vista-tecnica

Échale un vistazo técnico a Windows Vista

December 2007 - Artículos

Recuperación de Datos (III de IV) por Alex Refojo

3. Sistema de cifrado de archivos (EFS).

3.1. Descripción.

El sistema de cifrado de archivos (EFS)* es una característica del SO, que da la opción de almacenar información en un medio extraíble en formato cifrado, es decir, con la protección más alta que facilita Windows con el objetivo de mantener nuestros documentos a salvo de cualquier amenaza, externa o interna.

* EFS está disponible en las ediciones Windows Vista Business, Enterprise y Ultimate.

Con esta característica, podremos decidir de forma sencilla (mediante la activación de una casilla) quién puede leer nuestros archivos.

En este artículo, me centraré, en cómo proteger nuestra información empleando este sistema.

3.2. Cifrar - descifrar carpetas y archivos.

Los archivos o carpetas es necesario cifrarlos cuando consideramos que la información que contienen es, suficientemente importante para hacerlo. De hecho podremos incurrir en los siguientes riesgos que conviene tener en cuenta:
- Si copiamos o movemos un archivo cifrado, a un volumen que no use el sistema NTFS, se descifrará el archivo.
- Es necesario, realizar una copia de seguridad del certificado de cifrado y de la clave de cifrado (posteriormente explicaremos cómo se hace). Si, por cualquier circunstancia, perdemos o dañamos cualquiera de estos dos elementos, no podremos usar los archivos cifrados.

Para cifrar un archivo o una carpeta, basta con hacer clic con el botón derecho, ir a propiedades, avanzados, y marcar la casilla "cifrar contenidos para proteger datos" y aceptar.




Para descifrar el archivo, tendremos que desmarcar la casilla resaltada en la captura.

3.3. Copia de seguridad del certificado EFS y clave de cifrado.

Con el propósito de asegurar la recuperación de archivos o carpetas cifrados, si el certificado EFS se pierde o se daña, es altamente recomendable, realizar una copia de seguridad del certificado EFS en un medio extraíble. Para ello nos dirigimos a inicio, en el cuadro de búsquedas escribimos "certmgr.msc" y accedemos al Administrador de certificados. Expandimos la carpeta "personal" y hacemos clic en certificados.

Aquí observaremos, que existen dos tipos de certificados, si bien, nosotros haremos clic con el botón secundario en el que se describe como el sistema de cifrado de archivos. Pulsamos "Todas las tareas" y luego "exportar". Automáticamente, se inicia un asistente en el que podremos seleccionar exportar, también, la clave privada; escogemos el tipo de archivo de cifrado, un nombre y pulsamos finalizar.


 Como apreciamos en la imagen existen varios formatos de certificados.

Con esto conseguiremos que nuestra clave de cifrado y el certificado EFS, estén a salvo. Podremos emplearlos para restaurarlos posteriormente.

3.4. Certificado de recuperación de archivos cifrados.

Este tipo de certificado, permite recuperar archivos cifrados en el supuesto de que se pierda o se dañe la clave de cifrado.  Para ello es necesario llevar a cabo estos tres procesos:

1- Crear un certificado de recuperación: Inicio - cmd.exe (Pulsando ctrl + mayúsculas + enter) - nos situamos en el directorio deseado - escribimos "cipher /r:nombre del archivo" y pulsamos enter. Para mayor protección, es preferible emplear un medio de almacenamiento externo y  guardarlo en un lugar seguro.

2- Instalar el certificado de recuperación: Inicio - en el cuadro de búsquedas escribimos "secpol.msc" para acceder a la configuración de seguridad local - Hacemos clic en directivas de clave pública y en  EFS, con el botón secundario seleccionamos "Agregar agente de recuperación de datos". Se lanza el asistente y buscamos el certificado de recuperación; posteriormente lo instalamos.

 

Es necesario, actualizar la directiva de grupo local. Para hacerlo, vamos a Símbolo del sistema (cmd.exe) y escribimos gpupdate.

3- Actualizar archivos cifrados anteriormente con el nuevo certificado de recuperación: Inicio - tecleamos cmd y escribimos "cipher /u". En caso de no usar este comando, los archivos cifrados, se actualizarán la próxima vez que se abran.

3.5. Recuperar archivos o carpetas cifrados.

Para llevar a cabo este proceso, es necesario tener una copia de seguridad de la clave de cifrado y el certificado EFS, tema mencionado en el punto 3.3 del artículo.

Será necesario acceder al Administrador de Certificados (certmgr.msc). Expandimos la carpeta Personal, y vamos a acción - todas las tareas - importar, con lo que se abre el asistente para la importación de certificados. Pulsamos finalizar y ¡listo!


Se nos presentará, además la opción de colocar este certificado en otra carpeta distinta a Personal.

