jueves, 18 de febrero de 2016

PRACTICA 3.4 Contraseña en el Gestor de arranque

Cuando tenemos varios sistemas operativos instalados en disco duro, para seleccionar con qué sistema arrancaremos se emplea un gestor de arranque. Uno de los más populares es GNU/Linux







La opción de recovery y mode baso sistemas GNU/Linux tiene un propósito de recuperación en caso de fallo del sistema, pero también puede ser utilizada para recuperar y modificar contraseñas de administrador (root) o incluso acceder a información del disco duro





Proceso de asignación de contraseñas GRUB

Debemos meternos en el fichero /etc/grub.d/00_header y añadir al final lo siguiente: 

cat << EOF 
set superusers="usuario" 
password usuario 1234
 EOF 

Después:
/etc/grub.d/10_linux y permitir sólo al superuser “usuario” que arranque. Para ello ponemos lo siguiente en el “menuentry”: 

--users usuario

Modificamos en el fichero /etc/grub.d/30_os-prober, poner también en los menuentry (hay varios, hay que buscarlos por el fichero)

 --users usuario

Por último, actualizamos el grub con el siguiente comando: 

Update-grub

Preguntas Tema 3 SAD

1- Investiga sobre la finalidad y opciones de uso de la aplicación Windows SteadyState. ¿Qué opciones de configuración segura facilita?

Windows Steady State es un software gratuito de Microsoft para los sistemas operativos Windows XP y Windows Vista que permite una gestión avanzada del sistema enfocada al uso compartido del sistema, por decirlo de alguna manera permite modificar ciertos parámetros para establecer un nivel de seguridad y estabilidad adecuado al uso público de un PC con Windows como en escuelas, bibliotecas…
Su principal función es evitar que los distintos usuarios interfieran entre sí, aumentando la seguridad del sistema y las restricciones de las acciones que puede realizar un usuario; incluso nos permite que todos los cambios que haya realizado desaparezcan una vez se reinicie el PC.
Opciones de configuración segura:
  • Configuración de privacidad:

No mostrar los nombres de usuario en el cuadro de diálogo "Iniciar sesión en Windows"
- Impedir que inicien sesión los perfiles de usuario móviles o bloqueados que no se encuentren en el equipo
No almacenar en caché copias de perfiles móviles o bloqueados de usuarios que iniciaron sesión anteriormente en el equipo
  • Configuración de seguridad:

Quitar el nombre de usuario Administrador de la pantalla de bienvenid
- Quitar las opciones Apagar y Desactivar del cuadro de diálogo "Iniciar Sesión en Windows" y la pantalla de bienvenida
No permitir que Windows calcule y almacene contraseñas con valores hash de LAN manager
No almacenar nombres de usuario o contraseñas empleadas para iniciar sesión en Windows Live ID o en el dominio
Impedir que los usuarios creen carpetas y archivos en la unidad C:
Impedir que los usuarios abran documentos de Microsoft Office desde Internet Explorer
Impedir el acceso de escritura a los dispositivos de almacenamiento USB


2. Investiga sobre la finalidad y opciones de uso de la aplicación Keepass Password Safe. ¿Qué opciones de configuración segura facilita? ¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas?


KeePass es un administrador de contraseñas gratuito de código abierto, lo que ayuda a administrar contraseñas de manera segura. Usted puede poner todas sus contraseñas en una base de datos, que está cerrada con una llave maestra o un archivo de clave. Por lo que sólo tiene que recordar una única contraseña maestra o seleccione el archivo llave para abrir toda la base de datos. Las bases de datos son encriptados usando los mejores y más seguros algoritmos de cifrado actualmente conocidos (AES y Twofish)


Características:
  • Código abierto, licencia sin costo
  • Encripción y seguridad para el archivo que almacena nuestra información
  • Diferentes llaves y combinaciones para acceder al archivo
  • Gestión muy sencilla pero a la vez flexible y con muchas opciones para organizar y buscar contraseñas
  • Opciones para importar, exportar e incluso sincronizar (perfecto para ambientes multiusuario o si tienes varios equipos)
  • Portable y muy ligero
  • Expandible y con plugins disponibles
  • Adjunta archivos y otro tipo de metadatos. Te sirve para resguardar otra información como número de series, códigos de servicio y firmas digitales.
Al usar KeePass todo el tiempo, no tienes necesidad de ver o conocer cuál es tu contraseña. Las funciones de copiado y pegado se encargarán de moverlas entre la base de datos y la ventana requerida. Si utilizas la característica de generar contraseña aleatoria y luego transfieres esta contraseña al proceso de registro de una nueva cuenta de correo electrónico, estarás utilizando una contraseña que nunca tuviste a la vista. ¡Y aún así funciona!




