vista-tecnica

Securiza tu Windows Vista

Hace unos días salió publicada en la página web del Centro Criptológico Español una guía de seguridad para Windows Vista, más concretamente para la versión Enterprise.

Esta guía ha sido desarrollada de forma conjunta por el Centro Criptológico Nacional y Microsoft. En ella se detallan cada una de la configuraciones que deben establer para conseguir una red corporativa con Windows Vista totalmente segura.

Para todos aquellos que esteís interesados en obtener la guía debeis dirigiros a la siguiente url: Guía de Seguridad Windows Vista

Ahora ya no tenemos excusa para no securizar nuestra red Windows Vista.

Publicado: 28/11/2008 9:48 por Julian Blazquez con 2 comment(s)

Morro, el sucesor de OneCare

En junio de 2009 Windows Live OneCare dejará de comercializarse y entrará en juego Morro, el antivirus gratuito de Microsoft.

Vendrá preinstalado en Windows 7 y se espera que se incorpore en futuros ServicePack. Un gran paso para ofrecer una instalación de windows segura por defecto.

Dejando de lado los juegos de palabras y las especulaciones sobre las consecuencias de este movimiento de Micrososft, vamos a ver algunos detalles técnicos de OneCare, su precursor.
En este informe de agosto podemos ver que la posición de OneCare no es nada mala, tiene un bajo ratio de falsos positivos, un buen porcentaje de detección y 900.000 firmas, un número muy aceptable teniendo en cuenta sus casi dos años de vida.

Microsoft Live OneCare será la base de Morro, producto del que dispondremos gratuitamente en nuestros equipos. Esto sin duda beneficiará a los usuarios y ayudará a que descienda el número de equipos infectados.

Ya por último no dejes de probar el escáner online gratuito de OneCare, quizás te lleves una sorpresa descubriendo que detecta aquello que tu otro antivirus no detectaba.

Saludos.

Publicado: 26/11/2008 17:55 por Francisco Oca con 5 comment(s)

Webcast sobre control parental

¡Hoy nos vamos de rollo multimedia! Alejandro Refojo, colaborador habitual de este blog, nos presentara el proximo 17 de diciembre las bondades del control parental incluido en Windows Vista. Podeis registraros gratuitamente en el la pagina del Webcast TechNet:Control Parental en Windows Vista.

De todas maneras si no podeis asistir al webcast recordad que una vez finalizado estara disponible para su descarga en la misma pagina o podeis leer los articulos escritos por Alejandro Refojo en este blog sobre el control parental:

• Control Parental en Windows Vista por Alejandro Refojo (I de IV) 
• Control Parental en Windows Vista por Alejandro Refojo (II de IV)
• Control Parental en Windows Vista por Alejandro Refojo (III de IV)
• Control Parental en Windows Vista por Alejandro Refojo (IV de IV)

Publicado: 26/11/2008 9:44 por Pedro Laguna con no comments

7 cosas que me gustan de Windows 7

Hace solo unos dias que tengo instalado Windows 7 en una particion de mi equipo y la verdad es que se lo ve bastante maduro para lo que falta para que lo lancen. Existen por ahi multitud de posts acerca del rendimiento que tiene, la RAM que consume, lo que tarda en arrancar... pero yo hoy quiero dejaros con 7 cosas que me han gustado mientras daba una vuelta por la instalacion por defecto del sistema.

1. calc.exe

Pasamos a tener una calculadora con mas de dos modos (Normal y cientifico) para tener una con un modo tan interesante como el Programador. Este modo de la calculadora va a pasar a ser mi perfil por defecto, pues permite conversiones rapidas y visuales de numeros decimales y hexadecimales a binario. Ademas tiene opciones para la conversion rapida de unidades y algunas otras funciones para realizar calculos rapidos de datos economicos.

2. Windows Power Shell v2

Ahora en esta nueva version tenemos autocompletado tambien en los parametros. Solo hay que escribir un guion (-) y pulsar tabulador. Ademas disponemos de una interfaz grafica que soporta pestañas.

3. Control de UAC mas detallado

En Windows Vista la gente clamaba al cielo por lo intrusivo que resultaba el UAC. Como resultado de esto se ha adoptado una solucion que me parece realmente acertada: poder definir 4 niveles de UAC. Por defecto el nivel nos requerira de aprobacion cuando sean programas los que quieran realizar cambios en el sistema, pero no cuando seamos nosotros los que, por ejemplo, queramos cambiar la direccion IP de un dispositivo de red.

4. Listado de conexiones inalambricas

Se que lleva mucho tiempo en Ubuntu y otros SSOO, pero ahora esta en Windows y me parece algo precioso. Al hacer clic sobre el icono de red se nos abrira un meno contextual desde el que podremos conectarnos a las redes wifis que existan en la zona. Ademas se ha mejorado mucho la velocidad con la que se abre el centro de conexiones de red y la percepcion global de rapidez de conexion.

5. Nueva interfaz de cambio de resolucion

En Windows Vista, a la hora de cambiar la resolucion de la pantalla se nos abria el mismo dialogo que teniamos en Windows XP. Ahora la pantalla de cambio de resolucion esta mucho mas integrada ahora con la apariencia del resto del sistema operativo, aunque todavia le queda un remodelado.

6. Nuevo sistema para los tray icons

Ahora los tray icons se nos van a quedar agrupaditos en un pequeño (o no, depende del numero que tengamos) dialogo que podremos mostrar desde la barra de tareas sin necesidad de expandir todo el conjunto y perder espacio para las ventanas abiertas.

7. El paint ahora si que tiene sentido usarlo

El Paint ha sido remodelado para tomar una apariencia nueva con el Ribbon (como el Wordpad) y se le han añadido unas cuantas mejoras que seguro que haran las delicias de todos aquellos que usan el Paint para cualquier cosa. A mi me gusta que disponga de autoformas, regla, cuadricula y que por defecto guarde en png (¡y que las extensiones las ponga en minusculas!)

Se que no es el analisis mas exaustivo de los que se puedan hacer sobre Windows 7 pero queria mostraros algunas de las cosas que me han llamado la atencion en este nuevo sistema operativo. Seguro que hay muchas mas novedades que se me han pasado por algo: mejoras en el nucleo del sistema o algun otro detalle de usabilidad del que no me he percatado, pero seguro que los iremos descubriendo y contando por aqui. ¡Un saludo!

Publicado: 25/11/2008 10:04 por Pedro Laguna con 32 comment(s)

Mejoras en el administrador de discos en Windows Vista

Espero que os sea de utilidad, un saludo y hasta el próximo artículo.

Publicado: 21/11/2008 18:54 por Juan Francisco Arrabé Murillo con 6 comment(s)

Windows Vista arrancado en 4 segundos !

Sorprendente pero cierto.

Han conseguido iniciar Windows Vista en 4 segundos, un encendido en frio, con el equipo originalmente apagado. Lo bueno es que no es un modo hibernación como otras técnicas semejantes, puedes tener el beneficio de una nueva sesión de Windows sin tener que apagarlo realmente.

Para conseguirlo es necesario usar la nueva placa madre de ASRock, que incorpora la tecnología Instant Boot. La configuración se realiza a través de un software de ASRock con entorno amigable y de muy fácil uso, por lo que cualquier persona sería capaz de tenerlo en su ordenador.

Actualmente, el sistema incorpora soporte para las siguientes placas:

AMD Socket AM2+:
* AMD 790GX - AOD790GX/128M
* AMD 780G - A780GXE/128M

Intel LGA775:
* Intel P45 - P45XE-WiFiN | P45XE-R | P45XE
* Intel P45 - P45TS-R | P45TS | P45TurboTwins2000
* Intel P43 - P43DE

Mas información del fabricante.

Esperamos que algún día podamos disfrutar de esta tecnología.

Un saludo.

Leído en: http://www.diarioti.com/gate/n.php?id=20298

Publicado: 20/11/2008 12:51 por Francisco Oca con 5 comment(s)

Hands On Lab de Windows Vista en A Coruña en Diciembre

La Campaña Ms Technet Hands On Lab se despiden este año de A Coruña entre otros con dos seminarios prácticos en torno a Windows Vista, una de ellos enfocado hacia la seguridad en el Sistema Operativo de Microsoft y otra dirigido hacía la implementación  de imagenes con  Business Desktop Deployment.

