Proyecto Cero (OPIDUM) – www.proyecto-cero.com

Hispasec presenta LapSec

Hispasec ha desarrollado una herramienta destinada a intentar mitigar con un solo click los riesgos más importantes que puede conllevar utilizar un sistema operativo Windows en un portátil. Cada vez que se instala (o se encuentra de serie) un Windows en un ordenador portátil, se deberían realizar los mismos cambios (específicamente útiles para portátiles) para intentar que se mantenga un poco más seguro. Ofrecemos una herramienta gratuita para automatizar el proceso.

LapSec viene de “Laptop Securer” y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias tareas. No está destinado a asegurar “por completo” un sistema, sino que pretende facilitar las modificaciones más importantes para un “bastionado” de ordenador portátil, mucho más susceptible de ser perdido o sustraído. Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows en general, pero que no han sido implementadas en LapSec por resultar medidas más “genéricas” que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para portátiles.

El principal objetivo a la hora de asegurar un portátil es: a) que nadie acceda al sistema operativo (o al sistema de ficheros) b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro. Esto hemos intentado conseguirlo con las siguientes medidas implementadas en el programa:

* Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).

* Sobrescribir el archivo de memoria paginada (pagefile.sys)

* Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación

* Activar la protección por contraseña del salvapantallas.

* Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.

* Comprobar la existencia de contraseña del usuario.

* Comprobar la complejidad de las contraseñas.

* Comprueba la activación de la contraseña en la consola de recuperación.

* Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.

* Deshabilitar la hibernación (hibernation.sys).

* Deshabilitar la cuenta de administrador y de invitado del sistema.

* Cifrado de la carpeta Mis Documentos.

* Exportación del certificado de forma sencilla para casos de “desastre”.

* Además de activar estas funcionalidades propias de Widnows, añade un sistema de borrado seguro, accesible a través del menú contextual de los archivos.

El programa no es “complejo” pero creemos es muy cómodo. Agradecemos a quien encuentre bugs (que seguro contiene) o quien desee aportar sugerencias, que nos escriba a lapsec@hispasec.com.

La interfaz está en inglés, aunque la ayuda la hemos escrito tanto en español como inglés.

NOTA: Sí, para asegurar un portátil, probablemente lo más eficaz es utilizar TrueCrypt en la partición del sistema. Pero este programa pretende ayudar ahí donde, por cualquier razón, usar TrueCrypt no es posible.

ADVERTENCIA: Este software se distribuye “tal como es”. No implica ningún tipo de garantía, expresa o implícita. Debes usarlo asumiendo el riesgo. Hispasec Sistemas no se hará responsable de cualquier tipo de daño o pérdida derivada del uso correcto o incorrecto de este software.

Puede ser descargado desde
http://www.hispasec.com/lapsec/

Vulnerabilidad en SonicWALL SSL-VPN End-Point (CVE-2010-2583)

Tipo: No Disponible/Otro tipo + Error de búfer Gravedad: Alta Fecha de publicación: 03/11/2010 Última modificación: 04/11/2010

Descripción

Desbordamiento de búfer basado en pila en el control ActiveX SonicWALL SSL-VPN End-Point Interrogator/Installer anterior a v10.5.2 y v10.0.5 hotfix 3, permite a atacantes remotos ejecutar código de su elección a través de los argumentos (1) CabURL y (2) Location de gran tamaño al método Install3rdPartyComponent.

Impacto

Vector de acceso: A través de red

Complejidad de Acceso: Media

Autenticación: No requerida para explotarla

Tipo de impacto : Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema

Productos y versiones vulnerables

  • SonicWALL – ssl-vpn_end-point_interrogator/installer_activex_control – 2.1 IA64
  • SonicWALL – ssl-vpn_end-point_interrogator/installer_activex_control – 2.1

Se ha modificado MaxActiveQueries

La Herramienta Microsoft® Exchange Server Analyzer consulta el servicio de directorio de Active Directory® para determinar el número máximo de consultas de Protocolo ligero de acceso a directorios (LDAP) que se pueden procesar al mismo tiempo. Para obtener este valor, se examinan las directivas administrativas de LDAP actuales. En concreto, la Herramienta Exchange Server Analyzer comprueba la presencia de MaxActiveQueries. Si la herramienta determina que MaxActiveQueries existe y está configurado con un valor distinto de 20, se muestra un mensaje de configuración no predeterminada.

