1. Esta web utiliza cookies propias y de terceros, puedes ver nuestra política de privacidad y cookies. Si continúas navegando, consideramos que aceptas su uso.

    Cerrar notificación

Qué es el Regedit ???

Tema en 'Windows XP' comenzado por willy16, 16/3/06.

Estado del tema:
No está abierto para más respuestas.
  1. willy16

    willy16 Nuevo Miembro Miembro

    Qué es el "regedit"? :confused: debe ser muy importante porque la mayoria de los trucos que poneis aquí se hacen con eso... :D

    saludos
     
  2. viru

    viru Super Moderador Super Moderador

    Hola willy16, el regedit es el editor del registro de windows, es digamos el corazon de tu sistema.

    Saludos.
     
  3. Arielpy

    Arielpy Nuevo Miembro Miembro

    Asi es, el corazon del sistema, no es recomendable modificarlo, salvo que entiendas la consecuencias y las puedas afrontar. :(
     
  4. JPablo

    JPablo Moderador Moderador

    Encontré, modifiqué algo interesante que va al tema.

    EN ESTE ARTICULO NOS CENTRAREMOS EN EL FAMOSO REGISTRO regedit.exe DE WINDOWS ESPERO CUALQUIER COMENTARIO O CORRECION AL RESPECTO SOBRE DICHO DOCUMENTO DE LOS ERRORES SE APRENDE NO? OK VAMOS ALLA.

    - EL REGISTRO

    El registro es la mayor base de datos que existe en una maquína correindo bajo Win para ingresar a ella de una forma rapida tan solo basta con teclear INICIO/EJECUTAR/REGEDIT.EXE y ya estamos adentro

    Esta centralizada a toda la configuración de la maquína en ella se guarda todo tipo de información tanto de los programas como del SO en si .

    Aprender a manejar configurar y toketear el regedir de win nos ayudara a personalizar gran parte de nuestro win ... así como también da el caso de poder violar la seguridad del sistema con diferentes tecnicas incluyendo el crakeo de ciertas aplicaciones

    En esta parte del articulo me centrare sobre el registro de NT/ W2K

    Tenemos que tener en cuenta una cosa todos los win$ tienen parecido a ello,la unica direfencia sobre aquellos que conocen el registro del recordado WIN95 que los WinNT ni el W2k no utilizan una sub estrctura HKEY_DYN_DATA.

    ESTRUCTURA

    EL regedit del NT esta divido en partes la llamaremos sub-estructuras

    HKEY_CLASSES_ROOT

    HKEY_CURRENT_USER

    HKEY_LOCAL_MACHINE

    HKEY_USERS

    HKEY_CURRENT_CONFIG

    Sub-Estructuras del Regitro

    HKEY_CLASSES_ROOT

    -------------------------------------------------------

    En esta sub estructura se mantienen una lista extensa así como también las extensiones de la mayoria de los archivos que se encuantran enlazados a algún tipo de aplicacion.En ella también encontramos información sobre las operaciones (OBJECT LINKING AND EMMENDDING) OLE.dentro de esta sub estructura se puede definir la extensión *.cualquiera (ojo no tocar si no sabemos que estamos haciendo) esta también para aquellos que de una manera simpatica le gusta jugar con las extensiones de ciertos ficheros un buen ejemplo es de cambiarlo los documentos de textos a extensiones *.exe o viceversa baaaa win tiene en el regedit exteciones para todos los colores y sabores .

    HKEY_CURRENT_USER

    --------------------------------------------------------

    En este sub directorio por así llamarlo se centra en la configuración del escritorio en el cual estamos trabajando así como también sobre los programas el entorno de la maquína

    Existen y tienen ciertas aplicaciones y están difrenciadas en 7 sub claves nuevamente

    -Applevents= Aqui se encuentra la configuración del sonido de nuestro Win

    -Console=Configuracion de la consola del DOS que vendria a ser la famosa Shell en entornos Linux

    -Control Panel=sub directorio donde se almacena la configuración así como también la info sobre los dispositivos de entrada y salida de nuestro sitema a la par de varios elementos de nuestro panel de control

    -Identies=Aqui se encuentra infomarcion sobre el usuario actual que posee una cantidad X de programas

    -Software=Informacion sobre los programas que tenemos instalados

    -Enviroment=Ruta que corre sobre los directorios de los archivos temporales

    -System= info del sistema en la sesión donde se encuentra el usuario

    HKEY_LOCAL_MACHINE

    --------------------------------------------------------

    Quizas en esta sub estrctura a la que mas importacia se le da sobre el registro,nos brinda información sobre las aplicaciones,las configuraciones del sistema de hardware etc,etc vomos a nombrarlos segun el orden que tenemos en nuetro registro

