Seguridad: LSA Secrets

Además de guardar contraseñas en AD o en las SAM, Windows Server 2003, Windows 2000 y Windows XP almacenan contraseñas y otros secretos en otras ubicaciones para una variedad de propósitos.

LSA secrets

Local Security Authority mantiene información sobre todos los aspectos de la seguridad local del sistema operativo. LSA lleva a cabo:

    • Autentica usuarios
    • Administra las directivas locales de seguridad
    • Administra las directivas de auditorías y su configuración
    • Genera testigos de acceso.

Además, almacena información usada por el sistema, conocida como secretos LSA. Estos secretos incluyen elementos como información sobre RAS; contraseñas de relaciones de confianza; y nombres de usuario, contraseñas y nombres de cuentas. Quizás lo más importante sea que los nombres de cuentas y las contraseñas para servicios que se ejecutan bajo el contexto de cuentas de usuario están almacenadas como secretos LSA. Estos secretos pueden ser revelados localmente mediante cuentas con programas de depuración con derechos de usuario. Consecuentemente, debemos ser cuidadosos sobre la información que las aplicaciones almacenan en los secretos LSA. Un atacante que comprometa físicamente el equipo o convertirse en administrador del sistema pueden conseguir acceder fácilmente a la información almacenada si no se toman otras precauciones, como usar syskey.exe (System Key).

Syskey se introdujo en el SP2 de Windows NT 4.0 y está habilitado de forma predeterminada en Windows Server 2003, Windows 2000 y Windows XP.
syskey
System Key es la clave maestra utilizada para proteger la clave cifrada de contraseña y la contraseña de cuenta de equipo, por lo tanto, es una operación de seguridad del sistema crítica.

Data Protection API

La API de protección de datos DPAPI habilita a los secretos para ser almacenados con seguridad mediante aplicaciones, usando la clave derivada de la contraseña del usuario. El cifrado de secretos sólo puede realizarse localmente, a menos que se usen perfiles móviles. Si la contraseña del usuario se reinicia, la clave utilizada por DPAPI se perderá a menos que haya sido recuperada previamente. DPAPI sólo está disponible en Windows Server 2003, Windows 2000 y Windows XP. Usando esta API las aplicaciones pueden almacenar la información cifrada, en el registro o en una base de datos. En Windows XP y Server 2003 DPAPI se usa para la protección de las claves de EFS (Encrypting File System) en grupos de trabajo.

Credenciales salvadas

De forma predeterminada, Windows Server 2003, Windows 2000 y Windows XP salvan las credenciales de las cuentas de dominio usadas para iniciar sesión en la red en el equipo local. Estas credenciales incluyen el nombre de usuario, la contraseña y el nombre del dominio. Más que almacenarla, la información se guarda con una forma de cifrado irreversible y en el equipo local. En cuanto un usuario inicia sesión correctamente en la red desde un equipo una vez, el puede usar sus credenciales de dominio, aun si el equipo no se encuentra conectado a la red o no hay controladores de dominio en ese instante. Esta funcionalidad es crítica en el caso de usuarios en oficinas remotas sin DCs locales o usuarios de portátiles. Podemos variar el número de credenciales salvadas en un equipo en cualquier momento configurándolo en la clave del registro siguiente:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonCachedLogonsCount

De forma predeterminada el valor de la entrada tipo REG_SZ es 10, podemos cambiarlo entre 0 y 50, dependiendo de nuestras necesidades.

En redes de alta seguridad el valor debe ser 0. Se obliga a la presencia de un DC para la comprobación de las credenciales del usuario. Esto impedirá que un usuario inicie sesión con credenciales salvadas. Aunque las credenciales salvadas están cifradas de manera irreversible no son invulnerables a ataques de fuerza bruta, aunque en ello influirá la contraseña elegida por el usuario.

Gestor de credenciales

Windows XP introduce un nuevo método de administración de credenciales, y que también está implementado en Windows Server 2003. Esta funcionalidad la encontramos en el Panel de Control,  Nombres de usuarios y contraseñas almacenados, desde el que podemos administrar:

  • Usuarios y contraseñas
  • Certificados X.509, incluyendo smart cards.
  • Cuentas passport

credentialmanager

Un comentario sobre “Seguridad: LSA Secrets”

Responder a anonymous Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *