Asegurando Windows 2K desde el registro.

A parte de las consabidas recomendaciones generales de protección de un PC o red basadas en las instalación de software cortafuegos, antivirus, políticas de seguridad, sensores detección de intrusos, etc, desde Windows, en este
caso Windows 2000/NT (no lo probé en XP pero supongo que funciona igual) podemos aumentar nuestra seguridad contra ataques provenientes del exterior con sólo modificar o crear ciertas claves del registro. Estas claves nos proveerá de una seguridad añadida contra secuestros de sesión (hijacking), ataques DoS y privacidad. Algunas cosillas que comento aquí igual pueden servir para las FAQs.

Las claves deberán ser modificadas o creadas en:


\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters


Comenzamos esta serie con siete claves. Más adelante iremos viendo más así como algunos trucos para
asegurar nuestro sistema windo.


Explicación de esta clave

La protección de Synattack involucra la reducción de la cantidad de retransmisiones para el SYN-ACKS, que reducirá el tiempo en el que los recursos deben permanecer asignados. La asignación de los recursos de la entrada de memoria caché de la ruta es retardada hasta que se logra la conexión. Si synattackprotect = 2, entonces la indicación de la conexión a AFD es retardada hasta que se completa la conexión en las tres vías. También note que las acciones tomadas por el mecanismo de protección sólo ocurre si los parámetros de TcpMaxHalfOpen y TcpMaxHalfOpenRetried se exceden.

Esta clave depende de otras dos:

Explicación de esta clave

Este parámetro controla el número de conexiones en el estado de SYN-RCVD para el que ha habido al menos una retransmisión del SYN enviado, antes que comience a operar la protección contra ataque de SYN-ATTACK. Vea el parámetro de SynAttackProtect para conocer más detalles.

Seguimos...

Explicación de esta clave

Cuando este parámetros se configura a 1 (verdadero), TCO intenta descubrir la máxima unidad de transmisión (MTU o tamaño mayor del paquete) en la ruta a un host remoto. Al descubrir el Path MTU y limitar los segmentos del TCP a este tamaño, TCP puede eliminar la fragmentació n

Seguimos con otras...

La clave siguiente establece si la computadora libera su nombre de NetBIOS cuando recibe una solicitud de
liberación de nombre de la red. Este valor lo encontraremos o crearemos en:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt
\Parameters


Como dije antes, en la próxima podemos comentar otras configuraciones de registro. Ahora se me ocurre,
incluso a sido motivo de consulta en este foro, comentar como deshabilitar Netbios desde el registro o
como podemos desactivar una sesión nula "NULL SESSION" o inicio de Sesion Anonimo para evitar que muchos
programitas que andan sueltos por la red puedan enumerar recursos de nuestro sistema.

Desactivar Netbios:

Aparte del "Deshabilitar NetBios sobre TCP/IP." en nuestra conexión de red
tenemos en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbios

y en la rama:

\HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Netbt

Antes de hacer esto hay que pensar en las repercusiones que tendrá en nuestra red interna ya que
estos valores son recomendados en los dispositivos de red perimetrales.


Evitar sesión nula.

Hay otras maneras que ya iremos viendo.

lindaaaa info muchas graciass

pero para tener en cuenta...

al desabilitar el netbios se pierde la red de windows (LAN ) .. ya que esta usa eso.. para resolver nombres y demas sobre la red..
tambien se puede desabilitar haciendo click derecho sobre nuestra placa de red en las conexiones de red... y luego haciendo click en avanzada, wins ..

salu2

Ok. Eso lo comentop también en el post aquí:

y aquí:

Entonces aclaramos que:

Teniendo en cuenta una configuración de host con dos interfaces de red : una interna hacia nuestra LAN y otra externa ( para entendernos, la que va al router o modem de conexión a internet) . Dehabilitaremos Netbios la INTERFACE EXTERNA.

jjejjee
pues si tienes razon !

Alfon super la info!!

mi granito de arena....

tambien recordemos que:

Windows 2000 ofrece la posibilidad de deshabilitar NetBIOS sobre TCP/IP (NetBT) para determinados usuarios "según sea necesario". Si prefimos utilizar unicamente DNS para realizar el registro y la resolucion de nombres en un equipo especificado que se utiliza en una función especializada o protegida de la red, puede deshabilitar los servicios NetBT para uno o todos los adaptadores de red instalados en ese equipo.

por otra parte windows 2000 utiliza NetBIOS sobre TCP/IP para comunicarse con versiones anteriores como Windows 95. Por esto debemos hacer pruebas antes de deshabilitar NetBIOS sobre TCP/IP en cualquier entorno de produccion. Los programas y servicios que dependen de NetBIOS dejarán de funcionar despues de deshabilitar los servicios NetBT, por lo que es importante que comprobemos que los usuarios y los programas ya no necesitan la compatibilidad con NetBIOS antes de deshabilitarla.

ciao

Hola:

Que tal Alfon, excelente el hilo que has iniciado, aunque para los curiosos... que no se conforman con agregar esas claves a sus registros y desean saber que hace cada clave y qué valor es el adecuado para su sistema les dejo el enlace: http://www.microsoft.com/technet/tre...rk/secdeny.asp

Saludos,

Exacto Tania, gracias por la puntalización. Evidenetemente y como dije antes esto es más bien para servidores de comunicaciones y PC independientes sin red conectados a internet.

Gracias raac, tu siempre tan atento.

Por lo que veo en el enlace que propones, establecer el parámetro Synattack a 2 me parece como un poco bestia creo que sería más adecuado ponerlo a 1. También veo que algunas claves se puede establcer mediante reglas en un router o cortafuegos.

Como siempre Tania, Alfon & Raac, Genial la info y que buen post resulta este.

Interesantisimo.

Hola:

Una pequeña aclaración sobre el mensaje original del Alfon:

El valor DWORD que necesitan agregar y/o modificar no es enablepmtudiscovery, es NoNameReleaseOnDemand. La ruta y valor si son correctos.

Saludos,

Gracias tronko. Se me fue la clave.. en que estaría yo pensando. El error está en que para no tener que teclear doscientas veces lo mismo copié el conjunto anterior y se me olvidó reempazar. Menos mal que siempre está mi amigo raac al acecho.


Una clave más que pasé a mi amigo idoru (conde0) pero no puse aquí.

Evitar la compartición de unidades administrativas tipo C$

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters\AutoShareServer o AutoShareWks
( AutoShareServer para Servidores o AutoShareWks para estaciones )
Tipo de Valor: REG_DWORD
Valor recomendado: 0 ( desactivado)