Actualización y addons para IPFire

Hace poco tiempo, publiqué una entrada con la instalación básica del IPFire, ahora, es el momento de desarrollar la administración del producto, que, como ya os dije, es realmente bueno. Si todavía no has realizado la instalación del programa, haz clic aquí y sigue los sencillos pasos.

Una vez instalado el IPFire, lo primero, como cualquier sistema de seguridad, es actualizarlo, para ello, lo primero que debemos hacer es acceder a la GUI. En la instalación, te habrá dicho que para acceder, solo tienes que poner en un navegador https://ipfire:444 y entrarás. Si esto os funciona en vuestros casos, por favor, decidmelo. Nunca lo he conseguido. Mira que tengo la DNS apuntando a la maquina del IPFire, el sistema filtra el tráfico... todo. Nunca me ha funcionado. En mi caso, e imagino que en el vuestro también, para acceder tenéis que usar la IP de la puerta de enlace de gateway de la LAN, es decir, la IP de la interfaz designada como Green, en mi caso, https://192.168.0.1:444.

Página principal del GUI de IPFire

Al entrar a la página, lo primero que os dirá es que el certificado no es válido. Es lo que tiene... si tu ordenador fuera una entidad de emisora de certificados válida, no pasaría, pero eso es otra historia. Para iniciar la actualización, en el menú superior, debemos hacer clic en la opción que marca con ipfire, que nos abrirá un menú donde podremos encontrar el resumen del PakFire, en la parte superior izquierda, un log indicando los eventos de las diferentes versiones y parches que tenemos instalados en nuestra maquina y, a su lado, las actualizaciones de las que disponemos. Recien instalado, lo mínimo es tener una actualización pendiente del núcleo del Linux de la maquina.

Página gestión actualizaciones de IPFire

Aparecerá también como pendiente una instalación del PAE (Physical Address Extension) el sistema, al ser un linux de 32 bits debe incluir un parche para poder tirar de sistemas con más de 4 gigas de memoria RAM. Para realizar la instalación, hay que hacerlo una a una. Seleccionáis la instalación y le dais al botón que aparece debajo con el símbolo de una descarga. En ese momento comenzará la actualización del paquete que hayáis seleccionado. Podréis ver un log de cambios realizados que irá mostrando el proceso de instalación.

Logs de cambios realizados

Una vez actaulizado todo el sistema, la ventana quedará como la veis aquí, sin actualizaciones en la ventana de la parte derecha. Si os fijáis, en la parte de arriba te indicará si tiene algún reinicio pendiente una vez concluidas las actualizaciones.

Sistema actualizado con reinicio pendiente

Pakfire

Al igual que muchas otras distribuciones de Linux, IPFire incluye un gestor de paquetes. De otras distribuciones, las más conocidas suelen ser Yum o Apt. Estos gestores de paquetes, se dedican a controlar si hay actualizaciones pendientes de los programas que tenemos descargados y, si lo deseamos, instalar más programas para mejorar nuestro sistema o adecuarlo más a nuestras necesidades.

IPFire contiene unos cuantos addons, hay una lista completa en este enlace. Yo me voy a limitar a comentaros los que me han parecido interesantes, así como los que yo he montado y el motivo.

Los addons aparecen en la parte baja de la opción pakfire bajo el encabezado "Addons Disponibles". Una vez seleccionado el addon que deseamos instalar, presionamos el botón con el símbolo + que aparece bajo el cuadro

Cuadro de confirmación instalación/desinstalación de paquetes

Un detalle curioso, si vais a desinstalar algún paquete, observaréis que la pregunta que os sigue haciendo en la ventana de instalación/desinstalación, es que si deseamos realmente montar ese paquete. En el pantallazo que veis arriba, se puede apreciar el error.

nano

Si os gusta toquetear desde la línea de comandos, este addon, es obligatorio. No se como se os da el editor de textos vi, pero yo solo me he aprendido dos combinaciones... y me cuesta acordarme.

iftop

Bueno, he de confesar que esto lo tengo para impresionar a las visitas. Tengo un monitor antiguo montado en la máquina donde esta instalado el IPFire. Si quiero dejar ese monitor "vistoso", me logo en la sesión de la consola y le ejecuto el iftop. El resultado es lo que vais a ver a continuación.

iftop - barras que indican la velocidad de manera gráfica

Tiene una pequeña ayuda presionando la tecla h. Las opciones se obtienen presionando la tecla correspondiente. Os recomiendo probar la t hasta "One line per host" y la L para activar las gráfica por kb fijos y no dinámicas

guardian

Prácticamente obligatorio, este programa convierte el IPFire en un sistema de defensa activa ante escaneo de puertos. A este parche le dedicaremos una sección en la próxima entrada que será configuración de IPFire.

Usando el sistema de Snort, analiza todos los paquetes que van pasando por la maquina, permitiendo una reacción en tiempo real antes posibles amenazas. Lo cierto es que no conozco a nadie que cuando detecte a alguien haciendo un análisis de puertos en su router, le de tiempo a reaccionar y a ignorar la IP en cuestión, a menos que este se ponga muy pesado. Guardian permitirá actuar por nosotros y repeler a los posibles atacantes ignorando su escaneo de puertos y señalando la IP como "no deseada". 

Si queréis empezar a probarlo y os detecta como atacantes por una mala configuración anterior, lo único que tenéis que hacer es reiniciar la maquina del IPFire. Si aún así os sigue detectando como atacantes, entrar en la consola y reiniciar la interface que esté detectando, por ejemplo, si detecta la interfaz eth0

ifconfig eth0 down

ifconfig eth0 up

Aunque su funcionalidad principal va muy unida al Intrution Detection System (IDS) del IPFire, también te permite registrar intentos de acceso al SSH de la maquina.

tcpdump

Esta herramienta se montará en la consola. tcpdump te permitirá, mediante unas cuantas opciones, leer de manera directa todos los paquetes con todos los destinos que van llegando a tu servidor en sus diferentes tarjetas. Es ideal para localizar cualquier tipo de fallo en el firewall, en tráfico de VPN... es la herramienta obligatoria para todo buen administrador de red.

tripwire

Si eres un obseso de la seguridad de tu maquina y crees que te va a hackear alguien el IPFire, este addon debes tenerlo. El programa registra cambios en los archivos locales comunicando los cambios vía correo electrónico, archivos modificados y modificaciones realizadas. Yo, particularmente, no lo he montado.

samba (SMB)

Samba es, principalmente, un protocolo de comunicación basado en TCP/IP que permite compartir archivos entre diferentes maquinas y, quizas lo más importante, entre diferentes sistemas operativos. En Windows, solo es necesario compartir una carpeta para permitir que otras maquinas tengan acceso a ella. En Linux, es necesario para compartir con otros sistemas, como medio común de traspaso de información. Así mismo, también permite la integración de un dominio bajo Windows a nuestro sistema basado en Linux para poder autenticar a los usuarios por si queremos 

Instalación básica IPFire

Hasta ahora, me he ido manejando con el IPCop, basicamente no he necesitado nada más serio ni nada que realmente me hiciera filtro proxy de las web's de los usuarios. Hoy, puedo afirmarlo sin atisbo de dudas, IPCop, ha muerto... ¡¡¡LARGA VIDA AL IPFIRE!!!.

IPFire es una distribución de Linux que mezcla el concepto de firewall con el de router para tener una maquina todo en uno y poder dar servicio a varias maquinas en su salida a Internet, así como en su seguridad, puesto que, al igual que IPCop, permite levantar VPN, dar acceso a través de equipos remotos... en pocas palabras, es una plataforma de seguridad. Contiene un sistema de 32 bits y soporta tecnología ARM

Las necesidades de este programa para funcionar son muy simples, una tarjeta ethernet para dar acceso a la LAN (identificada como Green), otra tarjeta, para dar acceso a Internet (identificada como Red) y, si queremos rizar el rizo, necesitaríamos dos tarjetas de red más, una ethernet y otra WLAN (Wireless LAN), en la que, respectivamente iría la zona DMZ (Zona exclusiva para servidores, de limitado y controlado acceso) que se identificaría como Orange y la zona WIFI, que se identificaría como Blue.

Instalación

Antes de empezar, es muy importante que conozcamos la MAC de cada una de las tarjetas de red que van a intervenir en la instalación. Normalmente, vienen en una pegatina en la propia tarjeta de red o, si en la maquina hay otro sistema operativo montado, apuntarlas directamente del sistema.

Bueno, la instalación es simple, hay que prestar atención a unos pocos detalles, pero no tiene mucha historia. Lo primero, es entrar en la web oficial de IPFire y una vez dentro, descargarnos la imagen ISO, grabarla en un CD con el programa que más te guste, lo metemos en un equipo o en una maquina virtual

Pantalla de arranque del CD

En la opción "Other installation options", encontraremos dos opciones sin demasiada relevancia, como son la instalación en modo texto y la destendida. Si os explicara la instalación desatendida, aquí terminaría este pequeño tutorial. En las "Tools" encontaréis el memtest por si estáis teniendo problemas con la instalación y un programa que chequea vuestro hardware por si tienes problemas de compatibilidad.

Ventana de selección de idioma de instalación

Al hacer clic en la instalación se nos abre una ventana que nos pide que indiquemos el idioma en el que queremos realizar la instalación. Las siguientes ventanas las voy a pasar por encima, puesto que son la de bienvenida y la de la licencia.

Ventana de Bienvenida

Ventana de aceptación de la licencia GNU de IPFire

Ventana de aviso borrado de datos del disco duro

Ventana selección sistema de archivos

Las dos ventanas anteriores, en la primera se indica que va a particionar el disco duro completo, si elegimos "No", nos dará la opción para poder particionarlo nosotros mismos. En la segunda pantalla le indicamos cual es el formato que queremos darle al disco duro. Recomiendo ext4. Al darle a continuar, comienza el borrado de los datos del disco duro y la instalación de archivos.

Barra de progreso instalación IPFire

Finalizada la instalación de archivos de IPFire

Una vez concluída la instalación de los archivos, nos pedirá reiniciar la maquina y que saquemos el CD, cosa bastante lógica, porque en caso contrario, volveríamos a entrar en el menú de instalación. Las ventanas siguientes son para seleccionar el idioma de la instalación y para indicar la zona horaria.

Ventana de GRUB arranque IPFire

Selección de idioma de configuración IPFire

Selección de ubicación geográfica equipo IPFire

En la siguiente ventana (aunque en esa me falta el pantallazo) introduciremos el nombre del equipo y el nombre de dominio. El nombre que yo he escogido para mi maquina es "Cancerbero". Para los que no lo sabéis, Cancerbero es el perro que cuidaba que nadie entrara o saliera, a menos que tuviera que hacerlo, del inframundo, se le dice comúnmente Cancerbero, aún llamándose Cerbero, porque es un cánido, de ahí lo de Cancerbero. ¿Soy un friki? pues si, para que nos vamos a mentir. La ventana del dominio, me he permitido ponerle el dominio .local. En una red, es sumamente recomendable usar el dominio .local en lugar de .com o .net para evitar posibles problemas con las web's externas y definir correctamente un dominio y su ámbito.

Nombre de equipo y de dominio de IPFire

Llegamos a las ventanas de las contraseñas. La primera ventana es para el usuario root. El usuario root es el administrador en una maquina Linux. Es el usuario con más privilegios y deberíamos ponerle una contraseña que sea compleja, al fin y al cabo, esta maquina es nuestro "muro" para cortar el acceso a personas indeseadas a nuestra red. Un detalle de estas dos ventanas que vienen a continuación, es que ninguna de ellas mostrará asteriscos, ni estrellitas ni nada mientras vayamos escribiendo la contraseña. Creo que eso es bueno en cuanto a seguridad. Ningún "ojo indiscreto" verá el tamaño de nuestra clave.