    -HKEY_LOCAL_MACHINE\HARDWARE=Aqui se encuentra almacenada toda la info que soporta nuestra maquína incluyendo los driver del sistema así como también los componentes

    -HKEY_LOCAL_MACHINE\SAM= Aqui se guardan la información acerca del usuario del sistema así como también los pass (*.sam)

    -HKEY_LOCAL_MACHINE\SECURITY= Se centra en la información que tienen los usuarios en cuanto a privilegios

    -HKEY_LOCAL_MACHINE\SOFTWARE= Info sobre los programas que tenemos instalados

    -HKEY_LOCAL_MACHINE\SYSTEM= Sub directorio donde se almacena información impresindible para que win NT arranque el sistema

    HKEY_USERS

    --------------------------------------------------------

    casi los mismo que el sub directorio del regitro HKEY_CURRENT_USER pero con una particularidad que tiene una sub estrcura para cada usuario especifico del sistema

    HKEY_CURRENT_CONFIG

    --------------------------------------------------------

    Aqui se guarda información sobre lo que seria la configuración actual de distintos dispositivos de nuestro sistema así como también las propiedades de Internet etc.

    EN una cierta forma hemos visto a grandes rasgos los componentes del registro de win así como también los sub directorios (sub-claves) y de la importacia de manejar y trabajar con el registro así como también cabe recalcar que ningún asuario debería de tener acceso al registro tanto de forma remota así como también local con la ecepcion de poder trabajar y tocar el registro siendo administrador de nuestro sistema o nuestra red ya que implica un problema de seguridad muy importante `para lo que estariamos expuestos así como también la gran mayoria de los administradores,existen muchos soft para impedir el toqueteo tanto del registro de nuestro sistema así como también muchas otras aplicaciones una persona que ingresara a este y por ente no tendria intenciones muy buenas que digamos trataria de configurar cambiar las rutas de accesos de ciertos programas o tal vez modificar un monton de cosas para que luego nuetra red sea un caos y salga beneficiado de algúna manera ya sea el proposito que sea.

    Trabajando con el Registry

    Configuraciones de Seguridad para nuestro sistema

    --------------------------------------------------------

    En la sigueinte lista expondre algúnas configuraciones del registro que los administradores de sistema podrian aplicar para que se establesca una mejor seguridad sobre el NT de Windows

    En las maquínas que corren bajo NT se emplea un archivo de paginacion llamado Pagefile.sys en el cual se almacenan o se pueden almacenar datos sensitivos.Las paginas de memorias son intercambiadas los cual se denomina swaping.El archivo de paginacion no se encuantra disponible cuando el sistama se encuentra en ejecucion ... de igual manera este puede ser accedido de la manera siguiente

    Pulsar el boton derecho de nuestro mouse sobre my computer e ir a la pestaña properties

    Selecionar la etiqueta Performance

    Luego ir a virtual Memory

    A partir de aquí trabajaremos directamente con el regedit.exe

    Ojo si no tenemos conociemiento algúno del regedit no toicar bajo ninguna circustancia el registro es mejor bajarnos unos manuales de la net y leer sobre así como también deberias de tener un bakkup tanto de nuestro sistema como de nuestro registro también tenemos el regedit help que se encuentra en nuestro sistema C\WINNT\HELP y tenet cuidado en este ya que al hecer algún cambio o pulsando cualqier cosa con el echo de probar que pasa se nos puede ir todo a la p..t? y cagamos ..... sobre el final expondre algúnos enlaces interesantes buscado en google.com hasta eso ahorrare de una manera ya :>)

    Todo cambio al regedit debe ser reiniciado

    Vamos con nuestro tema de paginacion

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Session Manager\Memory Management

    Value Name ClearPageFileAtShotdown

    Type REG_DWORD

    Value 1

    -Proteger el acceso de manera remota

    Con el registry editor podemos acceder de manera remota al registry de WinNT por motivos mas que evidentes de seguridad podemos restringir el acceso desde la red al registry se bede de utilizar el registry editor para crear la directiva siguiente



