Parámetros adicionales del registro
Parámetros adicionales del registro
En esta páginaDescripción del móduloEste módulo proporciona claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm). ObjetivosUtilice este módulo para definir claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm). Se aplica aEste módulo se aplica a los siguientes productos y tecnologías:
Uso del móduloEste módulo está organizado para ofrecer una aproximación a las secciones principales de la interfaz de usuario de modificación de directivas de grupo. El módulo empieza con una breve explicación de los temas que tratará, seguido de una lista de títulos de subsecciones. Los títulos de subsecciones corresponden a un valor o grupo de valores de configuración. Para cada valor, se proporciona una breve explicación de los efectos de la contramedida, así como tres subsecciones adicionales: Vulnerabilidad, Contramedida e Impacto potencial. La subsección Vulnerabilidad explica el modo en que un atacante puede explotar la contramedida si ésta se configura de un modo poco seguro. La subsección Contramedida explica cómo implementar la contramedida. La subsección Impacto potencial describe las consecuencias negativas que puede comportar la aplicación de la contramedida. IntroducciónEsta guía proporciona claves de registro y entradas de valor de registro adicionales para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm). El archivo .adm define las restricciones y directivas del sistema para el escritorio, shell y seguridad de Microsoft Windows Server 2003. Esto significa que al cargar el complemento Plantillas de seguridad de Microsoft Management Console (MMC) y ver las plantillas de seguridad, los valores de registro de las tablas siguientes no se representan. En su lugar, estos valores de configuración se han agregado al archivo .inf mediante una versión personalizada del Editor de configuración de seguridad (SCE). También es posible ver o modificar estos valores de registro mediante un editor de textos como el Bloc de notas. Estos valores de configuración se aplicarán a los equipos cuando se descarguen las directivas, independientemente de si se ha modificado la interfaz de usuario del SCE del sistema de destino. Estos valores están incrustados en las plantillas de seguridad para automatizar los cambios. La eliminación de la directiva no supondrá la eliminación automática de dichos valores de configuración, y éstos se deberán modificar manualmente mediante una herramienta de edición del registro como Regedt32.exe. El libro de Microsoft Excel, Configuración de la seguridad y los servicios predeterminados de Windows, que acompaña a esta guía, incluye la configuración predeterminada. Haga clic aquí para descargarlo Modificación de la interfaz de usuario del Editor de configuración de seguridadEl conjunto de herramientas del SCE se utiliza para definir plantillas de seguridad que se pueden aplicar a equipos individuales o a cualquier número de equipos a través de una directiva de grupo. Las plantillas de seguridad pueden contener directivas de contraseña, directivas de bloqueo, directivas Kerberos, directivas de auditoría, valores de configuración del registro de sucesos, valores de registro, modos de inicio del servicio, permisos del servicio, derechos de usuario, restricciones de pertenencia a grupos, permisos de registro y permisos de sistema de archivos. El SCE aparece en varios complementos de MMC y herramientas de administrador. Los complementos Plantillas de seguridad y Configuración y análisis de seguridad lo utilizan. El complemento Editor de directivas de grupo lo utiliza para la parte Configuración de seguridad del árbol Configuración del equipo. Las herramientas Configuración de seguridad local, Directiva de seguridad del controlador del dominio y Directiva de seguridad de dominio también lo utilizan. Esta guía incluye valores de configuración adicionales que se agregan al Editor de configuración de seguridad (SCE) modificando el archivo sceregvl.inf, situado en la carpeta %systemroot%\inf, y registrando de nuevo scecli.dll. Los valores de configuración de seguridad originales, así como los adicionales, aparecen en Directivas locales\Seguridad de los complementos y herramientas previamente enumerados en este módulo. Debe actualizar el archivo sceregvl.inf y registrar scecli.dll de nuevo en los equipos en los que vaya a editar las plantillas de seguridad y las directivas de grupo que se facilitan con esta guía, como se describe a continuación. La personalización de sceregvl.inf que se proporciona a continuación utiliza características que sólo se encuentran disponibles en Microsoft Windows XP Professional con Service Pack 1 y Windows Server 2003. No intente aplicarla a versiones anteriores de Windows. Una vez modificado y registrado el archivo Sceregvl.inf, los valores de registro personalizados se exponen en las interfaces de usuario del SCE del equipo en cuestión. Verá los valores de configuración nuevos al final de la lista de elementos del SCE, todos precedidos por el texto "MSS:", que corresponde a las siglas de Microsoft Solutions for Security, el nombre del grupo que ha creado esta guía. Puede crear directivas o plantillas de seguridad que definan los valores de registro nuevos. Estas plantillas o directivas pueden aplicarse a cualquier equipo, independientemente de si se ha modificado o no Sceregvl.inf en el equipo de destino. Los lanzamientos posteriores de la IU de SCE expondrán los valores de registro personalizados del usuario.
