11 septiembre, 2012

Habilitar o deshabilitar los recursos compartidos administrativos por defecto de Windows sin eliminarlos completamente (C$ ADMIN$)

Windows crea una serie de recursos compartidos por defecto que están "ocultos", pero que en realidad pueden ser accesibles de una forma muy sencilla mediante una ruta UNC tipo \\nombreDeEquipo o dirección IP\nombreRecursoCompartido$. Por ejemplo para acceder al disco local del equipo remoto \\192.168.1.12\c$. Si en el equipo hay definido un usuario con password nos solicitará estas credenciales para poder acceder.

En entornos corporativos bajo un dominio Active Directory es habitual que el personal de TI use estos recursos compartidos administrativos para una gestión y administración de las máquinas. En equipos personales (que no estén unidos a un dominio) recomiendo deshabilitar los recursos compartidos administrativos si no son necesarios.

El símbolo $ en Windows establece que ese recurso compartido se mantiene oculto al resto de la red y que solamente conociendo el nombre del recurso compartido podríamos acceder a el.

Recursos compartidos administrativos

  • LetraUnidad$: El volumen compartido de forma completa, normalmente C:\ pero a cualquier unidad de medio extraíble conectada al equipo se le crearía un recurso compartido por defecto.
  • ADMIN$: Se utiliza durante la administración remota de un equipo.
  • IPC$: Comparte las canalizaciones con nombre que debe tener para la comunicación entre programas. Este recurso no puede eliminarse.

En Windows Server también encontramos

  • PRINT$: Permite la administración remota de impresoras.
  • FAX$: Utilizado por los clientes de fax, durante la transmisión de fax.

Recursos compartidos administrativos especiales en Windows Domain Controllers

  • NETLOGON: Procesa las solicitudes de inicio de sesión de dominio.
  • SYSVOL: Controla la replicación de Active Directory, GPOs, etc.
Estos recursos compartidos los encontramos en la consola de administración de carpetas o recursos compartidos fsmgmt.msc (File System ManaGeMenT). También podremos acceder a través de la consola de componentes de administrador de equipos compmgmt.msc (Component Management).

Figura 1: Consola de Microsoft de Recursos compartidos fsmgmt.msc.

Deshabilitar los recursos compartidos administrativos por seguridad

Un posible atacante que de algún modo conozca unas credenciales de acceso válidas o pueda realizar un bypass de esta autenticación a través de alguna vulnerabilidad existente en la máquina podría lograr acceso a estos recursos.


Hay que tener en cuenta que ciertas aplicaciones de bases de datos y/o servidores de correo pueden trabajar con estos recursos compartidos para su correcto funcionamiento. Si utilizamos alguna aplicación que puede estar utilizando estos recursos lo mejor es que ya no toquemos nada, igualmente en la mayoría de este tipo de situaciones suelen ocurrir dentro de organizaciones corporativas.

Habilitar o deshabilitar recursos compartidos administrativos: C$ y ADMIN$

Abrimos la consola de recursos compartidos locales fsmgmt.msc, manualmente podemos dejar de compartir estos recursos, pero en el caso de que los necesitemos en un futuro no los podríamos volver a restaurar de forma automática. Dejarlos sin compartir o eliminarlos manualmente no sería una buena práctica, lo aconsejable sería deshabilitarlos y tener la posibilidad de recuperarlos en un futuro si fuese necesario.

Lo podemos hacer mediante el registro de Windows regedit. Nos situamos en la siguiente ruta.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  1. Creamos un valor tipo DWORD 32 bits
  2. Llamado AutoShareWks.
  3. Asignamos el valor 0.
0 = Deshabilita los recursos compartidos administrativos.
1 = Habilita los recursos compartidos administrativos.

Para aplicar los cambios podemos reiniciar la máquina o simplemente reiniciar el servicio "Servidor" LanmanServer.

Podemos reiniciarlo también a través de una consola cmd.
net stop lanmanserver
net start lanmanserver
Figura 2: Servicio "Servidor" LanmanServer.

Restaurar recursos compartidos administrativos NETLOGON y SYSVOL en un controlador de dominio Windows Server

Microsoft recomienda que no se elimine ni modifique estos recursos compartidos especiales en el caso de NETLOGON y SYSVOL en un controlador de dominio Windows Server. Si se eliminaron los recursos compartidos administrativos predeterminados o si la creación automática de estos recursos compartidos está desactivada, para restaurar los recursos compartidos de modo que se creen automáticamente en un controlador de dominio Windows Server.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
  1. Creamos un valor tipo DWORD 32 bits
  2. Llamado AutoShareServer.
  3. Asignamos el valor 1.
Con valor 1 creará los recursos automáticamente. Con valor 0 se deshabilitaría la creación automática de recursos compartidos especiales.


Saludos!

6 comentarios:

  1. Es cierto que puedes acceder a otras máquinas de tu red utilizando \\ip\c$ pero también hay que tener en cuenta que solo podremos acceder a ordenadores que no tengan definido un usuario/contraseña para acceder al sistema ya que si tienen clave de acceso está nos será solicitada antes de poder entrar al recurso compartido.

    ResponderEliminar
  2. @fossie
    Hola, se agradece el detalle.

    Cierto fue algo que se me olvidó comentar, ya que lo estaba viendo desde el punto de vista corporativo, en ese caso, no nos pediría ninguna credencial de acceso.

    P.D.: Edito el post con esto.

    Gracias
    Salu2 ;-)

    ResponderEliminar
  3. Gracias a ti, es todo un lujo poder aportar mi granito de arena en tu blog.

    ResponderEliminar
  4. muchas gracias, cada vez se aprende mas de buena gente que intenta ayudar. notaba que un disco mio esta siendo

    mi disco era accesado remotamente por alguien, yo lo habia asignado en V:\ y jamas lo compartí con red tampoco se podia apagar desactivar y era claro que yo no estaba al tanto. un programa que uso llamado revosleep para apagar discos me decia que no se podia apagar porque estaba que estaba en uso. investigando me enteré que estaba compartido con algo y yo hice todos estos pasos y me funciono. cuiden sus datos y pc si estan en una red , a veces programas malintencionados que uno instala dejan backdors para que otros hagan operaciones sin el consentimiento del dueño del equipo. entran ven y roban cualquier cosa que tenganmos.

    ResponderEliminar
  5. La seguridad es importante y hay que cuidarla y poner medidas para dificultar el paso de los atacantes, en la medida de lo posible. Gracias por compartir tu experiencia.
    Saludos.

    ResponderEliminar
  6. M4s f4c1l p0n3 n3t sh4r3 c$ /d3l3t3 3n un scr1pt en sh3ll:st4rtup

    ResponderEliminar