    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\SecurePipeServes\Winreg

    Value Name Description

    Type REG_SZ

    Value Registry Srver

    He indicar los siguientes pasos

    -Seleccionar el Winreg ,ir al menu Security e ir a continuacion a Permissions

    -|Se debe de establecer Los Permisos de FuLL Control para el grupo de Administrator o sea Netamente para los administradores del sistema y verificar que ningún otro grupo o usuario estén listados luego OK. Los permisos de seguridad que son establecidos con esta directiva difinen que suarios o grupo de usuarios pueden conectarse al registry de forma remota,La tipica istalacion de los Sistemas Win por defauld y en este caso en NT WOrstattion no define esta directiva así como tampoco restringe el acceso de forma remota.La subdirectiva AllowedPaths se encuentran las directivas unificada a los miembros del grupo Everynone que tienen acceso así como también permite especificar las funciones dentro del sistema ejemplo verificar el estado de las impresoras para tabajar correctamente e independientemente de como esta en acceso restringido por medio de la directiva del registri winreg .

    -Asegurando el Eventlog Viewing

    La confuguracion por defaul pero\mite el acceso estableciendo sesiones de guest y null sessions para observar los eventos (events logs) (system y aplications).El security Log se encuetra protegido del acceso guest por defauld,es visible para los usuarios que tienen los derechos de usuarios MANAGE AUDIT LOGS . Los servicios del Visor de eventos (Event logs) utilizan las siguientes especificaciones para restringir el acceso de sesiones guest a los registro

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\EventLog\[LogName]

    Value RestringGuestAccess

    Type REG_DWORD

    Value 1

    Para que los cambios tengas sus efectos correpondientes es necesario reiniciar el sistema así como también se debe estabecer la seguridad en esta directiva remoiviendo el grupo Everinone y dando acceso solo y nuevamente al grupo Administrator y System para evitar cualquier acceso de algún usuario malicioso

    -Asegurando las instalacoines de driver de impresora

    Por motivos de seguridad y para controlar quienes pueden agragar los driver correspondientes a impresoras usando el directorio Print se utiliza la siguiente directiva del registry.En esta directiva solamente debe ser establecida a 1 para así permitir que el SYSTEM SPOOLER restrinja la operacion solo al grupo de Administrator Y operadores de impresion (PRINT OPERATOR) en server's o POWER USERS en Wordstations

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Print\Provinders\LanMAn PrintServices\Servers

    Value AddPrinterDrivers

    Type REG_DWORD

    Value 1

    -Removiendo los sistemas 0S\2 y POSIX

    Aqui hablaremos algo de ello Posix son las siglas del Portable Operating System interface para UNIX ,este sistema es el que da soporte a las aplicaciones UNIX el fin de esta aplicacion es tratar de lograr la compatibilidad de los programas en distintos entornos UNIX es un total de un conjunto de 23 normas establecida por la IEEE,de todos estos sistemas posix NT tan solo soporta 1 la posix.1 que es un conjunto de llamadas al sistema de lenguaje C así como también es un sirve para llamadas cuando ineteractuan conjunta,mente conn el Executive....Aunque no hay una evidencia clara que estos sistemas son un claro riesgo de seguridad es mejor removerlos si evidentemente por algún motivo no son requeridos

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Session Manager\SuBsystems

    Value Name 022

    Type REG_EXPAND_sz

    Value remover Valor

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Session Manager\SuBsystems

    Value Name POSIX

    Type REG_EXPAND_sz

    Value remover Valor



    -Previniendo Null Sessions

    Un tipico de cualquier administrador despistado djar establecer una conexión de estas caracteristicas Las conexiones Null Session mas conocidas como Anonymous Logon es de una manera dejar que cierto usuario que no inicie sesión ontenga al máximo información de grupos,recursos compartidos de nuestra red así como también incluyendo dominios ETC,

    Prevenir este tipo de conexiones

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Lsa

    Value Name RestricAnonymous

    Type REG_DWORD

    Value remover 1

    -Deshabilitando el uso de LMPS

    Existtiendo dos tipos de autenticacion que utiliza NT ... Uno de ellos es el LanManager (LM) que es un protocolos de autenticacion que fue utilizado originalmente por los productos de Red de la familia Microsoft que es vulnerable a ciertos atakes basados en Red El otro protocolo es de laautenticacion de NT que tiene un metodo de encriptacion y puede soportar pass con una mezcla de caracteres especiales HASH 128 bts.