Consideraciones de seguridad sobre los ataques a la redPara prevenir los ataques de denegación de servicio (DoS), debe mantener el equipo actualizado con las últimas actualizaciones de seguridad y consolidar la pila del Protocolo de control de transmisión/Protocolo Internet (TCP/IP) en los equipos con Windows Server 2003 que se encuentren expuestos a atacantes potenciales. La configuración predeterminada de la pila TCP/IP se optimiza para controlar el tráfico de intranet estándar. Si conecta un equipo directamente a Internet, Microsoft recomienda la consolidación de la pila TCP/IP como protección contra ataques DoS. Los ataques DoS dirigidos a la pila TCP/IP suelen ser de dos tipos: ataques que utilizan un número excesivo de recursos del sistema, por ejemplo, abriendo numerosas conexiones TCP, o ataques que envían paquetes manipulados que hacen que se produzca un error en la pila de red o en todo el sistema operativo. Estos valores de configuración de registro contribuyen a la protección contra los ataques dirigidos a la pila TCP/IP. Los ataques DoS incluyen aquéllos que inundan un servidor Web con comunicación para mantenerlo ocupado y los que inundan una red remota con una gran cantidad de paquetes. Los enrutadores y servidores se sobrecargan al intentar enrutar o controlar todos los paquetes. Los ataques de denegación de servicio (DoS) son difíciles de combatir. Para evitarlos, es posible consolidar la pila del protocolo TCP/IP. Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. Tabla 1: Parámetros de TCP/IP agregados al registro en Windows Server 2003
EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routesEsta entrada aparece como MSS: Allow ICMP redirects to override OSPF generated routes en el SCE. Las redirecciones del protocolo ICMP (Protocolo de mensajes de control de Internet) hacen que la pila instale rutas de host. Estas rutas reemplazan las rutas generadas con OSPF (Abrir primero la ruta de acceso más corta). VulnerabilidadEste comportamiento es de esperar; el problema es que el período de tiempo de espera de 10 minutos para las rutas instaladas de redirección ICMP crea un agujero negro temporal para la red afectada en que el tráfico ya no se enrutará correctamente para el host afectado. ContramedidaConfigure MSS: Allow ICMP redirects to override OSPF xgenerated routes con el valor Deshabilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialCuando el Servicio de enrutamiento y acceso remoto (RRAS) está configurado como enrutador de límite de sistema autónomo (ASBR), no importa correctamente las rutas de subred de interfaz conectadas, En su lugar, inserta rutas de host en las rutas OSPF. Dado que el enrutador OSPF no se puede utilizar como enrutador ASBR, el hecho de importar rutas de subred de interfaz conectadas a OSPF produce la confusión de las tablas de enrutamiento con rutas de acceso de enrutamiento extrañas. SynAttackProtect: Syn attack protection level (protects against DoS)Esta entrada aparece como MSS: Syn attack protection level (protects against DoS) en el SCE. Este valor de registro hace que TCP ajuste la retransmisión de SYN-ACK. Al configurar este valor, las respuestas de conexión exceden el tiempo de espera más rápidamente en caso de un ataque de solicitud de conexión (SYN). VulnerabilidadEn un ataque masivo SYN, el atacante envía una corriente continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas. ContramedidaConfigure MSS: Syn attack protection level (protects against DoS) con el valor Connections time out sooner if a SYN attack is detected. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialEste valor agrega retrasos adicionales a las indicaciones de conexión, y las solicitudes de conexión TCP superan rápidamente el tiempo de espera en caso de producirse un ataque SYN. Al configurar este valor, las ventanas escalables y los parámetros TCP configurados en las opciones de socket de cada adaptador, incluidos RTT (Initial Round Trip Time) y el tamaño de las ventanas, dejan de funcionar. EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)Esta entrada aparece como MSS: Allow automatic detection of dead network gateways (could lead to DoS) en el SCE. Cuando se habilita la detección de puertas de enlace inactivas, TCP puede pedir a IP que cambie a una puerta de enlace de reserva si varias conexiones experimentan dificultades. VulnerabilidadUn atacante puede forzar al servidor a cambiar de puerta de enlace, posiblemente a una no prevista. ContramedidaConfigure MSS: Allow automatic detection of dead network gateways (could lead to DoS) con el valor Deshabilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialAl configurar este valor en 0, se evita que Windows detecte puertas de enlace inactivas y cambie automáticamente a otra alternativa. EnablePMTUDiscovery: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU)Esta entrada aparece como MSS: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU) en el SCE. Cuando se habilita este valor predeterminado, la pila TCP intenta determinar automáticamente la unidad de transmisión máxima (MTU) o el tamaño de paquete más grande a través de la ruta de acceso a un host remoto. VulnerabilidadSi no se establece este valor en 0, un atacante puede hacer que la MTU tenga un valor muy pequeño y sobrecargar la pila al forzar al servidor a fragmentar un gran número de paquetes. ContramedidaConfigure MSS: Allow automatic detection of MTU size (possible DoS by an attacker using a small MTU) con el valor Deshabilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialAl configurar EnablePMTUDiscovery con el valor 1, TCP intenta descubrir la MTU o el mayor tamaño de paquete a través de la ruta de acceso a un host remoto. TCP puede eliminar la fragmentación en los enrutadores a lo largo de la ruta de acceso que conecta redes con MTU diferentes, descubriendo la MTU de la ruta de acceso y limitando los segmentos de TCP a este tamaño. La fragmentación afecta negativamente a la productividad de TCP. Cuando este valor se establece en 0, se utiliza una MTU de 576 bytes para todas las conexiones que no son hosts en la subred local. KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)Esta entrada aparece como MSS: How often keep-alive packets are sent in milliseconds (300,000 is recommended) en el SCE. Este valor controla con qué frecuencia TCP intenta comprobar que una conexión inactiva sigue intacta, enviando un paquete de mantenimiento de conexión. Si todavía se puede tener acceso al equipo remoto, confirma el paquete de mantenimiento de conexión. VulnerabilidadUn atacante capaz de conectarse a aplicaciones de red podría causar una condición DoS al establecer numerosas conexiones. ContramedidaConfigure MSS: How often keep-alive packets are sent in milliseconds (300,000 is recommended) con el valor 300000 or 5 minutes. Los valores posibles para este valor de registro son:
En la IU del SCE, aparece la lista de opciones siguiente:
Impacto potencialDe forma predeterminada, no se envían paquetes de mantenimiento de conexión. Puede utilizar un programa para configurar este valor en una conexión. Si éste se reduce del valor predeterminado de 2 horas a 5 minutos, las sesiones inactivas se desconectarán más rápidamente. DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)Esta entrada aparece como MSS: IP source routing protection level (protects against packet spoofing) en el SCE. El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un datagrama debe tomar a través de la red. VulnerabilidadUn atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. El enrutamiento de origen permite que un equipo envíe un paquete para especificar la ruta que sigue. ContramedidaConfigure MSS: IP source routing protection level (protects against packet spoofing) con el valor Highest protection, source routing is completely disabled. Los valores posibles para este valor de registro son:
En la IU del SCE, aparece la lista de opciones siguiente:
Impacto potencialEl hecho de establecer este valor en 2 dará lugar a que se descarten todos los paquetes entrantes enrutados de origen. TcpMaxConnectResponseRetransmissions: SYN – ACK retransmissions when a connection request is not acknowledgedEsta entrada aparece como MSS: SYN – ACK retransmissions when a connection request is not acknowledged en el SCE. Este valor determina el número de veces que TCP retransmite un SYN antes de anular el intento. El tiempo de espera de retransmisión se dobla con cada retransmisión sucesiva en un intento de conexión concreto. El valor de tiempo de espera inicial es de tres segundos. VulnerabilidadEn un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas. ContramedidaConfigure MSS: SYN — ACK retransmissions when a connection request is not acknowledged con el valor 3 seconds, half-open connections dropped after nine seconds. Los valores posibles para este valor de registro son:
En la IU del SCE, aparece la lista de opciones siguiente, que corresponde a los valores 0, 1, 2 y 3 respectivamente:
Impacto potencialAl establecer este valor como mayor que o igual a 2, la pila emplea protección de SYN-ATTACK de forma interna. Si, por el contrario, dicho valor es menor que 2, se evita que la pila lea los valores de registro para la protección de SYN-ATTACK. Este parámetro reduce el tiempo predeterminado necesario para limpiar una conexión TCP semiabierta. Un sitio sometido a un ataque serio puede establecer un valor tan bajo como 1. El valor 0 también es válido. Sin embargo, si este valor se establece en 0, los SYN-ACK no se retransmitirán y el tiempo de espera se agotará en 3 segundos. Con un valor tan bajo, pueden dar error los intentos de conexión legítimos de clientes lejanos. TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)Esta entrada aparece como MSS: How many times unacknowledged data is retransmitted (3 recommended, 5 is default) en el SCE. Este parámetro controla el número de veces que TCP retransmite un segmento de datos individual (segmento sin conexión) antes de anular la conexión. El tiempo de espera de retransmisión se duplicará con cada retransmisión sucesiva en una conexión. Se restablece cuando se reanudan las respuestas. El valor base de tiempo de espera está determinado de forma dinámica por el tiempo de recorrido completo medido en la conexión. VulnerabilidadEn un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas. ContramedidaConfigure MSS: How many times unacknowledged data is retransmitted (3 recommended, 5 is default) con el valor 3. Los valores posibles para este valor de registro son:
En la IU del SCE, se muestra como un cuadro de entrada de texto:
Impacto potencialTCP inicia un temporizador de retransmisión cuando cada segmento saliente se entrega a IP. Si no se ha recibido ningún acuse de recibo de los datos en un segmento concreto antes de que caduque el temporizador, el segmento se volverá a transmitir hasta tres veces. PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)Esta entrada aparece como MSS: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) en el SCE. Este valor de configuración se utiliza para habilitar o deshabilitar IRDP (Internet Router Discovery Protocol). IRDP permite al sistema detectar y configurar direcciones de puerta de enlace automáticamente. VulnerabilidadSi un atacante consigue el control de un sistema en el mismo segmento de red, puede configurar un equipo de la red para suplantar a un enrutador. A continuación, otros segmentos con IRDP habilitado intentarían enrutar su tráfico a través del sistema comprometido. ContramedidaConfigure MSS: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) con el valor Deshabilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialAl deshabilitar este valor de configuración, se impide que Windows Server 2003, que admite IRDP, detecte y configure automáticamente direcciones de puerta de enlace predeterminadas en el equipo. TCPMaxPortsExhausted: How many dropped connect requests to initiate SYN attack protection (5 is recommended)Esta entrada aparece como MSS: How many dropped connect requests to initiate SYN attack protection (5 is recommended) en el SCE. Este parámetro controla el punto en que la protección de SYN-ATTACK empieza a funcionar. La protección de SYN-ATTACK empieza a funcionar cuando el sistema rechaza las solicitudes de conexión TcpMaxPortsExhausted porque el registro disponible de conexiones se ha establecido en 0. VulnerabilidadEn un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas. ContramedidaConfigure MSS: How many dropped connect requests to initiate SYN attack protection (5 is recommended) con el valor 5. Los valores posibles para este valor de registro son:
En la IU del SCE, se muestra como un cuadro de entrada de texto:
Impacto potencialEste parámetro controla el punto en que la protección de SYN-ATTACK empieza a funcionar. La protección de SYN-ATTACK empieza a funcionar cuando el sistema rechaza solicitudes de conexión TCPMaxPortsExhausted porque el registro disponible de conexiones se ha establecido en 0. Esto debería afectar poco al servidor o a los sistemas que intentan utilizarlo de forma legítima. Valores de configuración de AFD.SYSAfd.sys administra los intentos de conexión de las aplicaciones Windows Sockets, como servidores FTP y servidores Web. Se ha modificado Afd.sys para que admita un gran número de conexiones en estado parcialmente abierto sin denegar el acceso a clientes legítimos. Para ello, se permite al administrador la configuración de un registro dinámico. La versión de Afd.sys que se incluye con Windows Server 2003 admite cuatro parámetros de registro que se pueden utilizar para controlar el comportamiento del registro dinámico. Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AFD\Parameters\. Tabla 2: Valores de configuración de Afd.sys agregados al registro en Windows Server 2003
DynamicBacklogGrowthDelta: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended)Esta entrada aparece como MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended) en el SCE. Este valor de configuración controla el número de conexiones libres que se deben crear cuando se necesitan conexiones adicionales. Tenga cuidado con este valor, ya que un valor elevado puede causar asignaciones explosivas de conexiones libres. VulnerabilidadEn un ataque masivo SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor y éste deja las conexiones semiabiertas hasta que se desborda y ya no puede responder a solicitudes legítimas. ContramedidaConfigure MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to create when additional connections are necessary for Winsock applications (10 recommended) con el valor 10. Los valores posibles para este valor de registro son:
En la IU del SCE, se muestra como un cuadro de entrada de texto:
Impacto potencialSi se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS. EnableDynamicBacklog: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)Esta entrada aparece como MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended) en el SCE. Se trata de un modificador global para habilitar o deshabilitar el registro dinámico. El valor predeterminado es 0 (deshabilitado). Si se establece en 1, la característica de registro dinámico nuevo se habilita. VulnerabilidadLas aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS. ContramedidaConfigure MSS: (AFD EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended) con el valor Habilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialEl impacto debería ser mínimo si implementa el resto de valores de configuración como se sugiere en esta sección pero, como se explica en el apartado anterior, DynamicBacklogGrowthDelta, la configuración incorrecta de valores puede producir una respuesta reducida o una condición DoS. MinimumDynamicBacklog: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise)Esta entrada aparece como MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise) en el SCE. Este valor de configuración controla el número mínimo de conexiones libres que se permiten en un extremo de escucha. Si el número de conexiones libres se sitúa por debajo de este valor, se coloca un subproceso en cola para crear conexiones libres adicionales. Este valor no debe ser demasiado elevado, ya que el código de registro dinámico se emplea cuando el número de conexiones libres está por debajo de este valor. Un valor demasiado elevado puede provocar una reducción de rendimiento. VulnerabilidadLas aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS. ContramedidaConfigure MSS: (AFD MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack, 10 otherwise) con el valor 10. Los valores posibles para este valor de registro son:
En la IU del SCE, se muestra como un cuadro de entrada de texto:
Impacto potencialSi se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS. MaximumDynamicBacklog: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applicationsEsta entrada aparece como MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications en el SCE. Este valor de configuración controla el número máximo de conexiones semilibres que se permiten en un extremo de escucha. Las conexiones semilibres incluyen el número de conexiones libres más las conexiones en estado semiconectado (SYN_RECEIVED). No se realiza ningún intento por crear conexiones libres adicionales si esto implica superar este valor. VulnerabilidadLas aplicaciones Windows Sockets pueden ser susceptibles a ataques DoS. ContramedidaEl valor sugerido para un sistema sometido a un ataque serio depende de la memoria. Este valor no debería superar 5000 para cada 32 MB de RAM instalados en el servidor, para evitar el agotamiento del bloque no paginado en caso de ataque. Como punto de partida, evalúe el rendimiento del sistema después de configurar MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for Winsock applications con un valor de 20000. Los valores posibles para este valor de registro son:
En la IU del SCE, aparece la lista de opciones siguiente:
Impacto potencialSi se define este valor en un número muy elevado, es posible que se asigne una gran cantidad de recursos del sistema a la asignación de conexiones libres adicionales que posiblemente no sean necesarias. Esto podría provocar un rendimiento bajo o una condición DoS. Configure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversEsta entrada aparece como MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers en el SCE. El servicio básico de entrada y salida de red (NetBIOS) a través de TCP/IP es un protocolo de red que, entre otras cosas, proporciona una forma de resolver fácilmente nombres NetBIOS registrados en sistemas basados en Windows en las direcciones IP configuradas en dichos sistemas. Este valor determina si el equipo libera su nombre NetBIOS al recibir una solicitud de liberación de nombre. La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\. Tabla 3: Valor de configuración nuevo del registro para la protección de nombres NetBIOS
VulnerabilidadNetBIOS sobre TCP/IP (NetBT) se ha diseñado para no utilizar ningún método de autenticación y, por lo tanto, es vulnerable a la imitación. La imitación es la práctica de hacer creer que la transmisión procede de un usuario distinto al que ha realizado la acción. Un usuario malicioso puede explotar la naturaleza sin autenticación del protocolo para enviar un datagrama nombre-conflicto a un equipo de destino y provocar que abandone su nombre y deje de responder a las solicitudes que reciba. Como resultado, un ataque de estas características podría causar problemas de conectividad intermitente en el sistema de destino o impedir el uso del Entorno de red, el inicio de sesión en el dominio, el comando net send o la resolución de otros nombres NetBIOS. Para obtener más información, consulte el artículo Q269239 de Microsoft Knowledge Base "0xA de Detención Se Produce un En el Servidor WINS de Windows NT 4,0". ContramedidaConfigure MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers con el valor Habilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
También puede deshabilitar el uso del Servicio de nombres de Internet de Windows (WINS) en el entorno y asegurarse de que todas las aplicaciones dependan del Sistema de nombres de dominio (DNS) para los servicios de resolución de nombres. Aunque ésta es una estrategia a largo plazo recomendada, intentar aplicarla como solución a corto plazo suele resultar poco práctico para la mayoría de organizaciones. Las organizaciones que ejecutan WINS suelen tener dependencias de aplicación que no pueden resolverse rápidamente sin actualizaciones e instalaciones distribuidas de software, lo que requiere un planeamiento metódico y compromisos de tiempo significativos. Si no puede implementar esta contramedida y desea garantizar la resolución de nombres de NetBIOS, realice el paso adicional de "precarga" de nombres NetBIOS en el archivo LMHOSTS de ciertos equipos. Para obtener más información sobre el procedimiento de precarga del archivo LMHOSTS, consulte el artículo Q269239 de Microsoft Knowledge Base. Nota: existe un factor de mantenimiento alto requerido para actualizar los archivos LMHOSTS en la mayoría de entornos. Microsoft recomienda el uso de WINS en lugar de LMHOSTS. Impacto potencialUn atacante podría enviar una solicitud a través de la red que pidiese a un equipo que liberase su nombre NetBIOS. Como sucede con cualquier cambio que pueda afectar a aplicaciones, Microsoft recomienda someter a prueba este cambio en un entorno que no sea el de producción antes de aplicarlo al entorno de producción. Disable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenamesEsta entrada aparece como MSS: Enable the computer to stop generating 8.3 style filenames en el SCE. Windows Server 2003 admite formatos de nombre de archivo 8.3 para la compatibilidad con aplicaciones de 16 bits anteriores. La convención de nombres de archivo 8.3 es un formato de nombre que permite nombres de archivo con una longitud máxima de ocho caracteres. La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\. Tabla 4: Valor de configuración nuevo del registro para la generación automática de nombres de archivo 8.3
