La solución de WatchGuard es ServerLock, asentado en una máquina Windows NT/2000 y protegiendo el kernel de cualquier ataque. La diferencia principal es que ServeLock no utiliza firmas de ataques para su detección y prevención, y en su lugar cierra la máquina, impidiendo que se realicen tareas no autorizadas.
Así, por ejemplo, el software impedirá que el administrador promocione a un usuario si se encuentra en el modo de protección. Para este tipo de tareas administrativas la aplicación puede desconectarse. Las operaciones de la herramienta pueden llevarse a cabo en dos modos diferentes independiente o gestionada (en donde una consola central de administración toma la responsabilidad de todas las acciones de gestión). Esta última aplicación puede situarse en cualquier punto de la red, por lo que decidimos instalarla ya que es la más apropiada para un entorno corporativo.
La herramienta viene con una política predefinida que obliga la utilización de claves complejas (entre 7 y 14 caracteres, incluyendo como mínimo una letra mayúscula, una minúscula, un elemento de puntuación y un número). Esto al menos hace que el eslabón más débil de la cadena no sea un password inapropiado.
Una vez instalado, tan sólo queda copiar la aplicación en nuestros servidores de prueba y configurarlos con la dirección de la consola de administración. La gestión está basada en grupos de máquinas, cada grupo con su propia clave. Gracias a esto es posible distribuir las tareas administrativas sin necesidad de emplear diversas consolas.
Existe una lista de equipos en cada grupo y seleccionando uno de éstos veremos el nivel de protección seleccionado. Existen cuatro métodos de protección en cada servidor el sistema de ficheros, usuarios, registro y personalizado.
La regla del sistema de ficheros impide que directorios y ficheros clave sean modificados, mientras que la regla de usuarios coarta la modificación de los mismos, y la del registro protege las más importantes entradas en este archivo.
Mediante esta última opción podemos determinar reglas para proteger otras áreas del sistema. Por ejemplo c*.exe protegería todos los programas ejecutables en el directorio principal de la unidad C. Para ver si el sistema funciona creamos una regla que impedía la modificación del directorio raíz de nuestro servidor web y lanzamos la vulnerabilidad de Unicode contra él.
Para nuestra sorpresa el servidor todavía respondía a este bug. Entonces forzamos la carga de un troyano, y su ejecución, ganado así el acceso de lectura/escritura a la máquina. L0phtCrack tampoco tuvo ningún problema a la hora de extraer todos los valores hash del Registro, sin que ServerLock llegara a darse cuenta.
