Amenazas y contramedidas
Capítulo 10: Entradas del Registro adicionales
En este capítulo se proporciona información adicional sobre las entradas del Registro (conocidas también como valores del Registro) para el archivo de plantilla de seguridad de línea de base que no están definidas en el archivo de plantilla administrativa (.adm). El archivo .adm define las restricciones y directivas para el escritorio, shell y seguridad de Microsoft® Windows Server™ 2003. En esta páginaEditor de configuración de seguridad personalizadoAl cargar el complemento Plantillas de seguridad de Microsoft Management Console (MMC) y ver las plantillas de seguridad, las entradas de las tablas siguientes no se representan. Estas entradas se agregaron al archivo .inf mediante una versión personalizada del Editor de configuración de seguridad (SCE). También es posible ver o modificar estas entradas mediante un editor de textos como Bloc de notas. Se aplicarán a los equipos cuando se descarguen las directivas, independientemente de si se han modificado las interfaces de usuario del SCE de los equipos. Estas entradas están incrustadas en las plantillas de seguridad para automatizar los cambios. La eliminación de la directiva no supondrá la eliminación automática de dichas entradas, que se deberán modificar manualmente mediante una herramienta de edición del Registro como Regedt32.exe. El libro de Microsoft Excel "Configuración de la seguridad y los servicios predeterminados de Windows" que se incluye con esta guía ofrece información sobre la configuración predeterminada. Modificación de la interfaz de usuario del Editor de configuración de seguridadEl SCE se utiliza para definir plantillas de seguridad que se pueden aplicar a equipos individuales o a cualquier número de equipos a través de una directiva de grupo. Las plantillas de seguridad pueden contener directivas de contraseña, directivas de bloqueo, directivas de protocolo Kerberos, directivas de auditoría, valores de configuración del registro de eventos, valores de registro, modos de inicio del servicio, permisos del servicio, derechos de usuario, restricciones de pertenencia a grupos, permisos de registro y permisos de sistema de archivos. El SCE aparece en varios complementos de MMC y herramientas de administrador. Los complementos Plantillas de seguridad y Configuración y análisis de seguridad lo utilizan. El complemento Editor de directivas de grupo lo utiliza para la parte Configuración de seguridad del árbol Configuración del equipo. Las herramientas Configuración de seguridad local, Directiva de seguridad del controlador del dominio y Directiva de seguridad de dominio también lo utilizan. Esta guía incluye las entradas adicionales que se agregaron al SCE al modificar el archivo Seregvl.inf (ubicado en la carpeta %systemroot%\inf) y volver a registrar el archivo Scecli.dll. La configuración de seguridad original, así como las adicionales, aparecen bajo Directivas locales\Seguridad en los complementos y herramientas enumerados en esta guía. Debe actualizar el archivo sceregvl.inf y volver a registrar scecli.dll en cualquier equipo en el que se vayan a modificar las plantillas de seguridad y las directivas de grupo que se facilitan con esta guía, como se describe en las secciones siguientes. Sin embargo, la información sobre la personalización del archivo sceregvl.inf utiliza características que sólo están disponibles a partir de Microsoft Windows XP Professional con Service Pack 1 y Windows Server 2003. No intente instalarla en versiones anteriores de Windows. Una vez modificado y registrado el archivo Sceregvl.inf, los valores de registro personalizados se exponen en las interfaces de usuario del SCE del equipo en cuestión. Verá los valores de configuración nuevos al final de la lista de elementos del SCE, todos precedidos por el texto "MSS:", que corresponde a las siglas de Microsoft Solutions for Security, el nombre del grupo que ha creado esta guía. Puede crear directivas o plantillas de seguridad que definan los valores de registro nuevos. Estas plantillas o directivas pueden aplicarse a cualquier equipo, independientemente de si se ha modificado o no Sceregvl.inf en el equipo de destino. Los lanzamientos posteriores de la interfaz de usuario del SCE expondrán los valores de registro personalizados del usuario. Las instrucciones para modificar la interfaz de usuario del SCE se proporcionan en los procedimientos siguientes. Hay instrucciones manuales que debe seguir si ya ha hecho otras personalizaciones en el SCE. Se proporciona una secuencia de comandos para agregar la configuración con una interacción mínima del usuario, y aunque la secuencia de mandos incluye funciones de detección de errores y recuperación, puede fallar. Si falla, debe determinar la causa y corregir el problema o seguir las instrucciones manuales. Se proporciona otra secuencia de comandos que puede utilizar para restaurar la interfaz de usuario del SCE a su estado predeterminado. Esta secuencia de comandos eliminará cualquier configuración personalizada y devolverá el SCE al estado en que aparece en una instalación predeterminada de Windows XP con SP2 o Windows Server 2003 con SP1. Para actualizar manualmente sceregvl.inf
Los lanzamientos posteriores del SCE mostrarán estos valores de registro personalizados. Para actualizar automáticamente sceregvl.inf
Este procedimiento eliminará sólo las entradas personalizadas creadas utilizando la secuencia de comandos que se describe en el procedimiento anterior, Update_SCE_with_MSS_Regkeys.vbs. Puede invertir también los cambios hechos por la secuencia de comandos de actualización automática. Para invertir los cambios hechos por la secuencia de comandos Update_SCE_with_MSS_Regkeys.vbs
Este procedimiento eliminará cualquier entrada personalizada que pudiera haber agregado a la interfaz de usuario del SCE, incluidas las de esta guía y otras que se pueden haber proporcionado en versiones anteriores de la guía o en otras guías de seguridad. Para restaurar el SCE a su estado predeterminado para Windows XP con SP2 o Windows Server 2003 con SP1
Para restaurar manualmente la interfaz de usuario del SCE a su estado predeterminado
Entradas del registro relacionadas con TCP/IPPara prevenir los ataques de denegación de servicio (DoS), debe mantener el equipo actualizado con las últimas actualizaciones de seguridad y consolidar la pila del protocolo TCP/IP en los equipos con Windows Server 2003 que se encuentren expuestos a atacantes potenciales. La configuración predeterminada de la pila TCP/IP se optimiza para el control del tráfico de la intranet estándar. Si conecta un equipo directamente a Internet, Microsoft recomienda la consolidación de la pila TCP/IP como protección contra ataques DoS. Los ataques DoS dirigidos a la pila TCP/IP tienden a ser de dos clases: ataques que utilizan un número excesivo de recursos de sistema (una forma de hacerlo es abrir muchas conexiones TCP) o ataques que envían paquetes especialmente diseñados que causan que la pila de la red o todo el sistema operativo fallen. La siguiente configuración de registro contribuye a la protección contra los ataques dirigidos a la pila TCP/IP. La configuración del registro de la tabla siguiente se agregó al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\. Podrá encontrar información más detallada acerca de las diferentes configuraciones en las subsecciones posteriores a la tabla y en la página Detalles de la implementación del TCP/IP en Microsoft Windows Server 2003 en http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/networking/tcpip03.mspx. Tabla 10.1 Entradas del Registro relacionadas con TCP/IP en Windows Server 2003 con SP1 y Windows XP con SP2
DisableIPSourceRouting: IP source routing protection level (protects against packet spoofing)Esta entrada aparece como MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) en el SCE. El enrutamiento de origen IP es un mecanismo que permite al remitente determinar la ruta IP que un datagrama debe seguir a través de la red. VulnerabilidadUn atacante podría utilizar paquetes enrutados de origen para ocultar su identidad y ubicación. El enrutamiento de origen permite que un equipo que envía un paquete especifique la ruta que sigue dicho paquete. ContramedidaConfigure la entrada MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing) con el valor Highest protection,source routing is completely disabled. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, aparece la lista de opciones siguiente:
Impacto potencialSi configura este valor en 2 se descartarán todos los paquetes entrantes enrutados de origen. EnableDeadGWDetect: Allow automatic detection of dead network gateways (could lead to DoS)Esta entrada aparece como MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) en el SCE. Cuando se habilita la detección de puertas de enlace inactivas, IP puede cambiar a una puerta de enlace de reserva si varias conexiones experimentan dificultades. VulnerabilidadUn atacante puede forzar al servidor a cambiar de puerta de enlace, posiblemente a una no prevista. Esto sería muy difícil de hacer, por lo que el valor de esta entrada es pequeño. ContramedidaConfigure la entrada MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS) como Deshabilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialSi configura este valor en 0, Windows no puede detectar puertas de enlace inactivas y cambia automáticamente a otras alternativas. EnableICMPRedirect: Allow ICMP redirects to override OSPF generated routesEsta entrada aparece como MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes en el SCE. Las redirecciones del protocolo ICMP (Protocolo de mensajes de control de Internet) hacen que la pila instale rutas de host. Estas rutas reemplazan las rutas generadas con OSPF (Abrir primero la ruta de acceso más corta). VulnerabilidadEste comportamiento es de esperar. El problema es que el período de tiempo de espera de 10 minutos para las rutas instaladas de redirección ICMP crea una situación en la red en la que el tráfico ya no se enruta correctamente para el host afectado. ContramedidaConfigure la entrada MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes en un valor de Deshabilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialCuando el Servicio de enrutamiento y acceso remoto (RRAS) está configurado como enrutador de límite de sistema autónomo (ASBR), no importa correctamente las rutas de subred de interfaz conectadas, En su lugar, inserta rutas de host en las rutas OSPF. Sin embargo, el enrutador OSPF no se puede utilizar como enrutador ASBR, y cuando se importan rutas de subred de interfaz conectadas a OSPF, el resultado son tablas de enrutamiento confusas con rutas de acceso de enrutamiento extrañas. KeepAliveTime: How often keep-alive packets are sent in milliseconds (300,000 is recommended)Esta entrada aparece como MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) en el SCE. Controla la frecuencia con la que TCP envía un paquete de mantenimiento de conexión para verificar que una conexión inactiva permanece intacta. Si todavía se puede tener acceso al equipo remoto, confirma el paquete de mantenimiento de conexión. VulnerabilidadUn atacante capaz de conectarse a aplicaciones de red podría establecer numerosas conexiones para causar una condición DoS. ContramedidaConfigure la entrada MSS: (KeepAliveTime) How often keep-alive packets are sent in milliseconds (300,000 is recommended) en un valor de 300000 or 5 minutes. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, aparece la lista de opciones siguiente:
Impacto potencialDe forma predeterminada, Windows no envía paquetes de mantenimiento de conexión. Sin embargo, algunas aplicaciones pueden configurar el indicador de pila TCP que solicita paquetes de mantenimiento de conexión. Para dichas configuraciones, puede reducir este valor de la configuración predeterminada de dos horas a cinco minutos para desconectar sesiones inactivas más rápidamente. PerformRouterDiscovery: Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS)Esta entrada aparece como MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) en el SCE. Habilita o deshabilita IRDP (Internet Router Discovery Protocol). IRDP permite al equipo detectar y configurar direcciones de puerta de enlace predeterminadas automáticamente (como se describe en RFC 1256) por interfaz. VulnerabilidadSi un atacante consigue el control de un equipo en el mismo segmento de red, puede configurar un equipo de la red para suplantar a un enrutador. A continuación, otros segmentos con IRDP habilitado intentarían enrutar su tráfico a través del equipo en peligro. ContramedidaConfigure la entrada MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses (could lead to DoS) en un valor de Deshabilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialSi deshabilita esta entrada, Windows Server 2003, que admite IRDP, no podrá detectar y configurar automáticamente direcciones de puerta de enlace predeterminadas en el equipo. SynAttackProtect: Syn attack protection level (protects against DoS)Esta entrada aparece como MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) en el SCE. Esta entrada hace que TCP ajuste la retransmisión de SYN-ACK. Al configurar esta entrada, se reduce la carga de transmisiones incompletas en un ataque de solicitud de conexión (SYN). Puede utilizar esta entrada para configurar Windows de modo que envíe mensajes de descubrimiento de enrutador como difusiones en vez de multidifusiones, como se describe en RFC 1256. De forma predeterminada, si el descubrimiento de enrutador está habilitado, las solicitudes de descubrimiento de enrutador se envían al grupo de multidifusión de todos los enrutadores (224.0.0.2). VulnerabilidadEn un ataque "flood" de congestión del servidor SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor. El servidor deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas. ContramedidaConfigure la entrada MSS: (SynAttackProtect) Syn attack protection level (protects against DoS) con el valor Connections time out sooner if a SYN attack is detected. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialEste valor agrega retrasos adicionales a las indicaciones de conexión, y las solicitudes de conexión TCP superan rápidamente el tiempo de espera en caso de producirse un ataque SYN. Si configura esta entrada de registro, las ventanas escalables y los parámetros TCP configurados en las opciones de socket de cada adaptador, incluidos RTT (Initial Round Trip Time) y el tamaño de las ventanas, dejan de funcionar. Cuando se ataca al equipo, las ventanas escalables (RFC 1323) y las opciones de parámetros TCP configurados por adaptador (RTT inicial, tamaño de la ventana) en cualquier socket ya no pueden habilitarse. La razón por la que estas opciones no se pueden habilitar es que cuando la protección funciona, la entrada de la ruta de caché no se revisa antes de que se envíe la señal SYN-ACK, y las opciones de Winsock no están disponible en esta etapa de la conexión. TcpMaxConnectResponseRetransmissions: SYN-ACK retransmissions when a connection request is not acknowledgedEsta entrada aparece como MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged en el SCE. Esta entrada determina el número de veces que TCP retransmite un SYN antes de anular el intento. El tiempo de espera de retransmisión se dobla con cada retransmisión sucesiva en un intento de conexión concreto. El valor de tiempo de espera inicial es de tres segundos. VulnerabilidadEn un ataque "flood" de congestión del servidor SYN, el atacante envía una secuencia continua de paquetes SYN a un servidor. El servidor deja las conexiones semiabiertas hasta que queda desbordado y ya no puede responder a solicitudes legítimas. ContramedidaConfigure la entrada MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged con el valor 3 seconds, half-open connections dropped after nine seconds. Los valores posibles para esta entrada del Registro son:
En la interfaz del usuario del SCE aparece la lista de opciones siguiente, que corresponde a los valores 0, 1, 2 y 3 respectivamente:
Impacto potencialSi configura este valor como mayor que o igual a 2, la pila empleará internamente la protección SYN-ATTACK. Si configura esta entrada en menor que 2, la pila no puede leer los valores del Registro para protección SYN-ATTACK. Esta entrada reduce la cantidad de tiempo predeterminada necesaria para limpiar una conexión TCP semiabierta. Un sitio sometido a un ataque serio puede establecer un valor tan bajo como 1. Un valor de 0 es también válido. Sin embargo, si este parámetro se establece en 0, los SYN-ACK no se volverán a transmitir y el tiempo de espera se excederá en 3 segundos. Con un valor tan bajo, puede producirse un error en los intentos de conexión legítimos de clientes lejanos. TcpMaxDataRetransmissions: How many times unacknowledged data is retransmitted (3 recommended, 5 is default)Esta entrada aparece como MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) en el SCE. Esta entrada controla el número de veces que TCP retransmite un segmento de datos individual (segmento sin conexión) antes de anular la conexión. El tiempo de espera de retransmisión se duplicará con cada retransmisión sucesiva en una conexión. Se restablece cuando se reanudan las respuestas. El valor base de tiempo de espera está determinado de forma dinámica por el tiempo de recorrido completo medido en la conexión. VulnerabilidadUn usuario malintencionado podría agotar los recursos de un equipo vulnerable si nunca envió mensajes de reconocimiento para datos transmitidos por el equipo vulnerable. ContramedidaConfigure la entrada MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5 is default) en un valor de 3. Los valores posibles para esta entrada del Registro son:
En la interfaz del usuario del SCE, este parámetro se puede ajustar utilizando una caja de la entrada de texto:
Impacto potencialTCP inicia un temporizador de retransmisión cuando cada segmento saliente se pasa a IP. Si no se ha recibido ningún acuse de recibo de los datos en un segmento concreto antes de que caduque el temporizador, el segmento se volverá a transmitir hasta tres veces. Entradas del registro variasSe recomiendan también las entradas del registro en la tabla siguiente. La información adicional de cada entrada, incluida la ubicación de cada parámetro de clave de Registro, se proporciona en las subsecciones que se muestran después de la tabla. Tabla 10.2 Entradas que no son de TCP/IP agregadas al registro en Windows Server 2003
Disable Automatic Logon: Disable Automatic LogonEsta entrada aparece como MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) en el SCE. Esta entrada determina si está habilitada la característica de inicio de sesión automático. (Esta entrada es independiente de la característica de pantalla de bienvenida en Windows XP; si deshabilita esa característica, esta entrada no se ve afectada). De forma predeterminada, la entrada no está habilitada. El inicio de sesión automático utiliza el dominio, el nombre de usuario y la contraseña que se almacenan en el registro para iniciar la sesión de los usuarios en al equipo cuando éste se inicia. No se muestra el cuadro de diálogo de inicio de sesión. Para obtener información adicional, consulte el artículo de Microsoft Knowledge Base "How to turn on automatic logon in Windows XP" en http://support.microsoft.com/default.aspx?kbid=315231. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ VulnerabilidadSi configura un equipo para inicio de sesión automático, cualquiera que pueda obtener acceso físicamente al equipo puede obtener acceso también a todo lo que está en el equipo, incluidas las redes a las que está conectado el equipo. Además, si habilita el inicio de sesión automático, la contraseña se almacena en el registro en texto sin formato. La clave de Registro específica que almacena este parámetro puede leerla de forma remota el grupo de Usuarios autenticados. Por lo tanto, esta entrada sólo es apropiada si el equipo está protegido físicamente y si se asegura de que los usuarios que no son de confianza no puedan consultar de forma remota el Registro. ContramedidaSólo configure la entrada MSS: (AutoAdminLogon) Enable Automatic Logon (not recommended) en equipos sumamente seguros, donde debe configurarse en un valor de Deshabilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialNinguno. De forma predeterminada, esta entrada no se habilita. Configurar el Reinicio automático tras bloqueos del sistemaEsta entrada aparece como MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) en el SCE. Determina si el equipo se reinicia automáticamente después de un error. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\ VulnerabilidadExiste la inquietud de que un equipo podría quedarse atascado en un bucle interminable de errores y reinicios. Sin embargo, la alternativa a esta entrada tampoco es muy atractiva: el equipo simplemente dejará de funcionar. ContramedidaConfigure la entrada MSS: (AutoReboot) Allow Windows to automatically restart after a system crash (recommended except for highly secure environments) en un valor de Deshabilitado. Los valores posibles para esta entrada del Registro son:
Para obtener más información, consulte el artículo de Microsoft Knowledge Base "How To Configure System Failure and Recovery Options in Windows" en http://support.microsoft.com/?kbid=307973. En la interfaz del usuario del SCE, están disponibles las siguientes opciones:
Impacto potencialEl equipo ya no se reiniciará automáticamente después de un error. Habilitar Recursos compartidos administrativosEsta entrada aparece como MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments) en el SCE. De forma predeterminada, Windows XP Professional crea automáticamente recursos compartidos administrativos como C$ e IPC$. Para obtener información adicional, consulte el artículo de Microsoft Knowledge Base "How to create and delete hidden or administrative shares on client computers" en http://support.microsoft.com/default.aspx?kbid=314984. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ VulnerabilidadDebido a que estos recursos compartidos administrativos integrados son muy conocidos y están presentes en la mayoría de los equipos con Windows, los usuarios malintencionados a menudo se concentran en ellos para sus ataques de fuerza bruta que intentan adivinar las contraseñas así como otros tipos de ataques. ContramedidaSólo configure MSS: (AutoShareWks) Enable Administrative Shares (not recommended except for highly secure environments) en equipos sumamente seguros, donde debe configurarse en un valor de Habilitado. Los valores posibles para esta entrada del Registro son: ● 1 o 0. La configuración predeterminada es 1 (habilitado). En la IU del SCE, estas opciones aparecen como: ● Habilitado ● Deshabilitado ● No definido Impacto potencialSi borra estos recursos compartidos podría causar problemas a los administradores y programas o a los servicios que dependen de estos recursos compartidos. Por ejemplo, tanto Microsoft Systems Management Server (SMS) como Microsoft Operations Manager 2000 requieren los recursos compartidos administrativos para la instalación y operación correctas. Además, muchas aplicaciones de copia de seguridad de red de terceros necesitan los recursos compartidos administrativos. Deshabilitar el guardado de contraseñas de marcadoEsta entrada aparece como MSS: (DisableSavePassword) Prevent the dial-up passsword from being saved (recommended) en el SCE. Determina si las contraseñas asociadas con entradas de la libreta de teléfonos de Conexiones de red se guardan. Si el usuario tiene muchas entradas de la libreta de teléfonos, las contraseñas guardadas acumuladas pueden causar una ligera demora después de que las credenciales de usuario se introducen en el cuadro de diálogo Conectarse a. Puede agregar este valor del Registro a la plantilla en la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\ VulnerabilidadUn atacante que roba el equipo portátil de un usuario podría conectarse automáticamente a la red de la empresa si la casilla de verificación Guardar esta contraseña está activada para la entrada de marcado. ContramedidaConfigure la entrada MSS: (DisableSavePassword) Prevent the dial-up password from being saved (recommended) en un valor de Deshabilitado. Los valores posibles para esta entrada del Registro son:
Para obtener más información, consulte el artículo de Microsoft Knowledge Base "Disabling Save Password Option in Dial-Up Networking" en http://support.microsoft.com/default.aspx?kbid=172430. En la interfaz del usuario del SCE, están disponibles las siguientes opciones:
Impacto potencialLos usuarios no podrán almacenar automáticamente sus credenciales de inicio de sesión para el marcado y las conexiones VPN. Hide the Computer from Network Neighborhood Browse Lists: Hide Computer From the Browse ListEsta entrada aparece como MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) en el SCE. Puede configurar un equipo para que no envíe anuncios a exploradores en el dominio. Si lo hace, ocultará el equipo de la lista de exploración; no se anuncia a otros equipos en la misma red. Para obtener más información, consulte el artículo de Microsoft Knowledge Base "HOW TO: Hide a Windows 2000–Based Computer from the Browser List" en http://support.microsoft.com/default.aspx?kbid=321710. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\ VulnerabilidadUn atacante que sabe el nombre de un equipo puede reunir más fácilmente información adicional acerca del mismo. Si habilita esta entrada, elimina un método que un atacante puede utilizar para reunir información acerca de equipos en la red. Además, si habilita esta entrada, puede ayudar a reducir el tráfico de la red. Sin embargo, la vulnerabilidad es menor porque los atacantes pueden utilizar métodos alternativos para identificar y localizar posibles objetivos. ContramedidaSólo configure MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments) en equipos sumamente seguros, donde debe configurarse en un valor de Habilitado. Los valores posibles para esta entrada del Registro son: ● 1 o 0. La configuración predeterminada es 0 (deshabilitado). En la IU del SCE, estas opciones aparecen como: ● Habilitado ● Deshabilitado ● No definido Impacto potencialEl equipo ya no aparecerá en la lista de exploración ni en Mis sitios de red en otros equipos en la misma red. Enable IPSec to protect Kerberos RSVP Traffic: Enable NoDefaultExempt for IPSec FilteringEsta entrada aparece como MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPsec Filtering (recommended) en el SCE. Las exenciones predeterminadas a filtros de directiva IPsec se documentan en la ayuda en línea de Microsoft Windows Server 2003 y Microsoft Windows XP. Estos filtros hacen posible que funcionen Internet Key Exchange (IKE) y el protocolo de autenticación Kerberos. Los filtros también hacen posible que Quality of Service (QoS) de la red se señalice (RSVP) cuando el tráfico de datos está protegido por IPsec, y para el tráfico que tal vez no esté protegido por IPsec, como el tráfico de multidifusión y difusión. Para obtener más información, consulte el artículo de TechNet "Specifying Default Exemptions to IPsec Filtering" en http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/c9a7d986-5b9a-4e01-bb80-82d5e3a87d5c.mspx. Además, puede consultar el artículo de Microsoft Knowledge Base "IPsec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios" en http://support.microsoft.com/default.aspx?kbid=811832. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\ VulnerabilidadPuesto que IPsec se utiliza cada vez más para el filtrado de paquetes básico de anfitrión a servidor de seguridad, especialmente en situaciones de exposición a Internet, el efecto de estas suposiciones predeterminadas no se ha comprendido completamente. Algunos administradores de IPsec pueden crear directivas IPsec que consideran seguras, pero que en realidad no lo son, contra ataques entrantes que utilizan las suposiciones predeterminadas. Los atacantes podrían falsificar tráfico de red que parecería contener paquetes legítimos de IKE, RSVP o Kerberos, pero que los dirige a otros servicios de red en el anfitrión. ContramedidaNo configure la entrada MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPsec Filtering (recommended), salvo en equipos que utilizan filtros IPsec, en cuyo caso esta entrada debe configurarse en un valor de Habilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialDespués de que habilita esta entrada, es posible que tenga que cambiar las directivas de seguridad que ya existen, para un funcionamiento correcto. Para ver más detalles, refiérase al artículo de Microsoft Knowledge Base "IPsec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios" en http://support.microsoft.com/default.aspx?kbid=811832, que ya se mencionó en esta sección. Disable Autorun: Disable Autorun for all drivesEsta entrada aparece como MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) en el SCE. La ejecución automática inicia la lectura de una unidad del equipo en cuanto se insertan medios en la misma. Como resultado, el archivo de configuración de programas y el sonido en medios de audio se inicia inmediatamente. Para deshabilitar la ejecución automática en todas las unidades, puede agregar este valor del Registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Alternativamente, para deshabilitar la ejecución automática únicamente en las unidades de CD/DVD, puede agregar este valor del Registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\ VulnerabilidadPara evitar que se ejecute un programa malicioso al insertar un medio, la directiva de grupo deshabilita la ejecución automática en todas las unidades. Un atacante que consiga acceso físico al equipo podría insertar un DVD o CD habilitado para ejecución automática en el equipo, con lo que ejecutaría código malicioso automáticamente. ContramedidaConfigure la entrada MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended) en un valor de 255, disable Autorun for all drives. Los valores posibles para esta entrada del Registro son:
Para obtener más información, consulte el artículo de Microsoft Knowledge Base "The AutoRun feature or the AutoPlay feature does not work when you insert a CD-ROM in the drive" en http://support.microsoft.com/default.aspx?kbid=330135. En la interfaz del usuario del SCE, están disponibles las siguientes opciones:
Impacto potencialLa ejecución automática ya no funcionará al insertar discos habilitados para ejecución automática en el equipo. Además, las utilidades de grabación de CD podrían no funcionar como se espera, porque es posible que no reconozcan los CD en blanco. Las aplicaciones de medios como Reproductor de Windows Media no reconocerán los CD ni DVD nuevos que se inserten, lo que obligará a los usuarios a iniciarlos manualmente. Configure NetBIOS Name Release Security: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS serversEsta entrada aparece como MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) en el SCE. NetBIOS sobre TCP/IP (NetBT) es un protocolo de red que, entre otras cosas, ofrece un medio que permite resolver los nombres NetBIOS registrados en los equipos con Windows con respecto a las direcciones IP que se han configurado en los mismos. Este valor determina si el equipo libera su nombre NetBIOS al recibir una solicitud de liberación de nombre. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\ VulnerabilidadEl protocolo NetBT se ha diseñado para no utilizar ningún método de autenticación y, por lo tanto, es vulnerable a la imitación. La imitación consiste en hacer creer que la transmisión procede de un usuario distinto al que ha realizado la acción. Un usuario malicioso puede explotar la naturaleza sin autenticación del protocolo para enviar un datagrama nombre-conflicto a un equipo de destino y provocar que dicho equipo abandone su nombre y deje de responder a las solicitudes. Como resultado, un ataque de estas características podría causar problemas de conectividad intermitente en el equipo de destino o impedir el uso del Entorno de red, el inicio de sesión en el dominio, el comando NET SEND o la resolución de otros nombres NetBIOS. Para obtener más información, consulte el artículo de Microsoft Knowledge Base "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts en http://support.microsoft.com/default.aspx?kbid=269239. ContramedidaConfigure la entrada MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers (Only recommended for servers) en un valor de Habilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
También puede deshabilitar el uso de WINS en el entorno y asegurarse de que todas las aplicaciones dependan de DNS para los servicios de resolución de nombres. Aunque este enfoque representa una estrategia a largo plazo recomendada, intentar aplicarla como solución a corto plazo suele resultar poco práctico para la mayoría de organizaciones. Las organizaciones que ejecutan WINS suelen tener dependencias de aplicación que no pueden resolverse rápidamente sin actualizaciones e instalaciones distribuidas de software, lo que requiere un planeamiento metódico y compromisos de tiempo significativos. Si no puede implementar esta contramedida y desea garantizar la resolución de nombres de NetBIOS, realice el paso adicional de "precarga" de nombres NetBIOS en el archivo LMHOSTS de ciertos equipos. Para obtener más información acerca de cómo cargar de antemano el archivo LMHOSTS, consulte el artículo de Microsoft Knowledge Base "MS00-047: NetBIOS Vulnerability May Cause Duplicate Name on the Network Conflicts" que ya se mencionó en esta sección. Nota: el mantenimiento de archivos LMHOSTS en la mayoría de los entornos requiere de una cantidad considerable de recursos. Microsoft recomienda el uso de WINS en lugar de LMHOSTS. Impacto potencialUn atacante podría enviar una solicitud a través de la red que pida a un equipo que libere su nombre NetBIOS. Como sucede con cualquier cambio que pueda afectar a las aplicaciones, Microsoft recomienda someter a prueba este cambio en un entorno que no sea el de producción antes de aplicarlo al entorno de producción. Disable Auto Generation of 8.3 File Names: Enable the computer to stop generating 8.3 style filenamesEsta entrada aparece como MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) en el SCE. Windows Server 2003 admite formatos de nombre de archivo 8.3 para la compatibilidad con aplicaciones de 16 bits anteriores. (La convención de nombres de archivo 8.3 es un formato de nombre que permite nombres de archivo con una longitud máxima de ocho caracteres). Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\ VulnerabilidadSi permite los nombres de archivo con estilo 8.3, un atacante sólo necesita ocho caracteres para hacer referencia a un archivo que puede tener 20 caracteres de longitud. Por ejemplo, se puede hacer referencia a un archivo denominado EsteEsUnNombreDeArchivoLargo.doc con su nombre de archivo 8.3 EsteEs~1.doc. Si no utiliza aplicaciones de 16 bits, puede desactivar esta función. Además, el rendimiento de la enumeración de directorios mejora si deshabilita la generación de nombres cortos en una partición con el sistema de archivos NTFS. Los atacantes pueden utilizar nombres de archivo cortos para tener acceso a los archivos de datos y aplicaciones con nombres de archivo largos que normalmente resultarían difíciles de localizar. Un atacante que haya conseguido acceso al sistema de archivos puede tener acceso a los datos o ejecutar aplicaciones. ContramedidaConfigure la entrada MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames (recommended) en un valor de Habilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialLas aplicaciones de 16 bits de la organización no podrán tener acceso a archivos que no estén en el formato 8.3. Algunas aplicaciones de 32 bits dependen también de la presencia de nombres cortos, porque los nombres cortos no suelen incluir espacios incrustados y por tanto no requieren comillas cuando se usan en líneas de comando. Las rutinas de instalación de algunos programas pueden fallar; los que están diseñados para ejecutarse en varias arquitecturas de CPU son probablemente aplicaciones de 16 bits. La instalación de Exchange 2000 SP2 fallará si esta entrada se habilita. La instalación de service packs para SQL 2000 fallarán si esta entrada se habilita y la ruta de la variable del sistema %temp% incluye un espacio; una solución provisional sencilla para este problema es redefinir la variable a una ruta sin espacios (por ejemplo, C:\temp). Nota: si aplica esta entrada a un servidor existente que ya tenga archivos con nombres de archivo 8.3 generados automáticamente, éstos no se eliminarán. Para quitar nombres de archivo 8.3 existentes, debe copiar los archivos en el servidor, eliminarlos de su ubicación original y copiarlos de nuevo en sus ubicaciones originales. Enable Safe DLL Search Order: Enable Safe DLL search mode (recommended)Esta entrada aparece como MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) en el SCE. La orden de búsqueda de la biblioteca de vínculos dinámicos (DLL) se puede configurar para que busque los archivos DLL solicitados de una de estas dos formas: Si SafeDllSearchMode se configura en 1, el orden de la búsqueda es:
Si SafeDllSearchMode se configura en 0, el orden de la búsqueda es:
Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\ VulnerabilidadSi un usuario ejecuta sin saberlo código hostil que se ha empaquetado con archivos adicionales que incluyen versiones modificadas de archivos DLL del sistema, el código hostil puede cargar sus propias versiones y aumentar potencialmente el tipo y grado de daño que puede producir dicho código. ContramedidaConfigure la entrada MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended) en un valor de Habilitado. Los valores posibles para esta entrada del Registro son:
En la IU del SCE, estas opciones aparecen como:
Impacto potencialSe forzará a las aplicaciones a buscar archivos DLL en la ruta de acceso del sistema en primer lugar. Para aplicaciones que requieran versiones únicas de estos archivos DLL incluidos con la aplicación, esta entrada podría provocar problemas de rendimiento o estabilidad. Make Screensaver Password Protection Immediate: The time in seconds before the screen saver grace period expires (0 recommended)Esta entrada aparece como MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) en el SCE. Windows incluye un período de gracia que abarca el período desde que se inicia el protector de pantalla hasta que se bloquea la consola de forma automática si se habilita el bloqueo del protector de pantalla. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\ VulnerabilidadEl período de gracia predeterminado permitido para el movimiento del usuario antes de que surta efecto el bloqueo del protector de pantalla es de cinco segundos. Si deja la configuración predeterminada del período de gracia, su equipo queda vulnerable a un posible ataque de alguien que podría dirigirse a la consola e intentar iniciar sesión en el equipo antes de que el bloqueo surta efecto. Se puede realizar una entrada en el registro para ajustar la duración del período de gracia. ContramedidaConfigure la entrada MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended) en un valor de 0. Los valores posibles para esta entrada del Registro son:
En la interfaz del usuario del SCE, el valor para esta entrada aparece como una caja de entrada de texto:
Impacto potencialLos usuarios tendrán que escribir sus contraseñas para reanudar las sesiones de consola en cuanto se active el protector de pantalla. Security Log Near Capacity Warning: Percentage threshold for the security event log at which the system will generate a warningEsta entrada aparece como MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning en el SCE. Windows Server 2003 y Service Pack 3 para Windows 2000 incluyen una característica nueva para generar una auditoría de seguridad en el registro de eventos de seguridad cuando alcanza un umbral definido por el usuario. Por ejemplo, si este valor se establece en 90, una entrada de evento con Id. de evento 523 se introducirá en el registro cuando el registro de seguridad alcance el 90 por ciento de su capacidad. Esta entrada contiene el texto siguiente: "The security event log is 90 percent full". Nota: este parámetro no tendrá ningún efecto si el registro de eventos de seguridad está configurado para sobrescribir eventos según sea necesario. Puede agregar este valor de registro al archivo de plantilla en la subclave HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\ VulnerabilidadSi el registro de seguridad alcanza el 90 por ciento de su capacidad y no se ha configurado el equipo para sobrescribir eventos como sea necesario, los eventos más recientes no se escribirán en el registro. Si dicho registro se llena y el equipo se ha configurado para apagarse cuando ya no pueda registrar eventos en el registro de seguridad, el equipo se apagará y ya no podrá proporcionar servicios de red. ContramedidaConfigure la entrada MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning en un valor de 90. Los valores posibles para esta entrada del Registro son:
En la interfaz del usuario del SCE, están disponibles las siguientes opciones:
Impacto potencialEste valor de configuración generará un evento de auditoría cuando el registro de seguridad alcance el límite del 90 por ciento de capacidad de almacenamiento, a menos que se configure el registro para sobrescribir eventos según sea necesario. Entradas del Registro disponibles en Windows XP con SP2 y Windows Server 2003 con SP1Las entradas del Registro que se describen en este capítulo se refieren a Microsoft Windows XP con SP1 y Windows Server 2003. El lanzamiento de Windows XP SP2 y Windows Server 2003 SP1 introdujo entradas del Registro adicionales relacionadas con la seguridad que puede configurar para cubrir requisitos de seguridad específicos de su entorno. Las entradas del Registro siguientes están disponibles en Windows XP con SP2 y Windows Server 2003 con SP1. RestrictRemoteClientsCuando una interfaz se registra a través de RpcServerRegisterIf, RPC permite que la aplicación de servidor restrinja el acceso a la interfaz, normalmente a través de una devolución de llamada de seguridad. La clave de Registro RestrictRemoteClients obliga a RPC a realizar controles de seguridad adicionales para todas las interfaces, incluso si la interfaz no tiene registrada una devolución de llamada de seguridad. Los clientes RPC que utilizan la secuencia de protocolo de canalización con nombre (ncacn_np) están exentos de estas restricciones. La secuencia de protocolo de canalización con nombre no puede restringirse a causa de diversos problemas mayores de compatibilidad con productos anteriores. La clave de Registro RestrictRemoteClients puede tener uno de tres valores DWORD:
Los programadores pueden modificar sus aplicaciones de modo que pasen indicadores al subsistema RPC con el fin de indicar si el cliente o el servidor aceptarán las solicitudes RPC anónimas. VulnerabilidadLas interfaces de RPC que permiten conexiones sin autenticar podrían utilizarse para aprovechar saturaciones del búfer de forma remota y propagar código malintencionado. ContramedidaLa configuración predeterminada del valor RestrictRemoteClients en Windows Server 2003 con SP1 y Windows XP con SP2 permite compatibilidad con productos anteriores. Para agregar protección contra gusanos que pueden intentar aprovechar de forma remota las saturaciones del búfer en servicios RPC, configure RestrictRemoteClients en 1 o 2. Impacto potencialSi habilita la clave de Registro RestrictRemoteClients, no se podrá tener acceso anónimo a la interfaz de asignador de puntos finales de RPC. Esta restricción es una mejora importante de la seguridad, pero cambia la forma en que se resuelven los puntos finales. Actualmente, un cliente RPC que intenta hacer una llamada utilizando un punto final dinámico consulta primero el asignador de puntos finales de RPC en el servidor para determinar a qué punto final se debe conectar. Esta consulta se realiza anónimamente, incluso si la llamada de cliente RPC utiliza seguridad RPC. Las llamadas anónimas a la interfaz del asignador de puntos finales de RPC provocarán un error en Windows Server 2003 con SP1 si la clave RestrictRemoteClients se establece en 1 o más. Por tanto, el tiempo de ejecución del cliente RPC debe modificarse para realizar una consulta autenticada al Asignador de extremos. Si se establece la clave EnableAuthEpResolution, el tiempo de ejecución de cliente RPC utilizará NTLM para autenticar en el asignador de puntos finales. Esta consulta autenticada sólo se dará si la llamada real del cliente RPC utiliza la autenticación RPC. Algunas aplicaciones y servicios no funcionan apropiadamente cuando esta clave se habilita. Por lo tanto, deberá probarla exhaustivamente antes de implementarla en su entorno. Si piensa habilitar esta clave, debe utilizar también la clave EnableAuthEpResolution para habilitar la autenticación del asignador de puntos finales de RPC. EnableAuthEpResolutionLas llamadas anónimas a la interfaz del asignador de puntos finales de RPC provocarán un error de forma predeterminada en Windows XP con SP2 a causa del valor predeterminado de la nueva clave RestrictRemoteClients. Por tanto, el tiempo de ejecución del cliente RPC debe modificarse para realizar una consulta autenticada al Asignador de extremos. Para hacerlo, configure la clave EnableAuthEpResolution en 1. Cuando esta configuración está habilitada, el tiempo de ejecución de cliente RPC utilizará NTLM para autenticar en la interfaz del asignador de puntos finales. Esta consulta autenticada sólo se dará si la llamada real del cliente RPC utiliza la autenticación RPC. VulnerabilidadLas interfaces de RPC que permiten conexiones sin autenticar podrían utilizarse para aprovechar saturaciones del búfer de forma remota y propagar código malintencionado. ContramedidaPara agregar protección contra gusanos que pueden intentar aprovechar de forma remota las saturaciones del búfer en servicios RPC, configure RestrictRemoteClients como se describe en la sección anterior y utilice EnableAuthEpResolution para habilitar la autenticación NTLM para solicitudes RPC de equipos. Impacto potencialLos clientes que no tienen habilitada la clave EnableAuthEpResolution no podrán hacer solicitudes del servicio RPC de servidores que han habilitado RestrictRemoteClients. Esta restricción puede causar que los servicios basados en RPC dejen de funcionar. RunInvalidSignaturesDe forma predeterminada, Windows Server 2003 con SP1 y Windows XP con SP2 evitan la instalación de objetos de código firmado con firmas no válidas. Estas firmas pueden no ser válidas porque el código se ha modificado, porque el certificado de firma ha caducado o porque el certificado de firma aparece en una lista de revocación de certificados (CRL). Internet Explorer 6.0 ya bloquea la instalación de código firmado con firmas no válidas, pero el service pack extiende este comportamiento a todas las aplicaciones. VulnerabilidadUn control firmado de Microsoft ActiveX® que se ha manipulado puede descargarse y ejecutarse en una aplicación, lo que pone en peligro el equipo en que se ejecuta. ContramedidaEl valor predeterminado de RunInvalidSignatures bloquea esta vulnerabilidad. Impacto potencialLas aplicaciones que dependen de controles firmados legítimos no funcionarán si las firmas de dichos controles no son válidas por alguna razón. Si tiene una aplicación cuya firma parece no válida, puede cambiar la configuración de esta clave para permitir que el control se descargue y ejecute. Sin embargo, al hacerlo crea una vulnerabilidad de la seguridad. La mejor solución es ponerse en contacto con los programadores del control que se utiliza en la aplicación para obtener una versión con una firma válida. Entradas del Registro disponibles en Windows XP con SP2Las entradas del Registro siguientes sólo están disponibles en Windows XP con SP2. Entradas del Registro de Security Center para XPHay tres valores del Registro de Security Center que determinan si el usuario recibe avisos para una característica dada. Si una clave tiene un valor de 0 o no existe, el icono de notificación y el sistema de aviso para esa característica están habilitados. Si existe un valor y no es 0, el icono de notificación y el sistema de aviso de la característica están deshabilitados. Estos tres valores se encuentran en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
