Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Los documentos técnicos son resultado de investigaciones realizadas y probadas dentro del
Laboratorio de Seguridad en Cómputo del DSC.
3. Los programas y herramientas se distribuyen tal como fueron probadas sin alteración de
licencias y/o código.
6. Este documento será distribuido de forma libre y gratuita, además de ser actualizado
periódicamente.
Este documento proporciona herramientas de seguridad para ayudar a configurar los sistemas Windows
de una forma más segura.
Las herramientas cubiertas en este documento son Freeware y Comerciales, también se proporciona la
fuente de donde poder obtenerlas y una breve descripción de su empleo.
1. Comunicación Segura
2. Configuración Local
• Hfnetchk
• Qchain
• Microsoft Baseline Security Analyzer
• Microsoft Security Configuration Editor
• Passprop
• Passfilt.dll
3. Escáners
• Patchwork
• Retina
• Fport
Este documento estará en constante actualización y estará disponible de forma libre en las
páginas del Departamento de Seguridad en Cómputo.
1. Comunicación Segura.
Descripción:
Sistemas:
Requerimientos:
Características:
Procedimiento:
3. Al iniciar el Cliente de Secure Shell aparecerá la siguiente pantalla, donde debe proporcionarse la
dirección IP o el nombre de la máquina remota y el nombre de usuario, además de selecciona el
puerto donde se conectará y el método de autentificación (password por default).
Tipo de Licencia:
Freeware
Download:
2. Configuración Local
• Qchain.exe.
Descripción:
Sistemas:
Nota: el instalador de Hotfixes para Windows XP incluye soporte para la instalación múltiple de Hotfixes.
Características:
Procedimiento.
1. Ejecutar el instalador del Hotfix con la opción –z para indicarle que no se reinicie el sistema
después de la instalación. Agregar la opción –m (modo Quiet) además de la opción anterior si
no se quieren observar mensajes durante la instalación.
3. Reiniciar el sistema.
Archivo batch.
A continuación se muestra un ejemplo de un archivo batch para poder aplicar varios Hotfixes mediante
qchain.
@echo off
setlocal
set PATHTOFIXES= some path
%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\qchain.exe
qchain.exe [archivo_registro]
qchain.exe bitacora.txt
Source:D:\BSD\System32\_000053_.tmp
Version: 5.0.2195.4453
Destination:
Version:
.........
Limitaciones.
No trabaja con Hotfixes que contienen archivos binarios que están listados en las siguientes
directiva del registry:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDLLs
Estos binarios son cargados a memoria al iniciar el sistema. Cuando GetFileVersionInfo llama
un binario de esta lista, el binario referenciado es el binario que ya esta cargado en memoria, en lugar del
binario que esta presente actualmente en la localidad en que se encuentra el archivo a reemplazar.
Debido a que los KnownDLLs son cargados en memoria al iniciar el sistema, el instalador del Hotfix
debe reemplazar el binario afectado con el nuevo binario antes de que el sistema reinicie, y por lo tanto
no se crea ninguna Operación Pending File Rename para reemplazar el binario al reiniciar.
En lugar de esto, el Hotfix mueve el binario actual a una localidad temporal, coloca el nuevo
binario donde estaba el binario actual, y crea una Operación Pending File Rename para eliminar el binario
actual cuando la computadora reinicie.
Qchain solo afecta las Operaciones Pending File Rename que realizan operaciones de reemplazo
de binarios. No hace nada con Operaciones que realizan operaciones de borrado.
Todos los Hotfixes de NT 4.0 y todos los de Windows 2000 que son anteriores al SP2 utilizan
GetFileVersionInfo para identificar la versión de un archivo. Si se instalan dos o más Hotfixes de
Windows NT 4.0 o Hotfixes anteriores al SP2, y los Hotfixes contienen KnownDLLs, utilizar Qchain para
instalar un conjunto de Hotfixes no asegura que sean instalados las ultimas versiones parchadas de los
archivos.
Tipo de Licencia:
Freeware
Download.
http://www.microsoft.com/downloads/release.asp?ReleaseID=29821
• Hfnetchk
Descripción:
Herramienta de línea de comando que se puede utilizar para evaluar un sistema o un grupo de sistemas
con respecto a la falta de parches de seguridad.
