¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Internal Hacking y contramedidas en entorno Windows
  3. Superar las restricciones de software
Extrait - Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas (2º edición)
Extractos del libro
Internal Hacking y contramedidas en entorno Windows Pirateo interno, medidas de protección, desarrollo de herramientas (2º edición) Volver a la página de compra del libro

Superar las restricciones de software

Superar las directivas de grupo

1. Principio de las directivas de grupo

Las directivas de grupo están definidas generalmente a nivel de la empresa por un administrador de dominio. Crea reglas que son aplicadas después a nivel del usuario o a nivel de equipo. Estas reglas, las GPO (Group Policy Object), se refrescan en un intervalo configurable también por el administrador (por defecto, 90 minutos en los puestos de trabajo clientes). Cuando una GPO es aplicada a un software como Office o Internet Explorer, aplica las reglas configu-radas en el arranque del programa. Al arrancar el programa, este último va a leer las restricciones en el registro y las aplica al usuario. Cuando se aplica una GPO a parámetros de sistema, el momento de la aplicación dependerá de los parámetros. Si estos parámetros se aplican a una restricción software como la prohibición de usar el editor del registro o el administrador de tareas, o gestionar el cortafuegos, entonces el principio es generalmente el mismo; es la aplicación la que, en el momento de su apertura, leerá las restricciones aplicadas en el registro del usuario y en el registro local del equipo. Algunas funcionalidades bloqueadas por GPO se leen únicamente en el arranque del sistema o al inicio de la sesión. Si el registro se modifica después del arranque, no afectará a estos parámetros.

2. Bloquear la ejecución de las GPO

Para bloquear la aplicación de GPO, debe impedir a la aplicación bloqueada leer las restricciones del registro. Con anterioridad a Windows 7, era posible definir la seguridad de las claves de registro donde se almacenaban las restricciones e impedir al sistema que volviera a aplicar los permisos. Desde Windows 7 el sistema vuelve a aplicar automáticamente los permisos. Una de las maneras más simples consiste, por lo tanto, en suprimir regularmente las claves de registro. Para ello es necesario disponer de privilegios de administrador sobre el equipo.

a. Bloquear las directivas de grupo de usuario

Para impedir la aplicación de las restricciones a nivel de usuario, lo ideal es crear una tarea o un programa que se ejecutará cada 2 minutos para estar seguros de que, cuando el sistema vuelva a aplicar automáticamente las restricciones, estas serán rápidamente...

Esquivar las restricciones corrientes

Como se habrá percatado, la mayor parte de las directivas de grupo no bloquean una aplicación, sino que es la aplicación la que se bloquea leyendo su restricción en el registro. No siempre es posible modificar o suprimir las claves de registro que limitan una actividad, ya que se necesitan permisos suficientes en el sistema. Microsoft propone a los administradores otras herramientas distintas de las GPO para forzar un determinado funcionamiento; por ejemplo, Preferencias, AppLocker o el despliegue de las claves de registro por medio de scripts en el inicio de sesión.

Los usuarios tienen también medios para rodear las restricciones clásicas configuradas. Entre estos medios integrados en el sistema operativo, tenemos:

  • La ventana de comandos.

  • PowerShell.

  • La creación de un programa .NET que usa o no WMI, y la compilación.

  • La creación de una macro en un documento de Office.

  • La creación de un script VBS que utiliza, según el caso, WMI.

El sistema operativo contiene todo lo necesario para evitar las restricciones impuestas por una directiva. Si el usuario es administrador de su equipo, las directivas de grupo podrán ser esquivadas o eliminadas en su casi totalidad. Vamos a enumerar las más frecuentes, así como los medios más utilizados para eludirlas.

1. El explorador de Windows

El explorador de Windows está totalmente integrado en el sistema. Lo usa en cuanto navega por sus carpetas. El administrador puede elegir esconder o impedirle acceder a un disco aplicando una directiva de grupo. Aquí no se trata de la seguridad definida con NTFS, sino del acceso a todo un disco.

a. Principio de funcionamiento

Como ha podido ver en el apartado anterior, cuando el sistema operativo aplica una directiva de grupo, escribe estas informaciones en el registro. Las claves de registro que corresponden a este bloqueo son las siguientes:


HKCU\Software\Microsoft\Windows\CurrentVersion\\Policies\\explorer 
"NoDrives"=dword:00000001 
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer 
"NoViewOnDrive"=dword:00000001 
HKLM\Software\Microsoft\Windows\CurrentVersion\\Policies\\explorer 
"NoDrives"=dword:00000001 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer 
"NoViewOnDrive"=dword:00000001

Las restricciones pueden estar...