Professional Documents
Culture Documents
Páxina 0
1. Xestión de accesos e credenciais
Unha vez concluído o proceso de arranque do sistema, o seguinte elo a asegurar será o re-
lativo ao acceso ao mesmo por parte de usuarios autorizados.
Xa comentamos na unidade anterior aspectos relacionados co proceso de autenticación
e como, na medida que nos sexa posible, debemos de optar sempre por mecanismos de do-
bre factor de autenticación (2FA). Seguiremos agora profundando máis neste tema vendo
algunhas características de Windows relacionadas co proceso de autenticación de usuarios
e a xestión das súas credenciais, así como algunhas recomendacións que compre ter en
conta.
Páxina 1
1.2 Grupos predefinidos
Os seguintes grupos de usuarios veñen predefinidos nos sistemas Microsoft Windows.
Imos repasalos brevemente:
Administradores. A este grupo só debería de pertencer o usuario Administrador local
(desactivado) e un usuario creado para labores administrativas. Se o sistema se atopa
unido a un dominio, por defecto o grupo Administradores do Dominio tamén perten -
cerá a el (xa veremos na próxima unidade que ista é algo que é recomendable cambiar).
É un grupo que se debe vixiar ante a aparición de novos usuarios membro.
Operadores de copia. Ten permisos para facer copias de seguridade e restauralas. Non é
un grupo destinado a usuarios senón a programas ou tarefas que se executan de forma
periódica.
Invitados: O grupo Invitados ten acceso limitado ao sistema. En xeral pode obviarse e,
como xa se dixo, preferiblemente manter desactivada a súa conta por defecto “Invita-
do”.
Operadores de Configuración: teñen certos privilexios para manexar a configuración
TCP/IP do equipo.
Usuarios Avanzados: Un grupo con privilexios entre os administradores e os usuarios
normais. Pode resultar perigoso xa que pode ter un fácil acceso aos privilexios de admi-
nistrador. Recoméndase non usalo.
Usuarios: É o grupo por defecto, con acceso limitado ao sistema, ideal para usuarios
habituais. Nalgúns casos é necesario restrinxir aínda máis os seus permisos xa que,
executar aplicacións pode ser suficientemente perigoso.
Existen unha serie de grupos especiais que son utilizados de forma interna polo propio sis-
tema operativo. Perténcese a estes grupos de forma automática baixo certas circunstan-
cias.
Creator Owner: É un grupo ao que pertence a conta que creou ou tomou posesión dun
obxecto.
Todos: É o grupo que inclúe a calquera que ten acceso ao computador, desde rede ou
consola con ou sen contrasinal.
Interactive: É o grupo que inclúe a todos os usuarios que se autenticaron a través da in-
trodución interactiva das súas credenciais no sistema local (os usuarios que se conectan
a través da rede non pertencerán a el).
Network: É o grupo que inclúe aos usuarios que tiveron acceso ao equipo a través da
rede.
Usuarios autenticados: Todos os usuarios que accederon ao sistema introducindo un lo-
gin e passwords válidos.
Anonymous login. Usuarios que accederon ao sistema a través de accesos anónimos.
Utilízase cando se accede a servizos remotos instalados no sistema. Por exemplo, un
usuario que está a visitar páxinas web nun IIS.
Terminal server users. Grupo ao que pertencen os usuarios que accederon a través de
Terminal Server.
Páxina 2
1.3 Contrasinais
Aínda que cada vez vemos máis iniciativas para conseguir desfacernos definitivamente
dos contrasinais, o certo é que a día de hoxe o elemento principal que vincula a un usuario
- administrador ou non - coa seguridade dun sistema, segue a ser a clave ou contrasinal
coa que o usuario accede ao sistema.
Aínda que moitas das recomendacións referidas ao correcto uso de contrasinais son sobra-
damente coñecidas, nunca esta de máis repasalas:
Lonxitude e formato
Débense utilizar polo menos 10 caracteres de lonxitude de contrasinal. Este é un valor
que vai aumentando no tempo debido ao aumento da potencia de cálculo dos equipos
informáticos. É un valor que, ademais, pode variar segundo o formato de almacena-
mento da contrasinal pero, a día de hoxe, un contrasinal por baixo de 9 caracteres pode
ser revelada no espazo dunhas horas ou uns poucos días.