A continuación se describen mas detalladamente:

HOL-VIS03 Microsoft Windows Vista. Seguridad
01 y 02 Diciembre 16:00-19:00 - Temario Completo

En este seminario los asistentes recibirán información sobre las novedades en seguridad que oferta Windows Vista. Aprenderán a gestionar los privilegios y permisos sobre recursos, las políticas de seguridad y las herramientas de protección que lleva el sistema operativo incorporado.
1. Introducción a Windows Vista.
2. El sistema de gestión UAC (User Account Control).
3. La seguridad en los procesos de autentificación.
4. Políticas de seguridad.
5. Sistemas de protección en red.
6. El Firewall de Windows Vista.
7. Windows Defender.
8. Protección de datos.Bitlocker Drive Encryption.
9. Integracion de Clientes Rights Management.
10. Gestión y protección de servicios.
11. El subsistema de seguridad de Internet Explorer 7

HOL-VIS06 Microsoft Windows Vista. Business Desktop Deployment
03 y 04 Diciembre 16:00-19:00 - Temario Completo

Microsoft ha dado un gran paso para hacer que Windows Vista sea mucho más fácil de desplegar en todo tipo de empresas. La modularización de Windows Vista junto con la gestión de imágenes mediante Windows Imaging Manager permite que la tarea de desplegar el sistema operativo sobre varias máquinas sea rápida y sencilla. El soporte para scripts permite además la automatización de tareas complejas durante la instalación del SO.
1. Preparar la implementación de Windows Vista.
2. Remediar la compatibilidad de aplicaciones.
3. Herramienta User State Migration.
4. Sistema de imágenes de Windows Vista.
5. Métodos de implementación de Windows Vista.
6. Asegurando Windows Vista.

En cualquier caso aprovecho este post para suministrar más información sobre los interesantes eventos que van a desarrollarse durante toda la primera semana de Diciembre en A Coruña y que seguro serán de vuestro interés.

HOL-WIN31 Microsoft Windows Server 2008. Administración
02 Diciembre 09:00-15:00
A lo largo del Hand On Lab, se abordará la nueva solución de Servidor de Microsoft. Se evaluará el proceso de instalación y configuración basado en roles y aquellos nuevos aspectos funcionales que aporta el servidor. Se verá el nuevo sistema de red y funciones para desplegar y plataformar sistemas, así como el mantenimiento de una red segura.

HOL-WIN32 Microsoft Windows Server 2008. Active Directory
03 Diciembre 09:00-15:00
Durante este Hand on Lab se asumen las funcionalidades que aporta Windows Server 2008 al directorio activo. Desde la nueva funcionalidad del Controlador de Dominio de sólo lectura, para lugares que necesitan plantear un sistema altamente seguro a los sistemas de gestión, basados en las políticas y la gestión de la infraestructura de control del Directorio Activo.

HOL-WIN34 Microsoft Windows Server 2008.Powershell
04 Diciembre 09:00-15:00
Windows PowerShell es un nuevo shell de línea de comandos de Windows, diseñado expresamente para los administradores de sistemas. El shell incluye un símbolo del sistema interactivo y un entorno de scripting que se pueden utilizar de forma independiente o conjunta. En este seminario, los asistentes aprenderán a utilizar Windows PowerShell y conocerán sus características básicas. Los contenidos abordados en el presente seminario técnico, engloban la característica del Powershell dentro del sistema de Windows Server 2008. El planteamiento técnico del presente HOL es, por tanto, similar al desarrollado en eventos de versiones anteriores del producto.

HOL-WIN36 Microsoft Windows Server 2008. Core Version
05 Diciembre 09:00-15:00
Este HOL proporcionará a los profesionales IT el conocimiento necesario para la instalación, configuración y manejo de esta versión de servidor. Se realizarán configuraciones básicas y avanzadas para conseguir un servidor 100% operativo y funcional, mediante la línea de comandos. Los contenidos abordados en el presente seminario técnico, engloban la característica de Core Version dentro del sistema de Windows Server 2008. El planteamiento técnico del presente HOL es, por tanto, similar al desarrollado en eventos de versiones anteriores del producto.

Más información...

Publicado: 20/11/2008 12:18 por Francisco Oca con no comments

Área de encuentro de Windows

El Área de encuentro de Windows es una aplicación destinada a facilitar la creación de reuniones virtuales. Permite compartir tanto el escritorio como archivos de los diferentes participantes de las reuniones.

Esta característica de Windows está disponible en las siguientes versiones de Windows Vista: Home Basic, Home Premium, Business, Enterprise y Ultimate. 

En la primera ejecución se muestra la configuración de Equipos a mí alrededor para poder localizar los diferentes usuarios con los que organizar las reuniones.

Una vez iniciado el programa debemos crear una reunión:

En el apartado Opciones… podemos elegir si queremos que los Equipos a mi alrededor vean esta reunión o no, en tal caso solo podrán entran mediante una invitación. Además podemos crear una red inalámbrica ad hoc con todos aquellos equipos que quieran participar en la reunión.

