Tecnologías de Seguridad en Windows Vista (I de IV) por Chema Alonso

Crossposting de: Tecnologías de Seguridad en Windows Vista (I de IV)

Parece que fue ayer cuando Microsoft tomó conciencia de la importancia de la seguridad y ya han pasado casi 6 años desde el comienzo de la Trustworthy Computing Initiative (TCI) o para los hispanoparlantes la “Iniciativa de Informática de Confianza”. Decidirse a arrancar esta iniciativa no fue algo tomado a la ligera. Los productos de Microsoft, hasta aquel entonces diseñados para “instalar y ¡listo!” habían sido objetivo de la comunidad de investigadores de seguridad, haciendo de ellos un foco de exploits y lo aún más importante y peligroso, virus y troyanos.

Trustworthy Computing Initiative (TCI)

La compañía comenzó esta iniciativa, con una mira de 10 años de duración, contrató a algunos de los mejores gurús de la seguridad informática para que se remangaran y condujeran la fábrica de software de Redmond en un equipo concienciado, formado y preparado para afrontar la puesta en el mercado de productos software seguros… o al menos, mucho más seguros.

Michael Howard, Mark Russinovich posteriormente o el reciente Crispin Cowan han sido algunos de los nombres propios que han entrado a formar parte de los expertos de seguridad con los que cuenta la empresa de la banderita de colores para lograr esta labor.

El primer producto que se vio de lleno en la TCI no fue Windows XP, este había sido concebido y liberado tiempo ha, así que lo primero que se hizo fue sacar una lista de Service Packs para los principales productos. Estos Service Packs habían sido diseñados y concebidos dentro de la TCI pero los productos no habían sido diseñados dentro de la TCI. Así, Windows XP SP2 reforzó considerablemente el sistema Windows, pero no se pudo tocar la arquitectura desde abajo.

Como muchos ya sabréis, el primer sistema operativo diseñado dentro de la TCI no es otro que aquel que tuvo como nombre código “Longhorn”, es decir, nuestro amigo Windows Vista. En él, se aplicaron las tecnologías de seguridad que estaban incluidas en Windows XP SP2 junto con una nueva arquitectura para dotar al sistema operativo de los mecanismos necesarios para protegerse frente a amenazas futuras.

DEP y ASLR

Cuando un procedimiento es invocado en el sistema operativo, lo primero que se hace es situar en la pila del sistema la dirección de retorno a la que debe volverse cuando el procedimiento se termine de ejecutar. Encima de ese valor se apilan los parámetros que necesita para su ejecución el procedimiento. Si no se comprueba el tamaño de los parámetros que van a ser apilados, un atacante podría introducir un dato de mayor tamaño del que tiene reservado y sobrescribir el valor de retorno del contador de programa. De esta manera conseguiría el control de la ejecución. Para hacerlo más “divertido” el atacante puede introducir un programa en los parámetros y después hacer que la dirección de retorno apunte a su programa. Haciendo esto el atacante consigue ejecutar un programa en el sistema.

Para evitar esto existen diversas tecnologías, pero las más importantes son DEP (Data Execution Prevention) y ASLR (Address Space Layout Randomization). La tecnología DEP se puede aplicar por software o por hardware en Windows Vista. Cuando se aplica DEP por hardware el sistema toma ventaja de la tecnología NX incorporada en los microprocesadores hace ya varios años. Los microprocesadores marcan zonas de memoria como de programa (eXecution) o de datos (NoneXecution). De esta forma el sistema operativo no ejecuta ningún programa almacenado en una zona de memoria destinada a datos, o lo que es lo mismo, ninguna dirección del contador de programa puede apuntar a una zona de datos. De esta forma se previene la inyección de programas en desbordamiento de datos.

No obstante, esta tecnología no evita completamente estos ataques pues el atacante podría hacer que se ejecutar un programa del sistema que le permitiera tomar control de la máquina. Para evitar esto, se utilizar la tecnología ASLR.

Hasta Windows XP, cuando el sistema operativo arranca una librería del sistema, ésta es cargada siempre en la misma dirección de memoria. Al usarse siempre la misma dirección, los atacantes pueden crear sus programas para apuntar a direcciones de librerías internas conocidas. Para evitar esto la tecnología ASLR permite que un determinado programa sea cargado cada vez en una ubicación distinta de la memoria dentro de un rango de 256 posibles valores. De esta forma un exploit tendría 1 posibilidad entre 256 intentos de acertar con la llamada correcta.

Como protección adicional, DEP en Windows Vista, tiene una versión basada solo en software que vino ya en XP SP2 y cuyo objetivo es garantizar la integridad de las funciones que son invocadas en el tratamiento de los mensajes de excepción que deben ser gestionados por el sistema operativo. Para ello se comprueba la integridad de los binarios del sistema que se encargan del tratamiento de los mensajes de error antes de entregarles el control.

Herramienta Recortes

La herramienta Recortes se utiliza para hacer capturas de pantallas personalizadas, es similar a la combinación de teclas «Imp Pant» o «Alt+Imp Pant» pero más potente.
La principal ventaja es que las imágenes que recortemos no tienen porque ser rectangulares y que podemos hacer marcas dentro de ellas, de tal forma que muchas veces no tendremos que editar las imágenes que capturemos. Esto no quiere decir que la combinación de teclas mencionada antes se haya quedado obsoleta, nada de eso, de hecho la seguiremos utilizando infinidad de veces, la herramienta Recortes lo que hace es complementarla.

La herramienta Recortes está en la carpeta Accesorios, pero también se puede acceder a ella desde la ventana ejecutar escribiendo «snippingtool».

Solamente tiene 3 botones:
– Nuevo: Para crear un recorte nuevo
– Cancelar: Cancela el recorte que ibamos a hacer
– Opciones: Podemos personalizar nuestras capturas, por ejemplo podemos decidir el color de los bordes de la captura o quitarlo, si hacemos una captura en una página web cuando lo guardemos como html se mostrará la dirección desde donde se hizo la captura, etc.

Una vez está el programa ejecutándose, nos pedirá que arrastremos el ratón para hacer el recorte. Tenemos 4 opciones:

 – Recorte de forma libre: Pinchamos, vamos arrastrando y podemos hacer una forma de cualquier tipo, la precisión se la damos nosotros mismos con el ratón
 – Recorte rectangular: Pinchamos, arrastramos y hacemos un recorte del tamaño deseado, eso sí siempre rectángular o cuadrado.
 – Recorte de ventana: Nos situamos encima de la ventana que queremos recortar y hacemos clic sobre ella, la ventana a seleccionar puede ser el escritorio o cualquier ventana flotante que haya. Por defecto la ventana seleccionada se marcará con un borde rojo, ese color podremos cambiarlo desde el botón «Opciones»

 
 
Ventana con los colores del Paint capturada con la herramienta Recortes, con su borde rojo.

– Recorte de pantalla completa: Automaticamente captura toda la ventana, es igual que pulsar «Imp Pant», lo que ocurre es que con esta opción saldrá a continuación la ventana de marcado.
 

Una vez que hemos hecho cualquier tipo de recorte se nos abre la ventana de marcado. Desde aquí podremos:
    – Crear un nuevo recorte, si el que hemos hecho no es satisfactorio.
    – Guardarlo como PNG, GIF, JPG o MHTML.
    – Enviarlo por correo como imagen incrustada o como archivo adjunto.
    – Hacer alguna marca dentro de la imagen recortada, para ello tenemos dos herramientas:
        – El lápiz que con distintas opciones de color y grosor nos serviría para crear líneas sobre el dibujo, tales como flechas o círculos para remarcar algo, etc.
        – El marcador, funciona como un rotulador fluorescente, está pensado principalmente para remarcar algún texto en color amarillo.
       

  

  – Borrar las marcas hechas con la herramienta Borrador, sólo borra las marcas hechas con el lapiz o el marcador.
    – Copiar el contenido de la venana de marcado, el principal sentido de este botón es cuando hemos hecho alguna marca y queremos guardar la nueva imagen con las marcas que hemos hecho.