VulnerabilidadEsto significa que un atacante sólo necesita ocho caracteres para hacer referencia a un archivo que puede tener 20 caracteres de longitud. Por ejemplo, se puede hacer referencia a un archivo denominado EsteEsUnNombreDeArchivoLargo.doc con su nombre de archivo 8.3 EsteEs~1.doc. Si evita utilizar aplicaciones de 16 bits, puede desactivar esta característica. Al deshabilitar la generación de nombres cortos en una partición de sistema de archivos NTFS (NTFS), también se incrementa el rendimiento de enumeración del directorio. Los atacantes pueden utilizar nombres de archivo cortos para tener acceso a los archivos de datos y aplicaciones con nombres de archivo largos que normalmente resultarían difíciles de localizar. Un atacante que haya conseguido acceso al sistema de archivos puede tener acceso a los datos o ejecutar aplicaciones. ContramedidaConfigure MSS: Enable the computer to stop generating 8.3 style filenames con el valor Habilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialLas aplicaciones de 16 bits de la organización no podrán tener acceso a archivos con nombres más largos que los que permite el formato 8.3. Nota: si aplica este valor de configuración a un servidor existente que ya tenga archivos con nombres de archivo 8.3 generados automáticamente, éstos no se quitarán. Para quitar nombres de archivo 8.3 existentes, debe copiar los archivos en el servidor, eliminarlos de su ubicación original y copiarlos de nuevo en sus ubicaciones originales. Disable Autorun: Disable Autorun for all drivesEsta entrada aparece como MSS: Disable Autorun for all drives en el SCE. La ejecución automática inicia la lectura de una unidad del equipo en cuanto se insertan medios en la misma. Como resultado, el archivo de configuración de programas y el sonido en medios de audio se inicia inmediatamente. La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\. Tabla 5: Valor de configuración agregado al registro para configurar Disable Autorun
También puede configurarse el valor siguiente en 1, lo que deshabilitará sólo la ejecución automática de CD/DVD. La entrada de valor de registro siguiente se ha agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Cdrom\. Tabla 6: Valor de configuración que se debe agregar al registro para configurar Disable Autorun
VulnerabilidadPara evitar que se inicie un programa malicioso al insertar un medio, la directiva de grupo deshabilita la ejecución automática en todas las unidades. Un atacante que consiga acceso físico al sistema podría insertar un DVD o CD habilitado para ejecución automática en el equipo, con lo que ejecutaría código malicioso automáticamente. Dicho programa malicioso puede contener cualquier código que desee el atacante. ContramedidaConfigure MSS: Disable Autorun for all drives con el valor 255, disable Autorun for all drives. Los valores posibles para este valor de registro son:
En la IU del SCE, las opciones disponibles son las siguientes:
Impacto potencialLa ejecución automática ya no funcionará al insertar discos habilitados para ejecución automática en el equipo. Make Screensaver Password Protection Immediate: The time in seconds before the screen saver grace period expires (0 recommended)Esta entrada aparece como MSS: The time in seconds before the screen saver grace period expires (0 recommended) en el SCE. Windows incluye un período de gracia que abarca el período desde que se inicia el protector de pantalla hasta que se bloquea la consola de forma automática si se habilita el bloqueo del protector de pantalla. Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\. Tabla 7: Valor de configuración agregado al registro para Make Screensaver Password Protection Immediate
VulnerabilidadEl período de gracia predeterminado permitido para el movimiento del usuario antes de que surta efecto el bloqueo del protector de pantalla es de cinco segundos. Con el período de gracia predeterminado, el equipo es vulnerable a ataques potenciales de alguien que se dirija a la consola para intentar iniciar sesión en el sistema antes de que el bloqueo surta efecto. Se puede realizar una entrada en el registro para ajustar la duración del período de gracia. ContramedidaConfigure MSS: The time in seconds before the screen saver grace period expires (0 recommended) con el valor 0. Los valores posibles para este valor de registro son:
En la IU del SCE, se muestra como un cuadro de entrada de texto:
Impacto potencialLos usuarios tendrán que escribir sus contraseñas para reanudar las sesiones de consola en cuanto se active el protector de pantalla. Security Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warningEsta entrada aparece como MSS: Percentage threshold for the security event log at which the system will generate a warning en el SCE. Windows Server 2003 y Service Pack 3 para Windows 2000 incluyen una característica nueva para generar una auditoría de seguridad en el registro de sucesos de seguridad cuando el registro de seguridad alcanza un umbral definido por el usuario. Por ejemplo, si el valor se define en 90, cuando el registro de seguridad alcance el 90 por ciento de su capacidad mostrará una entrada de suceso para el IdActividad 523 en la que se indicará: "The security event log is 90 percent full". Nota: este valor de configuración no tendrá ningún efecto si el registro de sucesos de seguridad está configurado para sobrescribir sucesos como sea necesario. Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\. Tabla 8: Valor de configuración agregado al registro para habilitar el modo seguro de búsqueda de DLL
VulnerabilidadSi se llena el registro de seguridad y no se ha configurado el equipo para sobrescribir sucesos como sea necesario, los sucesos más recientes no se escribirán en el registro. Si dicho registro se llena y el equipo se ha configurado para apagarse cuando ya no pueda registrar sucesos en el registro de seguridad, el equipo se apagará y ya no podrá proporcionar servicios de red. ContramedidaConfigure MSS: Percentage threshold for the security event log at which the system will generate a warning con el valor 90. Los valores posibles para este valor de registro son:
En la IU del SCE, las opciones disponibles son las siguientes:
Impacto potencialEste valor de configuración generará un suceso de auditoría cuando el registro de auditoría alcance el límite del 90 por ciento de capacidad de almacenamiento a menos que se configure el registro de sucesos de seguridad para sobrescribir sucesos como sea necesario. Enable Safe DLL Search Order: Enable Safe DLL search mode (recommended)Esta entrada aparece como MSS: Enable Safe DLL search mode (recommended) en el SCE. La orden de búsqueda de la biblioteca de vínculos dinámicos (DLL) se puede configurar para que busque los archivos DLL que los procesos en curso han solicitado de una de estas dos formas:
El valor de registro se establece en 1. Con un valor de configuración de 1, el sistema busca primero en las carpetas especificadas en la ruta de acceso del sistema y, a continuación, busca en la carpeta de trabajo actual. Con un valor de configuración de 0, el sistema busca primero en la carpeta de trabajo actual y, a continuación, busca en las carpetas especificadas en la ruta de acceso del sistema. Las entradas de valores de registro siguientes se han agregado al archivo de plantilla en la clave de registro HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\. Tabla 9: Valor de configuración agregado al registro para habilitar el modo seguro de búsqueda de DLL
VulnerabilidadSi un usuario ejecuta inconscientemente código hostil y este código se ha empaquetado con archivos adicionales que incluyen versiones modificadas de archivos DLL del sistema, el código hostil puede cargar sus propias versiones aumentando potencialmente el tipo y grado de daño que puede producir dicho código. ContramedidaConfigure MSS: Enable Safe DLL search mode (recommended) con el valor Habilitado. Los valores posibles para este valor de registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialSe forzará a las aplicaciones a buscar archivos DLL en la ruta de acceso del sistema en primer lugar. Para aplicaciones que requieran versiones únicas de estos archivos DLL incluidos con la aplicación, esto podría provocar problemas de rendimiento o estabilidad. (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)
|
En este artículo
|