    Para prevenir esta autenticacion

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Lsa

    Value Name LMCompatibilityLevel

    Type REG_DWORD

    Value (Workstation) 3

    Value (Domian Controller) 5

    Este tipo de configuración puede ser incompatible con algúnas versiones de samba

    http://support.microsoft.com/support\...2;7\06.asp

    -Prevenir que los usuarios remotos Vean el Registro

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\LanManServer\Parameters

    Value Name NullSessionPips

    Type REG_MULTI_SZ

    Value remover Aqui se puede agregar o mover los nombres de las listas segun se requiera

    Ma detalles sobre esto en la page de microsoft

    http://support.microsoft.com/default.aspx?...d;EN-Us;q143138

    -Asegurando los Archivos Compartidos

    Para prevenir este tipo de ataques man in middle se debería de habilitar el SMB signing en este tipo de caso están 2 tratativas para inplementar el SMB signing la primera con la que trabajariamos seria del lado del workstations

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\Rdr\Parameters

    Value Name RequireSecuritySignature

    Type REG_DWORD

    Value 1

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\Rdr\Parameters

    Value Name Enable SecuritySignature

    Type REG_DWORD

    Value 1

    La directiva siguiente son los pasos para habilitar SMB signing del lado servidor

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\LanManServer\Parameters

    Value Name RequireSecuritySignature

    Type REG_DWORD

    Value 1

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\LanManagerServer\Parameters

    Value Name EnableSecuritySignature

    Type REG_DWORD

    Value 1

    -Protegiendo los recursos compartidos

    En WinNT se crea un numero de recursos que están ocultos y que no son visibles a traves del el buscador,pero si se puede acceder a ellos Estos recursos son conocidos como recursos compartidos administrativos y el siguente proposito del mismo es que son para realizar copias de seguridad remota pero en el caso de que no fueran necesarios es mejor desabilitarlo

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\LanManagerServer\Parameters

    Value Name (Domain Controllers) : AutoshareServer

    Value Name (Workstations): AutoshareWks

    Type REG_DWORD

    Value 1

    En otro metodo para prevenir que los usuarios examinen otros equipos de Nuestra red NT workstations seria desabilitando los servicios de server y computer browser,en este caso seria buena practica para que usuarios de sistemas que no compratn nada.Si estos servicios stan desabilitados es posibe conectarse a otros dispositivos que se estén compartiendo

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\LanManagerserver\

    Value Name Start

    Type REG_DWORD

    Value 3

    Para que desabilitemos el computer browser

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\Browser

    Value Name Start

    Type REG_DWORD

    Value 3

    -Asegurando la Base System Objet

    Para que habilitemos una fuerte proteccion en nuestra base a objetos en nustro winNT Session Manager debemos verificar o agragar si fuese necesaroi la sigiente directiva

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\SessoinManager\

    Value Name PortectionMode

    Type REG_DWORD

    Value 1

    -Habilitando la Auditoria en Base a Objetos

    Para que habilitemos en base a objetos debemos agregar la siguiente directiva

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Lsa

    Value Name AuditBaseObjects

    Type REG_DWORD

    Value 1

    Debemos de notar que en esta directiva no iniciamos la creacion de una auditoria,en este caso el administrador necesita activar la auditoria para la categoria "Objett Access" desde el User Manager en esta directiva solo dice al Local Security Authority que los objetos bases debería de ser cerados con una lista de control de auditoria en el sistema por default

    -El servivio Schedule

    Con el servicio Schedule (AT COMMAND) podemos ejecutar tareas automaticamente,por default solamente los administradores pueden incorporar comandos AT para así permitir que los System Operator puedan también incorporar comandos At se Debe de recurrit al registry editor para que creemos la siguiente directiva

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Control\Lsa

    Value Name Submit Control

    Type REG_DWORD

    Value 1

    con el acceso a la directiva anterior debería de ser restringido solamente a los grupos que son permitidos suministrar trabajos al servicoi schedule (Administrators) usualmente

    Lugar HKEY_LOCAL_MACHINE

    Key \System\CurrentControlSet\Services\Schedule

    Permisos Recomendados

    CREATOR OWNER:Full Control

    Administrator:Full Control

    SYSTEM:Full Control

    Everyone:Read

    -Protegiendo el registry con Apropiadas ACL's

    Para que obtengamos una mejor seguridad en nuestro sistema se recomienda proteger algúnas directivas del Registry ya que por default estas protecciones no son establecidas a varios de los componentes del registry lo cual permite que sean hechos cambios proporcionando uan mala seguridad

    EL acceso permitido al grupo EVERYONE es el siguiente

    Grupo: Everyone

    Permisos : QueryValue

    Enumerate SubKeys

    Notufy

    Read Control

    Para que podamos modificar los `permisos en el registry hacemos lo siguente

    INICIO/EJECUTAR/REGEDT32.EXE

    ingresamos al editor

    Sleccionamos la directiva modificar

    Seleccionamos Permission del menu Security

    En el cuadro de dialogo REGISTRY KEY PERMISSIONS seleccionamos EVERYONE y modificamos los permisos