3.6. Administrar los certificados.

Con el propósito de administrar nuestros certificados de forma sencilla, una de las novedades incorporadas en Windows Vista, es la opción de realizar desde un asistente las siguientes acciones:
- Seleccionar o crear un certificado y una clave de cifrado de archivos.
- Realizar una copia de seguridad del certificado y la clave.
- Configurar el Sistema de cifrado para que use una tarjeta inteligente.
- Actualizar archivos cifrados anteriormente para que usen una clave y un certificado diferentes.


Con esta opción podremos realizar las tareas de copia de seguridad o de reemplazo de certificados de forma más sencilla.

Para acceder a esta herramienta, llega con ir a inicio - panel de control - cuentas de usuario - Administrar sus certificados de cifrado de archivo.

 
3.7. Resumen: Parte III de IV.

Con esta publicación, hemos tratado, desde el punto de vista de la seguridad del cifrado, el Sistema de Cifrado de Archivos (EFS). Este tema, puede ser más completo y permite más opciones, como por ejemplo, el uso de tarjetas inteligentes, que aquí no se recoge. Sin embargo, mi intención era resaltar los puntos básicos para usar el cifrado de forma segura, manteniendo un ciclo de copias de seguridad continuo.

Para el último capítulo, haré referencia, entre otros aspectos, a la copia de seguridad en línea de claves, otra de las novedades de Windows Vista.

Saludos y felices fiestas!

Publicado: 31/12/2007 10:13 por Antonio Diaz con 6 comment(s)

Microsoft Technet y Webcast de Windows Vista

 

Microsoft TechNet proporciona ayuda de todo tipo a los profesionales de tecnologías de la información, para que estos puedan desarrollar y dar soporte a las tecnologías de Microsoft.

Para ello Microsoft pone a disposición de los usuarios unos eventos y seminarios gratuitos, así como todo tipo de artículos, conferencias, manuales y webcast, que son unas presentaciones en vídeo para ser distribuidas por internet.

Concretamente Microsoft Technet está compuesto por varios apartados claramente diferenciados:

- Recursos de seguridad: Proporciona un boletín mensual con revisiones de seguridad, así como varios documentos informativos sobre seguridad, alertas sobre virus, herramientas, utilidades de seguridad y otros recursos.
Más información aquí: http://www.microsoft.com/spain/technet/seguridad/recursos/default.mspx

- Suscripción TechNet Plus: Consiste en una biblioteca de artículos, service packs, información, actualizaciones de seguridad, y un CD o DVD con documentación actualizada.
Más información aquí: http://technet.microsoft.com/es-es/subscriptions/bb404693.aspx

- Boletín TechNet Flash: En este boletín semanal enviado por correo electrónico, se informe sobre novedades, artículos, descargas...
Puedes ver un ejemplo aquí: http://www.microsoft.com/spain/technet/boletines/historico.aspx

 
- Seminarios y eventos gratuitos de TechNet: En este apartado se tratan los aspectos prácticos de las tecnologías de Microsoft.
Puedes ver algunos aquí: http://www.microsoft.com/spain/technet/jornadas/default.mspx

 
- Tesoros ocultos de TechNet: Es un compendio de artículos destacados elaborados por los mayores especialistas de Microsoft.
Más información aquí: http://www.microsoft.com/spain/technet/recursos/tesoros/default.mspx

- WebCast gratuitos: Son sesiones de vídeo impartidas por expertos sobre los productos de Microsoft, se hacen en directo y luego son grabados para que se pueda acceder a ellos en cualquier momento.
Puedes ver una lista de los WebCast disponibles y en español aquí: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

 
- TechNet Virtual Lab: Son entornos virtuales donde se emula un sistema operativo y el usuario puede realizar las pruebas que desee.
Mas información aquí: http://www.microsoft.com/spain/technet/formacion/virtuallab/default.mspx

 
- Comunidad TechNet: Está constituida por todos los usuarios que realizan TechNet, así como colaboradores y aquellas personas que emplean TechNet a diario. Más información aquí: http://www.microsoft.com/spain/technet/comunidad/default.mspx

 

Para poder acceder a toda esta información, no hay más que suscribirse en cualquiera de los múltiples enlaces que hay en distintas páginas:
https://login.live.com/login.srf

Y tener instalado el "Visor de Microsoft Office Live Meeting", descargable también desde la página de Microsoft.
http://esd.placeware.com/wintest/

 

 

A continuación enumeraré una serie de WebCast disponibles sobre Windows Vista:


Implantando Windows Vista con BDD 2007 y Windows Server 2008
Se muestran las nuevas tecnologías de imágenes y sus herramientas para implantar Windows Vista, así como su personalización.
Duración: 01:51:34

Compatibilidad de aplicaciones en Windows Vista con el ACT5
Se muestran los problemas de compatibilidad entre Windows Vista y el ACT5, y como encontrarlos. también se muestra la nueva versión del Application Compatibility Toolkit, que ayuda a identificar y administrar el portafolios de aplicaciones.
Duración: 01:36:36

Activación de Windows Vista
Se muestra que es la activación en Windows Vista, y la instalación del servicio Key Management Service para controlar la licencia de Windows Vista.
Duración: 00:40:43

