Recuperación de Datos (III de IV) por Alex Refojo

3. Sistema de
cifrado de archivos (EFS).

3.1. Descripción.

El sistema de
cifrado de archivos (EFS)* es una característica del SO, que da la opción de
almacenar información en un medio extraíble en formato cifrado, es decir, con
la protección más alta que facilita Windows con el objetivo de mantener
nuestros documentos a salvo de cualquier amenaza, externa o interna.

* EFS está disponible en las ediciones
Windows Vista Business, Enterprise y Ultimate.

Con esta característica, podremos decidir de forma sencilla (mediante la
activación de una casilla) quién puede leer nuestros archivos.

En este artículo, me centraré, en cómo proteger nuestra información empleando
este sistema.

3.2. Cifrar – descifrar carpetas y
archivos.

Los archivos o carpetas es necesario cifrarlos cuando consideramos que la
información que contienen es, suficientemente importante para hacerlo. De hecho
podremos incurrir en los siguientes riesgos que conviene tener en cuenta:
– Si copiamos o movemos un archivo cifrado, a un volumen que no use el sistema
NTFS, se descifrará el archivo.
– Es necesario, realizar una copia de seguridad del certificado de cifrado y de
la clave de cifrado (posteriormente explicaremos cómo se hace). Si, por
cualquier circunstancia, perdemos o dañamos cualquiera de estos dos elementos,
no podremos usar los archivos cifrados.

Para cifrar un
archivo o una carpeta, basta con hacer clic con el botón derecho, ir a
propiedades, avanzados, y marcar la casilla «cifrar contenidos para proteger
datos» y aceptar.

Para descifrar el archivo, tendremos que desmarcar la casilla

resaltada en la captura.

3.3. Copia de seguridad del certificado EFS y
clave de cifrado.

Con el propósito de asegurar la recuperación de archivos o carpetas
cifrados, si el certificado EFS se pierde o se daña, es altamente recomendable,
realizar una copia de seguridad del certificado EFS en un medio extraíble. Para ello nos dirigimos a inicio,
en el cuadro de búsquedas escribimos «certmgr.msc» y accedemos al Administrador
de certificados. Expandimos la carpeta «personal» y hacemos clic en
certificados.

Aquí
observaremos, que existen dos tipos de certificados, si bien, nosotros haremos clic
con el botón secundario en el que se describe como el sistema de cifrado de
archivos. Pulsamos «Todas las tareas» y luego «exportar». Automáticamente, se
inicia un asistente en el que podremos seleccionar exportar, también, la clave
privada; escogemos el tipo de archivo de cifrado, un nombre y pulsamos
finalizar.

 Como apreciamos en la imagen existen varios formatos
de certificados.

Con esto conseguiremos que nuestra clave de cifrado y el certificado EFS, estén
a salvo. Podremos emplearlos para restaurarlos posteriormente.

3.4. Certificado de
recuperación de archivos cifrados.

Este tipo de certificado, permite recuperar archivos
cifrados en el supuesto de que se pierda o se dañe la clave de cifrado.  Para ello es necesario llevar a cabo estos
tres procesos:

1- Crear un certificado de recuperación:
Inicio – cmd.exe (Pulsando ctrl + mayúsculas + enter) – nos situamos en el
directorio deseado – escribimos «cipher /r:nombre
del archivo
» y pulsamos enter. Para mayor protección, es preferible emplear
un medio de almacenamiento externo y 
guardarlo en un lugar seguro.

2- Instalar el
certificado de recuperación
: Inicio – en el cuadro de búsquedas escribimos
«secpol.msc» para acceder a la configuración de seguridad local – Hacemos clic
en directivas de clave pública y en  EFS,
con el botón secundario seleccionamos «Agregar agente de recuperación de
datos». Se lanza el asistente y buscamos el certificado de recuperación;
posteriormente lo instalamos.

 

Es necesario, actualizar la directiva de grupo local. Para
hacerlo, vamos a Símbolo del sistema (cmd.exe) y escribimos gpupdate.

3- Actualizar archivos
cifrados anteriormente con el nuevo certificado de recuperación
: Inicio –
tecleamos cmd y escribimos «cipher /u». En caso de no usar este comando, los archivos
cifrados, se actualizarán la próxima vez que se abran.

3.5. Recuperar
archivos o carpetas cifrados.

Para llevar a cabo este proceso, es necesario tener una
copia de seguridad de la clave de cifrado y el certificado EFS, tema mencionado
en el punto 3.3 del artículo.

Será necesario acceder al Administrador de Certificados (certmgr.msc).
Expandimos la carpeta Personal, y vamos a acción – todas las tareas – importar,
con lo que se abre el asistente para la importación de certificados. Pulsamos
finalizar y ¡listo!


Se nos presentará, además la opción de colocar este certificado en otra carpeta
distinta a Personal.

3.6. Administrar los
certificados.

Con el propósito de administrar nuestros certificados de forma sencilla,
una de las novedades incorporadas en Windows Vista, es la opción de realizar
desde un asistente las siguientes acciones:
– Seleccionar o crear un certificado y una clave de cifrado de archivos.
– Realizar una copia de seguridad del certificado y la clave.
– Configurar el Sistema de cifrado para que use una tarjeta inteligente.
– Actualizar archivos cifrados anteriormente para que usen una clave y un
certificado diferentes.


Con esta opción podremos realizar las tareas de copia de seguridad o de
reemplazo de certificados de forma más sencilla.

Para acceder a esta herramienta, llega con ir a inicio –
panel de control – cuentas de usuario – Administrar sus certificados de cifrado
de archivo.

 
3.7. Resumen: Parte III de IV.

Con esta publicación, hemos tratado, desde el punto de vista de la seguridad
del cifrado, el Sistema de Cifrado de Archivos (EFS). Este tema, puede ser más
completo y permite más opciones, como por ejemplo, el uso de tarjetas
inteligentes, que aquí no se recoge. Sin embargo, mi intención era resaltar los
puntos básicos para usar el cifrado de forma segura, manteniendo un ciclo de
copias de seguridad continuo.

Para el último capítulo, haré referencia, entre otros aspectos, a la copia de
seguridad en línea de claves, otra de las novedades de Windows Vista.

Saludos y felices fiestas!

Microsoft Technet y Webcast de Windows Vista

 

Microsoft TechNet proporciona ayuda de todo tipo a los
profesionales de tecnologías de la información, para que estos puedan
desarrollar y dar soporte a las tecnologías de Microsoft.

Para ello Microsoft pone a disposición de los usuarios unos eventos y
seminarios gratuitos, así como todo tipo de artículos, conferencias, manuales y
webcast, que son unas presentaciones en vídeo para ser distribuidas por
internet.

Concretamente Microsoft Technet está compuesto por varios
apartados claramente diferenciados:

Recursos de seguridad: Proporciona un boletín
mensual con revisiones de seguridad, así como varios documentos informativos
sobre seguridad, alertas sobre virus, herramientas, utilidades de seguridad y
otros recursos.
Más información aquí: http://www.microsoft.com/spain/technet/seguridad/recursos/default.mspx

Suscripción TechNet Plus: Consiste en una
biblioteca de artículos, service packs, información, actualizaciones de
seguridad, y un CD o DVD con documentación actualizada.
Más información aquí: http://technet.microsoft.com/es-es/subscriptions/bb404693.aspx

Boletín TechNet Flash: En este boletín semanal
enviado por correo electrónico, se informe sobre novedades, artículos,
descargas…
Puedes ver un ejemplo aquí: http://www.microsoft.com/spain/technet/boletines/historico.aspx

 
Seminarios y eventos gratuitos de TechNet: En
este apartado se tratan los aspectos prácticos de las tecnologías de Microsoft.

Puedes ver algunos aquí: http://www.microsoft.com/spain/technet/jornadas/default.mspx

 
Tesoros ocultos de TechNet: Es un compendio de
artículos destacados elaborados por los mayores especialistas de Microsoft.
Más
información aquí: http://www.microsoft.com/spain/technet/recursos/tesoros/default.mspx

WebCast gratuitos: Son sesiones de vídeo impartidas
por expertos sobre los productos de Microsoft, se hacen en directo y luego son
grabados para que se pueda acceder a ellos en cualquier momento.
Puedes ver una lista de los
WebCast disponibles y en español aquí: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

 
TechNet Virtual Lab: Son entornos virtuales
donde se emula un sistema operativo y el usuario puede realizar las pruebas que
desee.
Mas información aquí: http://www.microsoft.com/spain/technet/formacion/virtuallab/default.mspx

 
Comunidad TechNet: Está constituida por todos
los usuarios que realizan TechNet, así como colaboradores y aquellas personas
que emplean TechNet a diario. Más información aquí: http://www.microsoft.com/spain/technet/comunidad/default.mspx

 

Para poder acceder a toda esta información, no hay más que
suscribirse en cualquiera de los múltiples enlaces que hay en distintas
páginas:
https://login.live.com/login.srf

Y tener instalado el
«Visor de Microsoft Office Live Meeting», descargable también desde la página
de Microsoft.
http://esd.placeware.com/wintest/

 

 

A continuación enumeraré una serie de WebCast disponibles
sobre Windows Vista:

Implantando Windows Vista con BDD 2007 y Windows Server 2008
Se muestran las nuevas tecnologías
de imágenes y sus herramientas para implantar Windows Vista, así como su personalización.
Duración:
01:51:34

Compatibilidad de aplicaciones en Windows Vista
con el ACT5

Se muestran los problemas de
compatibilidad entre Windows Vista y el ACT5, y como encontrarlos. también se muestra la nueva versión del Application Compatibility Toolkit, que ayuda a identificar y administrar el portafolios de aplicaciones.
Duración:
01:36:36

Activación de Windows Vista
Se muestra que es la activación en
Windows Vista, y la instalación del servicio Key Management Service para
controlar la licencia de Windows Vista.
Duración: 00:40:43

Herramientas de diagnósticos en Windows Vista
Se muestra como Windows Vista
diagnostica problemas en discos duros, memorias, redes y otros.
Duración: 01:09:14

Group Policy en Windows Vista
Se muestran las mejoras de las
políticas de grupo en Windows Vista respecto a versiones anteriores.
Duración:
00:48:24

User Account
Control en Windows Vista

Se muestra la
exploración del User Account Control, así como las sus implicaciones en el
desarrollo de aplicaciones.
Duración: 00:43:05

Elementos de seguridad en Windows Vista

Se
muestran las características de seguridad a nivel de usuario de Windows Vista,
tanto en el sistema operativo como en otros aspectos, entre ellos el navegador
y el firewall.
Duración: 01:25:27

Mejoras en aspectos de confiabilidad en Windows Vista
Se
muestra con detalle las características de confiabilidad que vienen en Windows
Vista, los tiempos de respuesta y la nueva capacidad de diagnósticos.
Duración: 01:23:17

Registro de eventos, Visor de eventos y programador de
tareas de Windows Vista

Se
muestra como Windows Vista permite obtener un mayor control sobre tareas
administrativas comunes, así como las características del Visor de eventos y
del programador de tareas
Duración: 01:14:55

Rendimiento de Windows Vista
Se
muestran las nuevas tecnologías que incluye Windows Vista para mejorar su
rendimiento así como las potentes herramientas de supervisión del sistema.
Duración: 01:39:42      

Mejoras en la confiabilidad de Windows Vista
Se
muestran los diferentes atributos de confiabilidad y las metas para Windows
Vista, así como las nuevas funciones de rendimiento y mejoras, entre ellas por
ejemplo la capacidad de respuesta y la recuperación automática.
Duración: 01:15:05

Integrar la imagen corporativa
Se muestran las herramientas de
compatibilidad de la aplicación y la de migración de estado del usuario.
También se explora el formato de archivo Windows Imaging y la herramienta de
disco XImage.
Duración: 01:11:03

Imagen de Windows Vista
Se muestra como capturar una imagen
Windows Vista, y como editar y configurar estos archivos, también se mostrará
el formato de archivo Windows Imaging y sus características.
Duración: 01:24:07

Descripción general de la implementación de Windows Vista
Se muestra como utilizar un proceso
de implementación administrado y como automatizarlo. También se mostrarán
distintos aspectos del formato de imagen, el kit de herramientas de compatibilidad
de la aplicación, y sistemas de administración de la implementación.
Duración: 01:20:26

Windows Server 2008 & Windows Vista «better together»
Se muestran las características compartidas entre Windows Vista y Windows Server 2008, como trabajando relacionados tienen una administración más eficiente y las nuevas características que permiten mayor disponibilidad de los datos
Duración: 01:30:00

 

Felices fiestas y feliz año nuevo a tod@s. 

 

 

Sistemas de Integridad en Windows Vista I: Windows Service Hardening (primera parte)

 

Retomamos de nuevo la seguridad en Windows Vista tratando esta vez sobre los sistemas de integridad «Integrados» en este sistema operativo. Es decir, vamos a ahondar un poquito más en que es lo que ha puesto tan nerviosas a empresas Antivirus como Symantec a parte de técnologias como el Firewall de Seguridad Avanzada de Windows Vista, el UAC o ASLR.

 

En próximos Posts hablaremos de tecnologías de integridad como MIC, UIPI, o el servicio TrustedInstaller, de momento, por hoy, nos conformaremos con acercarnos a las notables mejoras de seguridad de los Servicios de Windows: el conjunto de funcionalidades recogidas dentro de WSH (Windows Service Hardening), que vienen a ser las mismas siglas que «Windows Scripting Host» para los entendidos.

 

Limitaciones de los Servicios en Windows XP:

Windows XP (sistema muy defendido por los opositores a Windows Vista) sufría de carencias de seguridad en la manera de trabajar de los servicios, pese a las grandes mejoras realizadas en este ámbito con respecto a Windows 2000. Con todo eso, aun me toca oir a algún Tecnicoless (perdona Maligno por tomar prestado el término) que Windows 2000 es mejor que Windows XP…  En fin, anécdotas aparte, lo cierto es que nos encontrábamos limitados a la hora de trabajar con los servicios de XP, algo que los distintos tipos de malware no dudan en aprovechar.

 

Por ejemplo si en Windows XP queremos impedir el acceso a un recurso específico (como una clave del registro) a un servicio, debemos crear una cuenta de usuario y asignársela al servicio a modo de «cuenta de servicio», algo que además trae problemas al obligarnos a gestionar una política de control de contraseñas para mantener la seguridad de los servicios afectados.

 

Otro ejemplo de las limitaciones de XP es cuando deseamos que un servicio tenga acceso a un recurso al que el usuario «LocalService» no puede acceder, en estos casos nos vemos obligados a usar la cuenta de elevados privilegios «LocalSystem» o bien a crear una cuenta de servicio específica para acceder al recurso, con lo que volvemos al supuesto anterior.