Cuando se ejecuta por primera vez la herramienta (sin parámetros), debe obtener una copia de
este archivo XML para que pueda encontrar los Hotfixes que están disponibles para cada producto. Este
archivo esta disponible en el sitio Web de Microsoft Download Center es un archivo .cab digitalmente
firmado.
Los parches disponibles para el sistema pero no están instalados actualmente son desplegados como
“Patch NOT Found”.
Sistemas:
• Microsoft SQL Server versions 7.0 , 7.0 Service Pack 1 , 7.0 Service Pack 2 , 7.0 Service Pack
• Microsoft Internet Explorer versions 5.01 , 5.01 Service Pack 1 , 5.01 Service Pack 2 , 5.5 , 5.5
Service Pack 1 , 5.5 Service Pack 2 , for Windows 2000
• Microsoft Internet Explorer versions 5.01 , 5.01 Service Pack 1 , 5.01 Service Pack 2 , 5.5 , 5.5
Service Pack 1 , 5.5 Service Pack 2 , for Windows NT 4.0
* Un interprete XML es requerido en cada sistema que ejecuta Hfnetchk. Un interprete esta incluido con
Internet Explorer 5 y posterior.
Características:
Sintaxis
Parámetros:
Switch Descripción
-about Acerca de hfnetchk.
-v verbose Despliega detalles para los mensajes Patch NOT Found, WARNING
y NOTE
-f outfile Especifica el nombre del archivo donde se guardarán los
resultados. Por default se despliegan los resultados en la pantalla.
-u username Especifica el nombre de usuario opcional para iniciar sesión en el
sistema remoto.
-p password Especifica el password a ser utilizado con el nombre de usuario.
-? Help Despliega el menú de ayuda.
Limitaciones.
• No opera con Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows 98 Second
Edition, or Microsoft Windows Millennium Edition (Me).
• Existen casos en los que no puede determinar los estados de instalación del parche. Para más
detalles se puede consultar:
Tipo de Licencia:
Freeware
Download.
http://www.microsoft.com/downloads/release.asp?releaseid=31154
Descripción:
Sistemas:
Requerimientos.
• IIS Common Files son requeridos en el sistema donde esta instalada la herramienta para realizar
un escaneo remoto de sistemas IIS.
Se debe tener privilegios de administrador para poder ejecutar la herramienta en el sistema local o
remoto, además de que se tiene que estar ejecutando el servicio de Server en el sistema.
Características.
• Interfaz gráfica y de línea de comando para escanear sistemas Windows (locales y remotos).
• Utiliza una versión de Hfnetchk.
• Crea y almacena reportes de seguridad XML individuales para cada sistema y despliega los
reportes en una interfaz de usuario gráfica en lenguaje HTML.
• Tiene 5 opciones para el escaneo del sistema: verificar vulnerabilidades en Windows, IIS, SQL,
Hotfixes y passwords débiles.
Limitaciones.
Procedimiento:
6. MBSA generara un reporte del estado del sistema, los problemas encontrados y la manera en
como solucionarlos.
Tipo de Licencia:
Freeware
Download.
http://download.microsoft.com/download/win2000platform/Install/1.0/NT5XP/EN-US/mbsasetup.msi
Descripción:
Permite definir plantillas de seguridad en el sistema y comparar las configuraciones del sistema con una
platilla de seguridad, así como también aplicarlas al sistema.
Sistemas:
• Microsoft Windows NT
• Microsoft Windows 2000
• Microsoft Windows XP
Requerimientos:
Características:
Procedimiento:
1. Una vez que se instale el archivo mssce.exe (en Windows NT solamente, en Windows 2000 y XP
esta instalado), seleccione Start, Run y escriba mmc (Microsoft Managemet Console).
2. Aparecerá la ventana relativa al MMC, seleccione Add/Remove Snap-in del menú Console. A
continuación seleccione Security Configuration Manage, OK y nuevamente OK.
3. Esta ventana mostrara la plantilla que esta instalada en el sistema (si existe alguna) y mostrará
las posibles platillas a aplicar para el sistema, dependiendo su tipo.
• Políticas de cuentas.
• Políticas locales.
• Grupos restringidos.
• Servicios del sistema.
• Compartimiento de archivos y directorios.
• Registry.
• Archivos de sistema.
• Almacenamiento en el sistema.
• Seguridad en Directorio.