Herramientas de diagnósticos en Windows Vista
Se muestra como Windows Vista diagnostica problemas en discos duros, memorias, redes y otros.
Duración: 01:09:14

Group Policy en Windows Vista
Se muestran las mejoras de las políticas de grupo en Windows Vista respecto a versiones anteriores.
Duración: 00:48:24

User Account Control en Windows Vista
Se muestra la exploración del User Account Control, así como las sus implicaciones en el desarrollo de aplicaciones.
Duración: 00:43:05

Elementos de seguridad en Windows Vista
Se muestran las características de seguridad a nivel de usuario de Windows Vista, tanto en el sistema operativo como en otros aspectos, entre ellos el navegador y el firewall.
Duración: 01:25:27

Mejoras en aspectos de confiabilidad en Windows Vista
Se muestra con detalle las características de confiabilidad que vienen en Windows Vista, los tiempos de respuesta y la nueva capacidad de diagnósticos.
Duración: 01:23:17

Registro de eventos, Visor de eventos y programador de tareas de Windows Vista
Se muestra como Windows Vista permite obtener un mayor control sobre tareas administrativas comunes, así como las características del Visor de eventos y del programador de tareas
Duración: 01:14:55

Rendimiento de Windows Vista
Se muestran las nuevas tecnologías que incluye Windows Vista para mejorar su rendimiento así como las potentes herramientas de supervisión del sistema.
Duración: 01:39:42      

Mejoras en la confiabilidad de Windows Vista
Se muestran los diferentes atributos de confiabilidad y las metas para Windows Vista, así como las nuevas funciones de rendimiento y mejoras, entre ellas por ejemplo la capacidad de respuesta y la recuperación automática.
Duración: 01:15:05

Integrar la imagen corporativa
Se muestran las herramientas de compatibilidad de la aplicación y la de migración de estado del usuario. También se explora el formato de archivo Windows Imaging y la herramienta de disco XImage.
Duración: 01:11:03

Imagen de Windows Vista
Se muestra como capturar una imagen Windows Vista, y como editar y configurar estos archivos, también se mostrará el formato de archivo Windows Imaging y sus características.
Duración: 01:24:07

Descripción general de la implementación de Windows Vista
Se muestra como utilizar un proceso de implementación administrado y como automatizarlo. También se mostrarán distintos aspectos del formato de imagen, el kit de herramientas de compatibilidad de la aplicación, y sistemas de administración de la implementación.
Duración: 01:20:26

Windows Server 2008 & Windows Vista "better together"
Se muestran las características compartidas entre Windows Vista y Windows Server 2008, como trabajando relacionados tienen una administración más eficiente y las nuevas características que permiten mayor disponibilidad de los datos
Duración: 01:30:00

 

Felices fiestas y feliz año nuevo a tod@s. 

 

 

Publicado: 31/12/2007 9:17 por Antonio Diaz con no comments

Sistemas de Integridad en Windows Vista I: Windows Service Hardening (primera parte)

 

Retomamos de nuevo la seguridad en Windows Vista tratando esta vez sobre los sistemas de integridad "Integrados" en este sistema operativo. Es decir, vamos a ahondar un poquito más en que es lo que ha puesto tan nerviosas a empresas Antivirus como Symantec a parte de técnologias como el Firewall de Seguridad Avanzada de Windows Vista, el UAC o ASLR.

 

En próximos Posts hablaremos de tecnologías de integridad como MIC, UIPI, o el servicio TrustedInstaller, de momento, por hoy, nos conformaremos con acercarnos a las notables mejoras de seguridad de los Servicios de Windows: el conjunto de funcionalidades recogidas dentro de WSH (Windows Service Hardening), que vienen a ser las mismas siglas que "Windows Scripting Host" para los entendidos.

 

Limitaciones de los Servicios en Windows XP:

Windows XP (sistema muy defendido por los opositores a Windows Vista) sufría de carencias de seguridad en la manera de trabajar de los servicios, pese a las grandes mejoras realizadas en este ámbito con respecto a Windows 2000. Con todo eso, aun me toca oir a algún Tecnicoless (perdona Maligno por tomar prestado el término) que Windows 2000 es mejor que Windows XP...  En fin, anécdotas aparte, lo cierto es que nos encontrábamos limitados a la hora de trabajar con los servicios de XP, algo que los distintos tipos de malware no dudan en aprovechar.

 

Por ejemplo si en Windows XP queremos impedir el acceso a un recurso específico (como una clave del registro) a un servicio, debemos crear una cuenta de usuario y asignársela al servicio a modo de "cuenta de servicio", algo que además trae problemas al obligarnos a gestionar una política de control de contraseñas para mantener la seguridad de los servicios afectados.

 

Otro ejemplo de las limitaciones de XP es cuando deseamos que un servicio tenga acceso a un recurso al que el usuario "LocalService" no puede acceder, en estos casos nos vemos obligados a usar la cuenta de elevados privilegios "LocalSystem" o bien a crear una cuenta de servicio específica para acceder al recurso, con lo que volvemos al supuesto anterior.

 

Para complicar aun más la cosa, en Windows XP, cuando le asignamos a un servicio una cuenta con las que ejecutarse, ya sea una cuenta de servicio, o las cuentas LocalSystem, LocalService o NetworkService, automáticamente, dicho servicio obtiene todos los privilegios otorgados a la cuenta asignada, con lo cual el servicio obtiene un mayor nivel de acceso al equipo de lo que realmente deseamos, algo que posteriormente puede ser usado por los diferentes tipos de Malware para, por ejemplo, realizar una elevación de privilegios.

 

Windows Vista ha solucionado estos problemas gracias a Windows Service Hardening como describiré a continuación.

 

La solución: Windows Vista y Windows Service Hardening:

Vamos a estudiar desde el punto de vista práctico estas mejoras de seguridad de Windows Vista, para ello vamos a hacer uso de las siguientes herramientas de las cuales no viene mal ir familiarizándonos.

 

Comando SC: Es un comando extendido de edición y consulta de servicios (integrada en Windows Vista).

Process Explorer: Herramienta de SysInternals para obtener información extendida de procesos en ejecución. Esta herramienta la podéis descargar por separado en

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

o bien descargarlo como parte del Suite de SysInternals (paquete de utilidades cuya descarga es muy recomendable) 

http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx

 

Las mejoras tecnológicas referentes a la seguridad en los Servicios de Windows Vista deben pasar obligatoriamente por tres grandes áreas:

  • Aislar los procesos de usuario de los servicios
  • Conseguir que una mayor cantidad de servicios trabajen con bajos privilegios
  • Solucionar las limitaciones presentadas por Windows XP

 

Aislamiento de servicios: Id de sesión 0

Aislar los servicios de los procesos de usuario es una solución óptima para mantener la seguridad de los sistemas, dado que, por un lado dificultamos que un proceso de usuario tome control sobre un servicio, y por otro lado dificultamos que un Servicio infectado interactue directamente con las cuentas de usuario buscando por ejemplo engañar a este para que intruduzca una contraseña en un formulario invocado para tal fín.

 

El aislamiento de servicios en Windows Vista se consigue gracias a los Ids de Sesión. Este sistema en Windows XP era utilizado para el aislamiento y control de procesos ejecutados por usuarios remotos (Remote Desktop  y Terminal Services) y para el servicio de cambio rápido de usuario. Según este sistema al primer usuario en iniciar sesión se le asigna el Id de sesión 0, en cuyo contexto también se ejecutaban los servicios del sistema; a los usuarios que iniciaban sesión posteriormente gracias a "Cambio Rápido de Usuario" o de manera remota gracias a los servicios RDP (Remote Desktop Protocol) se les iba asignando Ids de sesión consecutivos (id 1 para el segundo usuario, Id 2 para el tercero, Id 3 para el cuarto y así sucesivamente).  Mediante este sistema de Ids se impide que un proceso invoque interfaces de usuario (UI) para otros Ids de sesión de manera directa, mejorando la privacidad y la seguridad de cada sesión de usuario.

 

Windows Vista mantiene este sistema de aislamiento, pero añadiendo un cambio muy importante, los servicios del sistema siguen ejecutándose con sesión Id 0, pero el primer usuario que inicia sesión lo hace con Id 1, esto quiere decir que los usuarios y los servicios se ejecutan con Ids distintos, a diferencia de lo que ocurría con XP, a esto hay que añadirle además que los procesos ejecutados con Id 0 no tienen acceso al hardware gráfico, de manera que la única manera de interactuar con el usuario es mediante sistemas alternativos y más seguros como RPC o Named Pipes. En Windows Vista, ningún servicio puede mostrar directamente una interfaz gráfica en pantalla, protegiéndonos por ejemplo de engaños gráficos como cuadros de contraseñas, ventanas falsas etc.

 

Tanto en Windows XP como en Windows Vista podéis ver el Id de sesión con que se ejecutan los procesos desde el administrador de tareas agregando las columnas correspondiente en "Ver > Seleccionar Columnas"

 

 

Servicios con bajos privilegios

Conseguir que una mayor cantidad de servicios trabajen con bajos privilegios supone estar mejor protegidos de posibles bugs y su explotación por parte de un atacante, dado que en el peor de los casos, el atacante solo conseguirá acceso al equipo con los privilegios concedidos al servicio afectado.

 

Para entender correctamente la manera en la que Windows Vista consigue reducir los privilegios a los mínimos necesarios para que un servicio se ejecute tenemos que diferencias dos aspectos:

  • Privilegios de servicio: Equivalen a los típicos privilegios de usuario que podemos editar desde las políticas de grupo (gpedit.msc) como "permitir el inicio de sesión local" o "Apagar el Sistema".
  • Permisos de servicio: Son permisos NTFS aplicables a un servicio para proteger recursos como una clave del registro o una carpeta del Sistema.

