\ /
Security  cybersecurity  Windows  BestPractices 

¿Como hacer particionado de discos seguro en Windows?

La seguridad empieza desde la instalacion del sistema operativo. Configurar correctamente cada elemento de nuestro sistema nos puede ayudar a mitigar las consecuencias de un ataque.

La tabla de particiones es fundamental para la gestion del tamaño del disco, de uso del sistema operativo y almacenamiento de los datos. Precisamente por esta causa la tabla de partciones suele ser objetivo de ataques de malware del tipo ransomware o tambien para mantener persistencia en el equipo que en algunos casos puede permitr que una amenaza sea capaz de mantenerse en el sistema incluso hasta despues de hacer un formateo del disco.

MBR es el acronimo de Master Boot Record, que es el sistema que utiliza windows para la gestion de las particiones del sistema. Se encuentra en el primer sector del disco y le indica al BIOS con cual sistema operativo iniciar y cual sistema de archivos utilizar, en el caso de Windows siempre será NTFS.

El MBR es codigo de unos 512 bytes pero que en ocasiones puede ser un poco mas, dentro del MBR existen 2 modulos:

  • Master Partition Table: Contiene la informacion relacionada de hasta 4 particiones primarias que es el maximo permitido por MBR. Recordemos que la particion primaria contiene la información necesaria para el arranque del sistema operativo.

  • Master Boot Code: Esta escrito en codigo Assembler (ensambaldor) y le da la informacion al BIOS de en cual disco buscar el sistema operativo y una vez allí, se carga en memoria el NTLDR o Kernel loader de Windows que iniciará el sistema operativo.

Es importante resaltar que este proceso es una serie de comandos bien conocidos y que por tanto puede ser manipulado para que se ejecute en la forma en la que el administrador desee, por ejemplo existen herramientas legitimas de recuperacion de sectores de arranque que permiten modificar este proceso mas facimente como Lilo, Grub rescue

Veamos un ejemplo de como malware como el Petya o NotPetya han utilizado infeccion del MBR para tomar control del equipo y enviar mensajes al usuario para solicitar rescate de los datos.

Petya abre primero el volumen C: y llama a la API DeviceIoControl con el código de control IOCTL_DISK_GET_DRIVE_GEOMETRY, que recupera la información sobre la geometría del disco físico - específicamente el número de bytes por sector. Asigna memoria fija llamando a LocalAlloc, y luego sobrescribe el segundo sector del volumen C: con los nuevos bytes asignados. Aquí es donde el registro de arranque del volumen ejecuta el cargador de arranque (NTLDR), al menos en los sistemas Windows XP, lo que corromperá la secuencia de arranque.

petyambr001.png Infeccion de MBR por Petya

Una vez ha sido infectado el NTLDR, el malware es libre sobreescribir MBR con lo necesario para mantener al usuario sin acceso a sus datos.

¿Que hacer en caso de problemas con MBR?

Lo principal es tomar un backup de la configuracion de MBR. Todas las herramientas de recuperacion de arranque tienen la posibilidad de respaldar toda la configuracion. Tambien es posible utilizar la herramienta de recuperacion que viene en Windows 8 y 10.

[NOTA]

Es importante tener en cuenta que recuperar MBR no garantiza la recuperacion de los datos en caso de que los mismos se hayan visto comprometidos.

En el siguiente ejemplo, vamos a utilizar el metodo de recuperacion de Windows 10.

Opciones-Arranque-Avanzadas-Windows10-597c161e3df78cbb7a272583.jpg Menu de arranque de Windows 10

Pulsamos sobre “Reparar equipo” Seguidamente pulsamos sobre “Solucionar problemas” Seleccionar “Símbolo del sistema” Una vez en la consola de comandos se deberan ejecutar los siguientes comandos, seguidos de enter respectivamente: ----- bootrec /fixmbr ----- Luego: ----- bootrec /fixboot ----- Ahora reiniciaremos el equipo y comprobaremos si el arranque ha sido restaurado. En caso de que no funcione, se debera tomar el backup y utilizar algun otro software de manipulacion de MBR para solucionar el problema. *MBR vs GPT* MBR es una tecnologia que data de 1983 y su uso ha sido amplio desde entonces. Sin embargo al ser antiguo, tiene algunas limitaciones de funcionamiento y seguridad que han sido resueltas con GPT. GPT (GUID Partition Table), es una forma de gestionar las particiones mas rapida y segura. A diferencia de MBR, GPT almacena una copia de seguridad de la tabla de particiones completa justo al final del disco duro, permitiendo hacer una recuperacion mucho mas rapida y en algunos casos de manera automatica. Otras de las ventajas de GPT sobre MBR es que con MBR podremos solamente crear cuatro particiones primarias y no de un tamaño mayor a 2 TB cada una en cambio con GPT no hay prácticamente ningún tipo de limitación salvo la del sistema operativo y el disco duro. Referencias: Maxima seguridad en Windows - Sergio de los Santos Reparar MBR con diskpart - https://www.profesionalreview.com/2018/12/01/grub-rescue/ https://www.fortinet.com/blog/threat-research/petya-s-master-boot-record-infection

comments powered by Disqus