1.Introducción
Con la aparición de Mydoom, Sasser y diversas vulnerabilidades, es más complicado realizar una instalación sin que se corra el riesgo de infectarse de algún gusano o él equipo sufra de algún tipo de ataque al poner al equipo en red. Para resolver estos problemas Microsoft ha publicado algunos Service Pack (SP) en sus diferentes versiones de su Sistema Operativo. Cuando sale un SP si existe una versión anterior esta no es requerida, debido a que la versión actual del SP contiene al SP anterior.
Este material fue realizado para que se pueda realizar la integración de su Windows 2000 Server con el SP4 más algunos hotfixes críticos. Además, sabiendo que el navegador más usado en el mundo es Internet Explorer también se decidió agregar el IE6 con el SP1 más un hotfix crítico. A la integración del Sistema Operativo Original más un SP o hotfixes se le conoce como slipstream.
2. Requisitos
3.Creación
3.1 Integración de SP4
- Creamos un directorio de nombre W2K, copiamos el contenido del CD original de Windows 200 Server a este directorio. Se recomienda que se verifique que se hayan copiado todos los archivos y directorios.
- Creamos un directorio de nombre SP4.
- Extraemos el contenido del Service Pack 4 en el directorio que acabamos de crear. Desde Ejecutar (Run) escribimos el nombre del archivo del Service Pack (estableciendo la ruta donde se encuentra) con la opción –x.
- Nos pedirá que le indiquemos la ubicación donde se extraerá el Service Pack 4. Le indicamos la dirección de nuestro directorio SP4.
- Al finalizar la extracción nos mostrará el siguiente aviso.
- Con lo anterior lo que realizamos fue extraer el contenido de nuestro Service Pack 4 en el directorio SP4, el paso anterior también se hubiera podido realizar con un programa como Winzip. Todo lo que se extrajo esta sobre un directorio de nombre \i386.
- Ahora vamos a actualizar el directorio del CD original con la del Service Pack 4. En el directorio SP4 buscamos el archivo update.exe (localizado en C:\SP4\i386\update\) y le damos los parámetros que se muestran a continuación:
- Al dar clic en Aceptar (OK) empezará realizarse la actualización del directorio W2K con los archivos que tiene el Service Pack 4.
- Al finalizar la integración se mostrará la siguiente pantalla.
- Hasta ahora solo hemos realizado la integración del Service Pack 4 al CD original. A continuación realizaremos la integración de algunos hotfixes críticos posteriores al Service Pack 4.
3.2 Integración de Hotfixes
- Vamos a crear dentro de nuestro directorio C:\W2k\I386 un directorio de nombre SVCPACK y colocaremos aquí los hotfixes de Windows 2000 Server que mencionamos en el apartado Requisitos.
- Windows2000-KB828035-x86-ENU.exe
- Windows2000-KB828741-x86-ENU.exe
- Windows2000-KB835732-x86-ENU.exe
- Renombramos los archivos solo con los KB######.exe, donde ###### es el número de nuestro hotfix. Por lo que nombres quedarían de la siguiente manera:
- KB828035.exe
- KB828741.exe
- KB835732.exe
- Es importante que lo siguiente se realice de acuerdo a la antigüedad de los hotfixes, es decir primero realizar el más antiguo y al último el más actual.
- Vamos a extraer el contenido de cada uno de los hotfixes de la siguiente manera. Crearemos el directorio C:\temporal donde extraeremos el contenido de los hotfixes con el parámetro /X.
- Al dar clic en Aceptar (OK) debemos seleccionar el directorio donde vamos a extraer el contenido de los hotfixes.
- Se debe realizar el mismo procedimiento con los otros dos hotfixes, recordando que se deben extraer del más antiguo al más actual. Además de que se deben de descomprimir en el directorio temporal y usando el parámetro /X.
- Del directorio C:\temporal\update copiamos solo los archivos .cab (KB828035.cat, KB828741.cat y KB835732.cat) y los colocamos en el directorio C:\W2k\I386\SVCPACK.
- Del directorio C:\temporal\uniproc copiamos todos los archivos y los colocamos en C:\W2k\I386\UNIPROC.Preguntará si se deseas remplazar el archivo NTDLL.DLL, a lo cual se debe hacer clic en Si (YES). Además se deberán eliminar todos los archivos que finalicen en “_” (KERNEL32.DL_, WIN32K.SY_ y WINSRV.DL_).
- A continuación, del directorio temporal se deberán copiar todos los archivos con excepción de los archivos spuninst.exe, spmsg.dll y empty.cat a C:\W2k\I386. Antes de realizar esto se debe hacer una lista de los archivos a copiar. Al copiar los archivos preguntará si se desea remplazar el archivo dtcsetup.exe, ntdll.dll, schannel.dll.
- Se debe verificar en cada uno de los archivos copiados si estos tienen un archivo con el mismo nombre y un símbolo “_” al final de la extensión. Si existe el archivo con “_” se deberá eliminar. Por ejemplo, si se copia el archivo C:\temporal\advapi32.dll al directorio C:\W2k\I386\ y en éste aún existe el archivo ADVAPI32.DL_ debe eliminarse. Se debe realizar el mismo procedimiento con los demás archivos copiados. En total, se deberán eliminar 79 archivos. Es muy importante que se eliminen todos estos archivos ya que si no se elimina alguno de ellos, es muy probablemente que no se instale correctamente algún hotfix.
- Se deben agregar los siguientes datos al archivo C:\W2k\I386\DOSNET.INF bajo la sección [Files].
- d1,hfsecper.inf
- d1,hfsecupd.inf
- d1,ntkrnlpa.exe
- d1,ntkrpamp.exe
- d1,win32k.sys
- d1,winsrv.dll
- Elimine el archivo C:\W2k\I386\SVCPACK.IN_.
- Se debe crear un archivo con el nombre SVCPACK.INF en el directorio C:\W2k\I386 y editarlo con lo siguiente:
[Version]
Signature="$Windows NT$"
MajorVersion=5
MinorVersion=0
BuildNumber=2195
[SetupData]
CatalogSubDir="\i386\svcpack"
[ProductCatalogsToInstall]
KB828035.cat
KB828741.cat
KB835732.cat
[SetupHotfixesToRun]
KB828035.exe /passive /quiet /norestart
KB828741.exe /passive /quiet /norestart
KB835732.exe /passive /quiet /norestart
Nota: Las opciones /passive /quiet /norestart solo harán que los hotfixes se instalen de manera silenciosa sin preguntar nada al usuario durante la instalación y que al terminar no se reinicie el sistema.
- Con todo lo anterior finalizaremos con la integración del SP4 y los hotfixes a Windows 2000 Server
- La sección 3.3 y 3.4 son opcionales no son obligatorias para hacer un CD booteable. Si se desea pueden omitirse estos apartados e ir directamente a las sección 3.5.
3.3 Integración de IE6 con SP1
- Para realizar esta integración necesitaremos que previamente se haya instalado el Internet Explorer 6 con Service Pack 1 en otra maquina con Windows 2000 Server. Si ya se tiene, se debe buscar en el directorio %SYSTEMROOT%\Windows Update Setup Files, aquí se guarda un respaldo de la instalación de Internet Explorer 6 con Service Pack 1 por si se desea reinstalar. Se debe copiar todo el contenido de éste directorio a C:\W2k\I386\SVCPACK.
- Agregar la línea ie6setup.exe /Q en la sección [SetupHotfixesToRun] de SVCPACK.INF en el directorio C:\W2k\I386.
3.4 Integración de hotfix a IE6
- Para la integración de este hotfix se necesitará la instalación de la sección 3.3.
- El hotfix mencionado en la sección Requerimientos se debe colocar en el directorio C:\W2k\I386\SVCPACK y renombrarlo solo con el nombre KB867801.exe.
- Se debe editar el archivo C:\W2k\I386\SVCPACK.INF y agrega la línea KB867801.exe /Q /R:N en la sección [SetupHotfixesToRun].
- Con todo lo anterior estamos listos para hacer nuestro CD.
3.5 Creación de un bootfile
Para tener un CD booteable es necesario crear un archivo desde el cual se pueda realizar el arranque del CD. Para la creación de tal archivo se necesitará de un programa llamado Bart’s Boot Image Extractor (bbie.exe) especificado en la sección Requerimientos. Una vez que se tenga el archivo ejecutable, se deben realizar los siguientes pasos.
- Abrimos una ventana de línea de comandos y nos trasladamos al directorio donde se encuentra el archivo bbie.exe.
- Introducimos el CD booteable de Windows 2000 Server (El CD original de donde se copiaron los archivos fuentes de Windows 2000 Server).
- Tecleamos bbie.exe d: (Donde d es la unidad del CD-ROM donde se encuentra nuestra CD de Windows 2000Server, podría ser e:, f:, dependiendo de donde se encuentre ubicada).
- Esto generará un archivo llamado imagen1.bin, el cual se utilizará para crear nuestro CD booteable.
- El siguiente paso es generar el CD booteable mediante el programa Nero.
3.6 CD booteable mediante Nero
- Primero en Nero se debe seleccionar la opción CD-ROM (Boot) y hacer clic en Nuevo (New).
- A continuación se debe indicar la información que se desea agregar a nuestro CD booteable. Se debe indicar el contenido del directorio C:\win2K y después debemos hacer clic en el botón Grabar (Burns).
- En la pestaña Arranque (Boot) se debe especificar lo siguiente:
- Especificar, donde se encuentra el archivo de imagen de arranque, es decir imagen1.bin, que se creó en el punto anterior.
- Activar los Valores Avanzados.
- Elegir Tipo de Emulación: Sin Emulación.
- Número de Sectores cargados: 4.
- En la pestaña ISO se deben seleccionar la opciones que se muestran en la imagen siguiente:
- En la pestaña Etiqueta (Label) podemos colocar una etiqueta de volumen para identificar al CD. En el ejemplo siguiente se establece como W2SFPP_EN, pero cabe señalar que este nombre puede ser establecido como lo desee el usuario.
- Finalmente pasamos a la pestaña Grabar (Burn) en la cual se debe seleccionar la velocidad a la cual se desea realizar el grabado de nuestro CD, así como el método de escritura, el cual será Disc-At-Once y seleccionar la casilla de Finalizar CD.
- Para iniciar el grabado de nuestro CD se debe hacer clic en Grabar (Burn).
4. Verificación
Para verificar que nuestro CD se haya creado correctamente solo tendremos que instalar la herramienta Microsoft Baseline Security Analyzer el cual se puede obtener de la siguiente dirección.
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
Con el uso de esta herramienta podremos verificar que no aparezcan las siguientes actualizaciones:
- MS04-012
- MS04-011
- MS03-043
- MS04-025
Para verificar la instalación del Service Pack 4 debemos realizar lo siguiente desde Ejecutar.
Con lo que nos aparecerá la siguiente pantalla:
Para verificar que el Internet Explorer 6 con Service Pack 1 este instalado, se debe abrir un navegador y en la pestaña de Ayuda (Help) busque la opción Acerca de Internet Explorer 6 y haga clic, con lo que aparecerá la siguiente pantalla:
En la figura se puede observar que se tiene instalado el Internet Explorer 6 con el Service Pack 1 y el hotfix Q867801 (MS04-025).
Nota: La verificación mediante llaves puede no ser creada correctamente al usar este método por lo que no se recomienda realizar la verificación por el registro.
5. Revisión histórica
- Fecha de liberación original: 21 de Septiembre de 2004
- Última Actualización y Revisión: 28 de Agosto de 2004
El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este tutorial a:
Para mayor información acerca de éste tutorial de seguridad contactar a:
UNAM CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
DGSCA - UNAM
E-Mail : seguridad@seguridad.unam.mx
http://www.unam-cert.unam.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel : 56 22 81 69
Fax : 56 22 80 43
|