3- ¿Qué utilidad tienen las aplicaciones “congelador” del sistema operativo como DeepFreeze? Busca alguna otra aplicación disponible para Windows y otra para GNU/Linux: ¿Es posible instalar aplicaciones y guardar datos teniendo activa este tipo de aplicación? ¿Qué protección ofrecen?

Deep Freeze es un controlador del núcleo que protege la integridad del disco duro redirigiendo la información que se va a escribir en el disco duro o partición protegida, dejando la información original intacta. Las escrituras redirigidas desaparecen cuando el sistema es reiniciado, restaurando el equipo a su estado original. Esto permite a los usuarios realizar cambios originales en el equipo, por ejemplo para probar cambios potencialmente inestables o malignos, sabiendo que al reiniciar el sistema volverán a desaparecer.

Para Gnome hay Gofris



miércoles, 17 de febrero de 2016

PRACTICA 3.3 Configurarción contraseña en la Bios

Proceso de asignación de contraseña

Entrar en la Bios (cuando encendemos el ordenador pulsar la tecla Supr)
Acceder  a Security:


  • Change supervisor password: crear, cambia o elimina la contraseña del Administrador
  • Change user password: crear o cambiar la contraseña del usuario
  • Clear user password: elimina la contraseña del usuario




Si ponemos contraseña al Admistrador, en el menú Security nos aparecerán más opciones:


  • User access level: define el nivel de acceso que tendrá el usuario 
  • Password Check: permite configurar cuando queremos que la BIOS pida la contraseña, tanto al Administrador como al usuario normal



Cambiaremos las opciones del usuario normal ya que por defecto tiene pleno acceso a la BIOS. Pondremos que sólo pueda visualizar la BIOS. Para ello marcaremos User Access Local y elegiremos View Only. Además, configuraremos para que siempre que se inicie la máquina nos pida la contraseña, mediante la opción Passwod Check (allways)






Seguridad lógica - Prácticas 3.2



PELIGROS DE DISTRIBUCIÓN LIVE!

Son innumerables los Sistemas Operativos  arrancados desde unidades extraíbles USB, CD o DVD en modo Live, sin necesidad de formatear e instalarlos en discos duros. Incluyen gran cantidad de aplicaciones de recuperación de datos y contraseñas de usuario.

Desde las opciones de SETUP o configuración de la BIOS, podemos hacer que arranque en primer lugar desde cualquiera de las mencionadas unidades.

Vulnerabilidades

Ejemplos de algunas distribuciones arrancables en modo LIVE:



  • Ultimate Boot CD (UBCD): Posee un entorno simulado Windows aplicaciones como antivirus, recuperación de datos, aplicaciones de recuperación y borrado de contraseñas de la BIOS, borrado y restitución de nuevos usuarios de contraseñas de sistemas Windows instalados en disco, incluso creación de nuevas cuentas de usuario administrador.

  • Backtrack: distribución específica con un conjunto de herramientas de auditorías de seguridad, algunas que permiten escaladas de privilegios en sistema Windows.

  • Ophcrack: distribución específica que contiene una aplicación con capacidad de extraer contraseñas

  • Slax: distribución basada en Slackware, muy ligera y arrancables desde USB. Permite el montaje y acceso a los sistemas de ficheros instalados en disco.

  • Wifiway y Wifislax: distribuciones orientadas a realizar auditorías wireless, como recuperación de contraseñas




Comprobación:

Podemos comprobar después de arrancar con un CD Live de Backtrack el listado de particiones disponibles en el disco duro mediante el comando ejecutado como root: fdisk -l

Recomendación:

Configurar el arranque para que siempre se realice en primer lugar desde el disco duro donde estén instalados los sistemas operativos y configurar con contraseña setup de la BIOS para evitar modificaciones no autorizadas en la secuencia de arranque.