Controla tus ActiveX en Windows Vista

Hola a tod@s!


Este post lo quiero dedicar a una característica de Internet Explorer que me ha llamado mucho la atención en Windows Vista. La capacidad para controlar los ActiveX en nuestra empresa.


Antiguamente no existían las amenazas que tenemos hoy en día, y los desktops en nuestra empresa podían trabajar sin la necesidad de una securización total. También es sabido que hoy en día casi toda la comunicación e iteración entre el usuario e Internet pasa por el navegador. Y todas las pistas nos llevan a deducir que esto irá a más.


Internet Explorer es el navegador por excelencia en el ámbito corporativo. Tiene multitud de funciones y características de seguridad que hacen a este navegador único en la empresa. Por un lado para estar totalmente integrado con la infraestructura de la empresa, y por otro lado, su capacidad para securizarlo y adaptarlo a las necesidades de la empresa, siempre y cuando no se navegue bajo una cuenta administrativa, y partiendo de la base de que el equipo cumple con el principio del mínimo privilegio.


En versiones Windows 2000 y Windows XP, lo teníamos todo, excepto la capacidad de controlar aquellos ActiveX que sí necesitamos en nuestra empresa.


Un control ActiveX no es más que código ejecutable empacado en un archivo (generalmente con extensión .cab) que el usuario puede invocar e instalar desde Internet Explorer. Es una gran característica que se inventó para hacernos la vida un poco más fácil, permitiendo a los desarrolladores poder distribuir más fácilmente sus herramientas, pero que ha terminado (en la mayoría de los casos), en volvernos locos a más de uno.


Os pongo un caso curioso y personal. No hace mucho me encomendaron la labor de migrar una plataforma de trabajo (poco menos de 1000 desktops), de sus privilegios actuales (la mayoría administradores), a una plataforma que cumpliese con el principio del mínimo privilegio.


La migración duró un tiempo, y salvo algún que otro problema (siempre los hay J), todo fue como la seda. Hasta que llegamos a los ActiveX.


Debido al gran auge de ataques bajo controles ActiveX, nos planteamos una seria duda. Un control ActiveX, en la mayoría de los casos (99%) ha de instalarse bajo una cuenta administrativa. Si estábamos realizando la labor de llevar a la empresa a cumplir con el principio del mínimo privilegio…. Qué hacer?


No todos los ActiveX son dañinos. Tenemos el ActiveX de Adobe, el de Windows Installer para las actualizaciones de Windows, y, a parte, la empresa disponía de un antivirus corporativo que era actualizable a través de la Intranet, pero para realizar este trabajo necesitaba la instalación en el cliente de un control ActiveX. También disponía de Terminal Services for Web, y éste también necesitaba controles ActiveX.


Así que dimos con una solución que, si bien no era la mejor, era la que más se adecuaba a las circunstancias. El departamento Help-Desk instalaba esos controles ActiveX cuando el equipo se montaba de 0, pero bajo ningún concepto se le daban permisos de Administrador al usuario (a no ser que fuese el jefe J).


Como podréis observar, a día de hoy necesitábamos una solución mejor para la distribución de Desktops corporativos, ya que algún día, vamos a necesitar que sea nuestro usuario el que pueda instalarse esos ActiveX sin necesidad de ser Administrador. Eso reduciría la carga administrativa, y a la vez dotaría de dinamismo la actividad laboral entre usuario y departamento Help-Desk. Hoy en día hay aplicaciones de Intranet que necesitan esos controles ActiveX, aparte de las aplicaciones mencionadas antes.


En Windows Vista han pensado en esto (y muchas otras cosas más) y han lanzado un servicio llamado AXIS (Servicio Instalador ActiveX), el cual no es más que un servicio a nivel de políticas de grupo, que habilita esta función precisamente. El tener una White List o lista blanca en donde podamos poner las direcciones Web en las que sabemos con certeza que sus ActiveX no contienen código dañino.


La política tiene un funcionamiento muy sencillo y práctico. Para activar la política, nos dirigiremos a Panel de Control à Programas à Activar o desactivar características de Windows.


Una vez aceptado el aviso de UAC, activaremos la opción Servicio de instalador de ActiveX, el cual preparará nuestro Vista para este tipo de acciones. Una vez activada la característica, procederemos a crear nuestra White List o lista blanca de aplicaciones Web que necesiten instalar ActiveX en nuestros Desktops corporativos.


El segundo paso a realizar, consiste en iniciar la herramienta de políticas de grupo gpedit.msc.


Una vez allí, procederemos a ir a la ruta siguiente:

Configuración de equipo à Plantillas administrativas à Componentes de Windows à Servicio del instalador de ActiveX

Como podréis comprobar, la directiva aún no está aplicada, por lo que cualquier usuario con privilegios administrativos podría instalar cualquier ActiveX, venga firmado o no.


Una cosa que me gustaría remarcar, es que habilitando esta característica correctamente, habilitaremos a un usuario sin ningún tipo de privilegios, instalar controles ActiveX autorizados por nosotros, los administradores. Como podréis comprobar, la directiva se va a aplicar desde configuración de equipo, y no de usuario, así que será la cuenta de equipo quien instalará estos ActiveX permitidos.