   
Todas estas opciones están también en la barra de menús de la herramienta.

Hay que indicar que con la herramienta Recortes sólo podemos capturar lo que se ve en la pantalla o parte de la misma, no captura páginas web completas, para ello hay un complemento para Internet explorer llamado IE7Pro, descargable desde aquí: http://www.ie7pro.com/, que entre sus múltiples opciones tiene la de guardar toda la página como imagen, bien en un archivo, bien en el portapapeles.

Phishing.. Caso abierto, o de cómo denunciar un hecho

Hola a tod@s!


En este artículo veremos las opciones que tenemos como usuarios de Internet a la hora de denunciar un caso de Phishing.


El Phishing como tal, no sólo ataca a Bancos, sino que abarca mucho más. Correo, banco, comunidades virtuales, etc.. No está de más decir que todos los añadidos en seguridad que se le puedan dar al usuario, nunca estarán de más.


Internet Explorer, entre otras cosas, tiene el añadido de poder poner en conocimiento un sitio Web malicioso al equipo encargado de mantener el filtro antiPhishing del navegador, todo ello a través de un simple cuestionario.


Este cuestionario, una vez realizado y enviado, será revisado por el equipo de desarrollo del filtro antiPhishing, y éstos determinarán si la Web mandada es maliciosa o no. Si ésta es una Web maligna, pasará a formar parte de las listas negras del filtro antiPhishing. Realizar esta tarea es tan simple como el ejemplo que os traigo:


Hace como un mes más o menos me mandaron un mail en el que se me solicitaba un cambio de clave en Ebay. Al pinchar en el enlace, esto es lo que conseguí:



Si revisáis la imagen, comprobaréis que es un claro intento de estafa. El link no coincide con la página en cuestión y la página no tiene certificado de seguridad, dos claros síntomas de que la página no es quien dice ser. En este caso podemos hacer dos cosas. La primera en cuestión es comprobar si este sitio realmente es quien dice ser o no, y la segunda opción es reportar un caso de phishing directamente. En este caso nos decantaríamos por la segunda opción, ya que tenemos elementos suficientes para decir sin género de dudas que se trata de un caso de robo de información. Para realizar el formulario, tan sólo tendremos que pulsar en Herramientas –> Filtro Phishing –> Reportar sitio.



Una vez que hayamos seleccionado la opción, se nos abrirá una nueva pestaña en nuestro IE, en la cual tendremos que informar sobre el idioma utilizado en la Web y una vez marcada esa opción, dar al botón de enviar, tal y como se muestra en la imagen:



Al cabo de unos días, y si realmente el sitio es un sitio Web de suplantación de identidad, habrá entrado en las listas negras, y el sitio debería verse tal que así:



Con esto conseguimos no sólo ayudarnos a nosotros mismos como usuarios. Una simple tarea sirve para ayudar a muchísimos usuarios que reciban este mismo link.


Y eso es todo chic@s. Hasta otra!


Información adicional:


FAQ sobre el filtro AntiPhishing de Microsoft


Todo lo que debe saber acerca del Phishing


Grupo de delitos telemáticos de la Guardia Civil (España)


 

Sistemas de Integridad en Windows Vista I: Windows Service Hardening (segunda parte)

Retomamos el tema de «Windows Service Hardening» para comprobar otro aspecto de seguridad de Windows Vista: «Los SID de Servicio».


La seguridad en los servicios es uno de los aspectos que más se ha buscado potenciar en Windows Vista dada la importancia que tienen en la estabilidad y funcionalidad del sistema, a la cual ya nos aproximamos en el artículo anterior referente a este mismo tema:


http://geeks.ms/blogs/vista-tecnica/archive/2007/12/24/sistemas-de-integridad-en-windows-vista-i-windows-service-hardening-primera-parte.aspx


 


La problemática de restringir el acceso a un servicio en Windows XP


Una de las maneras más sencillas e intuitivas de mejorar la seguridad de cualquier aplicación o sistema es mediante «listas de control de acceso» o ACL en las que se describa que usuario o grupo puede tener acceso a un recurso indicado. Habitualmente el primer sistema de control de acceso que utilizamos son los permisos del sistema de archivos, de esta manera, si no queremos que un servicio sea capaz de acceder a un contenido concreto, solo tenemos que denegar, a nivel de disco, el permiso al usuario mediante el cual se ejecuta el servicio; no obstante esto no siempre es tan sencillo como parece.


