Foros del Web » Administración de Sistemas » Seguridad y redes »

Asegurando Windows 2K desde el registro.

Estas en el tema de Asegurando Windows 2K desde el registro. en el foro de Seguridad y redes en Foros del Web. A parte de las consabidas recomendaciones generales de protección de un PC o red basadas en las instalación de software cortafuegos, antivirus, políticas de seguridad, ...
  #1 (permalink)  
Antiguo 13/01/2003, 12:07
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Asegurando Windows 2K desde el registro.

A parte de las consabidas recomendaciones generales de protección de un PC o red basadas en las instalación de software cortafuegos, antivirus, políticas de seguridad, sensores detección de intrusos, etc, desde Windows, en este
caso Windows 2000/NT (no lo probé en XP pero supongo que funciona igual) podemos aumentar nuestra seguridad contra ataques provenientes del exterior con sólo modificar o crear ciertas claves del registro. Estas claves nos proveerá de una seguridad añadida contra secuestros de sesión (hijacking), ataques DoS y privacidad. Algunas cosillas que comento aquí igual pueden servir para las FAQs.

Las claves deberán ser modificadas o creadas en:


\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters


Comenzamos esta serie con siete claves. Más adelante iremos viendo más así como algunos trucos para
asegurar nuestro sistema windo.


Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect
Tipo de Valor: REG_DWORD
Valor recomendado: 2 ( también 1 )
Explicación de esta clave

La protección de Synattack involucra la reducción de la cantidad de retransmisiones para el SYN-ACKS, que reducirá el tiempo en el que los recursos deben permanecer asignados. La asignación de los recursos de la entrada de memoria caché de la ruta es retardada hasta que se logra la conexión. Si synattackprotect = 2, entonces la indicación de la conexión a AFD es retardada hasta que se completa la conexión en las tres vías. También note que las acciones tomadas por el mecanismo de protección sólo ocurre si los parámetros de TcpMaxHalfOpen y TcpMaxHalfOpenRetried se exceden.

Esta clave depende de otras dos:

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen
Tipo de Valor: REG_DWORD-Number
Valor recomendado: 100 (para versión professional y server) 500 (advanced server)

Explicación de esta clave

Este parámetro controla el número de conexiones en el estado SYN-RCVD permitido antes de que la protección de SYN-ATTACK comience a operar. Si SynAttackProtect se configura en 1, asegúrese que este valor es menor al valor de AFD en la lista de trabajos pendientes en el puerto que desea proteger (vea "Parámetros de Trabajos pendientes" para mayor información). Vea el parámetro de SynAttackProtect para conocer más detalles. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetried
Tipo de Valor: REG_DWORD-Number
Valor recomendado: 80 (para versión professional y server) 400 (advanced server)
Explicación de esta clave

Este parámetro controla el número de conexiones en el estado de SYN-RCVD para el que ha habido al menos una retransmisión del SYN enviado, antes que comience a operar la protección contra ataque de SYN-ATTACK. Vea el parámetro de SynAttackProtect para conocer más detalles.

Seguimos...

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxconnectresponseretransmissions
Tipo de Valor: REG_DWORD
Valor recomendado: 2


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\tcpmaxdataretransmissions
Tipo de Valor: REG_DWORD
Valor recomendado: 3


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\enablepmtudiscovery
Tipo de Valor: REG_DWORD
Valor recomendado: 0
Explicación de esta clave

Cuando este parámetros se configura a 1 (verdadero), TCO intenta descubrir la máxima unidad de transmisión (MTU o tamaño mayor del paquete) en la ruta a un host remoto. Al descubrir el Path MTU y limitar los segmentos del TCP a este tamaño, TCP puede eliminar la fragmentació n

Seguimos con otras...

La clave siguiente establece si la computadora libera su nombre de NetBIOS cuando recibe una solicitud de
liberación de nombre de la red. Este valor lo encontraremos o crearemos en:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
\Parameters


Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
Tipo de Valor: REG_DWORD-Boolean
Valor recomendado: 1
Como dije antes, en la próxima podemos comentar otras configuraciones de registro. Ahora se me ocurre,
incluso a sido motivo de consulta en este foro, comentar como deshabilitar Netbios desde el registro o
como podemos desactivar una sesión nula "NULL SESSION" o inicio de Sesion Anonimo para evitar que muchos
programitas que andan sueltos por la red puedan enumerar recursos de nuestro sistema.

Desactivar Netbios:

Aparte del "Deshabilitar NetBios sobre TCP/IP." en nuestra conexión de red
tenemos en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbios

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios\Start
Tipo de Valor: REG_DWORD
Valor: 4
y en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Start
Tipo de Valor: REG_DWORD
Valor: 4
Antes de hacer esto hay que pensar en las repercusiones que tendrá en nuestra red interna ya que
estos valores son recomendados en los dispositivos de red perimetrales.


Evitar sesión nula.

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous
Tipo de Valor: REG_DWORD
Valor recomendado: 2
Hay otras maneras que ya iremos viendo.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 12/02/2003 a las 12:02
  #2 (permalink)  
Antiguo 13/01/2003, 12:15
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
De acuerdo

lindaaaa info muchas graciass

pero para tener en cuenta...

al desabilitar el netbios se pierde la red de windows (LAN ) .. ya que esta usa eso.. para resolver nombres y demas sobre la red..
tambien se puede desabilitar haciendo click derecho sobre nuestra placa de red en las conexiones de red... y luego haciendo click en avanzada, wins ..

salu2
__________________
Welcome to The Human Race
  #3 (permalink)  
Antiguo 13/01/2003, 12:24
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Ok. Eso lo comentop también en el post aquí:

Cita:
Antes de hacer esto hay que pensar en las repercusiones que tendrá en nuestra red interna ya que
y aquí:

Cita:
Desactivar Netbios:

Aparte del "Deshabilitar NetBios sobre TCP/IP." en nuestra conexión de red
Entonces aclaramos que:

Teniendo en cuenta una configuración de host con dos interfaces de red : una interna hacia nuestra LAN y otra externa ( para entendernos, la que va al router o modem de conexión a internet) . Dehabilitaremos Netbios la INTERFACE EXTERNA.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #4 (permalink)  
Antiguo 13/01/2003, 13:06
Avatar de Giondo  
Fecha de Ingreso: diciembre-2002
Ubicación: en algun lugar del mundo
Mensajes: 565
Antigüedad: 22 años
Puntos: 0
jjejjee
pues si tienes razon !
__________________
Welcome to The Human Race
  #5 (permalink)  
Antiguo 13/01/2003, 13:10
Avatar de tania
Colaborador
 
Fecha de Ingreso: agosto-2002
Ubicación: Milano
Mensajes: 4.426
Antigüedad: 22 años, 4 meses
Puntos: 23
Alfon super la info!!

mi granito de arena....

tambien recordemos que:

Windows 2000 ofrece la posibilidad de deshabilitar NetBIOS sobre TCP/IP (NetBT) para determinados usuarios "según sea necesario". Si prefimos utilizar unicamente DNS para realizar el registro y la resolucion de nombres en un equipo especificado que se utiliza en una función especializada o protegida de la red, puede deshabilitar los servicios NetBT para uno o todos los adaptadores de red instalados en ese equipo.

por otra parte windows 2000 utiliza NetBIOS sobre TCP/IP para comunicarse con versiones anteriores como Windows 95. Por esto debemos hacer pruebas antes de deshabilitar NetBIOS sobre TCP/IP en cualquier entorno de produccion. Los programas y servicios que dependen de NetBIOS dejarán de funcionar despues de deshabilitar los servicios NetBT, por lo que es importante que comprobemos que los usuarios y los programas ya no necesitan la compatibilidad con NetBIOS antes de deshabilitarla.

ciao
__________________
Evitemos abrir post con títulos "Ayuda..." "Urgente..." le quitan valor a nuestro motor de búsqueda y por otra parte, escribe de manera correcta , quien te lea y quiere ayudarte, no pierde tiempo al descifrar lo que escribiste.
  #6 (permalink)  
Antiguo 13/01/2003, 19:02
 
Fecha de Ingreso: septiembre-2001
Mensajes: 552
Antigüedad: 23 años, 3 meses
Puntos: 0
Hola:

Que tal Alfon, excelente el hilo que has iniciado, aunque para los curiosos... que no se conforman con agregar esas claves a sus registros y desean saber que hace cada clave y qué valor es el adecuado para su sistema les dejo el enlace: http://www.microsoft.com/technet/tre...rk/secdeny.asp

Saludos,
  #7 (permalink)  
Antiguo 14/01/2003, 01:49
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Exacto Tania, gracias por la puntalización. Evidenetemente y como dije antes esto es más bien para servidores de comunicaciones y PC independientes sin red conectados a internet.

Gracias raac, tu siempre tan atento.

Por lo que veo en el enlace que propones, establecer el parámetro Synattack a 2 me parece como un poco bestia creo que sería más adecuado ponerlo a 1. También veo que algunas claves se puede establcer mediante reglas en un router o cortafuegos.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
  #8 (permalink)  
Antiguo 14/01/2003, 10:45
Avatar de CYRUS  
Fecha de Ingreso: septiembre-2001
Ubicación: Guadalajara - Jalisco
Mensajes: 2.297
Antigüedad: 23 años, 3 meses
Puntos: 0
Como siempre Tania, Alfon & Raac, Genial la info y que buen post resulta este.

Interesantisimo.
__________________
Cyrus
  #9 (permalink)  
Antiguo 14/01/2003, 15:44
 
Fecha de Ingreso: septiembre-2001
Mensajes: 552
Antigüedad: 23 años, 3 meses
Puntos: 0
Una pequeña aclaración

Hola:

Una pequeña aclaración sobre el mensaje original del Alfon:

Cita:
La clave siguiente establece si la computadora libera su nombre de NetBIOS cuando recibe una solicitud de
liberación de nombre de la red. Este valor lo encontraremos o crearemos en:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
\Parameters

Código:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbt\Parameters\enablepmtudiscovery
Tipo de Valor: REG_DWORD-Boolean
Valor recomendado: 1
El valor DWORD que necesitan agregar y/o modificar no es enablepmtudiscovery, es NoNameReleaseOnDemand. La ruta y valor si son correctos.

Saludos,
  #10 (permalink)  
Antiguo 15/01/2003, 01:46
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 2 meses
Puntos: 14
Gracias tronko. Se me fue la clave.. en que estaría yo pensando. El error está en que para no tener que teclear doscientas veces lo mismo copié el conjunto anterior y se me olvidó reempazar. Menos mal que siempre está mi amigo raac al acecho.


Una clave más que pasé a mi amigo idoru (conde0) pero no puse aquí.

Evitar la compartición de unidades administrativas tipo C$

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters\AutoShareServer o AutoShareWks
( AutoShareServer para Servidores o AutoShareWks para estaciones )
Tipo de Valor: REG_DWORD
Valor recomendado: 0 ( desactivado)
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado

SíEste tema le ha gustado a 1 personas




La zona horaria es GMT -6. Ahora son las 20:37.