 

En Windows Vista los servicios solo aplican los privilegios otorgados explícitamente, pasando por alto aquellos privilegios propios del usuario con que se ejecutan dichos servicios. De esta manera se corrige uno de los problemas que padecía Windows XP y que ya hemos descrito anteriormente: "Los privilegios no necesarios para el funcionamiento del servicio recibidos como consecuencia de ejecutar este con un usuario determinado, ya sea un usuario de servicio o los usuarios especiales LocalService, NetworkService o LocalSystem".

 

De todos modos, por compatibilidad con sistemas anteriores, si no se especifican unos privilegios propios para el servicio, este recibirá automáticamente los del usuario que efectúa la ejecución. Las buenas prácticas de desarrollo exigen el uso de este sistema de privilegios de servicios en Windows Vista, pero siempre estaremos a expensas de que las empresas de software realmente hagan uso de este (Microsoft si hace uso de él como veremos con alguno de sus servicios).

 

A continuación vamos a comprobar, gracias al comando "SC" y a "Process Explorer" este sistema de privilegios, pero antes es recomendable consultar el listado de privilegios existente con su descripción asociada en el siguiente enlace:

http://msdn2.microsoft.com/en-us/library/bb530716(VS.85).aspx

 

Ya conocedores de los privilegios existentes, tampoco está de más echar un vistazo a estos otros Links:

Privilegios otorgados a la cuenta LocalService:

http://msdn2.microsoft.com/en-us/library/ms684188(VS.85).aspx

Privilegios otorgados a la cuenta NetworkService:

http://msdn2.microsoft.com/en-us/library/ms684272(VS.85).aspx

Privilegios otorgados a la cuenta LocalSystem:

http://msdn2.microsoft.com/en-us/library/ms684190(VS.85).aspx

 

Como habréis comprobado en los enlaces de arriba, este sistema no es algo nuevo en Windows Vista, solo son los llamados "privilegios de usuario", pero descritos a un nivel más bajo de lo que normalmente estamos acostumbrados, y con la diferencia de que en Windows Vista estos privilegios son editables a nivel de servicio.

 

Comencemos con la práctica: El comando SC

 

SC es un comando existente en XP pero al cual se le han agregado nuevas e interesantes funcionalidades en Windows Vista. Este comando nos sirve para crear, eliminar o consultar el estado de los servicios de Windows. Escribiendo SC podréis ver un listado completo de sus opciones, las cuales podéis ver descritas en el siguiente enlace:

http://technet2.microsoft.com/WindowsServer/en/library/0a658e97-51d5-4109-b461-a474c799964e1033.mspx?mfr=true

 

Windows Vista incluye en el comando SC las opciones showsid, sidtype, qsidtype, privs y qprivs para gestionar y consultar las nuevas opciones de seguridad de sus servicios. Iremos repasando cada una de estas opciones en sucesivos post, por el momento echaremos un vistazo a las opciones privs y qprivs.

 

sc qprivs [nombre del servicio] muestra los privilegios otorgados sobre dicho servicio, es decir, qué es capaz de hacer la cuenta con la que se ejecutan dichos servicios para ese servicio. Por ejemplo podemos ejecutar "sc qprivs spooler" para ver la información de privilegios del servicio de cola de impresión como podéis ver en la imagen posterior.

 

El servicio de cola de impresión se ejecuta como LocalSystem, vamos a ver la diferencia de privilegios entre Vista y XP para un mismo servicio:

 

Privilegios del servicio de cola de impresión en Windows Vista

SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeLoadDriverPrivilege, SeAssignPrimaryTokenPrivilege

 

Privilegios del servicio de cola de impresión en Windows XP

SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeLoadDriverPrivilege, SeAssignPrimaryTokenPrivilege, SeCreateGlobalPrivilege, SeCreatePagefilePrivilege, SeDebugPrivilege, SeCreatePermanentPrivilege, SeLockMemoryPrivilege, SeIncreaseBasePriorityPrivilege, SeLockMemoryPrivilege, SeProfileSingleProcessPrivilege, SeTcbPrivilege

 

La diferencia está clara: mientas que Windows Vista establece sus propios privilegios en el servicio, Windows XP hereda los privilegios del usuario LocalSystem, obteniendo una gran cantidad de privilegios innecesarios que posteriormente pueden utilizados con fines maliciosos si el servicio muestra alguna vulnerabilidad.

De todos modos arriba aparece un pequeño "engaño", dado que no es lo mismo ver "los privilegios concedidos a un servicio" que los "privilegios efectivos de un servicio en ejecución". Por supuesto, esto es otra cosa aplicable tansolo a Windows Vista, por ejemplo, en el caso de arriba, a los privilegios del servicio de cola de impresión habría que quitar además el privilegio "SeLoadDriverPrivilege" dado que el usuario System tiene denegado dicho privilegio; es decir: "Se aplica siempre el caso más restrictivo entre los privilegios de servicio y los de usuario", al más puro estilo UAC.

