¿Qué son los Recursos Compartidos?
Los recursos compartidos son recursos creados por defecto en la red en todos los sistemas basados en la tecnología Windows NT (NT/2000/XP/2003/Vista/Windows 7). Estos recursos por defecto comparten cada unidad de disco en el sistema. Esto permite a que cualquiera que se pueda identificar como miembro del grupo de Administradores locales, accedan al directorio raíz de cada unidad de disco en el sistema.
Esto no es usado o útil fuera de un ambiente empresarial.
Estos recursos están ocultos, pero disponibles con un control total para el dominio de administradores. Para intentar tener una red segura, se debe considerar manejar este potenciala problema de seguridad deshabilitando estos recursos compartidos o al menos restringiendo los permisos a usuarios o servicios específicos.
Nombres Compartidos
Los recursos compartidos es el término definido por Microsoft para la colección de recursos del sistema de archivo que son automáticamente compartidos. Estos incluyen:
• cualquiera letra de unidad + $ (solo para unidades de disco local, no incluye dispositivos extraíbles como CD/DVD, memorias USB)
• admin$ (el cual da acceso a %SYSTEMROOT%, que es generalmente C:WINDOWS o C:WINNT)
El agregar “$” al final del nombre compartido se interpreta como un recurso compartido y oculto. Windows no listará estos recursos cuando una máquina cliente solicita ver los directorios compartidos en la red por una máquina en particular. Esto es, que uno necesita saber el nombre del recurso administrativo para poder acceder a él.
Entonces tenemos que para acceder a un recurso compartido debemos referenciar la máquina y el nombre del recurso:
NombredelaComputadoraenlaRed(Letra de la Unidad)$
Por ejemplo:
MiComputadorac$
Esto representa el recurso compartido para la unidad C en la computadora llamada “MiComputadora”.
Los recursos compartidos por defecto son:
• C$ D$ E$ – Raiz de cada partición, Windows NT workstation/W2K/2003/XP
• ADMIN$ – %SYSTEMROOT% La carpeta C:Windows.
• FAX$ – W2K Server.
• IPC$ – Administración remota al sistema de registo.
• PRINT$ – La carpeta %SYSTEMROOT%SYSTEM32SPOOLDRIVERS
¿Cómo ocultarlos?
Los recursos administrativos pueden ser eliminados por los miembros Administradores pero los recursos administrativo se recrearán automaticamente en el proximo reinicio.
El siguiente cambio en la configuracion del registro (usando regedit) puede ocultar por completo los recursos administrativo. Si las claves no estan presentes, deberán ser creadas.
Servivores
Windows NT 4.0 Server, Windows 2000 Server, Windows Server 2003
Hive: HKEY_LOCAL_MACHINE
Key: SYSTEMCurrentControlSetServicesLanManServerParameters
Name: AutoShareServer
Data Type: REG_DWORD
Value: 0
Clientes
Windows NT 4.0 Workstation, Windows 2000 Professional, Windows XP
Hive: HKEY_LOCAL_MACHINE
Key: SYSTEMCurrentControlSetServicesLanManServerParameters
Name: AutoShareWks
Data Type: REG_DWORD
Value: 0
¿Cómo deshabilitar?
Microsoft no detalla ningun metodo para deshabilitar los recursos administrativos. El comando:
NET SHARE C$ /delete
puede ser ejecutado para deshabilitar el directorio raíz de una computadora en red. El problema es que al reiniciar, el recurso se volverá a crear automáticamente.
Un truco común es crear un archivo batch con los comandos para deshabilitar todos los recursos administrativos (ejecutando el comando “NET SHARE”), y programando el script para ejecutarse en cada inicio del sistema, a través del Administrador de Tareas de Windows.
Generalmetne, los siguientes comandos, son los ultilizados en el archivo batch. Y este puede deshabilitar exitosamente los recursos administrativos en Windows XP o Windows Vista:
NET SHARE C$ /delete
NET SHARE D$ /delete
NET SHARE admin$ /delete
¿Cómo habilitarlo en Windows Vista y Windows Seven?
Por defecto, Windows Vista y nuevas versiones de Windows previenen que cuentas locales accedan a los recursos administrativos a través de la red.
Para habilitar los recursos administrativos debemos hacer un cambio en el registro. Vamos a Inicio y en cuadro de busqueda escribimos ‘regedit’, entonces presionamos ENTER. Agregamos el siguiente item al registro:
Hive: HKEY_LOCAL_MACHINE
Key: SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Name: LocalAccountTokenFilterPolicy
Data Type: REG_DWORD
Value: 1
Después de reiniciar, los recursos ocultos serán accesibles desde otras computadoras.
Seguridad y Prevención
Prevenir el acceso
Deshabilitar los recursos administrativos puede mitigar muchos riesgos de seguridad conocidos. Por ejemplo, virus como el Confiker que realizan ataques de diccionario a los recursos administrativos.
Aproximaciones alternativas para prevenir la navegación remota del contenido de los discos, incluye:
• Remover a los “Administradores” en la solapa Seguridad de la unidad en cuestión. Esto evitará que cualquier admin externo local acceda a la unidad aunque aún permitamos el acceso local de admin.
• Deshabilitar el Compartir Archivos e Impresoras (o desligar el protocolo NetBT)
• Detener o deshabilitar el servicio de Workstation
• Establecer reglas de bloqueo IPSec que prevengan la entrada de conexiones por los puertos 445/tcp y 445/udp
• Remover la membresia en el grupo de Administradores para aquellos usuarios/grupos que deseemos bloquear.
• Encriptar los archivos que deben permanecer confidenciales usando una tecnologia basada en encriptacion (tal como EFS o RMS) que requiera el acceso a claves por descripcion del usuario para obtener acceso a los contenidos en texto plano de dichos archivos.
Nota: Algunas aplicaciones dependen de la presencia de esos recursos compartidos. Si algo deja de funcionar, será necesario rehabilitar esos recursos.
Nota de Seguridad: Desafortunadamente este truco del registro no detiene compartir IPC$ y es un recurso utilizado a menudo por los hackers para listar los sistemas antes del ataque, obteniendo así una buena cantidad de información acerca de los nombres del sistema, nombres de usuario, etc. Si los permisos ACL no son correctos o no ha deshabilitado el acceso de usuarios anónimos o no ha deshabilitado la cuenta invitado esto puede comprometer su sistema en cuestión de minutos!