Bypassing “El administrador ha deshabilitado.. “

Bueno, este es un post muy corto y rápido.

Es sencillamente por algo que me ocurrió hace tres días cuando, haciendo una auditoría “in situ” me encontré con una “dificultad” y por si a alguien puede servirle de algo.

Te suena este mensaje ?



                    ' La edición del registro ha sido deshabilitado por su administrador.. Seguro?’

Este mensaje puede aparecer cuando intentas abrir el editor del registro por muchas razones diferentes, pero la principal es seguridad, es decir, que nadie no autorizado “toque” donde nunca debe tocar.

Esto se hace de dos maneras:

-Bien, conscientemente, sabiendo lo que haces, bien vía ‘maqueta / plantilla’ u otra manera para su distribución entre las máquinas de una red corporativa.

-Bien de manera inconsciente, sin saber muy bien lo que haces, pudiendo caer el en error de “auto-denegarte” el servicio al registro de Windows

Esta manera “inconsciente” es muy común entre usuarios que empiezan a conocer y aprender como funciona el registro de Windows… así como administradores noveles en seguridad y otros especímenes de este mundo..
(que por cierto, esta auto-denegación estaría solucionada si previamente te exportas la clave de registro original y la importas si tienes algún problema.)

Bien, nos centramos en una organización…

Como ya he comentado, este simpático aviso es muy común cuando se utiliza un ordenador en una red corporativa :

“Regedit” ha sido " bloqueado " por  el departamento de ‘sistemas’ vía plantilla con los puntos de maquetación marcado por el departamento de seguridad

“Regedit” bloqueado por un administrador de red o con el rol correpondiente.


En algunos casos puede ser difícil ( nunca imposible por supuesto) evitar este mensaje cuando se trata de un equipo que fue instalado por un administrador o el departamento de TI corporativo que esté muy ducho en todo esto y tenga contemplado todas las opciones posibles..

¿Cuántas empresas pensáis, de verdad, que tienen estos equipos? Efectivamente, has acertado.

Bien, esto te lo puedes tomar como un pequeño “Hack” en caso de encontrarte en la situación en la que me ví que no podíamos acceder al registro ni a la de tres y al minuto esás dentro, o te lo puedes tomar para ya sabes que y entonces estarías haciendo algo indebido, You Know..



Pues expongo dos maneras ( seguro que cada uno tiene la suya ) que me resultan eficaces:

PRIMER “bypass” del Registro

1-      Inicio-run ( si lo tiene ‘cortado’ tecla Windows + r )

A ver, tener presente que la cantidad de componentes que tiene un sistema Windows es tan sumamente complejo, que es muy difícil tener ‘chapado’ todo, y si algo ‘no es por aquí’, seguro que ‘puede ser por allí’

De hecho, solo empresas que se dediquen a seguridad o que tengan departamentos de seguridad informática tendrán contemplado todo esto .. ( y en ocasiones, ni eso .. )

El resto? No he visto una empresa que no le “cueles” esto .. ( así como ciber-cafés ..)




2-      gpedit.msc











3-Busca ‘User Configuration’- Administrative Templates- System




  





4-Busca  Prevent access to registry editing tools  y Doble Click


5- Verifica los ajustes de las propiedades para Prevent access to registry editing tools   (Impedir el acceso a herramientas de edición del Registro)

Ponlo en Enabled , Aceptas y “OK”



                                               Prevent access to registry editing tools  




 6- Reinicia y “pa dentro”



SEGUNDO “bypass” del Registro

1-      Inicio-run ( si lo tiene ‘cortado’ tecla Windows + r )
  
                      






2-Según va, “pica” esto

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f





3-Reinicia y “pa dentro”

Un saludo
Live Free Or Die Hacking

Entradas populares de este blog

SHELLCODES por un tubo ....

Proteger ASP.NET de inyecciones SQL How T0? BEST PRACTICES

CERTIFICACIONES DE SEGURIDAD