 

Para poder ver los permisos efectivos con los que se ejecuta un proceso disponemos de la herramienta Process Explorer de SysInternals, para ello ejecutamos Process Explorer con privilegios de administrador, nos dirigimos al proceso deseado (en este caso "spoolsv") y seleccionamos "Properties". Dentro de las propiedades podremos ver diferentes pestañas con información relativa al proceso, a nosotros nos interesa comprobar la descripción del "Token de Seguridad" del proceso, de manera que debemos seleccionar la pestaña "Security". Dentro de esta pestaña, en la mitad inferior, podréis ver los privilegios asignados al proceso para el propietario (Owner) de este, es decir, para el usuario System, de esta manera podreis comprobar que pese a que el comando "sc qprivs spooler" muestra el privilegio "SeLoadDriverPrivilege", en los privilegios asignados al servicio, este privilegio aparece como deshabilitado.

 

Process Explorer funciona tanto en XP como en Windows Vista, así que no esta de más comprobar, de manera práctica la diferencia de privilegios efectivos sobre un servicio, aquí os dejo un par de capturas de pantalla para que le echéis un vistazo.

 

Process Explorer en Windows Vista

 

 

Process Explorer en Windows XP

Por último solo queda añadir que si "sc qprivs" nos sirve para realizar consultas, "sc privs" nos sirve para agregar o quitar privilegios a los servicios, así que ya tenemos otra herramienta con la que juguetear. Por ejemplo imaginemos que deseamos dar al servicio SPOOLER la capacidad de elevar la prioridad de un proceso, para ello debemos realizar lo siguiente:

 

sc privs spooler SeTcbPrivilege/SeImpersonatePrivilege/SeAu

ditPrivilege/SeChangeNotifyPrivilege/SeLoadDriverPrivilege/SeAssignPrimaryTokenP

rivilege/SeAssignPrimaryTokenPrivilege/SeIncreaseBasePriorityPrivilege

(En negrita los privilegios agregados)

 

Comprobamos con qprivs si el resultado ha sido correcto:

 

Nota: Fijaros que hay que separar cada privilegio por "/" y que hay que volver a agregar cada privilegio existente en el servicio ya que por defecto el comando SC los sobrescribe, es decir que si hiciéramos un "sc privs spooler SeIncreaseBasePriorityPrivilege" desaparecerían los privilegios iniciales.

 

Bueno, esto es todo, suficiente por ahora ¿no?, en el próximo post comprobaremos otro aspecto de WSH: "Los SID de servicio". 

 

Creo que ya podemos ir haciéndonos una idea de por qué las empresas antivirus se han puesto tan nerviosas con Windows Vista, y esto solo es una muestra de "una" las tecnologías de seguridad de este sistema operativo.

 

Por cierto, las mejoras que han sufrido los servicios en Windows Vista (y Windows Server 2008) no solo hacen referencia a la seguridad, también han mejorado en estabilidad y rendimiento gracias otros elementos como el nuevo sistema de parada de servicios, el sistema de inicio retrasado, acciones ante errores no críticos o el nuevo entorno de control de cambios de estado. Os dejo algunos enlaces por si la curiosidad os puede y queréis profundizar en estos temas. Un saludo y hasta el próximo post.

 

Enlaces:

MSDN Windows Services Documentation

http://go.microsoft.com/fwlink/?LinkId=71274

Impact of Session 0 Isolation on Services and Drivers in Windows Vista

http://go.microsoft.com/fwlink/?LinkId=71275

NotifyServiceStatusChange

http://go.microsoft.com/fwlink/?LinkId=71279

Service Control Handler Function

http://go.microsoft.com/fwlink/?LinkId=71282

 

Publicado: 24/12/2007 18:22 por Juan Francisco Arrabé Murillo con 3 comment(s)

Mapa de red y Windows Rally

Hace poco, durante el desarrollo un curso de seguridad informática, me preguntaron sobre si conocía la existencia de algún programa que realizase un mapa grafico de la red, en plan dibujitos, con la representación de equipos, routers, impresoras, etc. Evidentemente este alumno no habría usado Vista porque si no conocería la nueva funcionalidad que nos permite ver de manera grafica la estructura de nuestra red... ¡Ah! ¿Qué tu tampoco la conoces? Pues vamos a darle un repasito...

Windows Vista proporciona una nueva interfaz para administrar todo lo relacionado con las redes, unificando en una sola ventana todas las posibilidades de administración de las que disponemos. Estamos hablando del Centro de redes y recursos compartidos.

En el Centro de redes y recursos compartidos tenemos una representación grafica del estado actual de la conexión a internet de nuestro equipo así como un resumen y enlaces rápidos a la configuración de las redes en las que se encuentra nuestro equipo.

 

Como podemos observar en la imagen, mi equipo está actualmente conectado a una red wireless llamada SCUMM y yo la he establecido de tipo privada, esto es, voy a poder ver (y me van a poder ver) a los equipos que se encuentre en mi red. Si por ejemplo me conectase a una red abierta, pues, por ejemplo, en un aeropuerto, pues la podría establecer como red pública, evitando así el acceso a recursos que pudiera tener compartidos.