 

Para complicar aun más la cosa, en Windows XP, cuando le asignamos a un servicio una cuenta con las que ejecutarse, ya sea una cuenta de servicio, o las cuentas LocalSystem, LocalService o NetworkService, automáticamente, dicho servicio obtiene todos los privilegios otorgados a la cuenta asignada, con lo cual el servicio obtiene un mayor nivel de acceso al equipo de lo que realmente deseamos, algo que posteriormente puede ser usado por los diferentes tipos de Malware para, por ejemplo, realizar una elevación de privilegios.

 

Windows Vista ha solucionado estos problemas gracias a Windows Service Hardening como describiré a continuación.

 

La solución: Windows Vista y Windows Service Hardening:

Vamos a estudiar desde el punto de vista práctico estas mejoras de seguridad de Windows Vista, para ello vamos a hacer uso de las siguientes herramientas de las cuales no viene mal ir familiarizándonos.

 

Comando SC: Es un comando extendido de edición y consulta de servicios (integrada en Windows Vista).

Process Explorer: Herramienta de SysInternals para obtener información extendida de procesos en ejecución. Esta herramienta la podéis descargar por separado en

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

o bien descargarlo como parte del Suite de SysInternals (paquete de utilidades cuya descarga es muy recomendable) 

http://technet.microsoft.com/en-us/sysinternals/0e18b180-9b7a-4c49-8120-c47c5a693683.aspx

 

Las mejoras tecnológicas referentes a la seguridad en los Servicios de Windows Vista deben pasar obligatoriamente por tres grandes áreas:

  • Aislar los procesos de usuario de los servicios
  • Conseguir que una mayor cantidad de servicios trabajen con bajos privilegios
  • Solucionar las limitaciones presentadas por Windows XP

 

Aislamiento de servicios: Id de sesión 0

Aislar los servicios de los procesos de usuario es una solución óptima para mantener la seguridad de los sistemas, dado que, por un lado dificultamos que un proceso de usuario tome control sobre un servicio, y por otro lado dificultamos que un Servicio infectado interactue directamente con las cuentas de usuario buscando por ejemplo engañar a este para que intruduzca una contraseña en un formulario invocado para tal fín.

 

El aislamiento de servicios en Windows Vista se consigue gracias a los Ids de Sesión. Este sistema en Windows XP era utilizado para el aislamiento y control de procesos ejecutados por usuarios remotos (Remote Desktop  y Terminal Services) y para el servicio de cambio rápido de usuario. Según este sistema al primer usuario en iniciar sesión se le asigna el Id de sesión 0, en cuyo contexto también se ejecutaban los servicios del sistema; a los usuarios que iniciaban sesión posteriormente gracias a «Cambio Rápido de Usuario» o de manera remota gracias a los servicios RDP (Remote Desktop Protocol) se les iba asignando Ids de sesión consecutivos (id 1 para el segundo usuario, Id 2 para el tercero, Id 3 para el cuarto y así sucesivamente).  Mediante este sistema de Ids se impide que un proceso invoque interfaces de usuario (UI) para otros Ids de sesión de manera directa, mejorando la privacidad y la seguridad de cada sesión de usuario.

 

Windows Vista mantiene este sistema de aislamiento, pero añadiendo un cambio muy importante, los servicios del sistema siguen ejecutándose con sesión Id 0, pero el primer usuario que inicia sesión lo hace con Id 1, esto quiere decir que los usuarios y los servicios se ejecutan con Ids distintos, a diferencia de lo que ocurría con XP, a esto hay que añadirle además que los procesos ejecutados con Id 0 no tienen acceso al hardware gráfico, de manera que la única manera de interactuar con el usuario es mediante sistemas alternativos y más seguros como RPC o Named Pipes. En Windows Vista, ningún servicio puede mostrar directamente una interfaz gráfica en pantalla, protegiéndonos por ejemplo de engaños gráficos como cuadros de contraseñas, ventanas falsas etc.

 

Tanto en Windows XP como en Windows Vista podéis ver el Id de sesión con que se ejecutan los procesos desde el administrador de tareas agregando las columnas correspondiente en «Ver > Seleccionar Columnas»

 

 

Servicios con bajos privilegios

Conseguir que una mayor cantidad de servicios trabajen con bajos privilegios supone estar mejor protegidos de posibles bugs y su explotación por parte de un atacante, dado que en el peor de los casos, el atacante solo conseguirá acceso al equipo con los privilegios concedidos al servicio afectado.

 

Para entender correctamente la manera en la que Windows Vista consigue reducir los privilegios a los mínimos necesarios para que un servicio se ejecute tenemos que diferencias dos aspectos:

  • Privilegios de servicio: Equivalen a los típicos privilegios de usuario que podemos editar desde las políticas de grupo (gpedit.msc) como «permitir el inicio de sesión local» o «Apagar el Sistema».
  • Permisos de servicio: Son permisos NTFS aplicables a un servicio para proteger recursos como una clave del registro o una carpeta del Sistema.

 

En Windows Vista los servicios solo aplican los privilegios otorgados explícitamente, pasando por alto aquellos privilegios propios del usuario con que se ejecutan dichos servicios. De esta manera se corrige uno de los problemas que padecía Windows XP y que ya hemos descrito anteriormente: «Los privilegios no necesarios para el funcionamiento del servicio recibidos como consecuencia de ejecutar este con un usuario determinado, ya sea un usuario de servicio o los usuarios especiales LocalService, NetworkService o LocalSystem».

 

De todos modos, por compatibilidad con sistemas anteriores, si no se especifican unos privilegios propios para el servicio, este recibirá automáticamente los del usuario que efectúa la ejecución. Las buenas prácticas de desarrollo exigen el uso de este sistema de privilegios de servicios en Windows Vista, pero siempre estaremos a expensas de que las empresas de software realmente hagan uso de este (Microsoft si hace uso de él como veremos con alguno de sus servicios).

 

A continuación vamos a comprobar, gracias al comando «SC» y a «Process Explorer» este sistema de privilegios, pero antes es recomendable consultar el listado de privilegios existente con su descripción asociada en el siguiente enlace:

http://msdn2.microsoft.com/en-us/library/bb530716(VS.85).aspx

 

Ya conocedores de los privilegios existentes, tampoco está de más echar un vistazo a estos otros Links:

Privilegios otorgados a la cuenta LocalService:

http://msdn2.microsoft.com/en-us/library/ms684188(VS.85).aspx

Privilegios otorgados a la cuenta NetworkService:

http://msdn2.microsoft.com/en-us/library/ms684272(VS.85).aspx

Privilegios otorgados a la cuenta LocalSystem:

http://msdn2.microsoft.com/en-us/library/ms684190(VS.85).aspx

 

Como habréis comprobado en los enlaces de arriba, este sistema no es algo nuevo en Windows Vista, solo son los llamados «privilegios de usuario», pero descritos a un nivel más bajo de lo que normalmente estamos acostumbrados, y con la diferencia de que en Windows Vista estos privilegios son editables a nivel de servicio.

 

Comencemos con la práctica: El comando SC

 

SC es un comando existente en XP pero al cual se le han agregado nuevas e interesantes funcionalidades en Windows Vista. Este comando nos sirve para crear, eliminar o consultar el estado de los servicios de Windows. Escribiendo SC podréis ver un listado completo de sus opciones, las cuales podéis ver descritas en el siguiente enlace:

http://technet2.microsoft.com/WindowsServer/en/library/0a658e97-51d5-4109-b461-a474c799964e1033.mspx?mfr=true

 

Windows Vista incluye en el comando SC las opciones showsid, sidtype, qsidtype, privs y qprivs para gestionar y consultar las nuevas opciones de seguridad de sus servicios. Iremos repasando cada una de estas opciones en sucesivos post, por el momento echaremos un vistazo a las opciones privs y qprivs.

 

sc qprivs [nombre del servicio] muestra los privilegios otorgados sobre dicho servicio, es decir, qué es capaz de hacer la cuenta con la que se ejecutan dichos servicios para ese servicio. Por ejemplo podemos ejecutar «sc qprivs spooler» para ver la información de privilegios del servicio de cola de impresión como podéis ver en la imagen posterior.

 

El servicio de cola de impresión se ejecuta como LocalSystem, vamos a ver la diferencia de privilegios entre Vista y XP para un mismo servicio:

 

Privilegios del servicio de cola de impresión en Windows Vista

SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeLoadDriverPrivilege, SeAssignPrimaryTokenPrivilege

 

Privilegios del servicio de cola de impresión en Windows XP

SeTcbPrivilege, SeImpersonatePrivilege, SeAuditPrivilege, SeChangeNotifyPrivilege, SeLoadDriverPrivilege, SeAssignPrimaryTokenPrivilege, SeCreateGlobalPrivilege, SeCreatePagefilePrivilege, SeDebugPrivilege, SeCreatePermanentPrivilege, SeLockMemoryPrivilege, SeIncreaseBasePriorityPrivilege, SeLockMemoryPrivilege, SeProfileSingleProcessPrivilege, SeTcbPrivilege

 

La diferencia está clara: mientas que Windows Vista establece sus propios privilegios en el servicio, Windows XP hereda los privilegios del usuario LocalSystem, obteniendo una gran cantidad de privilegios innecesarios que posteriormente pueden utilizados con fines maliciosos si el servicio muestra alguna vulnerabilidad.

De todos modos arriba aparece un pequeño «engaño», dado que no es lo mismo ver «los privilegios concedidos a un servicio» que los «privilegios efectivos de un servicio en ejecución». Por supuesto, esto es otra cosa aplicable tansolo a Windows Vista, por ejemplo, en el caso de arriba, a los privilegios del servicio de cola de impresión habría que quitar además el privilegio «SeLoadDriverPrivilege» dado que el usuario System tiene denegado dicho privilegio; es decir: «Se aplica siempre el caso más restrictivo entre los privilegios de servicio y los de usuario», al más puro estilo UAC.

 

Para poder ver los permisos efectivos con los que se ejecuta un proceso disponemos de la herramienta Process Explorer de SysInternals, para ello ejecutamos Process Explorer con privilegios de administrador, nos dirigimos al proceso deseado (en este caso «spoolsv«) y seleccionamos «Properties». Dentro de las propiedades podremos ver diferentes pestañas con información relativa al proceso, a nosotros nos interesa comprobar la descripción del «Token de Seguridad» del proceso, de manera que debemos seleccionar la pestaña «Security». Dentro de esta pestaña, en la mitad inferior, podréis ver los privilegios asignados al proceso para el propietario (Owner) de este, es decir, para el usuario System, de esta manera podreis comprobar que pese a que el comando «sc qprivs spooler» muestra el privilegio «SeLoadDriverPrivilege», en los privilegios asignados al servicio, este privilegio aparece como deshabilitado.

 

Process Explorer funciona tanto en XP como en Windows Vista, así que no esta de más comprobar, de manera práctica la diferencia de privilegios efectivos sobre un servicio, aquí os dejo un par de capturas de pantalla para que le echéis un vistazo.

 

Process Explorer en Windows Vista

 

 

Process Explorer en Windows XP

Por último solo queda añadir que si «sc qprivs» nos sirve para realizar consultas, «sc privs» nos sirve para agregar o quitar privilegios a los servicios, así que ya tenemos otra herramienta con la que juguetear. Por ejemplo imaginemos que deseamos dar al servicio SPOOLER la capacidad de elevar la prioridad de un proceso, para ello debemos realizar lo siguiente:

 

sc privs spooler SeTcbPrivilege/SeImpersonatePrivilege/SeAu

ditPrivilege/SeChangeNotifyPrivilege/SeLoadDriverPrivilege/SeAssignPrimaryTokenP

rivilege/SeAssignPrimaryTokenPrivilege/SeIncreaseBasePriorityPrivilege

(En negrita los privilegios agregados)

 

Comprobamos con qprivs si el resultado ha sido correcto:

 

Nota: Fijaros que hay que separar cada privilegio por «/» y que hay que volver a agregar cada privilegio existente en el servicio ya que por defecto el comando SC los sobrescribe, es decir que si hiciéramos un «sc privs spooler SeIncreaseBasePriorityPrivilege» desaparecerían los privilegios iniciales.

 

Bueno, esto es todo, suficiente por ahora ¿no?, en el próximo post comprobaremos otro aspecto de WSH: «Los SID de servicio». 

 

Creo que ya podemos ir haciéndonos una idea de por qué las empresas antivirus se han puesto tan nerviosas con Windows Vista, y esto solo es una muestra de «una» las tecnologías de seguridad de este sistema operativo.

 

Por cierto, las mejoras que han sufrido los servicios en Windows Vista (y Windows Server 2008) no solo hacen referencia a la seguridad, también han mejorado en estabilidad y rendimiento gracias otros elementos como el nuevo sistema de parada de servicios, el sistema de inicio retrasado, acciones ante errores no críticos o el nuevo entorno de control de cambios de estado. Os dejo algunos enlaces por si la curiosidad os puede y queréis profundizar en estos temas. Un saludo y hasta el próximo post.

 

Enlaces:

MSDN Windows Services Documentation

http://go.microsoft.com/fwlink/?LinkId=71274

Impact of Session 0 Isolation on Services and Drivers in Windows Vista

http://go.microsoft.com/fwlink/?LinkId=71275

NotifyServiceStatusChange

http://go.microsoft.com/fwlink/?LinkId=71279

Service Control Handler Function

http://go.microsoft.com/fwlink/?LinkId=71282

 

Mapa de red y Windows Rally

Hace poco, durante el desarrollo
un curso de seguridad informática, me preguntaron sobre si conocía la
existencia de algún programa que realizase un mapa grafico de la red, en plan
dibujitos, con la representación de equipos, routers, impresoras, etc. Evidentemente
este alumno no habría usado Vista porque si no conocería la nueva funcionalidad
que nos permite ver de manera grafica la estructura de nuestra red… ¡Ah! ¿Qué tu
tampoco la conoces? Pues vamos a darle un repasito…

Windows Vista proporciona una
nueva interfaz para administrar todo lo relacionado con las redes, unificando
en una sola ventana todas las posibilidades de administración de las que
disponemos. Estamos hablando del Centro
de redes y recursos compartidos
.

En el Centro de redes y recursos
compartidos tenemos una representación grafica del estado actual de la conexión
a internet de nuestro equipo así como un resumen y enlaces rápidos a la configuración
de las redes en las que se encuentra nuestro equipo.

 

Como podemos observar en la
imagen, mi equipo está actualmente conectado a una red wireless llamada SCUMM y
yo la he establecido de tipo privada, esto es, voy a poder ver (y me van a
poder ver) a los equipos que se encuentre en mi red. Si por ejemplo me
conectase a una red abierta, pues, por ejemplo, en un aeropuerto, pues la podría
establecer como red pública, evitando así el acceso a recursos que pudiera
tener compartidos.

