Recursos Compartidos
¿Qué son los Recursos Compartidos?
Los recursos compartidos son recursos creados por defecto a ser compartidos en la red en todos los sistemas basados en la tecnología Windows NT (NT/2000/XP/2003/Vista/Windows 7). Estos recursos por defecto comparten cada unidad de disco en el sistema. Esto permite a que cualquiera que se pueda identificar como miembro del grupo de Administradores locales, accedan al directorio raíz de cada unidad de disco en el sistema. Esto no es usado o útil fuera de un ambiente empresarial.
Estos recursos están ocultos, pero disponibles con un control total para el dominio de administradores. Para intentar tener una red segura, se debe considerar manejar este potenciala problema de seguridad deshabilitando estos recursos compartidos o al menos restringiendo los permisos a usuarios o servicios específicos.
Entonces tenemos que para acceder a un recurso compartido debemos referenciar la máquina y el nombre del recurso:
\\Nombre de la Computadora en la Red\ (Letra de la Unidad)$
Por ejemplo:
\\MiComputadora\c$
Esto representa el recurso compartido para la unidad C en la computadora llamada “MiComputadora”.
The default-hidden shares are:
El siguiente cambio en la configuracion del registro (usando regedit) puede ocultar por completo los recursos administrativo. Si las claves no estan presentes, deberán ser creadas.
Un truco común es crear un archivo batch con los comandos para deshabilitar todos los recursos administrativos (ejecutando el comando “NET SHARE”), y programando el script para ejecutarse en cada inicio del sistema, a través del Administrador de Tareas de Windows.
Generalmetne, los siguientes comandos, son los ultilizados en el archivo batch. Y este puede deshabilitar exitosamente los recursos administrativos en Windows XP o Windows Vista:
Para habilitar los recursos administrativos debemos hacer un cambio en el registro. Vamos a Inicio y en cuadro de busqueda escribimos ‘regedit’, entonces presionamos ENTER. Agregamos el siguiente item al registro:
Aproximaciones alternativas para prevenir la navegación remota del contenido de los discos, incluye:
Nota de Seguridad: Desafortunadamente este truco del registro no detiene compartir IPC$ y es un recurso utilizado a menudo por los hackers para listar los sistemas antes del ataque, obteniendo así una buena cantidad de información acerca de los nombres del sistema, nombres de usuario, etc. Si los permisos ACL no son correctos o no ha deshabilitado el acceso de usuarios anónimos o no ha deshabilitado la cuenta invitado esto puede comprometer su sistema en cuestión de minutos!
Estos recursos están ocultos, pero disponibles con un control total para el dominio de administradores. Para intentar tener una red segura, se debe considerar manejar este potenciala problema de seguridad deshabilitando estos recursos compartidos o al menos restringiendo los permisos a usuarios o servicios específicos.
Nombres Compartidos
Los recursos compartidos es el término definido por Microsoft para la colección de recursos del sistema de archivo que son automáticamente compartidos. Estos incluyen:- cualquiera letra de unidad + $ (solo para unidades de disco local, no incluye dispositivos extraíbles como CD/DVD, memorias USB)
- admin$ (el cual da acceso a %SYSTEMROOT%, que es generalmente C:\WINDOWS o C:\WINNT)
Entonces tenemos que para acceder a un recurso compartido debemos referenciar la máquina y el nombre del recurso:
\\Nombre de la Computadora en la Red\ (Letra de la Unidad)$
Por ejemplo:
\\MiComputadora\c$
Esto representa el recurso compartido para la unidad C en la computadora llamada “MiComputadora”.
The default-hidden shares are:
- C$ D$ E$ – Root of each partition. For a Windows NT workstation/W2K/2003/XP Professional computer only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows NT Server/W2K Server computer, members of the Server Operators group can also connect to these shared folders.
- ADMIN$ – %SYSTEMROOT% This share is used by the system during any remote administration of a computer. The path of this resource is always the path to the W2K/NT system root (the directory in which W2K/NT is installed usually C:\Winnt and in XP it’s C:\Windows).
- FAX$ – On W2K Server, this used by fax clients in the process of sending a fax. The shared folder temporarily caches files and accesses cover pages stored on the server.
- IPC$ – Temporary connections between servers using named pipes essential for communication between programs. It is used during remote administration of a computer and when viewing a computer’s shared resources. This share can be very dangerous and can be used to extract large amounts of information about your network, even by an anonymous account.
- NetLogon – This share is used by the Net Logon service of a W2K, 2003 and NT Server computer while processing domain logon requests, and by Pre-W2K computers when running logon scripts.
- PRINT$ – %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS Used during remote administration of printers.
¿Cómo ocultarlo
Los recursos administrativos pueden ser eliminados por los miembros Administradores pero los recursos administrativo se recrearán automaticamente en el proximo reinicio.El siguiente cambio en la configuracion del registro (usando regedit) puede ocultar por completo los recursos administrativo. Si las claves no estan presentes, deberán ser creadas.
Servivores
Windows NT 4.0 Server, Windows 2000 Server, Windows Server 2003Hive: HKEY_LOCAL_MACHINE Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters Name: AutoShareServer Data Type: REG_DWORD Value: 0
Clientes
Windows NT 4.0 Workstation, Windows 2000 Professional, Windows XPHive: HKEY_LOCAL_MACHINE Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters Name: AutoShareWks Data Type: REG_DWORD Value: 0
¿Cómo deshabilitar?
Microsoft no detalla ningun metodo para deshabilitar los recursos administrativos. El comando:NET SHARE C$ /deletepuede ser ejecutado para deshabilitar el directorio raíz de una computadora en red. El problema es que al reiniciar, el recurso se volverá a crear automáticamente.
Un truco común es crear un archivo batch con los comandos para deshabilitar todos los recursos administrativos (ejecutando el comando “NET SHARE”), y programando el script para ejecutarse en cada inicio del sistema, a través del Administrador de Tareas de Windows.
Generalmetne, los siguientes comandos, son los ultilizados en el archivo batch. Y este puede deshabilitar exitosamente los recursos administrativos en Windows XP o Windows Vista:
NET SHARE C$ /delete
NET SHARE D$ /delete
NET SHARE admin$ /delete
¿Cómo habilitarlo en Windows Vista y Windows Seven?
Por defecto, Windows Vista y nuevas versiones de Windows previenen que cuentas locales accedan a los recursos administrativos a través de la red.Para habilitar los recursos administrativos debemos hacer un cambio en el registro. Vamos a Inicio y en cuadro de busqueda escribimos ‘regedit’, entonces presionamos ENTER. Agregamos el siguiente item al registro:
Hive: HKEY_LOCAL_MACHINE Key: Software\Microsoft\Windows\CurrentVersion\Policies\System Name: LocalAccountTokenFilterPolicy Data Type: REG_DWORD Value: 1Después de reiniciar, los recursos ocultos serán accesibles desde otras computadoras.
Seguridad y Prevención
Prevenir el acceso
Deshabilitar los recursos administrativos puede mitigar muchos riesgos de seguridad conocidos. Por ejemplo, virus como el Confiker que realizan ataques de diccionario a los recursos administrativos.Aproximaciones alternativas para prevenir la navegación remota del contenido de los discos, incluye:
- Remover a los “Administradores” en la solapa Seguridad de la unidad en cuestión. Esto evitará que cualquier admin externo local acceda a la unidad aunque aún permitamos el acceso local de admin.
- Deshabilitar el Compartir Archivos e Impresoras (o desligar el protocolo NetBT)
- Detener o deshabilitar el servicio de Workstation
- Establecer reglas de bloqueo IPSec que prevengan la entrada de conexiones por los puertos 445/tcp y 445/udp
- Remover la membresia en el grupo de Administradores para aquellos usuarios/grupos que deseemos bloquear.
- Encriptar los archivos que deben permanecer confidenciales usando una tecnologia basada en encriptacion (tal como EFS o RMS) que requiera el acceso a claves por descripcion del usuario para obtener acceso a los contenidos en texto plano de dichos archivos.
Nota de Seguridad: Desafortunadamente este truco del registro no detiene compartir IPC$ y es un recurso utilizado a menudo por los hackers para listar los sistemas antes del ataque, obteniendo así una buena cantidad de información acerca de los nombres del sistema, nombres de usuario, etc. Si los permisos ACL no son correctos o no ha deshabilitado el acceso de usuarios anónimos o no ha deshabilitado la cuenta invitado esto puede comprometer su sistema en cuestión de minutos!
Comentarios
Publicar un comentario