11 septiembre, 2012

Deshabilitar los recursos compartidos administrativos por defecto de Windows

Windows crea una serie de recursos compartidos por defecto que están "ocultos", pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \\nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.

El símbolo $ en Windows establece que ese recurso compartido se mantiene oculto al resto de la red y que solamente conociendo el nombre del recurso compartido podríamos acceder a el.

Recursos compartidos administrativos

  • LetraUnidad$: El volumen compartido de forma completa, normalmente C:\ pero a cualquier unidad de medio extraíble conectada al equipo se le crearía un recurso compartido por defecto.
  • ADMIN$: Se utiliza durante la administración remota de un equipo.
  • IPC$: Comparte las canalizaciones con nombre que debe tener para la comunicación entre programas. Este recurso no puede eliminarse.

En Windows Server también encontramos

  • PRINT$: Permite la administración remota de impresoras.
  • FAX$: Utilizado por los clientes de fax, durante la transmisión de fax.

Recursos compartidos administrativos especiales en Windows Domain Controllers

  • NETLOGON: Procesa las solicitudes de inicio de sesión de dominio.
  • SYSVOL: Controla la replicación de Active Directory, GPOs, etc.
Estos recursos compartidos los encontramos en la consola de administración de carpetas o recursos compartidos fsmgmt.msc (File System ManaGeMenT). También podremos acceder a través de la consola de componentes de administrador de equipos compmgmt.msc (Component Management).

Figura 1: Consola de Microsoft de Recursos compartidos fsmgmt.msc.

Deshabilitar los recursos compartidos administrativos por seguridad

Un posible atacante que de algún modo conozca unas credenciales de acceso válidas o pueda realizar un bypass de esta autenticación a través de alguna vulnerabilidad existente en la máquina podría lograr acceso a estos recursos.


Hay que tener en cuenta que ciertas aplicaciones de bases de datos y/o servidores de correo pueden trabajar con estos recursos compartidos para su correcto funcionamiento. Si utilizamos alguna aplicación que puede estar utilizando estos recursos lo mejor es que ya no toquemos nada, igualmente en la mayoría de este tipo de situaciones suelen ocurrir dentro de organizaciones corporativas.

Deshabilitar recursos compartidos administrativos: C$ ADMIN$

Abrimos la consola de recursos compartidos locales fsmgmt.msc, manualmente podemos dejar de compartir estos recursos, pero en el caso de que los necesitemos en un futuro no los podríamos volver a restaurar de forma automática. Lo mejor sería deshabilitarlos y tener la posibilidad de recurperarlos en futuro si fuese necesario.

Lo podemos hacer mediante el registro de Windows regedit. Nos situamos en la siguiente ruta.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters
  1. Creamos un valor tipo DWORD 32 bits
  2. Llamado AutoShareWks.
  3. Asignamos el valor 0.
Para aplicar los cambios podemos reiniciar la máquina o simplemente reiniciar el servicio "Servidor" LanmanServer.

Podemos reiniciarlo también a través de una consola cmd.
net stop lanmanserver
net start lanmanserver
Figura 2: Servicio "Servidor" LanmanServer.

Saludos!

01 septiembre, 2012

Eliminar ficheros Thumbs.db de forma permanente [Windows thumbnail cache]

¿Que son los ficheros Thumbs.db?


Los archivos Thumbs.db también conocidos como "Windows Thumbnail Cache" forman parte del sistema Operativo Windows, son ficheros creados o generados cuando tenemos la vista en miniatura de las imágenes activa y de esta forma previsualizamos el contenido de la imagen o en el caso de utilizar la clasificación de "iconos grandes" poder ver como se muestra en el propio icono de una carpeta el contenido más reciente añadido a esta.

Los Thumbs.db son ficheros de caché que guardan información de las imágenes en la vista de miniaturas de la carpeta donde estás ubicado.

Esto acelera la visualización de las imágenes, de este modo al tratarse por ejemplo de muchas imágenes el procesador no es necesario que vuelva a recalcular todo, ya que este fichero al almacenar la información necesaria agiliza la operación de visualización del contenido.

Estos ficheros solo se visualizan cuando tenemos configurado en las "Opciones de carpeta" del Explorador de Windows, las opciones: 

  • Mostrar archivos, carpetas y unidades ocultos.
  • Y desmarcado el checkbox: Ocultar archivos protegidos del sistema operativo.

En seguridad estos ficheros pueden ser utilizados para análisis forenses, con los que se podrá saber si ciertas imágenes almacenadas en algún dispositivo fueron o no previsualizadas con anterioridad, entre otra información. 


¿Cómo eliminar definitivamente los ficheros caché thumbs.db?


Hay diversas maneras de hacerlo ya sea para Windows XP o Windows 7, comentaré las dos formas de realizarlo:

En Windows XP: Lo haremos mediante las Opciones de carpeta. Nos vamos a un Explorador de Windows (Tecla Windows + E) > En el menú Herramientas > Opciones. O Simplemente podemos realizar todo esto, abriendo una ventana Ejecutar (Tecla Windows + R) y escribimos: control folders, pulsamos Aceptar.

Ahora en la ventana de Opciones de carpeta nos vamos a la pestaña: Ver > marcamos: "No alojar en caché las vistas en miniatura" > Pulsamos Aceptar y listo.


Figura 1: No alojar caché de vistas en miniaturas en Windows XP.


En Windows 7: Lo haremos mediante el editor de directivas de grupo local (gpedit.msc).
Con privilegios administrativos, abrimos una ventana Ejecutar (Tecla Windows + R) y escribimos: gpedit.msc.

Una vez se nos abra la ventana de "Editor de directivas de grupo local", vamos al siguiente path: Configuración de usuario > Plantillas administrativas > Componentes de Windows > Explorador de Windows.
Buscamos la GPO: "Desactivar almacenamiento en caché de vistas miniaturas en archivos thumbs.db ocultos" y marcaremos la opción como "Habilitada".



Figura 2: Descactivar la directiva de almacenamiento de caché de vistas en miniatura (thumbs.db).

A partir de ahora nuestro sistema ya no creará nunca más ficheros "Thumbs.db".

Más información sobre el fichero Thumbs.db: http://en.wikipedia.org/wiki/Windows_thumbnail_cache


Saludos!