Si sois observadores ya os habréis
dado cuenta de que en la esquina superior derecha aparece un enlace a Ver el
mapa completo. Este enlace nos va a llevar a una nueva ventana donde se
generara un mapa con todos los elementos de nuestra red… ¿Todos? ¡No! Hay todavía
unos irreductibles ordenadores que se resisten (por poco tiempo) al inva…
Bueno, me voy por las ramas. Antes de empezar con la explicación técnica de
cómo funciona esta nueva tecnología incorporada en Windows Vista os dejo una
captura de la red de mi casa:

Y ahora a lo que vamos… ¿Cómo funciona
esto? ¿Cómo consigue recuperar tanta información sobre el resto de equipos?
Pues en esta nueva versión del sistema operativo de Microsoft se ha incluido un
nuevo protocolo de red (LLTD) que permite al equipo ofrecer información sobre
sus características a aquellos que se lo soliciten. Evidentemente, estos datos
solo se proporcionaran si nos encontramos en una red que nosotros hemos
definido como privada.

Esto se incluye dentro de la
familia Windows Rally, un conjunto de tecnologías pensadas para simplificar la administración
de una red, desde la conectividad wireless de los equipos, la seguridad con la
que lo hacen o incluso llevar el control sobre el QoS (Quality of Service) de
los recursos disponibles.

¿Y a quien podemos «ver» mediante
esta tecnología? Como veis en la imagen superior aparecen 3 dispositivos, dos
equipos con Windows Vista y una XBOX360 que incluye las últimas
actualizaciones, que le permiten darse a conocer en la red. ¿Podremos ver
equipos con otros sistemas operativos? La respuesta es, aunque a muchos les
sorprenda, SI.

Aunque incluido nativamente en
sistemas Vista, el cliente que facilita la información a la red puede ser
instalado en equipos Windows XP mediante el «Respondedor de detección de topologías de nivel de vínculo (LLTD)»
(http://support.microsoft.com/kb/922120)
y en equipos Linux mediante un cliente incluido en el SDK de Windows Rally (http://www.microsoft.com/whdc/rally/rallykit.mspx)

Bien, ¿y si no quiero que me vean
sin tener que definir mi red como publica? (Que los hay vergonzosos…) Pues
desde dos políticas de equipo vamos a poder definir como se va a comportar
nuestro sistema operativo frente a las peticiones de colaborar con otros
ordenadores de la red en la creación del esquema de la red o limitar la
habilidad de nuestro equipo de realizar estos mapas. Haciendo Inicio > Ejecutar > gpedit.msc podremos acceder a las claves que se muestran a continuación y que nos permitirán
limitar este servicio.

Bueno, esto es todo, espero que os haya gustado esta nueva característica,
que no os quedéis simplemente en lo «bonito» del mapa de red y veáis mas allá,
en las posibilidades REALES para la administración de una red y que paséis unas felices navidades!

Recuperación de Datos (II de IV) por Alex Refojo

1.       Restaurar el equipo a partir de una
copia de seguridad.

1.1. Descripción.

En la primera parte del artículo,
repasábamos las distintas opciones que existen en Windows Vista, para respaldar
información de nuestro sistema y cómo evitar pérdidas irreparables, en algunos
casos.

Pues bien, una vez visto lo anterior, ahora toca analizar cómo hacer una
restauración empleando distintos procedimientos, con lo que conseguiremos que
nuestro sistema vuelva al mismo estado que tenía cuando hicimos la copia de
seguridad. ¡Empecemos pues!

 

1.2. Restaurar archivos de copia de seguridad.

Con esta «herramienta» disponemos de la posibilidad de
restaurar archivos concretos, grupos de archivos o todos los archivos que
fueron incluidos anteriormente en la copia.

Para llevar a cabo el proceso, nos dirigimos al Centro de Copias de Seguridad y
Restauración (Inicio – Panel de Control) y pulsamos en «restaurar archivos». Se
nos abre un asistente en el que podremos seleccionar los archivos de una copia
de seguridad antigua o más reciente. En el siguiente paso seleccionamos la
copia que deseemos restaurar y posteriormente los archivos, grupos de archivos
o todo lo que esté incluido en la copia. Elegimos la ubicación deseada, que
puede ser la original u otra distinta. Pulsamos iniciar restauración y proceso
¡finalizado!

 

Con el asistente
para Restaurar Archivos, es muy fácil llevar a cabo el proceso.

Con esto ya devolveremos al estado anterior los archivos
restaurados de la copia de seguridad.

 

1.3. Restauración avanzada de archivos.

En el Centro de Copias también se
nos presenta la opción de hacer una restauración avanzada de los archivos y
carpetas. Además de las opciones anteriores, se nos permite la posibilidad de
restaurar una copia de seguridad ubicada en otro equipo de la red. Basta con
seguir los pasos anteriormente explicados pero seleccionando la copia en la
red. Así de fácil.

 

1.4. Restaurar copia de Complete PC (en 5
sencillos pasos).

Como bien expliqué en la parte anterior, una imagen de Copias de
Seguridad de Windows Complete PC,  contiene
copias de los programas, archivos y de la configuración del sistema. Con la
copia de seguridad de Complete PC llevaremos a cabo una restauración completa,
pues no es posible seleccionar elementos concretos, además, nuestros archivos y
aplicaciones volverán al estado inicial.

Veamos qué pasos hay que seguir para realizar el proceso:

1)     
Nos aseguramos que tenemos introducidos los
medios extraíbles que hayamos empleado para hacer la copia. En mi caso un disco
duro externo.

2)     
Reiniciamos el equipo para arrancar con el disco
de instalación de Windows Vista; En algunos casos será necesario acceder a la
BIOS para modificar el orden de los dispositivos de arranque.

3)     
Una vez cargado el programa de instalación de
Vista, pulsamos «reparar» y automáticamente se detectan los SO instalados en
nuestro sistema. Seleccionamos y pulsamos siguiente.

4)        Se nos muestra el menú de herramientas y pulsamos en
«Restauración de Windows Complete PC». El asistente busca las copias existentes
de Complete PC y posteriormente las muestra. Seleccionamos la copia deseada y
clic en siguiente.

  

 
5)     
En la siguiente página del asistente, podemos
además marcar la opción de «formatear y volver a particionar discos»; para
terminar pulsamos finalizar y confirmamos la advertencia que se nos muestra, de
que «esto borrará todos los datos en los discos elegidos».

El tiempo estimado de restauración depende del tamaño de la
copia. En mi caso, restaurando el Windows Vista Ultimate sin ninguna aplicación
extra, el tiempo fue de 10 minutos, aproximadamente. Una vez terminada la
restauración, el ordenador se reinicia «solo» y ya disponemos del sistema del
que hicimos la copia Complete PC: una maravilla.

 

1.5. Restaurar punto de restauración.

Restaurar Sistema, permite a los
usuarios devolver los equipos a un estado anterior sin perder información
(documentos). Para ello, nos dirigiremos a protección del sistema (en la
primera parte mencionamos cómo acceder) y pulsaremos la opción «restaurar
sistema». Al instante se inicia un asistente en el que tendremos que seleccionar
un punto de restauración y en un unos minutos, dispondremos de nuestro sistema
restaurado.

  

  Se puede observar cómo se han generado
los puntos de restauración automáticamente, por ejemplo, al instalar un nuevo
dispositivo en el sistema.

 

1.6. Restaurar a partir de copias de seguridad
creadas en versiones anteriores.

En
Windows XP es posible acceder a la utilidad de copia de sistema escribiendo
«ntbackup» en inicio – ejecutar. Con esta utilidad tendremos una copia de
nuestro sistema. Pues bien, en Windows Vista es posible restaurar una copia del
sistema creada en Windows Server 2003 o de
Windows XP con dicha utilidad.

Para ello tendremos que descargar el complemento «NtBackupRestore» disponible
para plataformas de 32 y 64 bits. Lo podremos encontrar en la siguiente
dirección:

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=7da725e2-8b69-4c65-afa3-2a53107d54a7

Posteriormente y
solo en el caso de no tenerlo instalado, hay que agregar en componentes de
Windows Vista, la Administración de medios de almacenamiento extraíbles, de
esta forma nos dispondremos a instalar la utilidad «NtBackupRestore».

Si ejecutamos la utilidad, que se agrega en el menú de inicio, nos aparece una
única opción, que se trata de la de «asistente para la restauración».

 

Característica obligatoria para
instalar ntbackup.

 

Dentro del asistente
vamos a comprobar que el estado del sistema no se nos permite restaurar, pero
sí los archivos que teníamos en el otro sistema.

  

 En la última página
del asistente, para los más meticulosos, se incluyen unas opciones avanzadas,
dónde se indicará la ruta de restauración, el reemplazo de documentos, etc.
Pulsamos Finalizar, esperamos a que finalice el proceso, reiniciamos y ¡listo!,
nuestros documentos del anterior sistema, restaurados en Windows Vista.

 

1.7. Importar
Copia de Registro.

Por último, explicar
el sistema a seguir, para importar una copia del registro de Windows Vista. Éste
es similar en versiones anteriores de Windows.

Nos dirigimos a Inicio, introducimos “regedit” y pulsamos <Ctrl>-<Mayús>-<Intro>
para lanzar el reg
edit como
administradores. Vamos a Archivo, Importar y seleccionamos el archivo de
registro.

 

1.8. Resumen:
Parte II de IV.

Con
la publicación de las dos primeras partes, completamos la parte más fundamental
de Copias de Seguridad y de Restauración de las mismas.

Para la próxima parte, nos  centraremos
en el Sistema de Cifrados de Archivo (EFS), una característica nueva que
incorpora Windows Vista que afecta a la seguridad y confidencialidad de
nuestros archivos.

Un saludo

Alejandro Refojo