Clave usuario root administración IPFire

La siguiente clave que nos pregunta es la clave del usuario admin. Este usuario es el que va a gestionar desde la interfaz gráfica de usuario (GUI)  el firewall, es decir, la mayoría de las gestiones las realizaremos con este usuario desde la web. La contraseña también os recomiendo que sea un poco compleja.

Clave usuario administrador IPFire para GUI

Aquí llega la parte más importante, que es donde seleccionamos el tipo de red que queremos montar, así como direcciones IP de las interfaces. Nos aparece un menú con cuatro opciones. Vamos a explicarlas una a una.

Menú de configuración de red servidor IPFire

Al entrar en la primera opción, nos va a permitir seleccionar la configuración de red que IPFire va a manejar. Como expliqué al principio, esta configuración va a depender de nuestra red, así como del número de interfaces que disponga el ordenador. El sistema la va a identificar por colores, siendo Green la red de trabajo, Red la conexión a internet, Orange un sistema DMZ o Zona DesMilitarizada que es donde tendríamos los servidores con un acceso restringido por puertos directamente y Blue una red de trabajo WIFI. Por tanto, hay que seleccionar la configuración que más se adapte a nuestra red. Yo dispongo de una maquina con dos tarjetas de red, por tanto, mi selección será Green + Red

Tipos de configuración de zonas

A continuación, hay que seleccionar que interface hará cada función. Para hacerlo, seleccionamos la función y presionamos Intro. En este punto, será cuando necesitaremos saber cual es la MAC de cada tarjeta para asignarle la función correctamente. En caso de no saberlo o no haberlo apuntado, la solución es bien simple, una vez concluida la instalación, cambia el orden de los conectores en la tarjeta. :)

Tarjetas de red asignadas

Las dos pantallas que vienen a continuación, la primera es una visualización del sistema preguntando que interfaces asigna a la LAN y cual a la parte de internet. Hay que seleccionarlas y, cuando hayamos concluído, podremos ver algo parecido a la segunda ventana, donde nos esta mostrando que los dos interfaces ya tienen red asignadas.

Selección de interfaz

Tarjetas de red asignadas a zonas seleccionadas

Una vez concluido, volveremos al menú principal y seleccionaremos la siguiente opción Configuración de direcciones. Aquí es donde indicaremos la dirección de cada interface. En mi caso, la línea ADSL ofrece IP a través de DHCP y mi red va a ser del tipo 192.168.1.0/24.

Configuración de direcciones IPFire

Al seleccionar el interfaz Green el sistema nos va a mostrar una advertencia indicando que el cambio que vamos a realizar, nos cortará la conexión una vez realizado. Es lógico, al fin y al cabo estamos configurando la tarjeta de red a través de la que, en caso de estar haciéndolo remotamente, estaríamos conectándonos a este menú. En caso de estar conectados en remoto, si se configura todo correctamente, esto será un corte temporal.

Advertencia para conexión remota

En la siguiente pantalla, indicamos la dirección IP que deseamos darle a la interfaz Green. Esta dirección, será la puerta de enlace que hay que configurar en los ordenadores de nuestra LAN. En mi caso, deseo darle la 192.168.1.1/24. En caso de no estar familiarizado con las mascaras de red, el /24 que acompaña a la IP es el número de bits que tiene la red "estáticos", es decir, los que componen la red o, la diferencia con /32 el número de bits disponibles, siendo /32 el máximo que indicaría a una maquina concreta dentro de una red solamente, en otras palabras, define la cantidad de maquinas que podré configurar en esa red con ese rango de IP's. Al indicar /24 quiere decir que la mascara de red es 255.255.255.0 y podré configurar un total de 254 dispositivos conectados en ella. Si, por el contrario, hubiera puesto /30, la mascara de red sería 255.255.255.252 y solo podría configurar dos dispositivos en ella. Vale... aquí se me ha ido un poco la mano con la explicación y me ha quedado muy raro, pero, es viernes por la noche y estoy en mi casa escribiendo esto, no esperéis mucho más, si tenéis dudas, consultadme y os lo explico bien.

Configuración IP interfaz Green

A continuación, haremos lo mismo con la interfaz que va a internet, la Red, que como he dicho antes, en mi caso se la da el propio router. Mejor dicho, en la maquina virtual que he usado para pegar los pantallazos en el blog, se la he configurado como DHCP, puesto que es una configuración que usa un NAT con el equipo huesped. La realidad, es bien distinta. En en router de nuestro proveedor, deberemos tener configurado para que todos los paquetes los mande a una IP en concreto, que debe ser la IP que le pongamos a la interfaz Red.

Configuración IP interfaz Red

Una vez finalizado, debemos acceder a la cuarta opción del menú que nos permite configurar las DNS por defecto del IPFire, así como la puerta de enlace. Esta puerta de enlace, se refiere a la puerta de enlace de la interfaz Red, que es la que conecta a internet. Escribimos las DNS que usará como reenviador el servidor DNS que lleva configurado el IPFire y que, a su vez, son las que usará la maquina para buscar sus repositorios.

Configuración de DNS y Gateway de IPFire

Una vez concluido, haremos clic en Terminado para continuar con la instalación del sistema.

Menú de configuración de red concluido

Comenzaremos la configuración del servidor DHCP. Para activarlo, hay que presionar la tecla Espacio en Activado, una vez hecho esto, debemos indicarle la dirección de inicio y la final del rango que queremos que suministre a los equipos a los que le entregará dirección. También podemos indicarle un servidor DNS, en caso de que no queramos que el IPFire actue como servidor DNS, el tiempo de concesión de la dirección mínimo y el máximo y el sufijo del nombre de equipo que queramos entregar a los equipos.

Configuración servidor DHCP IPFire

Y terminó. Esta es la configuración básica del IPFire. Una vez hecho esto, comenzará a entregar direcciones a nuestros equipos. Tengo ya empezado la entrada en la que explico la administración básica, así que, tranquilos, esto no acaba aquí, pero este programa es extenso y no estoy escribiendo un libro :)

Actualizado: Ya está disponible el siguiente capitulo que es actualización e instalación de addons en IPFire

Instalación concluida IPFire

Metasploit, instalación básica

Metasploit es un programa desarrollado por Rapid7 que permite realizar una amplia variedad de pruebas a cualquier maquina, es, sin ir más lejos, justamente lo que dicen en su página que es; un sistema para poder realizar pruebas de accesos no deseados en tu propia red. Podríamos decir que es una "seguridad ofensiva".

Es un sistema genial para poder comprobar la integridad de tu red y descubrir esos "agujeros" que un usuario malintencionado puede aprovechar para colarse por la puerta de atrás.

Para descargarlo, es tan simple como descargar el archivo desde su página. Haciendo clic aquí tenéis el acceso a su página de descargas. Para windows, bajará un archivo en .exe que podréis ejecutar directamente. En Linux, se bajará un archivo .run. Para poder ejecutar este archivo, es necesario entrar en la consola y darle atributos de ejecución. Para ello, tenemos que escribir sudo chmod 777 <nombre_de_archivo> y a continuación sh <nombre_de_archivo>. En los dos casos, el de Windows y el de Linux, se abrirá la pantalla de inicio de la instalación.

Pantalla de Inicio de la instalación

Términos de la licencia

Carpeta de instalación

Hasta aquí, nada reseñable, lo único es que nos permite seleccionar la carpeta donde lo vamos a montar. La siguiente ventana si es un poco más interesante, puesto que nos va a permitir indicarle si lo que queremos es montar el Metasploit como servicio o no. La diferencia, básicamente, es que si no lo montamos como un servicio, no podremos hacer uso de una herramienta bastante útil que tiene que son las tareas programadas, donde podremos indicarle horas para realizar los escaneos de puertos y demás servicios del programa.

Instalar como servicio

Es muy importante que configuremos los antivirus y el firewall para que no considere como amenaza este programa, si no lo hacemos, el antivirus nos borrará o bloqueará archivos del programa y el firewall lo bloqueará para que no pueda salir a revisar redes.