La mayoría de los servicios en Windows se ejecutan gracias a los usuarios de bajos privilegios «LocalService» y «NetworkService» y al usuario de elevados privilegios «LocalSystem», de manera que si deseamos denegar el acceso de un servicio a un determinado recurso, y dicha denegación la realizamos para alguna de las cuentas citadas anteriormente, estaremos en realidad restringiendo el acceso a todos los servicios que hagan uso de esa cuenta. La solución pasaría por tanto por la creación de una nueva cuenta de usuario para el servicio al que deseamos denegar el acceso, sin embargo esto puede resultar contraproducente para la seguridad del sistema (y por tanto para la integridad del mismo) dado que los usuarios «NetworkService» y «LocalService» disponen de privilegios más bajos que los de cualquier usuario corriente, debiendo modificar las políticas del sistema si deseamos realizar una equiparación de privilegios.


La solución ideal a esta problemática sería usar los privilegios de «NetworkService» y «LocalService» y además poder establecer ACLs para denegar accesos al servicio deseado en particular sin que otros servicios se vean afectados. El sistema que Windows Vista incorpora para este fin son los «SID de Servicio».


 


La solución: Los SID de Servicio en Windows Vista


Las ACLs de Windows hacen uso de un identificador de seguridad y de usuario único conocido como SID (Security Identifier), que permite entre otras cosas que cambiemos el nombre y las propiedades de un usuario o grupo sin que por ello estemos interfiriendo en los permisos aplicados a estos. Existen SID bien conocidos de los cuales podéis encontrar una descripción en el siguiente enlace:


http://support.microsoft.com/kb/243330


Para nuestro caso en particular tendríamos lo siguiente:


SID Local System:                 S-1-5-18


SID LocalService:                  S-1-5-19

SID NetworkService              S-1-5-20

Excepto para cuentas genéricas como las citadas, los SID deben ser únicos para cada sistema y cuenta, de ahí que puedan aparecer problemas de seguridad en la red al realizar una duplicación de un equipo mediante imágenes y que debamos usar herramientas como «Sysprep» o «NewSid» para solucionarlos.


Windows Vista hace uso de los SID para establecer permisos para los Servicios, de manera que se pueda aplicar una configuración de ACLs determinada sin interferir con otros servicios y aplicando a su vez los permisos propios del usuario con el que se ejecuta (LocalService, NetworkService y LocalSystem).


Para comprobar los SID aplicados a cada servicio haremos uso del «comando SC» que ya utilizamos en el anterior post.


Comprobando el SID de un servicio mediante el comando SC:


sc showsid [Nombre del servicio]


 


Nota: El nombre que debemos indicar en el comando es el nombre corto del servicio, es decir, aquel presentado en el campo «NOMBRE_SERVICIO» al ejecutar «sc query» (por ejemplo «WSearch» es el nombre corto de «Búsqueda de Windows»).



Es importante que introduzcamos correctamente el nombre del servicio dado que «sc showsid» calcula el SID a partir del nombre indicado, de manera que podría devolvernos un valor falso si introducimos el nombre incorrectamente, el hecho de que se calcule el SID a partir del nombre permite que el SID del servicio sea el mismo para cualquier equipo en el que nos encontremos, esto nos permite aplicar permisos mediante Scripts sin necesidad de consultar previamente cual es el SID a usar en ese sistema específico.


 


Comprobación práctica: Impidiendo el acceso del programador de tareas.


A continuación vamos a realizar una comprobación práctica de todo lo que hemos visto hasta ahora, para ello usaremos el comando «SC» para consultar el SID del servicio y el comando «ICACLS» para establecer los permisos.


El servicio «Programador de Tareas» ejecuta aplicaciones de manera periódica según una programación o eventos concretos, y dicha configuración se ubica en forma de archivos XML en %SystemRoot%System32Tasks. En nuestro caso, a modo de demostración práctica, vamos a prohibir al servicio de programación de tareas el acceso a dicha carpeta para comprobar de primera mano los errores que nos ofrece la aplicación.


La aplicación de este procedimiento causará problemas en el sistema, de manera que no deberíais aplicarlo en un entorno de producción. Si deseáis realizar la práctica os puede valer una máquina virtual de pruebas o cualquier «Virtual Lab» de Windows Vista de la Web de Microsoft.


Lo primero es obtener el SID del servicio, para ello debemos ejecutar lo siguiente desde el CMD:


Obtener nombre corto de servicio:


sc query




Obtener SID de Servicio:


sc showsid    




 


Como me imagino que los curiosos habrán notado ya, no es posible establecer permisos a un SID determinado a través de entorno gráfico, de manera que para poder realizarlo debemos usar la herramienta de línea de comandos «ICACLS», que sustituye al antiguo CACLS de Windows XP que era menos funcional.


Es una buena práctica, comprobar la ayuda del comando ICACLS para comprobar las potentes funcionalidades que ofrece con respecto a su antecesora CACLS (también disponible en Windows Vista), para ello debemos ejecutar «icacls /?». Podéis ver una descripción de sus funciones en el siguiente enlace:


http://technet2.microsoft.com/windowsserver2008/en/library/403edfcc-328a-479d-b641-80c290ccf73e1033.mspx?mfr=true


 


En el caso que nos ocupa debemos ejecutar el siguiente comando para denegar el acceso al servicio de «Programación de Tareas»:


icacls c:windowssystem32tasks /deny *S-1-5-80-4125092361-1567024937-842823819-2091237918-836075745:(F)


Nota: Dado que necesitamos privilegios para cambiar los permisos, deberemos ejecutar el CMD con Privilegios de Administrador, seleccionando la opción «Ejecutar como administrador» del menú contextual.


Una vez denegado el acceso al servicio, para comprobar si realmente se están aplicando los permisos indicados abrimos el complemento «Programador de Tareas» dentro de «Herramientas Administrativas» en el «Panel de Control». Comprobemos el error que nos aparece al abrir el complemento.




 


Por último, comprobemos mediante el entorno gráfico los cambios en los permisos NTFS que se han aplicado en %systemroot%system32tasks.


 


 


 


Impedir el acceso de escritura a un Servicio: 


Por último solo quedaría explicar un último parametro del comando SC: «sc sidtype [nombre de servicio][tipo]» donde «tipo» puede ser «none», «Unrestricted» y «Restricted».


El parametro «Restricted» nos permite restringir el acceso de escritura de un servicio a las ubicaciones donde no se le de permiso de escritura de manera explicita a su SID de servicio, a no ser que los permisos se establezcan para el grupo Todos.


De manera predeterminada un servicio en modo «Unrestricted» o «None» tiene acceso de escritura a las ubicaciones donde LocalService, NetworkService o LocalSystem (según cual de estas cuentas ejecute el servicio) tenga acceso. Los cambios realizados al tipo de SID tienen efecto la proxima vez que se inicia el servicio.


 El parametro «None» hace que el servicio se comporte como en Windows XP, omitiendo los permisos que se establezcan para el SID de servicio asociado (los permisos establecidos a través del SID no tendrían efecto).


Podemos consultar si un servicio esta en estado restringido mediante «sc qsidtype [nombre de servicio]».


Comprobación del tipo de SID para el Servicio «Firewall de Windows» :




 


Bueno, aquí acabamos con el tema del endurecimiento de Servicios de Windows Vista, pero no por ello la comprobación de tecnologías de Integridad, de manera que en futuros post iremos desgranando nuevos aspectos de la Seguridad de Windows Vista, para que podáis valorar vosotros mismos el cambio de perspectiva de este Sistema Operativo.

Asegur@IT II

El 4 de Octubre del pasado año en Madrid se organizó el AsegúraIT! en Madrid. La segunda edición se realizará en Barcelona el próximo 3 de Abril. Los AsegúraIT son sesiones de seguridad informática para profesionales de nuevas tecnologías, así como para todos los profesionales encargados de este tipo de seguridad dentro de las empresas. A continuación os cuento los temas que se van a tratar y los ponentes que lo llevarán a cabo: 

         Riesgos en VozIP y mensajería instantánea. Pablo Catalina es el encargado de contarnos los problemas y posibles soluciones para este tipo de sistemas.

         Análisis Forense en Máquinas Windows. Juan Garrido, “Silverhack”, se ocupará de las técnicas de análisis forense avanzado, incluyendo análisis de memoria RAM y archivos gráficos.

 

         José María Palazón, “Palako”, mostrará cómo, incluyendo ficheros en un servidor web, éste puede quedar comprometido. Indicará cómo superar la segunda fase del Reto Hacking V mediante Blind SQL Injection y, finalmente, dará pautas acerca de las formas de protección contras estas amenazas.

 

           Novedades en seguridad. David Cervigón nos enseñará las nuevas herramientas y tecnologías agrupadas en IIS7 para proteger las aplicaciones web. Como en todo evento Microsoft es necesario registrarse para poder asistir y las plazas son limitadas así que es conveniente hacerlo cuanto antes. 

En la siguiente página podéis ver la agenda completa del evento y en ella también es posible registrarse:

http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032372757&culture=es-ES.

 

Webcast TechNet: Windows Vista SP1 por José Parada

Lo primero para los que no lo sepan, ¿qué es un webcast? Tal y como nos explican en la página de Microsoft: «Los WebCasts son sesiones en directo vía internet impartidos por expertos de Microsoft que le ayudarán a planificar, gestionar, mantener y dar soporte a los productos y tecnologías Microsoft».

Es decir, son sesiones en las que podemos ver demostraciones, recibir explicaciones y preguntar todas las dudas que tengamos acerca de la tecnología o producto presentado.

Para participar en estos eventos online hay que registrarse en la página de Microsoft:

https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=10&ct=1205338592&rver=4.5.2130.0&wp=MCMBI&wreply=https:%2F%2Fmsevents.microsoft.com%2FCUI%2FRegister.aspx%3Fculture%3Des-ES%26EventID%3D1032373126%26CountryCode%3DES&lc=1034&cb=wizid%3Df4502d34-3b8f-4a04-b741-289e08aa1782%26returnurl%3Dhttps%253a%252f%252fmsevents.microsoft.com%252fCUI%252fRegister.aspx%253fculture%253des-ES%2526EventID%253d1032373126%2526CountryCode%253dES%26wp%3DMCMBI%26lcid%3D1034&id=74335

y luego podremos seguirlos gracias a Live Meeting. Además, cierto tiempo después de la sesión está disponible para descarga un video con la sesión grabada.

El Webcast de Windows Vista SP1 se realizará el 4 de Abril.

Haciendo un poco de resumen, el SP1 (Service Pack 1 para los novatos) sobre todo nos va a aportar mejoras respecto a rendimiento, estabilidad, compatibilidad con controladores y seguridad. Algunos de estos cambios vienen del desarrollo de Windows Server 2008 y se han incorporado a este Service Pack.

Podremos instalar el SP1 desde la red o con el paquete de actualización. Para usuarios domésticos, en principio, lo recomendable será elegir la primera opción ya que sólo nos instalará lo que sea necesario, mientras que para usuarios más avanzados o empresas, el paquete de actualización será la mejor elección.

Desde el 14 de febrero ya está disponible Windows Vista SP1, aunque no para todos los usuarios.

