En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine

\HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta)

En el cuadro de dialogo HKEY_USERS on Local Machine

\DEFAULT

Jeison Steven cañón s.

40093