Si sois observadores ya os habréis dado cuenta de que en la esquina superior derecha aparece un enlace a Ver el mapa completo. Este enlace nos va a llevar a una nueva ventana donde se generara un mapa con todos los elementos de nuestra red... ¿Todos? ¡No! Hay todavía unos irreductibles ordenadores que se resisten (por poco tiempo) al inva... Bueno, me voy por las ramas. Antes de empezar con la explicación técnica de cómo funciona esta nueva tecnología incorporada en Windows Vista os dejo una captura de la red de mi casa:

Y ahora a lo que vamos... ¿Cómo funciona esto? ¿Cómo consigue recuperar tanta información sobre el resto de equipos? Pues en esta nueva versión del sistema operativo de Microsoft se ha incluido un nuevo protocolo de red (LLTD) que permite al equipo ofrecer información sobre sus características a aquellos que se lo soliciten. Evidentemente, estos datos solo se proporcionaran si nos encontramos en una red que nosotros hemos definido como privada.

Esto se incluye dentro de la familia Windows Rally, un conjunto de tecnologías pensadas para simplificar la administración de una red, desde la conectividad wireless de los equipos, la seguridad con la que lo hacen o incluso llevar el control sobre el QoS (Quality of Service) de los recursos disponibles.

¿Y a quien podemos "ver" mediante esta tecnología? Como veis en la imagen superior aparecen 3 dispositivos, dos equipos con Windows Vista y una XBOX360 que incluye las últimas actualizaciones, que le permiten darse a conocer en la red. ¿Podremos ver equipos con otros sistemas operativos? La respuesta es, aunque a muchos les sorprenda, SI.

Aunque incluido nativamente en sistemas Vista, el cliente que facilita la información a la red puede ser instalado en equipos Windows XP mediante el "Respondedor de detección de topologías de nivel de vínculo (LLTD)" (http://support.microsoft.com/kb/922120) y en equipos Linux mediante un cliente incluido en el SDK de Windows Rally (http://www.microsoft.com/whdc/rally/rallykit.mspx)

Bien, ¿y si no quiero que me vean sin tener que definir mi red como publica? (Que los hay vergonzosos...) Pues desde dos políticas de equipo vamos a poder definir como se va a comportar nuestro sistema operativo frente a las peticiones de colaborar con otros ordenadores de la red en la creación del esquema de la red o limitar la habilidad de nuestro equipo de realizar estos mapas. Haciendo Inicio > Ejecutar > gpedit.msc podremos acceder a las claves que se muestran a continuación y que nos permitirán limitar este servicio.

Bueno, esto es todo, espero que os haya gustado esta nueva característica, que no os quedéis simplemente en lo "bonito" del mapa de red y veáis mas allá, en las posibilidades REALES para la administración de una red y que paséis unas felices navidades!

Publicado: 14/12/2007 0:32 por Pedro Laguna con 9 comment(s)

Recuperación de Datos (II de IV) por Alex Refojo
1.       Restaurar el equipo a partir de una copia de seguridad.


1.1. Descripción.

En la primera parte del artículo, repasábamos las distintas opciones que existen en Windows Vista, para respaldar información de nuestro sistema y cómo evitar pérdidas irreparables, en algunos casos.

Pues bien, una vez visto lo anterior, ahora toca analizar cómo hacer una restauración empleando distintos procedimientos, con lo que conseguiremos que nuestro sistema vuelva al mismo estado que tenía cuando hicimos la copia de seguridad. ¡Empecemos pues!

 

1.2. Restaurar archivos de copia de seguridad.

Con esta "herramienta" disponemos de la posibilidad de restaurar archivos concretos, grupos de archivos o todos los archivos que fueron incluidos anteriormente en la copia.

Para llevar a cabo el proceso, nos dirigimos al Centro de Copias de Seguridad y Restauración (Inicio - Panel de Control) y pulsamos en "restaurar archivos". Se nos abre un asistente en el que podremos seleccionar los archivos de una copia de seguridad antigua o más reciente. En el siguiente paso seleccionamos la copia que deseemos restaurar y posteriormente los archivos, grupos de archivos o todo lo que esté incluido en la copia. Elegimos la ubicación deseada, que puede ser la original u otra distinta. Pulsamos iniciar restauración y proceso ¡finalizado!

 

Con el asistente para Restaurar Archivos, es muy fácil llevar a cabo el proceso.

Con esto ya devolveremos al estado anterior los archivos restaurados de la copia de seguridad.

 

1.3. Restauración avanzada de archivos.

En el Centro de Copias también se nos presenta la opción de hacer una restauración avanzada de los archivos y carpetas. Además de las opciones anteriores, se nos permite la posibilidad de restaurar una copia de seguridad ubicada en otro equipo de la red. Basta con seguir los pasos anteriormente explicados pero seleccionando la copia en la red. Así de fácil.