VulnerabilidadLos usuarios que deshabilitan las características de avisos de Security Center pueden no recibir las advertencias apropiadas si el antivirus, el servidor de seguridad o los servicios de actualizaciones automáticas instalados en sus equipos no funcionan apropiadamente por alguna razón. ContramedidaAplique una entrada del registro de directiva de grupo para implantar la configuración apropiada de advertencia para su entorno. Impacto potencialEstos valores del Registro son visibles en la interfaz de usuario de Security Center si la funcionalidad de Security Center está habilitada. Los usuarios con acceso local de administrador podrán cambiar los valores de Security Center. StorageDevicePolicies\WriteProtectDe forma predeterminada, los usuarios pueden montar dispositivos de almacenamiento USB de bloques en sus equipos con Windows XP, y leer y escribir en ellos sin limitaciones. En SP2, Microsoft agregó la función de restricción de la capacidad de los usuarios para escribir a dispositivos de almacenamiento USB de bloques por parte de los administradores. Para restringir la capacidad de los usuarios de escribir en estos dispositivos, puede agregar el valor DWORD WriteProtect a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies y configurarlo en 1. Cuando este valor está configurado, el controlador de Windows para dispositivos de almacenamiento USB de bloques rechazará las solicitudes de escritura a dispositivos de almacenamiento USB de bloques montados. VulnerabilidadUn atacante podría copiar datos a un dispositivo USB extraíble y robarlos. ContramedidaCuando el valor WriteProtect se establece en 1, Windows XP con SP2 bloquea la escritura a dispositivos de almacenamiento USB de bloques. Impacto potencialEsta clave del registro proporciona una mitigación parcial de una amenaza grave. Sin embargo, hay muchas otras maneras en que un atacante hábil puede robar datos con un dispositivo USB. Por ejemplo, un dispositivo USB puede programarse para aparecer como un dispositivo de almacenamiento que no es de bloques (como una impresora o unidad de CD-ROM), lo que eludirá este control. Las organizaciones que desean evitar el robo de datos confidenciales por parte de usuarios o atacantes pueden utilizar esta entrada como parte de una estrategia más amplia de seguridad, en combinación con controles de acceso físico y otras medidas para restringir el acceso a los dispositivos USB con permisos de escritura. Entradas del Registro disponibles en Windows Server 2003 con SP1Las entradas del Registro siguientes sólo están disponibles en Windows Server 2003 with SP1. UseBasicAuthDistributed Authoring and Versioning (DAV) es un protocolo basado en HTTP que permite el acceso remoto a sistemas de archivos y servidores de archivos. Los usuarios pueden utilizar rutas de acceso UNC para tener acceso a los recursos en servidores DAV. Sin embargo, el redirector WebDAV en Windows Server 2003 se comunica con servidores web que admiten DAV a través de HTTP; no puede utilizar sesiones HTTP protegidas con SSL. Cuando estos sitios web permiten el uso de autenticación básica, las solicitudes DAV transmitirán las credenciales de autenticación del usuario en texto sin formato. En Windows Server 2003 con SP1, el redirector WebDAV se ha modificado para que nunca envíe credenciales de usuario con la autenticación básica. Esta modificación puede afectar a los procesos de aplicaciones o negocio que dependen del redirector predeterminado DAV del equipo. (Tenga en cuenta que Microsoft Office utiliza su propio cliente DAV independiente y no se ve afectado por esta entrada). Windows Server 2003 SP1 introduce la subclave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\ VulnerabilidadUn atacante podría configurar un servidor web que utilice autenticación básica para luego engañar a los usuarios y hacer que se conecten al mismo con el fin de interceptar sus credenciales. ContramedidaDe forma predeterminada, el redirector WebDAV de Windows Server 2003 no utiliza la autenticación básica, lo que bloquea de forma eficaz esta vulnerabilidad. Impacto potencialLas aplicaciones que utilizan el redirector WebDAV integrado para tener acceso a los recursos web fallarán si el servidor web sólo admite la autenticación básica. Para resolver este problema, puede configurar el servidor web de modo que admita métodos de autenticación más seguros o puede habilitar el valor UseBasicAuth. Sin embargo, el mecanismo preferido es volver a configurar el servidor web, para no permitir la exposición de credenciales de los usuarios. DisableBasicOverClearChannelEl redirector WebDAV forma parte de la pila del sistema de archivos remoto. Cuando los usuarios intentan abrir direcciones URL en equipos remotos, sus credenciales se pueden exponer si el servidor remoto admite sólo la autenticación básica. Un atacante puede ser capaz de engañar a un usuario y dirigirlo a un sitio web que solicita credenciales (a través de DAV) y utiliza la autenticación básica. Si el usuario responde, expondría sus credenciales al anfitrión malintencionado. La entrada del Registro UseBasicAuth controla si la autenticación básica se puede utilizar para solicitudes WebDAV. Si configura el valor HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebClient\ VulnerabilidadUn atacante podría configurar un servidor web que utilice autenticación básica para luego engañar a los usuarios y hacer que se conecten al mismo con el fin de interceptar sus credenciales. ContramedidaConfigure el valor DisableBasicOverClearChannel en 1 en equipos cliente para restringir su capacidad de conectarse a servidores HTTP utilizando la autenticación básica. Impacto potencialMuchos dispositivos incrustados (como enrutadores, servidores de impresión y copiadoras) que ofrecen acceso HTTP sólo admiten la autenticación básica, al igual que algunas aplicaciones de negocio. Cuando se configura DisableBasicOverClearChannel en 1, los equipos cliente no podrán autenticar a estos dispositivos o aplicaciones. Información adicionalLos siguientes vínculos proporcionan información adicional acerca de algunas de las entradas de configuración que se tratan en este capítulo:
|
En este artículo
|