Una vez iniciada la reunión invitar a nuevos participantes es trivial. Disponemos de  3 alternativas para ello:

1. Usar el menú Invitar, el cual nos mostrará una ventana donde seleccionar aquellos equipos a mi alrededor que se desea invitar.
2. Enviar una invitación por correo electrónico a la persona que queramos invitar. Esta opción nos guiara en la configuración de una cuenta de correo desde la que enviar la configuración. 
   
3. Crear un archivo de invitación que podremos compartir del modo que nos resulte más cómodo.
   

Cuando todos los participantes estén listos podremos hacer uso de las características que nos brinda el Área de encuentro. Una de las más interesantes es la posibilidad de compartir el escritorio. La persona que realice esta acción decide quién quiere que tome control del escritorio.

Y el resto de usuarios a su vez pueden pedir el control.

Como se puede apreciar en la anterior captura también se pueden compartir documentos. De modo que cuando un participante comparte un documento, este se replica en el resto de participantes permaneciendo intacto el original.

Hay que tener en cuenta que el área de encuentro está enfocado a ser usado en redes internas. Si se desea realizar a través de Internet se dispone de Microsoft SharedView que es un programa gratuito que permite el uso de túneles HTTP para lidiar con los problemas que puedan dar los cortafuegos.

Un saludo.

Publicado: 19/11/2008 20:44 por Francisco Oca con no comments

Opciones de comparación de ficheros

Hola a tod@s!

En este sencillo post que hoy os traemos, repasaremos las opciones de comparación de archivos en Windows Vista. Todo ello lo haremos a través de la línea de comandos, of course...

La primera opción que tenemos es con la utilidad File compare (FC.EXE). Esta utilidad, que ya teníamos en XP, tiene muchas opciones bastantes interesantes. Entre ellas tenemos la posibilidad de realizar una comparación binaria con el atributo /B. Si en la comparación necesitamos omitir mayúsculas y minúsculas, también podemos especificarlo con el parámetro /C. La utilización de esta herramienta no puede ser más sencilla. Por ejemplo, si necesitamos realizar una comparación a nivel binario de dos ficheros, utilizaremos el comando siguiente:

fc.exe /B Fichero1.txt Fichero2.txt

Simple y sencillo.

La segunda utilidad que tiene Windows Vista se llama Comp (Comp.exe) y es una utilidad muy parecida a la anterior.

Si necesitasemos comparar los dos ficheros anteriores, podríamos utilizar también este comando, y su manejo es igual de sencillo que el anterior.

comp.exe Fichero1.txt Fichero2.txt

Esta aplicación, al terminar de comparar los ficheros, muestra un mensaje por pantalla ofreciéndonos la posibilidad de realizar otra comparación. Esta opción está bien si trabajámos sobre plano, pero si usamos esta utilidad en algún script, puede que necesitemos eliminar esa opción. Nada más fácil que pasarle el parámetro N (de negación) a la herramienta, antes de comparar ficheros. Con lo que nos quedaría de la siguiente manera:

ECHO n | comp.exe Fichero1. Fichero2.txt

La última opción que os presentamos hoy, es la incluida en PowerShell, con el comando Compare-Object. Tiene las opciones incluidas en las dos utilidades anteriores, pero esta sin duda es la más ideal para realizarlo, ya que podremos utilizar la salida de la comparación a otro cmdlet, tal y como si fuese otro objeto. Esta última opción la tenemos con el parámetro -passtrhu.

El alias que tiene por defecto PowerShell para llamar a este cmdlet, se llama diff.

Si quisiésemos determinar si hay alguna diferencia entre los dos archivos anteriores, en PowerShell escribiríamos lo siguiente:

Compare-Object $(Get-Content Fichero1.txt) $(Get-Content Fichero2.txt)

Sobre PowerShell, tenéis esta, y muchísima más información en el siguiente enlace:

http://www.microsoft.com/technet/scriptcenter/topics/msh/cmdlets/compare-object.mspx

Saludos!!

