Regedit on Adrián Lois

Credenciales almacenadas en caché de RDP: riesgos y mitigación

Sat, 03 Nov 2018 18:23:00 +0000

En el artículo anterior había comentado sobre la Gestión y recuperación de credenciales almacenadas en recursos y servicios de Windows. En relación a esto quiero abordar el caso concreto del almacenamiento de credenciales en caché para el servicio de RDP, su comportamiento por defecto, riesgos de seguridad que esto supone y cómo mitigarlos correctamente.

Windows permite de forma predeterminada que el cliente de Escritorio Remoto (RDP) recuerde las credenciales introducidas en sesiones previamente establecidas.

Licencias RDP entre Windows Server 2016 y Windows Mobile (RDM, Windows CE, RDP 5.x/6.x)

Thu, 19 Jul 2018 19:30:00 +0000

Actualmente RDP (Remote Desktop Protocol) está en versión 10.x y versiones más actualizadas que incluyen importantes mejoras de seguridad. Mejoras como una mayor longitud de clave generada por el servidor de licencias RDS 4096 bits con un algoritmo de seguridad SHA256 soportando SSL/TLS y NLA (Network Level Authentication).

Versiones iguales o inferiores a RDP 6.x no soportan las características anteriores. El límite de longitud para las claves es de 2048 bits con algoritmo de seguridad SHA1 (Secure Hash Algorithm 1).

Permitir ejecuciones remotas con cualquier usuario en C$ (LocalAccountTokenFilterPolicy)

Sat, 25 Jun 2016 11:33:00 +0000

En Windows existen ciertos recursos compartidos establecidos por defecto con intenciones administrativas. Entre ellos está el conocido C$ (C dolar, el símbolo “$” indica que se trata de un recurso que el sistema mantiene “oculto”), que seguramente muchos usaríamos para poder conectarnos al equipo remoto de una red de forma subyacente al usuario de ese equipo, básicamente tener acceso a su disco del sistema C: (letra de unidad asignada por defecto en sistemas Windows).

Eliminar la caché de equipos en conexiones RDP

Wed, 26 Aug 2015 10:00:00 +0000

Si hemos realizado conexiones por Terminal Services (escritorio remoto) veremos que estas guardan o quedan cacheadas en el panel de conexión por escritorio remoto.

La caché guarda temporalmente los datos recientemente procesados de modo que la siguiente vez que nos queramos conectar a otro equipo lo tengamos más cómodo a la hora de introducir los datos necesarios.

Iniciar aplicaciones antes de la carga de perfiles de usuario

Sun, 23 Aug 2015 22:33:00 +0000

Si queremos iniciar una determinada aplicación en background antes de la carga de cualquier perfil de usuario, de modo que ya esté disponible cuando encendamos el equipo y nos aparezca la pantalla de bienvenida de Windows sin necesidad de iniciar sesión en la máquina local.

Vector clásico de persistencia
Modificar HKLM\...\Winlogon\Userinit es una técnica documentada de persistencia (MITRE ATT&CK T1547.004). Cualquier alteración será marcada por EDR/AV maduros y queda en logs forenses. Si lo usas como administrador legítimo, documenta el binario añadido y notifica al equipo de seguridad para evitar incidentes.

Registro de Windows desde CLI: estructura y jerarquía (regedit)

Tue, 07 Jul 2015 23:42:00 +0000

Dejo una estupenda guía muy detallada y extensa de “© Fernando Reyes López” es ya de 2005, pero al tratarse de una guía que habla sobre el registro de Windows y su interacción en consola no varía prácticamente nada en su uso hasta la fecha actual.

Debido a que no es una guía mía y es muy extensa mejor dejo el enlace directo a la propia web del autor:

http://freyes.svetlian.com/registro/registro.htm

Guía detallada de la estructura jerárquica del registro de Windows (regedit).

WER (Windows Error Reporting): logs de crashes y bloqueos

Fri, 26 Dec 2014 12:27:00 +0000

En ocasiones ocurren inesperados crashes en aplicaciones o procesos del sistema que provocan a su vez comportamientos anómalos (cuelgues/congelados) en software de terceros.

Errores habituales del tipo: “explorer.exe dejó de responder”, “iexplorer.exe dejó de funcionar”, “ocurrió un error inesperado con outlook.exe, dejó de funcionar”, etc.

Para este tipo de casos y poder generar un log en el que podamos analizar por qué dicha aplicación se quedó bloqueada, es necesario habilitar el servicio Windows Error Reporting (WER) en los servicios de Windows, por defecto suele estar habilitado.