    En el cuadro de dialogo HKEY_LOCAL_MACHINE on Local Machine

    \Software

    Se recomienda este cambio debido a que bloquea en terminos que quien puede instalar software,no es recomendable el bloqueo de todo el subarbol debido a que este puede afectar ciertos programas de funcionamiento impresindible para nuestro sistema y pueden dejar de fucionar

    \Software\Microsoft\RPC (aquí incluyen todas la directivas dentro de esta)

    \Software\Microsoft\Windows\CurrentVersion\Run

    \Software\Microsoft\Windows\CurrentVersion\Run\RunOnce

    \Software\Microsoft\Windows\CurrentVersion\Unistall

    \Software\Microsoft\Windows NT\CurrentVersion

    \Software\Microsoft\Windows NT\CurrentVersion\Profilelist

    \Software\Microsoft\Windows NT\CurrentVersion\Aedebug

    \Software\Microsoft\Windows NT\CurrentVersion\Conpatibility

    \Software\Microsoft\Windows NT\CurrentVersion\Drivers

    \Software\Microsoft\Windows NT\CurrentVersion\Embedding

    \Software\Microsoft\Windows NT\CurrentVersion\Fonts

    \Software\Microsoft\Windows NT\CurrentVersion\FontSubtitules

    \Software\Microsoft\Windows NT\CurrentVersion\Font Drivers

    \Software\Microsoft\Windows NT\CurrentVersion\Font Mapper

    \Software\Microsoft\Windows NT\CurrentVersion\Font Cache

    \Software\Microsoft\Windows NT\CurrentVersion\Gre_Initialize

    \Software\Microsoft\Windows NT\CurrentVersion\MCI

    \Software\Microsoft\Windows NT\CurrentVersion\MCI Extentions

    \Software\Microsoft\Windows NT\CurrentVersion\PerfLib

    Es importamnte considerar mover el permiso read al grupo Everyone en esta directiva,esta permite que usuarios remotos puedan ver los datos de rendimiento de nuestro sistema sin embargo se podrian da el permiso de Read a INTERACTIVE lo cual permitiria que solamente los usuaroios que inicien sesión intectivamente accedad a esta directiva ademas de los grupos Administrator Y SYSTEM

    \Software\Microsoft\Windows NT\CurrentVersion\Prt (y todas las directivas dentro de esta)

    \Software\Microsoft\Windows NT\CurrentVersion\TYpe 1 istaller

    \Software\Microsoft\Windows NT\CurrentVersion\WOW (y a todas las directivas dentro de estas)

    \Software\Microsoft\Windows NT\CurrentVersion\Windows 3.1 MIgrationStatus (y a toda la directiva dentro de esta)

    \Software\Windows 3.1 Migration Status

    System\CurrentControlSet\Services\LanManServer\Shares

    System\CurrentControlSet\Services\UPS

    Debemos de hacer notar que ademas de las configuraciones de seguridad en esta directiva también se reuere que el archivo Command asociadocon el servicio UPS se encuente apropiadamente asegurado permitiendo así solamente a los Administrators:Full Control y a SYSTEM :full Control

    System\CurrentControlSet\CurrentVersion\Run

    System\CurrentControlSet\CurrentVersion\Run\RunOnce

    System\CurrentControlSet\CurrentVersion\RunUnistall

    Remueve la habilidad para escribir la subdirectiva,la configuración por default permite a un usuario cambia la sub directiva y otorgar nivel de acceso de Administrador

    En el cuadro de dialogo HKEY_CLASSES_ROOT on Local Machine

    \HKEY_CLASSES_ROOT(y todas las dierctivas dentro de esta)

    En el cuadro de dialogo HKEY_USERS on Local Machine

    \DEFAULT

    A VER QUE LES PARECE, A MI ME GUSTÓ Y NO ENCONTRÉ MUCHOS ERRORES....
     
  5. Arielpy

    Arielpy Nuevo Miembro Miembro

    Es un material mas que importante de leer ante de hacer cosilla con el regedit. Excelente material Lord MinDokan o_O
     
  6. JPablo

    JPablo Moderador Moderador

    Quiero agregar mas claramente que el Post anterior NO LO HICE YO. EN CAMBIO LO CONSEGUÍ POR OTRO LADO... EN OTRA WEB. Porque sino dicen...
     
Estado del tema:
No está abierto para más respuestas.

Comparte esta página