 ActiveXWhiteList   Una vez habilitada la directiva, tendremos que introducir en una lista, las direcciones Web  que queremos permitir.   WhiteList 

 

Necesitaremos ambos valores y/o campos para establecer la directiva. En el primer campo estableceremos cual es la aplicación Web que va a necesitar de ese privilegio de instalación para su correcto funcionamiento.El segundo parámetro son una serie de controles para los diferentes estados de un ActiveX, que nos ayudarán a establecer cómo se va a comportar ese ActiveX, a la hora de descarga e instalación. Por defecto tendremos estos estados de ActiveX y por este orden se asignará la directiva: 


  • TPSControlFirmado


  • Control Firmado


  • Control sin firmar


  • Política de Certificado
Y para estos campos, tendremos unos valores, los cuales son los siguientes:0.- El control ActiveX no se instalará1.- Se pedirá confirmación del usuario (tal y como hasta ahora)2.- El control ActiveX se instalará en modo silenciosoPor motivos de seguridad, para los controles sin firmar no existe el valor 2. Tan sólo está disponible el valor 0 y 1.

 


WhiteList


 


Gracias a esta nueva manera de instalación de controles ActiveX en Windows Vista, podemos mantener el mínimo privilegio posible en nuestros Desktops, sin despreciar para nada la potencia de un ActiveX.


Me dejo en el tintero la referencia a los logs que deja este tipo de configuraciones, pero lo dejo para un par de post que tengo en mente sobre Logs en Windows Vista, que sé que a los que le gustan los análisis forenses como a mí les va a resultar entretenido.  


Espero que os haya molado!

Saludos! 

 

23 comentarios sobre “Controla tus ActiveX en Windows Vista”

  1. Esta muy bien el post, pero que ocurre entonces con los activex sin firmar que tengas en alguna intranet y que quieres que se instalen automaticamente si solo tiene la opcion de bloquear o preguntar??

    Esta bien pensado pero debería tener todas las opciones posibles, la seguridad la pones tu, no microsoft.

    Un saludo

  2. Bueno, acabo de comprar computadora con windows vista, la neta soy medio mensa para esto, yo me kede en win98 jaja, la cosa es ke por ejemplo cuando kiero entrar desde mi msn a mi correo, no me manda directamente, primero me pegunta si deseo activar ActiveX y de ahi em manda a mi correo, y siempre es lo mismo, tambien no puedo subir fotos en groups.ms.com porke no se instala bien el MSN Photo Upload y tampoco puedo subir videos, no avanza, igual ke algunos attachments por correo, despues d eun tiempo me manda a error en la pagina. ME URGEEE! saber ke es lo ke pasa y como puedo corregir todo esto, dejo mi correo: marysun_13@hotmail.com y espero alguna respuesta porfavor. De antemano muchas gracias!

  3. hola que tal.

    me gustaria saber como puedo activar el (control activex de quicktime)mi sistema operativo es windows vista.
    hace mucho tiempo ke no puedo usar el reproductor de quicktime porke me sale un aviso de que no se puede cargar el control activex de quicktime.

    desde ya muchas gracias.

    un abrazo grande.

  4. Hola, seguro ya se hran artado de escuchar lo mismo,pero no he buscado la forma de subir fotos con mi compu si tiene plataforma vista.. con la otra que tengo tiene Xp no hay problema, pero esa casi no la uso…

    porfasss!!!

  5. windows vista es una basura es una mierda no puedo instalar adobe flash porque no me lopermite es un ascooooooooooooooooooooooooooooooooooooooooooooooooo

  6. Inconforme, creo que necesitas ayuda. Adobe Flash se puede instalar perfectamente. No estáras instlando una versión que no es correcta? Mira en el manual de instalación de Adobe Flash que viene con la caja y el cd original y sigue los pasos verás como no hay ningún problema.

    Saludos.

  7. Tengo problemas con los controles active x en mozilla e ie, sobre windoes vista. No me permite instalar flash para vista. Lo instala pero después me aparece como no instalado, todo esto me molesta porque no puedo ver páginas con flash y me desapareció el visor de youtube, me dice que tengo que bajar la ultima version de flash. Socorrroooo llevo un mes con este tema. Ya probé bajar seguridad de windows desactivar antivirus y anti todo, etc. cserron@gmail.com

  8. Ayudaaaaaaaaaaaaaaaaaaaaaa. La proteccion contra malware en windows vista premium esta desactivada y no encuentro manera de hacerlo.
    Asi, desinstale el avast porque parece ser que se apodera de la seguridad del equipo, pero no ha servido de nada.
    Ademas, ahora si intento descargar un antivirus, (AVG) me pide descargar antes el ActiveX, y no se si es seguro.
    Por otro lado no se si el origen es spyware.
    En fin ayudaaaaaaaaaaaaaaa. Estoy desprotegida.
    gracias.

  9. BUENO TENGO PROBLEMAS CON EL ACTIVEX DE MI QUICTIME… TENGO TIEMPO SIN PODER USAR ESE REPODUCTOR XQ ME SALE UN AVISO NO SE AH PODIDO ENCONTRAR EL ACTIVEX QUE QUICKTIME ME GUSTARIA QUE ME AYUDARAN CON ESTO ES SUPER GENTE LES DEJO MI CORREO: VALEX_8184@HOTMAIL.COM

  10. no puedo jugar a los juegos del msn, me pide que instale activex2, pero lo busco para descargarlo y no lo encuentro, y encontre uno pero no era compatible con el vista. me puede ayudar alguien???

  11. no puedo ver videos en internet, me dice k necesito el active, pero ps no lo encuentro, puedes ayudarme?

    Si pudieras mandarme la respuesta a mi correo te lo agradeceria mucho, gracias.

    Espero puedas y tengas tiempo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *