Introducción
Durante años, los usuarios han querido ahorrar tiempo y esfuerzo al acceder a servidores de la red, sitios web que requieren credenciales, etc. Por lo tanto, ha habido opciones en el sistema operativo para guardar nombres de usuario y contraseñas para un acceso más rápido y fácil. Estoy seguro de que ha visto esto, ya sea en un mensaje o en una casilla de verificación, pidiéndole que guarde la contraseña. En Windows tiene la capacidad de almacenar las credenciales de los recursos a los que accede con frecuencia, o simplemente no desea tener que recordar la contraseña. Aunque esta es una opción que ahorra tiempo, es posible que desee reconsiderar el uso de esta función debido a problemas de seguridad.
¿Dónde Puedo Encontrar Esta Función?
Esta función comenzó en Windows XP y ha evolucionado desde entonces. La evolución está en el nombre y las características que se proporcionan para la característica. En Windows XP, la función se llamaba Nombres de Usuario Almacenados y Contraseñas. Puede acceder a esta función desde la pestaña Avanzado del cuadro de diálogo Cuentas de usuario. En la pestaña Avanzado, hará clic en el botón Administrar contraseñas para acceder a la interfaz de Nombres de Usuario y contraseñas almacenados.
Windows 7 cambia esto ligeramente, ya que ahora hay una interfaz diferente, un nombre diferente para la función, etc. Además, las contraseñas se almacenan de una manera diferente en Windows 7, que se encuentra en una bóveda. Para acceder a estas credenciales almacenadas, o para almacenar una credencial usted mismo, puede ir al complemento Cuentas de usuario en el Panel de control y, a continuación, seleccionar la opción Administrar credenciales en el panel izquierdo, como se muestra en la Figura 1.
Gráfico 1: Administrar mis credenciales dentro del complemento Cuentas de usuario
En esencia, esto abre el Administrador de credenciales, que también se puede ejecutar desde el cuadro de texto Iniciar búsqueda al hacer clic en el botón Iniciar. Cuando almacena credenciales en un equipo con Windows 7, se almacenan en C:\Users\UserName\AppData\Roaming\Microsoft\Credentials. Los archivos que almacenan las credenciales están encriptados, por lo que es al menos un beneficio.
Tenga en cuenta que TODAS las credenciales que se crean en el Administrador de credenciales crean un archivo en la carpeta de credenciales en el perfil de usuario que se indica más arriba. Sin embargo, cuando se introducen credenciales para credenciales de Windows, también se almacenan en C:\Users\UserName\AppData\Local\Microsoft\Vault.
Comando de almacén de Windows
Para acceder al almacén de contraseñas en un equipo con Windows 7 (y Windows Server 2008 R2), puede usar vaultcmd.comando exe desde un símbolo del sistema. Esta herramienta le permite administrar las credenciales que se encuentran en el almacén e incluso crear otras nuevas. Puede ver la lista de conmutadores disponibles para vaultcmd en la Figura 2.
Figura 2: Comando y conmutadores Vaultcmd.
Si usamos estos comandos, puede ver cómo se almacenan y acceden las credenciales. En nuestro ejemplo, vamos a almacenar las credenciales registradas como un usuario llamado xpuser. Xpuser es un usuario de dominio en beyondtrust.dominio de demostración. Este usuario ya ha almacenado credenciales para un controlador de dominio llamado server1. Las credenciales que este usuario ha almacenado son para un usuario de dominio (que resulta ser un administrador de dominio) llamado Derek.
Para ver las credenciales del usuario actualmente conectado, puede ejecutar el comando set con el conmutador de nombre de usuario, que se puede ver en la Figura 3.
Figura 3: Usuario actualmente conectado usando el comando set.
Usando el comando vaultcmd, podemos ver las credenciales que este usuario ya ha guardado. Esto se logra utilizando el interruptor de lista, que se puede ver en la Figura 4.
Figura 4: Comando Vaultcmd usando el conmutador de lista.
A continuación, puede ver el contenido de cada almacén mediante el conmutador listproperties, seguido del conmutador listcreds para ver las credenciales de cada almacén. Ambos se pueden ver en la Figura 5.
Gráfico 5: El comando Vaultcmd utiliza los conmutadores listproperties y listcreds.
Como puede ver en todos estos comandos que usan vaultcmd, el contenido de las bóvedas puede ser de fácil acceso. Una vez más, observe que las contraseñas no se muestran, pero estas «credenciales alternativas» pueden ser aprovechadas por cualquier persona que pueda obtener acceso a esta computadora con el usuario xpuser conectado.
Razones para No Usar esta función
Hemos visto cómo el almacén almacena las credenciales y cómo el comando vaultcmd puede acceder a estas credenciales e información sobre ellas. Sin embargo, ¿esta función es segura de usar? Considere el siguiente escenario.
Xpuser tiene credenciales almacenadas en su computadora con Windows 7 para cuando necesite acceder al servidor 1, que es un controlador de dominio. Las credenciales guardadas con el Administrador de credenciales son para Derek, que Derek es un administrador de dominio. Si xpuser alguna vez sale del equipo, en este caso llamado xpclient, desbloqueado, cualquier persona que se acerque a xpclient también puede acceder al servidor 1 como administrador de dominio.
En nuestro escenario, que es lo que expusimos usando vaultcmd anteriormente, puede ver claramente que esto puede ser un problema. Para probar esto, miremos más de cerca nuestro escenario. Nuestro usuario, xpuser, ha iniciado sesión y se ha alejado de la computadora. Otro usuario, Betty, se acerca a xpclient, con xpuser conectado, e intenta hacer una conexión con el servidor 1. Puede ver en la Figura 6 que esta conexión se realiza fácilmente.
Figura 6: Conexión al servidor 1 con xpuser conectado, pero las credenciales guardadas en el servidor 1.
Como puede ver, con solo el usuario conectado y las credenciales guardadas, el atacante puede recopilar toda la información que necesita con vaultcmd y luego explotar el equipo que tiene las credenciales guardadas.
Resumen
El Administrador de credenciales y la capacidad de guardar credenciales en un equipo con Windows 7 es potente, pero posiblemente un gran exploit. A menudo, los usuarios que usarán esta función no están dentro del grupo de TI, pero ciertamente podrían estar causando un agujero de seguridad significativo dentro de su organización. Incluso si el usuario no está en el grupo de TI, pero podría estar en finanzas, recursos Humanos o un ejecutivo, el hecho de que las credenciales se guarden en el equipo se convierte en un problema, como se describe en este artículo. Durante años, los usuarios han querido formas de tener su nombre de usuario y contraseña guardados en la computadora o de alguna manera que no sean responsables de escribir sus credenciales cada vez. Sin embargo, hay riesgos obvios para esta característica, que deben sopesarse en el entorno en el que se están salvando. Para las empresas, guardar credenciales no es una buena idea debido a la exposición de los escritorios y al hecho de que no se puede confiar en que los usuarios no bloqueen su computadora cuando se alejan de ella.