Joven hacker sonriendo

Evitar Enumeración de Usuarios

Nuestros ethical hackers explican cómo evitar vulnerabilidades de seguridad mediante la configuración segura de Windows. En este instructivo, explicaremos paso a paso cómo evitar mostrar los nombres de usuarios existentes a usuarios no autenticados en windows 7.

Necesidad

No mostrar los nombres de usuarios existentes requiriendo usuario y contraseña durante el proceso de autenticación en Windows 7.

Contexto

A continuación se describen las circunstancias bajo las cuales la siguiente solución tiene sentido:

  1. Se tiene una máquina funcionando con el sistema operativo Windows 7.

  2. Opcionalmente se desea propagar la configuración a equipos pertenecientes a un dominio de Windows.

Solución

La enumeración de usuarios es un ataque que consiste en comprobar la existencia de cuentas de usuarios existentes en un sistema de información. Dicha identificación se hace para, una vez conocidos los usuarios validos, poderlos usar para realizar un ataque que le permita al atacante acceder al sistema. Por lo general, dichos ataques son realizados por fuerza bruta y/o uso de diccionarios.

Esta solución pretende evitar que un atacante conozca el listado de usuarios existentes para planear un ataque de fuerza bruta o de diccionario.

  1. Ingresar al sistema y verificar que se solicite como mínimo nombre de usuario y contraseña.

    login-enumeracion
  2. Para aplicar esta configuración a un dominio por medio de Directorio Activo, se debe configurar la siguiente ruta modificando la configuración de directivas de dominio:

    ruta.shell
    1
    Computer configuration/Windows Settings/Security Settings/LocalPolicies/SecurityOptions
    
  3. La ruta seguida puede apreciarse en la siguiente imagen:

    ruta
  4. Para configurar la política de modo local, se abre el Local Group Policy Editor. Para esto, el usuario debe dar clic en Inicio, ejecutar y después digitar gpedit.msc. Luego, se debe seguir la ruta mencionada anteriormente. Observará que la misma ruta en el formulario difiere ligeramente que la de los pasos para la configuración de equipos pertenecientes a un dominio de Windows.

    gpedit
  5. Habilite la propiedad de Inicio de sesión interactivo No mostrar el último nombre de usuario.

    sesion
  6. Para verificar que la longitud de clave sea superior a cero la ruta a seguir será la mostrada en la imagen. Lo anterior significa que sólo se necesitaría el nombre de usuario para un usuario que no haya establecido una contraseña.

    1
    2
    Configuración del equipo/Configuración de Windows/Configuración de Seguridad
      /Directivas de cuentas/Directivas de contraseñas
    
  7. Configurar mediante las opciones presentadas que la longitud de la contraseña sea diferente de cero y acorde a las políticas internas de la organización.

  8. Se debe verificar también que la opción de enumerar cuentas de administrador esté deshabilitada para evitar mostrar las cuentas de administrador existentes. Para esto siga la ruta:

    1
    2
     Configuración del equipo/Plantillas administrativa/Componentes de Windows
        /Interfaz de usuario de credenciales
    
    directivas
  9. De esta forma, cuando se requiera acceder a los recursos privilegiados no se informará el nombre de usuario del administrador:

login



Haz un comentario

Estado de los servicios - Términos de Uso