Tipo de Licencia:
Freeware
Download
ftp de Microsoft
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/tools/SCM/SCESP4I.EXE
• Passprop
Descripción:
Herramienta de línea de comando que permite bloquear la cuenta de Administrador del sistema, así
como también permite habilitar una política de password fuerte.
Sistemas:
• Windows NT
Requerimientos:
• Windows NT
Características:
• Fácil manejo.
• Permite establecer políticas de passwords fuertes.
Sintaxis:
Passprop
[/complex] [/simple]
[admindlockout] [noadminlockout]
Parámetros:
Switch Descripción
/complex Forza a que los passwords sean complejos, requiriendo que sean
una mezcla de letras mayúsculas y minúsculas y números o
símbolos.
/simple Permite passwords simples.
/adminlockout Permite bloquear la cuenta de Administrador. El Administrador
puede iniciar sesión interactivamente en Domain Controllers.
/noadmindlockout No permite que la cuenta de Administrador sea bloqueada.
Procedimiento:
Tipo de Licencia:
Freeware
Download:
www.microsoft.com/windows2000/zipdocs/security.exe
• Passfilt.dll
Descripción:
Utilidad que nos ayuda a reforzar el uso de password fuertes en NT a partir del Service Pack 2.
Sistemas:
• Windows NT
Requerimientos:
• Windows NT
Características:
Procedimiento:
Hive: HKEY_LOCAL_MACHINE
Key: \System\CurrentControlSet\Control\Lsa
• Patchwork
Descripción:
Sistemas:
• Windows NT
• Windows 2000
• Windows XP
Requerimientos:
• Windows NT
• Windows 2000
• Windows XP
Características:
• Revisa el sistema en busca de evidencia de archivos que usualmente son utilizados por los
intrusos (en base al FBI).
• Analiza el Windows server en busca vulnerabilidades conocidas que han sido explotadas por el
grupo Russian hackers.
Limitaciones:
Procedimiento:
2. Aparecerá la siguiente ventana donde se podrá escoger alguna de las opciones proporcionadas
por la herramienta, como por ejemplo que realice una rápida verificación al iniciar el sistema, y
escoger las unidades en las que se quieren detectar los problemas.
3. Una vez configurado, se debe seleccionar la opción Scan File System, para iniciar el análisis.
Tipo de Licencia:
Freeware
Download:
Descripción:
Retina esta diseñado para escanear cualquier sistema en el Internet, Intranet o extranet con el objeto de
identificar las vulnerabilidades existentes, así como también políticas de seguridad. Retina también
proporciona ayuda para solucionar las vulnerabilidades encontradas, además de generar un reporte.
Sistemas:
• Microsoft Windows NT
• Microsoft Windows 2000
• Microsoft Windows XP
Requerimientos:
Características:
• Interfaz gráfica
• CHAM (common hacking attack methods)
• Fix-It
• Auditorias
• Escaner pequeño
• Genera reporte de vulnerabilidades
• Auto Update
• Arquitectura abierta
Procedimiento:
1. Existe una versión de prueba (consultar Download) de Retina 4.7.16, descargarla e instalarla.
Tipo de Licencia:
Download.
http://www.eeye.com/html/Products/Retina/download.html
• Fport
Descripción:
Herramienta de línea de comando que reporta todos los puertos TCP/IP y UDP abiertos y los mapea
con su correspondiente aplicación. Requiere utilizar el archivo psapi.dll.
En Windows NT, psapi.dll debe estar en el mismo directorio o ruta que fport. Para Windows
2000, no es el caso debido a que el sistema contiene este dll.
Sistemas:
• Windows NT
• Windows 2000
Requerimientos:
• Windows NT
• Windows 2000
Características:
Limitaciones:
Sintaxis :
Fport
[ /h ] [ /a ] [ /i ] [ /ap ] [ /ap ] [ /p ]
Switch Descripción
/a Ordena la salida por aplicación.
/i Ordena la salida por el ID del proceso.
/ap Ordena la salida por ruta de aplicación.
/p Ordena la salida por puerto.
/h Ayuda
Procedimiento:
1. Abrir una ventana de command prompt y transladarse al directorio conteniendo el archivo fport y
el dll asociado.
Tipo de Licencia:
Freeware
Download:
Foundstone
http://www.foundstone.com/knowledge/intrusion_detection.html
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Computo
DGSCA - UNAM
E-Mail : seguridad@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43