Publicado: 17/11/2008 16:36 por Juan Garrido con 2 comment(s)

PROGRAMADOR DE TAREAS

Todos hemos oído alguna vez que los equipos requieren cada cierto tiempo un mantenimiento mínimo para que su funcionamiento sea óptimo, y repito, es algo que todo sabemos pero que muy pocas veces hacemos ya siempre recurrimos al ya lo hare luego o ya lo hare el finde con más tiempo. Hablo de cosas como desfragmentar el disco duro, pasar el Scandisk, analizar el sistemas con un el antivirus….. pequeñas tareas que requieren tiempo y que siempre acabamos dejándolas en el olvido. Pues bien veremos cómo poder programas estas tareas de forma sencilla y así poder formar parte de ese pequeño grupo de personas que las realizan manualmente de forma regular. Para ello vamos a recurrir a la consola de administración de Microsoft (mmc) y ha personalizarla para llevar a cabo nuestra tarea.

Desde el menú inicio escribimos mmc para abrir la consola.

A continuación agregamos el complemento que vamos a utilizar, que esta vez será el programador de tareas. Esto ya ha aparecido en post anteriores, y personalmente uso mucho ya que permite configurar varias funciones sobre la misma consola y posteriormente guardarla.

Una vez creada nuestra consola con el programador de tareas vamos a ver que nos permite hacer. Primeramente nos muestra un listado del estado de las tareas y que tareas están activas en ese momento. En las referidas a estado muestra el resultado de su ejecución ( si es correcto o no ) y el intervalo de fecha en que se ejecuto. En cuanto a las activas la hora de ejecución y el desencadenante que ejecuta, cosa que ahora veremos.

Para nuestro fin que es el programar varias tareas para mantener nuestro equipo en el panel derecho pinchamos en crear tarea. Esto nos abre una ventana nueva donde podremos configurar varios parámetros como cuando se ejecutara, que programa, en caso de fallo cuando reintentarlo o sobre que usuario.

La primera pestaña que tenemos es la de general, aquí damos nombre a la tarea que vamos a programar, y si queremos una breve descripción. Acto seguido tenemos las opciones de seguridad que nos permite elegir con que cuenta de usuario se ejecutara la tarea. Si trabajamos en modo local sobre nuestro equipo la cuenta que usaremos tendrá derechos de administrador (normalmente es así) por lo que no abra problema, pero si lo hacemos a nivel de dominio debemos asegurarnos de la cuenta tenga los permisos necesarios para llevar a cabo la tarea/as que vamos a programar. En mi caso el equipo pertenece a un dominio, y como usuario he elegido el administrador local de la maquina (JEREZ/administrador) para tener derechos plenos sobre el equipo.

Se nos da la posibilidad de elegir cuando queremos que se realice la tarea, con la sesión del usuario abierta o no. Aquí podemos poner cualquiera de las dos opciones, aunque hay que pensar en si en el momento en que se ejecute habrá alguien trabajando sobre el equipo (sobre todo en mi caso y si lo programo para el equipo de un usuario) asi que yo he elegido la segunda, ya que en el momento de la programación de la tarea ya le marcare una hora en la que no esté trabajando y lógicamente su sesión estará cerrada.

En la siguiente pestaña (Desencadenadores) configuraremos lo criterios que queremos que se lleven a cabo.

Como lo que voy buscando es programar una tarea que se repetirá sobre el tiempo (desfragmentar, scandisk….) voy a elegir según programación de entre todas las posibles. Referente a las opciones avanzadas que tenemos abajo podemos decirle el tiempo de máximo que se puede retrasar, cada cuanto tiempo se puede retrasar y detenerlo en caso de que supere un tiempo que consideremos oportuno e indicarle la fecha en la que expirara la tarea.

La pestaña acciones nos va a permitir elegir el tipo de acción que queremos llevar a cabo tales como ejecutar un programa, que nos envíe un correo cuando se ejecute o muestre un aviso. En iniciar un programa tenemos que indicarle la ruta del programa o el script que queremos ejecutar. Yo voy a ir a la carpeta C:\windows\system32 donde encontraremos los ejecutables de las tareas que queremos ejecutar entre otros.

En esta carpeta tenemos el ejecutable Shutdown para apagar, reiniciar el sistema, y que también podemos programar como tarea bien de esta manera o mediante un script. De esta forma solo debemos indicarle el argumento que queramos (-r para reiniciar –a para apagar….) y que nos puede servir para ejecutarla como nueva tarea y que apague el equipo al terminar el desfragmentador por ejemplo.

A continuación configuraremos las condiciones en las que se ejecutara. Si esto ya lo hemos programado anteriormente lo dejaremos en blanco.

En la pestaña configuración daremos las opciones que afectaran al comportamiento de la tarea, tales como si la tarea reiniciar la tarea si no se ha ejecutado al cabo de un tiempo, o eliminar la tarea si no se va a repetir.