Los límites administrativos de LDAP equilibran las capacidades operativas de Active Directory y su rendimiento. Estos límites evitan que determinadas operaciones afecten negativamente al rendimiento del servidor. El aumento de esta configuración por encima de su valor predeterminado podría tener un efecto negativo en la infraestructura de Active Directory.

El valor MaxActiveQueries del atributo LDAPAdminLimits controla el número máximo de consultas LDAP simultáneas de la directiva de consulta predeterminada. De manera predeterminada, se impone un límite de 20 consultas activas. Si se llega a este límite, Active Directory devuelve “LDAP_ADMIN_LIMIT_EXCEEDED” y no procesa más consultas LDAP.

Para iniciar Ntdsutil.exe
  1. Haga clic en Inicio y, a continuación, en Ejecutar.
  2. En el cuadro de texto Abrir, escriba ntdsutil y, a continuación, presione Intro. Para ver la ayuda en cualquier momento, escriba ? en el símbolo del sistema.
Para ver la configuración de directivas
  1. En el símbolo del sistema de Ntdsutil.exe, escriba LDAP policies y, a continuación, presione Intro.
  2. En el símbolo del sistema de la directiva LDAP, escriba connections y, a continuación, presione Intro.
  3. En el símbolo del sistema de la conexión de servidor, escriba connect to server nombre DNS de servidor y, a continuación, presione Intro. Desea conectarse al servidor con el que trabaja actualmente.
  4. En el símbolo del sistema de la conexión del servidor, escriba q y, a continuación, presione Intro para volver al menú anterior.
  5. En el símbolo del sistema de la directiva LDAP, escriba Show Values y, a continuación, presione Intro.

    Se mostrarán las directivas existentes.

Aa997711.note(es-es,EXCHG.80).gifNota:
Este procedimiento sólo muestra la configuración de la directiva de dominio predeterminada. Si ha aplicado su propia configuración de directivas, no podrá verla.
Para cambiar la configuración de directivas
  1. En el símbolo del sistema de Ntdsutil.exe, escriba LDAP policies y, a continuación, presione Intro.
  2. En el símbolo del sistema de la directiva LDAP, escriba Set MaxActiveQueries to 20 y, a continuación, presione Intro.

    Puede utilizar el comando Show Values para comprobar los cambios.

  3. Para guardar los cambios, utilice Commit Changes.
  4. Cuando haya terminado, escriba q y, a continuación, presione Intro.
  5. Para salir de Ntdsutil.exe, en el símbolo del sistema, escriba q y, a continuación, presione Intro.

Para obtener más información acerca de la configuración de directivas LDAP, consulte el artículo 315071 de Microsoft Knowledge Base “How to view and set lightweight directory access protocol policies by using Ntdsutil.exe in Windows 2000”, (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=315071).

La interfaz MAPI está deshabilitada en el catálogo global

La Herramienta Microsoft® Exchange Server Analyzer lee la clave de Registro siguiente para determinar que dicha clave existe:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Initialize MAPI interface

Si la herramienta encuentra que la clave Initialize MAPI interface está presente y configurada para tener cualquier valor numérico, se muestra un error.

Cuando la clave de Registro Initialize MAPI interface está presente, los clientes de Microsoft Office Outlook® no podrán establecer contacto con la libreta de direcciones de este servidor. Para corregir este problema, debe quitar la clave de Registro Initialize MAPI interface.

Aa995789.important(es-es,EXCHG.80).gifImportante:
Este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de que sabe cómo restaurarlo en caso de que surja un problema. Para obtener información acerca de cómo realizar esta operación, consulte el tema de Ayuda “Restaurar el Registro” en Regedit.exe o Regedt32.exe.

Para corregir esta advertencia

  1. Abra un editor del Registro, como Regedit.exe o Regedt32.exe.
  2. Vaya a: HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Initialize MAPI interface
  3. Haga clic con el botón secundario en la clave Initialize MAPI interface y seleccione Eliminar.
  4. Cierre el editor del Registro y reinicie el servidor de Exchange.

Antes de modificar el Registro y para obtener información acerca de cómo realizar esta operación, consulte el artículo 256986 de Microsoft Knowledge Base “Definición del Registro Microsoft Windows”, (http://support.microsoft.com/&kb/256986/es).

Error del esquema de clase de grupo

La Herramienta Microsoft® Exchange Server Analyzer consulta el servicio de directorio de Active Directory® para determinar si la clase msExchBaseClass aparece en el atributo auxiliaryClass de objetos de grupo en el esquema de Active Directory.

Active Directory ha predefinido clases que establecen todos los tipos de objetos que el directorio debe tener para funcionar correctamente. Las definiciones de objetos se crean mediante el anidamiento de unas clases dentro de otras. Este anidamiento crea una relación de elementos principales y secundarios entre las clases.

La clase msExchBaseClass se agrega a Active Directory durante la instalación de Exchange 2000 Server, Exchange Server 2003 y Exchange Server 2007. msExchBaseClass es la clase básica auxiliar que se aplica a todas las clases extendidas por CDO para Exchange 2000 Server, Exchange Server 2003 y Exchange Server 2007 (CDOEX). CDOEX proporciona las interfaces y clases fundamentales del Modelo de objetos componentes (COM) que se utilizan para administrar la mayoría de los tipos de información del almacén de Exchange.

Si se modifica incorrectamente el esquema de Active Directory, puede romperse la relación entre la clase msExchBaseClass y el atributo auxiliaryClass de objetos de grupo. Esta ruptura puede provocar la inestabilidad del servidor de Exchange (dando lugar, por ejemplo, a errores de procesamiento en los Servicios de actualización de destinatarios) o impedir la instalación de nuevos servidores de Exchange Server 200x en la organización.

Si Exchange Server Analyzer detecta que la clase msExchBaseClass no aparece en el atributo auxiliaryClass de objetos de grupo en el esquema de Active Directory, significa que la relación está rota. Si la clase msExchBaseClass no aparece en el atributo auxiliaryClass de objetos de grupo en el esquema de Active Directory, se muestra un error.

Se ha reemplazado el puerto NSPI de catálogo global

La Herramienta Microsoft® Exchange Server Analyzer lee la entrada de Registro siguiente en servidores de catálogo global para determinar si la clave de Registro TCP/IP Port está configurada:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\TCP/IP Port

Si la herramienta encuentra que se ha configurado la clave de Registro TCP/IP Port, se muestra un mensaje de configuración no predeterminada.

La clave de Registro TCP/IP Port es necesaria cuando un servidor de catálogo global necesita utilizar un puerto específico para prestar servicio a clientes MAPI. Si en su entorno de Exchange no va a tener dicha necesidad, puede quitar la clave.

.

Aa998211.important(es-es,EXCHG.80).gifImportante:
Este artículo contiene información acerca de cómo modificar el Registro. Antes de modificar el Registro, asegúrese de que sabe cómo restaurarlo en caso de que surja un problema. Para obtener información acerca de cómo realizar esta operación, consulte el tema de Ayuda “Restaurar el Registro” en Regedit.exe o Regedt32.exe.
Para eliminar el puerto TCP/IP en el servidor de catálogo global
  1. Abra un editor del Registro, como Regedit.exe o Regedt32.exe.
  2. Vaya a: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
  3. Haga clic con el botón secundario en la clave TCP/IP Port y, a continuación, haga clic en Eliminar.
  4. Cierre el editor del Registro.
  5. Reinicie el equipo para que el cambio surta efecto.

Antes de modificar el Registro y para obtener información acerca de cómo realizar esta operación, lea el artículo 256986 de Microsoft Knowledge Base “Definición del Registro de Microsoft Windows”, (http://support.microsoft.com/&kb/256986/es).