 

1.4. Restaurar copia de Complete PC (en 5 sencillos pasos).

Como bien expliqué en la parte anterior, una imagen de Copias de Seguridad de Windows Complete PC,  contiene copias de los programas, archivos y de la configuración del sistema. Con la copia de seguridad de Complete PC llevaremos a cabo una restauración completa, pues no es posible seleccionar elementos concretos, además, nuestros archivos y aplicaciones volverán al estado inicial.

Veamos qué pasos hay que seguir para realizar el proceso:

1)      Nos aseguramos que tenemos introducidos los medios extraíbles que hayamos empleado para hacer la copia. En mi caso un disco duro externo.

2)      Reiniciamos el equipo para arrancar con el disco de instalación de Windows Vista; En algunos casos será necesario acceder a la BIOS para modificar el orden de los dispositivos de arranque.

3)      Una vez cargado el programa de instalación de Vista, pulsamos "reparar" y automáticamente se detectan los SO instalados en nuestro sistema. Seleccionamos y pulsamos siguiente.

4)        Se nos muestra el menú de herramientas y pulsamos en "Restauración de Windows Complete PC". El asistente busca las copias existentes de Complete PC y posteriormente las muestra. Seleccionamos la copia deseada y clic en siguiente.

  

  5)      En la siguiente página del asistente, podemos además marcar la opción de "formatear y volver a particionar discos"; para terminar pulsamos finalizar y confirmamos la advertencia que se nos muestra, de que "esto borrará todos los datos en los discos elegidos".

El tiempo estimado de restauración depende del tamaño de la copia. En mi caso, restaurando el Windows Vista Ultimate sin ninguna aplicación extra, el tiempo fue de 10 minutos, aproximadamente. Una vez terminada la restauración, el ordenador se reinicia "solo" y ya disponemos del sistema del que hicimos la copia Complete PC: una maravilla.

 

1.5. Restaurar punto de restauración.

Restaurar Sistema, permite a los usuarios devolver los equipos a un estado anterior sin perder información (documentos). Para ello, nos dirigiremos a protección del sistema (en la primera parte mencionamos cómo acceder) y pulsaremos la opción "restaurar sistema". Al instante se inicia un asistente en el que tendremos que seleccionar un punto de restauración y en un unos minutos, dispondremos de nuestro sistema restaurado.

  

  Se puede observar cómo se han generado los puntos de restauración automáticamente, por ejemplo, al instalar un nuevo dispositivo en el sistema.

 

1.6. Restaurar a partir de copias de seguridad creadas en versiones anteriores.

En Windows XP es posible acceder a la utilidad de copia de sistema escribiendo "ntbackup" en inicio - ejecutar. Con esta utilidad tendremos una copia de nuestro sistema. Pues bien, en Windows Vista es posible restaurar una copia del sistema creada en Windows Server 2003 o de Windows XP con dicha utilidad.

Para ello tendremos que descargar el complemento "NtBackupRestore" disponible para plataformas de 32 y 64 bits. Lo podremos encontrar en la siguiente dirección:

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=7da725e2-8b69-4c65-afa3-2a53107d54a7

Posteriormente y solo en el caso de no tenerlo instalado, hay que agregar en componentes de Windows Vista, la Administración de medios de almacenamiento extraíbles, de esta forma nos dispondremos a instalar la utilidad "NtBackupRestore".

Si ejecutamos la utilidad, que se agrega en el menú de inicio, nos aparece una única opción, que se trata de la de "asistente para la restauración".

 

Característica obligatoria para instalar ntbackup.

 

Dentro del asistente vamos a comprobar que el estado del sistema no se nos permite restaurar, pero sí los archivos que teníamos en el otro sistema.

  

 En la última página del asistente, para los más meticulosos, se incluyen unas opciones avanzadas, dónde se indicará la ruta de restauración, el reemplazo de documentos, etc. Pulsamos Finalizar, esperamos a que finalice el proceso, reiniciamos y ¡listo!, nuestros documentos del anterior sistema, restaurados en Windows Vista.

 

1.7. Importar Copia de Registro.

Por último, explicar el sistema a seguir, para importar una copia del registro de Windows Vista. Éste es similar en versiones anteriores de Windows.

Nos dirigimos a Inicio, introducimos “regedit” y pulsamos
<Ctrl>-<Mayús>-<Intro> para lanzar el regedit como administradores. Vamos a Archivo, Importar y seleccionamos el archivo de registro.

 

1.8. Resumen: Parte II de IV.

Con la publicación de las dos primeras partes, completamos la parte más fundamental de Copias de Seguridad y de Restauración de las mismas.

Para la próxima parte, nos  centraremos en el Sistema de Cifrados de Archivo (EFS), una característica nueva que incorpora Windows Vista que afecta a la seguridad y confidencialidad de nuestros archivos.

Un saludo

Alejandro Refojo

 

Publicado: 4/12/2007 12:55 por Antonio Diaz con 4 comment(s)