Si queremos comprobar el estado de la tarea que se ejecuto tenemos la posibilidad de verlo dentro de nuestra consola en biblioteca de programación donde nos dará un informe de la situación.

Espero os sirva de ayuda.

Un saludo

http://www.microsoft.com/spain/technet/windowsvista/mgmntops/taskschd.mspx

Post escrito por Fernando Villarreal

Publicado: 13/11/2008 15:34 por Juan Garrido con no comments

Compatibilidad de aplicaciones con Windows Vista (Conceptos generales)

La inspiración viene cuando menos te lo esperas, y a veces hace falta ir a un seminario impartido por algún figura de Microsoft para que se encienda una lucecilla en la cabeza que se aferra a ella susurrando "este es un buen tema para el Blog", asi que aquí estamos, escribiendo el primer articulillo sobre compatibilidad de aplicaciones con Windows Vista, como prometí la semana pasada.

Siendo este mi primer artículo sobre el tema, es necesario hacer una pequeña reflexión... ¿Cuáles son las principales quejas relativas a Windows Vista?.

Está claro que depende de a quien se lo preguntes, los usuarios suelen decir que no encuentran las cosas, y se suelen dejar llevar por opiniones ajenas del producto ¿quién no tiene un amigo informático aunque sea de titulillo del INEM?.

Si la pregunta se la realizas a un técnico probablemente te dirá algo como lo siguiente (según experiencia propia):

1. Consume mucha RAM (mi Ubuntu no consume tanto.. xDD)
2. El UAC es un coñazo
3. Las aplicaciones no funcionan bien (ni algunos servicios y scripts)
4. La configuración de red es mucho más complicada (¡¡¡no soy capaz de hacer "ping"!!!)
5. Faltan drivers
6. Complicado de "Piratear" (¿¿??) --> La gente no se corta un pelo ;-)

Del mundo antisistema (Anti-Microsoft, se entiende) se oyen otras voces como que "Windows Vista recorta libertades" y  comentarios por el estilo que más tienen que ver con colores políticos e ideológicos que por ser prácticos y técnicos.

Luego cuando uno se mueve al mundo de la seguridad informática se escuchan otras voces reconociendo la seguridad de Windows Vista, y se oyen incluso elogios de aquellos que han visto en Windows Vista un nuevo reto donde creackear las cosas se ha vuelto mucho más difícil.

Tras casi tres años de experiencia en el producto (en Informática64 empezamos a dar formación desde las Betas y ya estamos planificando las de Windows 7) amenudo nos toca acometer las quejas anteriormente comentadas que se hacen muchos técnicos y empresas sobre el producto (¡Viva la consultoría informática!), algo a lo que hay que añadir Windows Server 2008, sistema curiosamente muy respetado y valorado, aunque comparte el mismo Kernel que Windows Vista.

A modo de FAQ, voy a dar un pequeño repaso a las quejas antes citadas:

Q: Windows Vista Consume mucha RAM (mi Ubuntu no consume tanto.. xDD)

A: Windows Vista usa un gestor de memoria llamado Superfetch que carga páginas de aplicaciones en la RAM antes de que estas sean utilizadas con el fin de acelerar su ejecución. Básicamente el planteamiento es ¿Si tienes 4GB de RAM por qué solo vas a aprovechar 512MB?

Q: El UAC es un coñazo

A: Es cierto que el UAC (Control de Cuentas de Usuario) es un poco lata (aunque se mejoró con el SP1 de Windows Vista), pero la pregunta es más bien ¿prefieres que todo lo que ejecutan tus usuarios administradores se haga con plenos privilegios administrativos?, la experiencia ha demostrado que esto es un peligro casi mayor que el propio malware, aparte de que el UAC hace muuucho más que controlar privilegios ¿has oido hablar de MIC?¿de UIPI?¿la integridad de aplicaciones?¿la virtualización?

UAC es uno de los pilares de seguridad de Windows Vista (y Windows server 2008), entro otras muchas tecnologías.

Q: Las aplicaciones no funcionan bien (ni algunos servicios y scripts)

A: Esto es un tema más complicado, y es lo que ha motivado esta nueva serie de post, de momento valdrá con mencionar que si hay aplicaciones con problemas en Windows Vista es debido a la gran cantidad de sistemas de seguridad que incluye este sistema operativo, de manera que va a ser necesario empaparse bien de estás tecnologías de seguridad.

Q: La configuración de red es mucho más complicada (¡¡¡no soy capaz de hacer "ping"!!!)

A: Ojala las cosas fueran más sencillas, pero por suerte o por desgracia al informático le toca actualizarse, y es que los aspectos de red de Windows Vista han sido completamente rediseñados. Para empezar tenemos una capa dual IPv4/IPv6, compatibilidad con Network Access Protecction (NAP) de Windows Server 2008, un nuevo sistema IPSEC (AuthIP), una pila TCP/IP completamente nueva, nuevos protocolos como SMB2.0 y LLTD, mejoras de rendimiento para redes inalámbricas y sobre todo un firewall de Windows completamente nuevo con reglas de entrada y de salida, control de servicios, IPSEC incorporado y gestión mediante perfiles (para protegernos cuando estamos en una WIFI de cafetería o de aeropuerto).

Puede gustarte más o menos, pero en esta profesión hay que actualizarse más que los propios médicos... (lo peor sería ser médico e informático xDD)

Q: Faltan drivers

A: Esto es cierto (aunque con el SP1 se ha mejorado mucho el tema), es un problema que ya tuvo XP en su momento, y lo único que se puede hacer es solititar a los fabricantes que diseñen drivers para Windows Vista, o bien adquirir nuevo hadrware que sí sea compatible.

Reflexionando un poco no tardamos en darnos cuenta que tambien fastidia tener que volver a compilar un módulo para un dispositivo concreto dentro de un nuevo Kernel de Linux...

Q: Complicado de "Piratear" (¿¿??) --> La gente no se corta un pelo ;-)

A: También lo es puentear un coche o ..... ¿no?

Tiempo de tomar un café...

¿Que tal el carajillo?¿te ha sentado bien? que envidia, yo estoy en el curro y me tengo que conformar con ese café de máquina que como mínimo debe ser cancerijeno :P

Tras este punto y aparte, reflexión espiritual, o posesión por espíritus e"SPECTRA"les, empezamos con el tema que ha motivado este post: La compatibilidad de aplicaciones...

Lo primero es tener claro el concepto: La mayoría de los errores de aplicaciones en Windows Vista son debidas a las nuevas opciones de seguridad que este incorpora, en particular las siguientes tecnologías:

Control de Cuentas de Usuario (UAC)

A lo largo de la vida de este blog ya se ha hablado mucho de UAC y de su importancia:

http://geeks.ms/blogs/vista-tecnica/archive/tags/Control+de+Cuentas+de+Usuario/default.aspx

Y aun así, no hemos llegado a tratar el tema al 100%

Básicamente el UAC es un sistema añadido a Windows Vista para el cumplimiento del principio del "menor número de privilegios posibles", algo así como el SUDO de Linux, pero con un enfoque completamente diferente.

Tradicionalmente en los S.O. de escritorio de Microsoft siempre se ha trabajado de manera predeterminada como "Administrador", una práctica nada recomendable y en cierta manera inducida por el hecho de que Windows 2000 y XP por defecto creaban usuarios administradores desde la propia instalación. Ni que decir tiene que cualquier malware ejecutado como administrador tiene terribles consecuencias, algo que ha hecho a la plataforma Microsoft, y particularmente a Windows XP por su extendido uso, un claro candidato para la gran mayoría del malware actual (esto ha llegado hasta el punto de que los creadores de malware han realizado campañas constatadas incitando a la gente a que se quede en Windows XP y no migre a Windows Vista).

Con Windows Vista, aunque nuestros usuarios pertenezcan al grupo "Administradores" reciben un token de usuario corriente (sin privilegios) y otro de administrador (con sus privilegios administrativos), cualquier aplicación que ejecuten los usuarios se hará con el token de usuario limitado, que además tiene un nivel de integridad inferior (sistema de seguridad MIC) al token de administrador. Las aplicaciones solo se ejecutarán con plenos privilegios si se acepta una "solicitud de elevación" que se lanza si la aplicación lo solicita o si se usa la opción del menú contextual "Ejecutar como Administrador".

Aunque lo anterior era la definición básica la cosa no acaba aquí, el UAC es capaz de comprobar si la aplicación se encuentra firmada digitalmente por un proveedor de confianza y advertirnos si no es así o si la integridad de la aplicación firmada ha cambiado (incluyendo las propios componentes del Sistema, lo que puede ayudarnos a identificar la presencia de malware). UAC también comprueba si un ejecutable es un fichero de instalación, solicitando elevación si es así (se acabó la posibilidad de que un usuario corriente instale una aplicación personal sin nuestro consentimiento). Aparte es el responsable de virtualizar aplicaciones provenientes de Windows XP o sistemas anteriores, algo que permite que una mayor cantidad de aplicaciones se ejecuten con bajos privilegios (sin requerir ser administradores).

Problemas con el UAC:

Las aplicaciones corporativas que requieran ejecutarse con plenos privilegios para funcionar no arrancarán con un simple doble click, sino que deberá seleccionarse la opción "Ejecutar como administrador", no obstante hay alternativas (algo que dejo para post posteriores).

Las páginas web, complementos ActiveX y Applets también pueden presentar problemas dado que Internet Explorer se ejecuta con privilegios de usuario corriente.

Otro problema que presenta el UAC de cara a las aplicaciones es el de la virtualización. Las aplicaciones no pensadas nativamente para Windows Vista pueden presentar problemas cuando intentan escribir en ubicaciones donde un usuario corriente no tiene privilegios (como la carpeta "Windows", PogramFiles o "HKEY_LOCAL_MACHINE"). Podeis comprobar más sobre la virtualización de aplicaciones en los siguientes posts:

Básicamente los errores que presentan las aplicaciones con la virtualización es que al redirecionarse "Windows", PogramFiles y "HKEY_LOCAL_MACHINE al perfil del usuario las aplicaciones que necesiten una configuración común entre varios usuarios, se encontrarán con que cada usuario tiene una configuración diferente (la de su respectivo perfil).

ID de sesión 0

Otro de los grandes culpables de que las aplicaciones no funcionen bien es el aislamiento que Windows Vista impone a los servicios. Este tema ya lo tratamos este tema en el articulo siguiente:

http://geeks.ms/blogs/vista-tecnica/archive/2007/12/24/sistemas-de-integridad-en-windows-vista-i-windows-service-hardening-primera-parte.aspx

Básicamente los servicios se ejecutan en un contexto diferente al del usuario (el ID 0), aislando a los usuarios de los servicios e impidiendo la posibilidad de realizar una interacción directa, esto mejora la seguridad, reduciendo el riesgo del equipo ante un atacante que puediera valerse de una vulnerabilidad de un servicio para obtener acceso al sistema.

Problema de ID de sesión 0:

El problema básico es que caulquier aplicación que necesite ejecutarse bajo el usuario SYSTEM (como los scripts de inicio de sesión de los equipos), no mostrarán advertencias interactivas al usuario de manera directa y como consecuencia no tendrán el comportamiento esperado.

MIC y el modo protegido:

Windows Vista incluye otra tecnología de seguridad conocida como Mandatory Integrity Control (MIC) que hace un uso exhaustivo de los conocidos anillos de seguridad de la arquitectura x86 para mejorar la seguridad del sistema con creces mediante la aplicación de 4 niveles de seguridad ("sistema" para servicios, Alto para Administradores, Medio para Usuarios y Bajo para aplicaciones específicas como Internet Explorer 7)

Internet Explorer hace uso de MIC en Windows Vista mediante el "Modo protegido" mediante el cual consigue que cualquier elemento que intente acceder al disco duro deba ser advertido al usuario el 100% de las veces (incluso si dicho intento de escritura es por culpa de una vulnerabilidad), dado que Internet Explorer se ejecutará con un nivel de integridad inferior al del propio usuario.

Problema con el Modo protegido:

Ciertas páginas web que requieran realizar cambios de manera frecuente en el usuario, mostrarán continuas advertencias y podrían alertar al usuario.

Los elementos indicados arriba reúnen la inmensa mayoría de los problemas de compatibilidad conocidos, pero existen otros, como las APIs descontinuadas, comprobaciones de versiones, entornos gráficos, incompatibilidades con IPv6 y un largo etc. que aunque son responsables de un menor número de incidencias también son aspectos a tener en cuenta.

Hay que entender las tecnologías de seguridad de Windows Vista para acometer los diferentes escenarios de compatibilidad de aplicaciones, algo que dejo para más adelante, dado que esto ya me queda demasiado largo....

En resumen, Windows Vista incluye un gran número de elementos de seguridad que pueden afectar a la ejecución esperada de las aplicaciones, sinembargo, también es cierto que la seguridad tiene un coste, y Windows Vista es sin duda a día de hoy el sistema operativo de escritorio más seguro del mercado (aquí dejo mi "Flame" particular :P).

Publicado: 5/11/2008 15:18 por Juan Francisco Arrabé Murillo con 5 comment(s)