PROTEGINT I DESPROTEGINT WINDOWS A TRAVES DEL REGISTRE per Àlex Castán Salinas acastan@xtec.cat Hola xiquets i xiquetes. Sí, ja sé que el títol us fa gràcia. "Seguretat a Windows? D'ençà quan?" :) Amb aquest article l'únic que pretenc és fer una petita introducció al registre de Windows i enumerar dos o tres trucs curiosos que poden servir per protegir i desprotegir una maquina amb sistema operatiu Windows. Aquests trucs són molt bàsics i només serveixen per parar els peus a gent sense cap mena de coneixement informàtic ni curiositat per aprendre. Hi ha mil i una maneres de saltar-se'ls (ho deixo a la vostra imaginació). EL REGISTRE DE WINDOWS ---------------------- A les primeres versions de Windows (3.x i anteriors) la configuració del hardware, del sistema operatiu i dels diferents programes es guardava a arxius individuals amb extensió .INI. A les següents versions de Windows (9x i NT) s'utilitza una base de dades unificada i centralitzada, anomenada el registre de configuració, per guardar de forma jeràrquica tota aquesta informació. Com a avantatges més bàsics d'aquest nou sistema tenim: * La informació de configuració està centralitzada, enlloc d'en múltiples fitxers localitzats per tot el disc. * Permet accedir local o remotament a aquesta informació, tot aplicant unes normes de seguretat d'accés. * En sistemes multiusuaris (NT) permet registrar informació dels usuaris individuals. Encara i així, els fitxers .INI continuen existint per mantenir la compatibilitat amb les aplicacions de 16 bits. Una imatge val mes que mil paraules, així que fem una ullada al registre mitjançant una eina que proporciona el mateix sistema: l'editor del registre. Aquesta eina apareixerà quan escrivim 'regedit' o 'regedit32' a la línia de comandes de Windows (Menú Inici -> Executar -> Regedit). Com veiem, la informació està estructurada en forma d'arbre, com si de l'explorador de Windows es tractés. Dins de cada carpeta (claus) ens podem trobar noves carpetes (subclaus) o bé valors amb les seves dades corresponents. Aquestes dades poden ser de tipus binari, enters de quatre bytes, variables i text. Amb l'editor del registre podem crear i esborrar claus, crear i esborrar valors, modificar dades associades a valors i realitzar cerques dins el registre. Ha de quedar clar, però, que sempre que realitzem canvis al registre hem de 'refrescar-lo' prement la tecla F5 per tal que aquests canvis tinguin lloc. Si això no funciona, haurem de reiniciar el sistema. Una altra manera que tenim de modificar el registre és afegir la informació a un fitxer de text amb extensió .REG, que s'executarà en fer doble clic sobre ell o mitjançant la instrucció 'regedit /s fitxer.reg'. Aquesta última manera és especialment interessant de cara a afegir la informació automàticament cada cop que es reiniciï la màquina. El fitxer .reg ha de tenir la següent estructura: +---------------------------+ | REGEDIT4 | | | | ; comentari | -+ | [Aquí el nom d'una clau] | | | "valor"="dada" | +-> Aquestes línies es van repetint | "valor"="dada" | | | ... | -+ | | | ; comentari | -+ | [-Nom de clau a esborrar] | +-> Aquestes línies es van repetint | ... | -+ +---------------------------+ EL REGISTRE A WINDOWS NT ------------------------ El registre a Windows NT està format per cinc arbres principals: * HKEY_LOCAL_MACHINE. Conté la informació del sistema de l'equip local, tant a nivell software com a nivell hardware: controladors de dispositius instal·lats i serveis del sistema (subarbre SYSTEM), hardware instal·lat (subarbre HARDWARE), software instal·lat (subarbre SOFTWARE), base de dades del sistema de seguretat (subarbre SECURITY) i comptes de grups i usuaris locals (subarbre SAM). * HKEY_CLASSES_ROOT. Conté l'associació entre fitxers i objectes OLE. En realitat és un apuntador a l'arbre HKEY_LOCAL_MACHINE\Software\Classes. * HKEY_USERS. Conté dades de l'entorn de l'usuari actualment identificat a la màquina i de l'usuari per defecte, però no dels usuaris que han accedit remotament a la màquina. Hi ha dades per defecte (subarbre DEFAULT) i dades associades a identificadors d'usuaris (subarbres SID). * HKEY_CURRENT_USER. Conté dades de l'entorn de l'usuari actualment en sessió a la maquina. En realitat és un apuntador a l'arbre HKEY_USERS\SID_usuari. * HKEY_CURRENT_CONFIG. Conté la informació de la configuració actual del hardware. En realitat és un apuntador o drecera a l'arbre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware\Profiles\Current. La informació d'aquests arbres es guarda als fitxers dels directoris c:\winnt\system32\config i c:\winnt\profiles\nom_usuari, o allà on s'hagi instal·lat Windows NT (%systemroot%). EL REGISTRE A WINDOWS 9x ------------------------ El registre a Windows 9x està format per sis arbres principals: * HKEY_LOCAL_MACHINE. Conté la informació del sistema de l'equip local, tant a nivell software com a nivell hardware: dades de diferents configuracions de hardware (subarbre CONFIG), dades dels dispositius instal·lats (subarbre ENUM), controladors de dispositius instal·lats i serveis del sistema (subarbre SYSTEM), dades del microprocessador i ports sèrie (subarbre HARDWARE), software instal·lat (subarbre SOFTWARE), dades de xarxa (subarbre NETWORK) i dades de seguretat de xarxa (subarbre SECURITY). * HKEY_CLASSES_ROOT. Conté l'associació entre fitxers i objectes OLE. En realitat és un apuntador a l'arbre HKEY_LOCAL_MACHINE\Software\Classes. * HKEY_USERS. Conté dades de l'entorn dels usuaris de la màquina. Hi han dades de l'usuari per defecte (subarbre .DEFAULT) i preferències associades a cada usuari (un subarbre per a cada usuari). Dins aquests subarbres d'usuari trobem els fitxers de so associats a esdeveniments (subarbre APPEVENT), dades del pannell de control (subarbre CONTROL PANEL), la disposició del teclat (subarbre KEYBOARD LAYOUT), accessos a xarxa (subarbre NETWORK), informació d'accés remot (subarbre REMOTE ACCESS) i les preferències de cada programa (subarbre SOFTWARE). * HKEY_CURRENT_USER. Conté dades de l'entorn de l'usuari actualment en sessió a la màquina. En realitat és un apuntador a l'arbre HKEY_USERS\.Default o HKEY_USERS\Clau_usuari. * HKEY_CURRENT_CONFIG. Conté la informació de la configuració actual del hardware. En realitat és un apuntador a l'arbre HKEY_LOCAL_MACHINE\Config. * HKEY_DYN_DATA. Conté part d'informació del registre que, degut a que aquesta canvia freqüentment, es manté a memòria en lloc del disc dur (caché). Per exemple: els codis de problemes de hardware (subarbre CONFIG MANAGER) i dades de rendiment del sistema i la xarxa (subarbre PERFSTATS). La informació d'aquests arbres es guarda als fitxers c:\windows\user.dat i c:\windows\system.dat, o allà on s'hagi instal·lat Windows (%windir%). MODIFICANT EL REGISTRE ---------------------- Als següents apartats veurem algunes modificacions que podem fer al registre de Windows per tal de protegir o desprotegir el sistema. Les he posat en un format tal que sigui senzill incloure-les en un fitxer .REG mitjançant copiar i enganxar. PROTEGINT/DESPROTEGINT WINDOWS NT A TRAVES DEL REGISTRE ------------------------------------------------------- REGEDIT4 ; NT: Inhabilitar l'accés remot al registre. ; [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurePipeServers] ; Seleccionar la clau "winreg", obrir 'Permissos' al menú de Seguretat i ; establir control total pels administradors i res pels altres. ; NT: Treure els subsitemes POSIX i OS2. ; [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems] ; Esborrar les entrades per "OS2" i "POSIX" ; NT: Inhabilitar l'execució de trojans a traves del registre. ; [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion] ; Seleccionar "Run", "RunOnce", "Uninstall" i "AEDEBUG". ; Obrir 'Permisos' al menú de Seguretat i establir lectura per tothom. ; NT: Permetre compartir recursos només a administradors. ; [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares] ; Seleccionar "Shares" i les seves subclaus, obrir 'Permisos' al menú de ; Seguretat, establir control total pels administradors i lectura pels altres. ; NT: Permetre instal·lar impressores només a administradors. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print\Providers\Lanman Print Services\Servers] "AddPrinterDrivers"=dword:00000001 ; NT: Inhabilitar compartir automàticament ADMIN$, C$, D$, etc. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters] ; A servidors (Windows NT Server): "AutoShareServer"=dword:00000000 ; A estacions de treball (Windows NT Workstation): "AutoShareWks"=dword:00000000 ; NT: Restringir informació dels recursos compartits i de comptes mitjançant ; connexions anònimes a IPC$. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "RestrictAnonymous"=dword:00000001 ; NT: Restringir accés a la xarxa mitjançant sessions nul·les. ; [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] ; Esborrar les entrades per "NullSessionPipes" i "NullSessionShares". ; NT: Desactivar la generació de noms NTFS 8.3. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Filesystem] "NtfsDisable8dot3NameGeneration"=dword:00000001 ; NT: Activar signatures al servidor SMB. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "RequireSecuritySignature"=dword:00000001 "EnableSecuritySignature"=dword:00000001 ; NT: Activar signatures al client SMB. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "RequireSecuritySignature"=dword:00000001 "EnableSecuritySignature"=dword:00000001 ; NT: Eliminar vulnerabilitat "Pass the Hash" amb client SMB modificat. [HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA] "LMCompatibilityLevel"=dword:00000004 ; NT: Eliminar vulnerabilitat LSA DoS (Phantom). [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\AeDebug] "Auto"="0" ; NT: Inhabilitar encaminament d'IP origen. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DisableIPSourceRouting"=dword:0000001 ; NT: Establir MDAC per operar en mode segur (1) o insegur (0). [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo] "HandlerRequired"=dword:00000001 ; NT: Inhabilitar l'autentificació de l'administrador de xarxa (Lan Manager). ; 0 - Enviar les contrasenyes de Windows NT i de l'administrador de xarxa. ; 1 - Enviar les contrasenyes de Windows NT i de l'administrador de xarxa ; si el servidor les sol·licita. ; 2 - Enviar només la contrasenya de Windows NT. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "LMCompatibilityLevel"=dword:00000002 ; NT: Inhabilitar el servei DCOM. [HKEY_LOCAL_MACHINE\Software\Microsoft\Ole] "EnableDCOM"="N" ; NT: Restringir l'accés dels usuaris nul i convidat ; al registre d'esdeveniments d'aplicació. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application] "RestrictGuestAccess=dword:00000001 ; NT: Restringir l'accés dels usuaris nul i convidat ; al registre d'esdeveniments de seguretat. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security] "RestrictGuestAccess=dword:00000001 ; NT: Restringir l'accés dels usuaris nul i convidat ; al registre d'esdeveniments de sistema. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System] "RestrictGuestAccess=dword:00000001 ; NT: Inhabilitar l'aparició del nom de l'últim usuari a la pantalla d'accés. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "DontDisplayLastUserName"="1" ; NT: Inhabilitar el caché intern de contrasenyes. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "CachedLogonsCount"="0" ; NT: Inhabilitar l'opció d'apagar a la pantalla d'accés. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "ShutdownWithoutLogon"="1" ; NT: Restringir l'accés al disquet a l'actual usuari interactiu. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "AllocateFloppies"="1" ; NT: Restringir l'accés al CDROM a l'actual usuari interactiu. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "AllocateCDRoms"="1" ; NT: Inhabilitar l'execució d'Autorun des de CDROM. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "Autorun"=dword:00000000 ; NT: Apagar automàticament aplicacions que no responen passats 20 segons. [HKEY_USERS\.DEFAULT\Control Panel\Desktop] "autoendtasks"="20000" ; NT: Netejar el fitxer de paginació durant el tancament del sistema. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management] "ClearPageFileAtShutdown"=dword:00000001 ; NT: No permetre als usuaris canviar els atributs de recursos compartits. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager] "ProtectionMode"=dword:00000001 "AdditionalBaseNamedObjectsProtectionMode"=dword:00000001 ; NT: Auditar els canvis d'atributs de recursos compartits, backup i restore. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "AuditBaseObjects"=dword:00000001 "FullPrivilegeAuditing"=dword:00000001 ; NT: Apagar el sistema quan la bitàcola de seguretat és plena. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] "CrashOnAuditFail"=dword:00000001 ; NT: No permetre a les aplicacions d'usuari escoltar els ports TCP i UDP. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "EnablePortLocking"=dword:00000001 ; NT: Protegir els atributs dels objectes del nucli. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager] "EnhancedSecurityLevel"=dword:00000001 ; NT: Fer executar scripts CGI al servidor IIS ; en el context del compte IUSR_computername. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters] "CreateProcessAsUser"=dword:00000001 ; NT: Permetre registrar les peticions correctes de pagines web a IIS. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters] "LogSuccessfulRequests"=dword:00000001 ; NT: Permetre registrar les peticions incorrectes de pagines web a IIS. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters] "LogErrorRequests"=dword:00000001 ; NT: Inhabilitar a IIS els atacs FTP bounce. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSFTPSVC\Parameters] "EnablePortAttack"=dword:00000000 ; NT: Activar salvapantallas amb contrasenya. [HKEY_CURRENT_USER\Control Panel\Desktop] "ScreenSaveTimeOut"="temps en segons fins que s'activa" "ScreenSaveActive"="1" "ScreenSaveIsSecure"="1" "SCRNSAVE.EXE"="c:\winnt\system32\logon.scr" ; NT: Restriccions a les activitats dels usuaris. ; Veure mes endavant les restriccions a usuaris de Windows 9x. ; També son aplicables a Windows NT. A més a més tenim: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableLockWorkstation"=dword:00000001 "DisableTaskMgr"=dword:00000001 "DisableChangePassword"=dword:00000001 ; Recomanacions d'accés al registre: ; ; Els grups 'Usuaris' i 'Tothom' no haurien de tenir accés a l'arbre: ; HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog ; ; Els grups 'Usuaris' i 'Tothom' haurien de tenir accés especial a: ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Profile List ; i a les operacions del registre: demanar valor, crear subclau, ; enumerar subclaus, notificar i control de lectura. ; ; Els grups 'Usuaris' i 'Tothom' haurien de tenir accés de lectura a: ; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ; HKEY_LOCAL_MACHINE\SOFTWARE\Classes ; HKEY_LOCAL_MACHINE\SOFTWARE\Windows 3.1 Migration Status ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Embedding ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Type 1 Installer ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\MCI Extenstions ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontDrivers ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontCache ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontMapper ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW ; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports PROTEGINT/DESPROTEGINT WINDOWS 95, 98 i ME A TRAVES DEL REGISTRE ---------------------------------------------------------------- REGEDIT4 ; 9x: Inhabilitar el caché intern de contrasenyes. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Network] "DisablePwdCaching"=dword:00000001 ; 9x: Emprar el servei d'actualització de Windows sense registrar-se. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Welcome\RegWiz] "RegDone"="1" ; 9x: Treure les icones dels discos a 'El meu PC'. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"=dword:03ffffff ; 9x: Treure totes les icones de l'escriptori. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDesktop"=dword:00000001 ; 9x: Treure icones de l'escriptori segons el seu identificador de classe. ; El meu PC: {20D04FE0-3AEA-1069-A2D8-08002B30309D} ; El meu maletí: {85BBD920-42AO-1069-A2E4-08002B30309D} ; Escriptori: {00021400-0000-0000-C000-0000000000046} ; Fonts: {BD84B380-8CA2-1069-AB1D-08000948534} ; Historial: {FF393560-C2A7-11CF-BFF4-444553540000} ; Impressores: {2227A280-3AEA-1069-A2DE-08002B30309D} ; Marcat telefònic: {992CFFA0-F557-101A-88EC-00DD01CCC48} ; Microsoft Network: {00028B00-0000-0000-C000-000000000046} ; Pannell de control: {21EC2020-3AEA-1069-A2DD-0B002B30309D} ; Paperera de reciclatge: {645FF040-5081-101B-9F08-00AA002F954E} ; Safata d'entrada: {00020D76-0000-0000-C000-000000000046} ; Veïnatge de xarxa: {208D2C60-3AEA-1069-A2D7-08002B30309D} ; esborrar [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\CLSID_de_icona] ; 9x: Modificar icones de l'escriptori segons el seu identificador de classe. [HKEY_CLASSES_ROOT\CLSID\CLSID_de_icona\ShellFolder] ; Per renombrar: "Attributes"=hex:50,01,00,20 ; Per esborrar: "Attributes"=hex:60,01,00,20 ; Per renombrar i esborrar: "Attributes"=hex:70,01,00,20 ; Per tallar, copiar i pegar: "Attributes"=hex:47,01,00,20 ; Per deixar-ho tal i com estava: "Attributes"=hex:40,01,00,20 ; 9x: Guardar canvis de l'escriptori i protegir-lo de canvis al registre. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=dword:00000001 ; 9x: Esborrar les opcions 'executar' i 'cercar' del menú d'inici. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"=dword:00000001 "NoRun"=dword:00000001 ; 9x: Afegir i treure opcions del menú contextual. [HKEY_CLASSES_ROOT\Directory\Shell] ; Per treure una opció, esborrar el nom de la clau. ; Per afegir una opció, crear una nova clau amb el nom de l'opció, ; dins crear una altre clau anomenada 'command', i ; dins el valor 'default' de 'command' escriure el nom del programa a cridar. ; 9x: Treure l'opció d'apagar el sistema. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"="1" ; 9x: Visualitzar un missatge cada cop que s'iniciï el sistema. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WinLogon] "LegalNoticeCaption"="text a la barra de menú" "LegalNoticeText"="text a una petita finestra" ; 9x: Restriccions a les activitats dels usuaris. ; Com el nom es prou indicatiu i són moltes, no les comentaré. [HKEY_CURRENT_USER/Software/Microsoft/CurrentVersion/Policies/Explorer] "NoDeletePrinter"=dword:00000001 "NoAddPrinter"=dword:00000001 "NoFind"=dword:00000001 "NoRun"=dword:00000001 "NoClose"=dword:00000001 "NoLogoff"=dword:00000001 "NoNetHood"=dword:00000001 "NoDesktop"=dword:00000001 "NoDrives"=dword:00000001 "NoDriveTypeAutoRun"=dword:00000095 "NoFavoritesMenu"=dword:00000001 "NoTrayContextMenu"=dword:00000001 "NoViewContextMenu"=dword:00000001 "NoRecentDocsMenu"=dword:00000001 "NoRecentDocsHistory"=dword:00000001 "ClearRecentDocsOnExit"=dword:00000001 "NoDesktopUpdate"=dword:00000001 "NoSetActiveDesktop"=dword:00000001 "NoFolderOptions"=dword:00000001 "NoSetFolders"=dword:00000001 "NoSetTaskbar"=dword:00000001 "NoSaveSettings"=dword:00000001 "DisableRegistryTools"=dword:00000001 "NoInternetIcon"=dword:00000001 [HKEY_CURRENT_USER/Software/Microsoft/CurrentVersion/Policies/System] "NoDispCPL"=dword:00000001 "NoDispBackgroundPage"=dword:00000001 "NoDispScrsavPage"=dword:00000001 "NoDispAppearancePage"=dword:00000001 "NoDispSettingsPage"=dword:00000001 "NoSecCPL"=dword:00000001 "NoPwdPage"=dword:00000001 "NoAdminPaqe"=dword:00000001 "NoProfilePage"=dword:00000001 "NoDevMgrPage"=dword:00000001 "NoConfigPage"=dword:00000001 "NoFileSysPage"=dword:00000001 "NoVirtMemPage"=dword:00000001 [HKEY_CURRENT_USER/Software/Microsoft/CurrentVersion/Policies/Network] "NoNetSetupSecurityPage"=dword:00000001 "NoNetSetup"=dword:00000001 "NoNetSetupIDPage"=dword:00000001 "NoNetSetupSecurityPage"=dword:00000001 "NoFileSharingControl"=dword:00000001 "NoPrintSharing"=dword:00000001 [HKEY_CURRENT_USER/Software/Microsoft/CurrentVersion/Policies/WinOldApp] "Disabled"=dword:00000001 "NoRealMode"=dword:00000001 TRUCS PER SALTAR-SE LES PROTECCIONS ----------------------------------- Un administrador pot haver imposat localment les restriccions que acabem de veure, ja sigui directament sobre el registre, ja sigui mitjançant eines administratives que venen amb NT o Windows 9x (amb Windows 98 ve l'eina 'PolEdit', que hi és a la carpeta 'Resource Kit' del CD i no s'instal·la per defecte). Per saltar-nos les restriccions podem modificar de nou el registre (si aquest no està bloquejat) o inclús, en el cas de Windows 9x, esborrar els fitxers c:\windows\user.dat i c:\windows\system.dat, que contenen la informació del registre, i reiniciar la maquina. Si l'administrador ha imposat les restriccions remotament a traves del servidor principal, llavors hem de buscar petits trucs que permetin saltar-se aquestes restriccions sense tocar el registre. Com que la seguretat no és el punt fort dels sistemes operatius Microsoft, de segur que trobareu molts d'aquests trucs. Aquí van uns quants: * Si han tret l'opció d'apagar el sistema podeu prémer l'interruptor :-) o bé executar des de la línia de comandes: 'C:\Windows\rundll.exe user.exe,exitwindowsexec' per reiniciar Windows o bé 'C:\Windows\rundll.exe user.exe,exitwindows' per apagar Windows. * Si han tret l'accés a una carpeta, feu Menú Inici -> Executar -> nom_carpeta. Si també han tret l'opció executar del menú d'inici, podeu crear un accés directe a qualsevol carpeta o fitxer, i desprès canviar la ruta cap a la carpeta que realment voleu accedir a les propietats de l'accés directe. També podeu anar al MS-DOS i escriure START nom_carpeta. Per cert: sabíeu que per canviar la icona d'una carpeta basta amb crear dins la carpeta el fitxer folder.ini ocult i de només lectura amb el text [.ShellClassInfo] ICONFILE=Disc:\Camí\nom.extensió * Si han tret l'accés a l'explorador de Windows, podeu executar els fitxers winfile.exe i explorer.exe, encara que el navegador d'Internet també va molt bé per explorar el sistema (escriviu com a adreça el nom de la unitat a accedir, per exemple file:///C:/WINDOWS/). Aquest últim mètode també va bé quan han tret l'accés a una unitat de disc en concret (però recordeu que l'accés a la disquetera i d'altres unitats de disc es pot treure també mitjançant la BIOS, o desconnectant els cables de dades i/o alimentació). Per cert: sabíeu que per canviar icona d'un disc basta amb crear dins el disc el fitxer autorun.inf amb el text [Autorun] ICON=Disc:\Camí\nom.extensió * Si han tret l'accés al MS-DOS, executeu o creeu un accés directe cap el fitxer command.com. * Si han tret l'opció de cerca del menú d'inici i de l'explorador de Windows i voleu cercar un fitxer, sortiu al MS-DOS i executeu 'dir nomfitx.ext /s'. * Si han tret l'opció de cerca del menú d'inici i de l'explorador de Windows i voleu cercar un ordinador, sortiu al MS-DOS i executeu 'Net View' per veure el veïnatge de xarxa, 'Net View \\NomOrdinador' per veure els recursos compartits d'un ordinador de la xarxa, i 'Net use x: \\NomOrdinador\RecursCompartit' per connectar el recurs compartit al disc de xarxa x:. * Si han tret l'opció d'executar del menú d'inici, encara podeu executar programes de mil i una maneres. La més curiosa per a mi és a través d'un script de Visual Basic a Microsoft Word 97. Pregunteu-li com al Pancake. * Si han tret altres opcions o accessoris del menú d'inici, podeu executar el programa 'groupconv.exe' de Windows, que restaurarà el menú d'inici original. * Si han tret l'accés a la carpeta d'impressores, encara podem provar d'instal·lar alguna impressora entrant al veïnatge de xarxa i seleccionant el nostre ordinador. La carpeta d'impressores serà llavors accessible. * Si han tret l'accés al pannell de control, anem al menú d'inici i executem l'ajuda de Windows per tal de cercar ajuda a l'índex sobre el pannell de control. Fixeu-vos que per cada opció del pannell de control apareix un subtòpic a l'ajuda. Quan feu clic sobre el subtòpic apareixerà una petita pantalla d'ajuda amb un enllaç cap aquella opció del pannell de control. D'aquesta manera podreu accedir a les propietats d'entorn de xarxa, afegir i treure programes, etc. Una altra manera d'accedir a les opcions del pannell de control és executar els fitxers amb extensió .cpl que es troben al directori c:\windows\system o c:\winnt\system\ (per ser més correctes, a %windir%\system). * Si han tret l'opció d'establir el fons de pantalla, podeu obrir la vostra imatge bitmap amb l'accessori 'Paint' i al menú 'Fitxer' escollir 'Establir com a fons de pantalla'. Això serveix només per a una sessió, però. Per cert: sabíeu que per canviar les pantalles d'inici i aturada basta amb editar, respectivament, els fitxers logo.sys, logos.sys i logow.sys, com si fossin imatges bitmap. * Hi ha alguns valors de claus del registre que van especialment bé per executar algun programa a inici del sistema: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] A més a més hi ha d'altres valors de claus al registre que permeten executar programes de manera més amagada però menys neta: Cridar un troià cada cop que s'executi un programa [HKEY_CLASSES_ROOT\exefile\shell\open\command] "arxiu_executable "%1" %*" en lloc de ""%1" %*" Cridar un troià cada cop que s'obri un fitxer amb determinada extensió [HKEY_CLASSES_ROOT\extensio\shell\open\command] "arxiu_executable "%1" %*" en lloc de ""%1" %*" Creant una nova entrada per un controlador de dispositiu [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services] Modificant una entrada a 'instal·lar/desinstal·lar programes' [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall] Si han tret l'accés al registre, encara i així podeu executar programes a l'inici de Windows, encara que d'una manera menys elegant i amagada: - Cridant a Windows com 'win arxiu_executable' dins 'autoexec.bat' - Incloent 'arxiu_executable' a 'winstart.bat' - Incloent 'LOAD=arxiu_executable' o 'RUN=arxiu_executable' a la secció [windows] de 'win.ini'. - Incloent 'Shell=Explorer.exe arxiu_executable' a la secció [boot] de 'system.ini'. - Copiant o enllaçant el programa a la carpeta 'C:\WINDOWS\menu inici\programes\inici'. BIBLIOGRAFIA ------------ * El registre de Windows: - Jo mateix. * El registre a Windows 9x i NT: - Llibre "Windows NT 4.0 Server: instalación y gestión". - "The Registry Torn Apart" - http://blacksun.box.sk/reg.txt * Modificacions al registre de Windows 9x i NT: - Mil i un retalls a revistes d'informàtica. - http://www.microsoft.com/technet/security/C2config.asp - http://hackerzlair.org/NT_security.reg - "Windows Tips and Tricks" - http://blacksun.box.sk/untold.html * Trucs per saltar-se les proteccions: - Jo mateix i d'altra gent. - "Autostart programs" - http://www.elfqrin.com/docs/autostart-win.html * I molt més ... http://www.regedit.com ------------------------------------------------------------------------------ Protegint i Desprotegint Windows a través del Registre - Revisió 1.5 Copyleft (c) Alejandro Castán Salinas Es concedeix el permís per copiar, distribuir i/o modificar aquest document sota els termes de la llicència de documentació lliure GNU, versió 1.1 o qualsevol altra versió posterior publicada per la Free Software Foundation. Podeu consultar dita llicència a http://www.gnu.org/copyleft/fdl.html. El contingut d'aquest document pot canviar degut a ampliacions i a correccions enviades pels lectors. Trobareu sempre la ultima versió del document a http://www.xtec.net/~acastan/textos/.