– Nota: Véxase “Las nuevas RTX 4090 de Nvidia pueden romper una contraseña
de 8 caracteres en menos de 1 hora (48 minutos) con herramienta HashCat”
Recoméndase utilizar nunha mesma contrasinal díxitos, letras (maiúsculas e minúscu-
las) e caracteres especiais.
Non se debe utilizar información persoal no contrasinal: nome do usuario ou dos seus
familiares, nin os seus apelidos, nin a súa data de nacemento ou datos relacionados co
usuario que sexan facilmente deducibles (alcume, lugar de residencia, etc). E, por su-
posto, en ningunha ocasión utilizar datos como o DNI ou o número de teléfono.
Hai que evitar utilizar secuencias básicas de teclado (por exemplo: ”qwerty”, “asdf” ou
as típicas en numeración: “1234” ó “98765”) ou repetir os mesmos caracteres no mes-
mo contrasinal. (ex.: “111222”).
Non se deben utilizar palabras presentes en dicionarios en ningún idioma. Hoxe en día
existen programas de ruptura de claves que basean o seu ataque en probar unha a unha
as palabras que extraen de dicionarios (“ataque por dicionario”).
– Suxerencia: Podes comprobar a fortaleza dos teus contrasinais en servizos como
How secure is my password?
Reutilización
Os contrasinais hai que cambialos cunha certa regularidade e sen utilizar regras secuen-
ciais de cambio. Por exemplo, non se debe crear un novo contrasinal mediante un incre-
mento secuencial do valor en relación ao último contrasinal. P. ex.: pasar de “01Juitnx”
a “02Juitnx”.
Débense utilizar distintos contrasinais para distintos servizos ou sistemas.
Débense de cambiar os contrasinais por defecto proporcionados polos desenvolvedores
ou fabricantes.
Outras recomendacións
Non escribir nin reflectir o contrasinal nun papel ou documento onde quede constancia
do mesmo. Tampouco se deben gardar en documentos de texto dentro do propio com-
Páxina 3
putador ou dispositivo (ex: non gardar os contrasinais das tarxetas de débito/crédito no
móbil ou os contrasinais dos correos en documentos de texto dentro do computador),
Non enviar nunca o contrasinal por correo electrónico, whatsapp ou sms. Tampouco se
debe facilitar nin mencionar nunha conversación ou comunicación de calquera tipo.
Non escribir os contrasinais en computadores dos que se descoñeza o seu nivel de segu-
ridade e poidan estar monitorizados, ou en computadores de uso público (bibliotecas,
cibercafés, telecentros, etc.).
Existen algúns trucos para crear un contrasinal que non sexa débil e se poida lembrar
máis facilmente. Por exemplo, pódense elixir palabras sen sentido pero que sexan pro-
nunciables. Podémonos axudar combinando esta selección con números ou letras e in-
troducir algunha letra maiúscula. Outro método sinxelo de creación de contrasinais
consiste en elixir a primeira letra de cada unha das palabras que compoñen unha frase
coñecida, dunha canción, película, etc. Con iso, mediante esta sinxela mnemotecnia é
máis sinxelo lembrala.
– Exemplo: da frase “Comín moito chocolate o domingo 3, pola tarde”, resultaría o
contrasinal: “cmCoD3-:xLt”. Nela, ademais, introduciuse algunha maiúscula, cam-
biouse o “por” nunha “x” e, se o sistema o permite, colocouse algún signo de pun-
tuación (-).
Comprobar se o contrasinal que imos utilizar xa foi revelada nalgunha das filtracións
(leaks) de sitios da internet, xa que moitas das listas utilizadas para ataques de diciona-
rio baséanse nelas.
– Pódese usar para as devanditas comprobacións https://haveibeenpwned.com/Pa-
sswords. Este sitio, ademais, ten a súa propia API, polo que é posible xerar facil-
mente un script para automatizar as consultas.
Para facilitar o labor de xerar e lembrar os contrasinais utilizados, pódese recorrer á uti-
lización de Xestores de Contrasinais.
En contornos corporativos pode ser unha boa práctica realizar periodicamente audi-
torías de contrasinais mediante ferramentas especializadas, analizando as claves exis-
tentes e a súa complexidade. Algúns exemplos de ferramentas son:
– L0phtCrack
– John the Ripper
– HashCat
– THC-Hydra
Páxina 4
1.4 Contrasinais en sistemas Windows
En sistemas Windows os contrasinais das contas de usuario e de equipo poden estar alma-
cenadas en dúas localizacións diferentes:
A base de datos SAM (Security Account Manager) para as contas locais
A base de datos do directorio activo NTDS.DIT (NT Directory Services) para contas
de dominio de Active Directory.
Os formatos de almacenamento utilizados son LM (versións antigas de Windows) e
NTLM para as versións máis actuais. Non hai que confundilos cos mecanismos de auten-
ticación ou os hashes que se xeneran neles e que levan o mesmo nome (deles falaremos na
seguinte unidade) e que, baixo certas circunstancias, tamén poden aparecer almacenados
en memoria ou en caché.
Usado en sistemas Windows 2000/2003 e Windows 9x e XP, aínda que por compatibilida-
de cara atrás poden ser usados en versións posteriores de Windows.
Tendo en conta a potencia de cálculo dos equipos actuais e as debilidades no seu de-
seño, LM está considerado a día de hoxe virtualmente inútil independentemente da clave
utilizada. Algunhas das súas debilidades son:
Converte todo a maiúsculas, reducindo por tanto o número de combinacións posibles.
Se o contrasinal é inferior a 7 caracteres énchese con caracteres nulos.
Os contrasinais non poden ser superiores a 14 caracteres.
Se o contrasinal ten máis de 7 caracteres divídese en dous bloques independentes, polo
que, en caso de estar a usar un contrasinal de 14 caracteres (o máximo posible) os ata-
ques de forza bruta terían que atopar 2 contrasinais de 7 caracteres no canto dun contra-
sinal de 14, o que reduce exponencialmente o tempo de cálculo.
– Proba: Podes probar a xerar un hash LM dun contrasinal e despois crackealo,
usando as seguintes ferramentas online:
– Xerador de Hashes LM, NTLM: https://www.tobtu.com/lmntlm.php
– LM cracking hash: http://rainbowtables.it64.com/
A partir de sistemas Windows 2008/Vista úsase por defecto NTLM (aínda que por compa-
tibilidade pódese seguir facendo uso de LM). NTLM introduce varias melloras respecto a
LM:
Diferenza entre maiúsculas e minúsculas.
Aumenta a lonxitude máxima de contrasinal a 127 caracteres.
Non separa o contrasinal en dous bloques distintos.
Calcula o hash cifrando co estándar MD4.
1Fonte: https://en.wikipedia.org/wiki/LAN_Manager#LM_hash_details
Páxina 5
A pesar destas melloras, se seguimos usando contrasinais débiles, NTLM segue sendo vul-
nerable a ataques de dicionario e de forza bruta (mellorados mediante o uso de rainbow ta-
bles). E existen múltiples bases de datos dispoñibles na internet con hashes NTLM resol-
tos.
– Recomendación: Unha boa práctica antes de utilizar un novo contrasinal nun sis-
tema Windows é comprobar se o seu hash NTLM xa existe nalgunha das bases de
datos NTLM que existen na internet.
– Xerador de Hashes LM, NTLM: https://www.tobtu.com/lmntlm.php
– NTLM database hashes:
https://hashes.com/en/decrypt/hash
https://crackstation.net
https://md5decrypt.net/en/Ntlm/
– NTLM crack hashes
https://gpuhash.me/
https://www.onlinehashcrack.com/
Páxina 6
– Suxerencia: Véxase Apartado 9.1. “Autenticación mediante contrasinais” do
CCN-STIC-822 Procedimientos de Seguridad (ANEXO I) que recolle distintos
procedimentos de seguridade do ENS (Esquema nacional de seguridade).
Páxina 7