Controla tus ActiveX en Windows Vista
Hola a tod@s!
Este post lo quiero dedicar a una característica de Internet Explorer que me ha llamado mucho la atención en Windows Vista. La capacidad para controlar los ActiveX en nuestra empresa.
Antiguamente no existían las amenazas que tenemos hoy en día, y los desktops en nuestra empresa podían trabajar sin la necesidad de una securización total. También es sabido que hoy en día casi toda la comunicación e iteración entre el usuario e Internet pasa por el navegador. Y todas las pistas nos llevan a deducir que esto irá a más.
Internet Explorer es el navegador por excelencia en el ámbito corporativo. Tiene multitud de funciones y características de seguridad que hacen a este navegador único en la empresa. Por un lado para estar totalmente integrado con la infraestructura de la empresa, y por otro lado, su capacidad para securizarlo y adaptarlo a las necesidades de la empresa, siempre y cuando no se navegue bajo una cuenta administrativa, y partiendo de la base de que el equipo cumple con el principio del mínimo privilegio.
En versiones Windows 2000 y Windows XP, lo teníamos todo, excepto la capacidad de controlar aquellos ActiveX que sí necesitamos en nuestra empresa.
Un control ActiveX no es más que código ejecutable empacado en un archivo (generalmente con extensión .cab) que el usuario puede invocar e instalar desde Internet Explorer. Es una gran característica que se inventó para hacernos la vida un poco más fácil, permitiendo a los desarrolladores poder distribuir más fácilmente sus herramientas, pero que ha terminado (en la mayoría de los casos), en volvernos locos a más de uno.
Os pongo un caso curioso y personal. No hace mucho me encomendaron la labor de migrar una plataforma de trabajo (poco menos de 1000 desktops), de sus privilegios actuales (la mayoría administradores), a una plataforma que cumpliese con el principio del mínimo privilegio.
La migración duró un tiempo, y salvo algún que otro problema (siempre los hay J), todo fue como la seda. Hasta que llegamos a los ActiveX.
Debido al gran auge de ataques bajo controles ActiveX, nos planteamos una seria duda. Un control ActiveX, en la mayoría de los casos (99%) ha de instalarse bajo una cuenta administrativa. Si estábamos realizando la labor de llevar a la empresa a cumplir con el principio del mínimo privilegio…. Qué hacer?
No todos los ActiveX son dañinos. Tenemos el ActiveX de Adobe, el de Windows Installer para las actualizaciones de Windows, y, a parte, la empresa disponía de un antivirus corporativo que era actualizable a través de la Intranet, pero para realizar este trabajo necesitaba la instalación en el cliente de un control ActiveX. También disponía de Terminal Services for Web, y éste también necesitaba controles ActiveX.
Así que dimos con una solución que, si bien no era la mejor, era la que más se adecuaba a las circunstancias. El departamento Help-Desk instalaba esos controles ActiveX cuando el equipo se montaba de 0, pero bajo ningún concepto se le daban permisos de Administrador al usuario (a no ser que fuese el jefe J).
Como podréis observar, a día de hoy necesitábamos una solución mejor para la distribución de Desktops corporativos, ya que algún día, vamos a necesitar que sea nuestro usuario el que pueda instalarse esos ActiveX sin necesidad de ser Administrador. Eso reduciría la carga administrativa, y a la vez dotaría de dinamismo la actividad laboral entre usuario y departamento Help-Desk. Hoy en día hay aplicaciones de Intranet que necesitan esos controles ActiveX, aparte de las aplicaciones mencionadas antes.
En Windows Vista han pensado en esto (y muchas otras cosas más) y han lanzado un servicio llamado AXIS (Servicio Instalador ActiveX), el cual no es más que un servicio a nivel de políticas de grupo, que habilita esta función precisamente. El tener una White List o lista blanca en donde podamos poner las direcciones Web en las que sabemos con certeza que sus ActiveX no contienen código dañino.
La política tiene un funcionamiento muy sencillo y práctico. Para activar la política, nos dirigiremos a Panel de Control à Programas à Activar o desactivar características de Windows.
Una vez aceptado el aviso de UAC, activaremos la opción Servicio de instalador de ActiveX, el cual preparará nuestro Vista para este tipo de acciones. Una vez activada la característica, procederemos a crear nuestra White List o lista blanca de aplicaciones Web que necesiten instalar ActiveX en nuestros Desktops corporativos.
El segundo paso a realizar, consiste en iniciar la herramienta de políticas de grupo gpedit.msc.
Una vez allí, procederemos a ir a la ruta siguiente:
Configuración de equipo à Plantillas administrativas à Componentes de Windows à Servicio del instalador de ActiveX
Como podréis comprobar, la directiva aún no está aplicada, por lo que cualquier usuario con privilegios administrativos podría instalar cualquier ActiveX, venga firmado o no.
Una cosa que me gustaría remarcar, es que habilitando esta característica correctamente, habilitaremos a un usuario sin ningún tipo de privilegios, instalar controles ActiveX autorizados por nosotros, los administradores. Como podréis comprobar, la directiva se va a aplicar desde configuración de equipo, y no de usuario, así que será la cuenta de equipo quien instalará estos ActiveX permitidos.
Una vez habilitada la directiva, tendremos que introducir en una lista, las direcciones Web que queremos permitir. 
Necesitaremos ambos valores y/o campos para establecer la directiva. En el primer campo estableceremos cual es la aplicación Web que va a necesitar de ese privilegio de instalación para su correcto funcionamiento.El segundo parámetro son una serie de controles para los diferentes estados de un ActiveX, que nos ayudarán a establecer cómo se va a comportar ese ActiveX, a la hora de descarga e instalación. Por defecto tendremos estos estados de ActiveX y por este orden se asignará la directiva:
-
TPSControlFirmado
-
Control Firmado
-
Control sin firmar
-
Política de Certificado
Y para estos campos, tendremos unos valores, los cuales son los siguientes:0.- El control ActiveX no se instalará1.- Se pedirá confirmación del usuario (tal y como hasta ahora)2.- El control ActiveX se instalará en modo silenciosoPor motivos de seguridad, para los controles sin firmar no existe el valor 2. Tan sólo está disponible el valor 0 y 1.
Gracias a esta nueva manera de instalación de controles ActiveX en Windows Vista, podemos mantener el mínimo privilegio posible en nuestros Desktops, sin despreciar para nada la potencia de un ActiveX.
Me dejo en el tintero la referencia a los logs que deja este tipo de configuraciones, pero lo dejo para un par de post que tengo en mente sobre Logs en Windows Vista, que sé que a los que le gustan los análisis forenses como a mí les va a resultar entretenido.
Espero que os haya molado!
Saludos!