Aviso de problemas conocidos

El programa viene configurado por defecto para escuchar en el puerto 3790, y a continuación, nos pedirá que realicemos el certificado para poder realizar la conexión https a este puerto. Esta parte es bastante graciosa, puesto que genera un certificado a través de una entidad certificadora en la cual realmente no confía. Me explico. La entidad que certifica este certificado, es nuestro propio ordenador, que no es una fuente emisora de certificados reconocida como válida de nivel 2. La única pega, es que cuando entremos en la web de gestión, nos dirá que no confía en la entidad emisora de certificado. No debemos preocuparnos.

Puerto de escucha del servicio

Creación certificado para la maquina local

Las siguientes pantallas son de la instalación de archivos, así que no requiere más explicación que darle a "Siguiente" (o "Adelante", depende del Sistema Operativo) para continuar con la instalación.

Terminada la configuración

Ventana de progreso de instalación

Al hacer clic en "Finish" (Finalizar), si dejamos ticada la opción para que abra la interfaz web de usuario, se abrirá por primera vez nuestro Metasploit.

Instalación concluida e inicio de la interfaz web

Lo siguiente que nos toca es indicar un usuario y una contraseña para acceder a nuestro programa. El sistema de la contraseña es bastante seguro, por tanto, tendremos que introducir al menos 8 caracteres incluyendo letras, números y caracteres especiales.

A continuación, el sistema nos pedirá que registremos nuestro producto rellenando una serie de datos personales, a cambio de los cuales, ellos nos enviarán un mail con el número de registro que nos corresponde. Este correo puede tardar, a mi me ha llegado a tardar unos 10 minutos. Supongo que habrá alguna persona revisando las peticiones a mano, ni idea, el tema es que os llegará. Una vez os llegue, lo ponéis en la ventana que se habrá abierto a continuación de haber lanzado vuestros datos para la licencia.

Ventana código de activación

Una vez se abra la nueva ventana de Metasploit, podemos empezar a escanear nuestras maquinas, para ello, hacemos clic en "New Project"

Ventana inicial del Metasploit - Gestor de Proyectos

En la ventana que se nos abre, indicamos el nombre que queremos dar al proyecto, un pequeño resumen, así como la dirección o el rango de direcciones que deseamos escanear.

Ventana de nuevo proyecto

Una vez creado el proyecto, se nos abrirá la ventana de gestión del proyecto. Presionamos el botón escanear situado en el primer bloque abajo a la izquierda y comenzará un escaneo de puertos y servicios abiertos. Este escaneo es como si en la consola hubieramos usado el comando NMAP y le hubieramos indicado un escaneo completo de puertos. Podemos salirnos y volver cuando haya terminado. El tiempo varía según el tamaño de tu red.

Ventana de NMAP de la red

Una vez concluído nos muestra un resumen de los puertos que ha encontrado abiertos, así como el número de ordenadores/maquinas/sistemas que ha localizado. Si hubiera localizado vulnerabilidades, saldrían aquí indicadas.

Modificar el registro de sistema desde otro usuario

Uno de los problemas más comunes cuando tenemos un virus, es tener que acceder al registro de sistema usando el famoso regedit, que a buen seguro la infección en la maquina nos habrá capado el acceso. Si el programa que nos tiene "secuestrada" nuestra maquina no es demasiado "maquiavélico", nos dejará acceder usando el arranque de sistema en modo a prueba de fallos, pero como lo sea, las soluciones se acortan.

Yo, hasta ahora, cuando tenía que realizar una modificación en el registro de sistema y la maquina infectada no me lo permitía, solía acaba usando ya desesperado la opción "Restaurar sistema", que, ni es tan malo ni le pasa nada, pero es como una patada en los chips de nuestro amor propio, puesto que nos dejaba a merced del virus y era como una pequeña abdicación. Para mi, se han acabado las abdicaciones.

Buscando por la red, encontré esto y ahora os lo explico. Sí, se que podría poner el artículo donde lo encontré y que sería lo más justo y honroso por mi parte, pero no lo recuerdo, lo hice  en el portátil de un amigo a la bulla y no apunté la dirección. Lo siento. Los problemas del directo.

