Basicamente, cuando alguien se levanta del puesto y el equipo no tiene actividad de teclado o ratón, se enciende un contador y a determinado tiempo, se bloquea la sesión de usuario para que nadie puede utilizar el equipo, excepto el usuario válido. Esto previene contra personas malintencionadas que utilizan la estación de trabajo mientras el dueño no está.

Ahora, hagan la prueba en la oficina, colegio, universidad, o cualquier lado. Miren si al levantarse ell vecino (o la vecina) de su puesto, bloquea la pantalla… o en otro caso, si hay un protector de pantalla, presionen una tecla o muevan el mouse.

Si estando solos frente a un pc se desbloquea la sesión con solo mover el mouse, ya se puede intentar hacer cosas en el equipo, como agregar usuarios, borrar archivos, entrar a sistemas de información, etc.

Ahora la historia real de hace dos horas antes de escribir este post:

Estaba caminando feliz y tranquilo por un pasillo lleno de computadoras, en la sección de contabilidad de esa empresa. De pronto, moví el mouse y ¡oh sorpresa!, la sesión estaba abierta en un lindo windows xp sp3.
Silbando la canción de las Valquirias de Wagner, me acerqué al teclado y escribí:

Windows + R
cmd
ipconfig
net user admin2 Clavedeadmin1 /add
net localgroup administradores admin2 /add
exit

Luego de eso, fui a la sala wifi (que no estaba segmentada) y con CAIN me conecté a ese equipo, deshabilité el antivirus, instalé abel, obtuve las claves LM locales, quité abel, abri la unidad c$, borré los rastros de abel, exporté las claves LM, le di formato pwdump, lo pasé por un cracker gpu, conseguí la clave de administrador local, hice un nmap para buscar el puerto 139 abierto en la red, con hydra busqué cuales equipos tenían la misma clave de administrador para smb, exporté la lista, estaba el administrador de la red, inicié sesión en su máquina como administrador, quité el antivirus, instalé un keylogger y luego de eso obtuve la clave del dominio de windows.

Esto se evita si:
1. La sesión está bloqueada
2. El usuario no tiene permisos de administrador local

Lo anterior funciona en cualquier sistema operativo. Adicionalmente para windows:

3. Se desactiva el uso de LM

PD. En un rato salgo a almorzar con el admin de la red y le voy a contar lo que pasó.

Porque la compatibilidad de Windows 9x permite que en la SAM local (y del directorio activo) se almacenen dos tipos de hash: Hash LM (compatibles con windows 9x) y Hash NTLM.  Las debilidades de LM permite que sea ‘crackeado’ en poco tiempo. (Ver cracking lm vs ntlm).

Puede que en su empresa no tengan ningún equipo 9x, pero Windows 2000, xp y 2003, TIENEN HABILITADOS POR DEFECTO la compatibilidad con windows 9x, y por lo tanto almacenan en la SAM tanto LM como NTLM.

¿Cómo evitar almacenar hashes LM?

Seguir las recomendaciones de microsot en su artículo: http://support.microsoft.com/kb/299656 el cual practicamente dice:

1. En Directiva de grupo, expanda Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.
2. En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.
3. Haga clic en Habilitado y después en Aceptar.