Lo primero que tenemos que hacer, es iniciar la maquina con un usuario limpio, ya sea el administrador o cualquier otro usuario que tenga creado el ordenador.

Esta explicación, la voy a hacer usando la vista de categorías del que soy el peor enemigo, pero reconozco que la mayoría de los usuarios lo tienen así en sus casas.

Hay que mostrar los archivos ocultos y los del sistema. Para ello, accedemos al Panel de Control y hacemos clic en Apariencia y personalización

Panel de Control / Apariencia y personalización

A continuación, seleccionamos Opciones de carpeta, lo cual nos abrirá una pantalla en la que podremos modificar los campos que necesitamos. Esto se podría haber hecho en un solo clic usando las otras vistas, por eso no me gusta la vista en categoría, en las otras vistas, las Opciones de carpeta, están en el menú principal del panel de control.

Vista de las Opciones de carpeta

En la ventana que se abre, aparecen una serie de pestañas, en la pestaña Ver, tenemos que activar la casilla Mostrar archivos, carpetas y unidades ocultos y desactivar la casilla Ocultar archivos protegidos del sistema operativo (recomendado). Como es lógico, cuando hacemos esta modificación nos dice que lo que hagamos puede dañar el sistema y más cosas, si queréis solucionar el problema, dadle a Aceptar. Presionamos el botón de Aceptar en la parte inferior de la ventana.

Las dos opciones y como deben quedar antes de aceptar

Presionamos la tecla Windows de nuestro teclado (entre el Ctrl y el Alt, normalmente). Una vez que lo hemos hecho, hacemos clic en Ejecutar (para Windows XP) o escribimos directamente en la barra de busqueda (Vista, 7 y 8) regedit.

Se abrirá por supuesto el registro de sistema del usuario que tenemos abierto y, de ninguna manera y en ningún sitio, encontraremos claves de registro del otro usuario del cual pretendemos hacer los cambios (esto lo sabéis, puesto que estáis visitando este artículo). Para abrir las claves de registro del otro usuario, tenemos que irnos al Registro HKU (HKEY_USERS)

Registro HKU 

Abrimos el menú Archivo, arriba a la izquierda de la ventana, donde encontraremos la opción Cargar árbol. Esto solo funcionará si estamos sobre la clave HKEY_USERS, en caso de estar en otra clave, NUNCA SALDRÁ PARA PODER SELECCIONARLO.

Menú Archivo desplegado mostrando sus opciones

Se abrirá una ventana del explorador de Windows para que seleccionemos el archivo sobre el cual queremos hacer la modificación, debemos buscar dentro de la carpeta de usuarios el que tengamos que cambiar. Mi consejo, si no sabéis localizar esta carpeta, en la barra superior de esta ventana, escribid %users% y presionad enter. El explorador os llevará a la carpeta de usuarios sin tener que darle muchas vueltas. Una vez allí, seleccionar el usuario del que deseáis limpiar el registro y entrar. Una vez dentro, buscad un archivo de nombre NTUSER.DAT, este y solo este, es el que contiene el registro de sistema de cada usuario, es completamente independiente uno de otro.

Explorador de archivos

El sistema os pedirá que indiquéis un nombre para este archivo y lo añadirá a la pestaña HKEY_USERS como una clave nueva. Es MUY IMPORTANTE  que recordéis que estos archivos el sistema los abre en modo exclusivo, esto quiere decir que, una vez que halláis realizado los cambios necesarios en el registro de este usuario, seleccionéis la clave que habréis creado, hagáis clic en Archivo y presionéis la opción Descargar árbol. Dentro de esta nueva clave que habéis creado, está íntegramente el HKEY_CURRENT_USER (HKCU) del usuario que hayáis seleccionado. Si no descargáis el árbol que habéis creado, una vez que cerréis el usuario que habéis abierto, el registro de sistema para este usuario, quedará bloqueado por el usuario con el que hemos realizado la modificación y nos abrirá el usuario que estamos arreglando, con un perfil temporal, donde no tendrá sus documentos, ni escritorio ni datos personales almacenados en su perfil de usuario.