Para más información sobre el SP1, podéis revisar los post de Joshua Saéz sobre el tema. Hay tres partes, os dejo a continuación los links:

http://geeks.ms/blogs/vista-tecnica/archive/2008/02/13/windows-vista-sp1-i-de-iii.aspx

http://geeks.ms/blogs/vista-tecnica/archive/2008/02/23/windows-vista-sp1-ii-de-iii.aspx

http://geeks.ms/blogs/vista-tecnica/archive/2008/03/11/windows-vista-sp1-iii-de-iii.aspx

 

La información y el link para el registro lo podéis encontrar en esta página:

http://www.microsoft.com/events/EventDetails.aspx?CMTYSvcSource=MSCOMMedia&Params=%7eCMTYDataSvcParams%5e%7earg+Name%3d%22ID%22+Value%3d%221032373126%22%2f%5e%7earg+Name%3d%22ProviderID%22+Value%3d%22A6B43178-497C-4225-BA42-DF595171F04C%22%2f%5e%7earg+Name%3d%22lang%22+Value%3d%22es%22%2f%5e%7earg+Name%3d%22cr%22+Value%3d%22ES%22%2f%5e%7esParams%5e%7e%2fsParams%5e%7e%2fCMTYDataSvcParams%5e

Windows Vista SP1 (III de III)

La primera y segunda parte de este artículo se puede encontrar en:



Mejoras de seguridad

Sin duda este es una de las áreas de mejora más destacable que incluye Windows Vista Service Pack 1. Aunque se incluyen todos los boletines de seguridad publicados previamente al lanzamiento del Service Pack 1, además, con la actualización del sistema obtendremos los siguientes beneficios.

  • Los desarrolladores de aplicaciones tienen a su disposición un nuevo conjunto de APIs, totalmente soportadas, que permiten que las aplicaciones de seguridad y detección  de código maligno puedan trabajar junto con la protección del Kernel incluida en las versiones de 64 bits de Windows Vista. De esta forma, no es necesario desproteger el sistema o deshabilitar la protección ofrecida por Kernel Patch Protection.

  • Se mejora la seguridad de ejecución de aplicaciones remotas (RemoteApp) publicadas en servidores de terminal (Terminal Server) basados en Windows Server 2008. Windows Vista SP1 diferencia las aplicaciones firmadas digitalmente y advierte al usuario en caso de no poder comprobar la identidad de la aplicación publicada o el servidor remoto.

  • Ahora un nuevo conjunto nuevo de APIs permiten controlar el comportamiento de DEP (Data Execution Protection) mediante programación, lo cual mejora la capacidad de los desarrolladores para realizar pruebas de compatibilidad y garantizar el óptimo funcionamiento de sus aplicaciones en entornos con DEP habilitado.

  • Se mejora la confianza en la información presentada por el Centro de Seguridad de Windows (Windows Security Center), garantizando que solo las aplicaciones autenticadas se pueden comunicar con WSC

  • Se mejora la seguridad de las redes cableadas, habilitando los procesos de inicio de sesión únicos en redes autenticadas.

  • La generación de números criptográficos aleatorios se mejora, al poder utilizar más fuentes de semillas (seed), incluyendo plataformas TPM (Trusted Platform Module). Además se reemplaza el uso general que tenía PRNG (Pseudo-Random Number Generator ) con un nuevo modo específico AES-256 PRNG para las capas de usuario y kernel

  • Se incluye un nuevo soporte para tarjetas inteligentes (Smart Cards) que utilizan autenticación biométrica en vez de PIN

  • Se agrega un nuevo canal seguro de comunicación para leer el PIN de las tarjetas inteligentes.

  • BitLocker Drive Encription permite ahora el cifrado de otros volúmenes que no sean el del sistema.

  • Además Bitlocker Drive Encription ofrece un método de autenticación multi factor, que combina una clave protegida por TPM (Trusted Platform Module) con una clave de inicio almacenada en una llave USB y un número PIN generado por el usuario.

  • Los usuarios no administradores ahora pueden invocar la aplicación de copia de seguridad completa del PC (CompletePC Backup)

  • Se actualiza RDC (Remote Desktop Client) a la versión 6.1 para soportar las nuevas características de terminal Server de Windows Server 2008, incluyendo el control ActiveX para el acceso Web (TS Web Access)

  • Todos los boletines de seguridad que han sido publicados antes del lanzamiento del Service Pack 1, también están incluidos en éste. Para mayor información, la lista completa de boletines de seguridad está disponible en:  http://technet2.microsoft.com/WindowsVista/en/library/20184cb6-7038-4e82-a32c-4bc10ffe56ab1033.mspx?mfr=true 
Soporte de nuevas tecnologías

  • Service Pack 1 añade soporte de nuevos algoritmos de cifrado para IPSec:o   SHA-256, AES-GCM y AES-GMAC para ESP y AHo   ECDSA, SHA-256 y SHA-384 para IKE y AuthIP

  • Se agrega Criptografía de Curva Elíptica (ECC) NIST SP 800-90 a la lista de Generadores de Números Pseudo Aleatorios (PRNG)

  • Se agrega soporte para SSTP (Secure Sockets Tunnel Protocol), lo cual reduce los problemas de establecimiento de túneles  VPN en escenarios con NAT transversal, Proxy Web y Firewalls. SSTP forma parte de las novedades de la plataforma RRAS (Routing and Remote Access Service) de Windows Server 2008

  •  Se soporta completamente el estándar IEEE 802.11n de redes inalámbricas

  • Windows Smartcard Framework cumple con las Directivas de la Unión Europea relativas a las firmas digitales (EU Digital Signature Directive) y los sistemas de identificación digital (National ID / eID)

  • Se Mejora el Firewall de Windows para que cumpla con todos los requisitos y algoritmos de cifrado que forman parte de la iniciativa Suite B de la NSA (National Security Agency) de Estados Unidos. Más información en: http://www.nsa.gov/ia/industry/crypto_suite_b.cfm 
Administración y otras mejoras generales

  • Ahora los usuarios pueden seleccionar los volúmenes lógicos que se quieren defragmentar.

  • Los administradores pueden configurar los clientes NAP para que se reciban las actualizaciones desde Windows Update o Microsoft Update. Anteriormente sólo se permitía el uso de WSUS para este propósito.

  • Se puede configurar el tiempo que un cliente NAP debe recibir y enviar un estado de salud (SoH), lo que permite que el cliente NAP responda a tiempo cuando una conexión tiene un requisito de tiempo máximo de conexión (timeout)

  • Se pueden utilizar registros de DNS para localizar servidores con Autoridades de Registro (HRA), en el caso que no existan HRA configuradas mediante GPO

  • Se permite que equipos clientes con un estado de salud correcto, por ejemplo personal de soporte técnico, se conecten mediante IPSec a clientes con un estado de salud no válido. Esto mejora el soporte de NAP en escenarios en donde se necesitan  resolver problemas e incidencias de clientes con estados de salud no válidos.

  • Los administradores pueden desplegar dispositivos de impresión a través de la web (Web Services for Devices) a equipos remotos basados en Windows Vista o Windows Server 2008 a través de la consola de administración de impresión.

  • Se mejora la impresión en impresoras instaladas localmente desde una sesión de terminal.

  • Se permite que los usuarios eliminen o renombren carpetas redirigidas mientras están trabajando en modo desconectado (offline). Aunque esta funcionalidad está deshabilitada por defecto, puede ser habilitada mediante la modificación de una entrada de registro. Es importante para aquellos usuarios que trabajan durante largos periodos en modo desconectado.

  • Ahora un administrador puede configurar las propiedades de una red como el nombre y desplegarla mediante GPO

  • Se permite que el servicio KMS (Key Management Service) se ejecute en un equipo virtual

  • Se agrega soporte para hotpatching, lo cual reduce significativamente la necesidad de reiniciar el equipo después de aplicar una actualización. Permite que los componentes sigan en uso mientras se están actualizando. Para ello se requieren paquetes de actualización habilitados con tecnología Hotpatched y el proceso de instalación es el mismo que otros paquetes.

  • Se permite la instalación y despliege de versiones de 64 bits de Windows Vista desde sistemas de 32 Bits, lo cual significa que los administradores pueden mantener una única imagen de WinPE (Windows Preinstallation Environment)

  • Se mejora el proceso de despliegue de actualizaciones cuando falla la instalación. Hay situaciones en las que se requiere una actualización antes de instalar otra. En estos casos, el proceso fallido se reintenta una vez completados todos los requisitos previos.

  • Se mejora la estabilidad durante los procesos de instalación de actualizaciones, haciendo el proceso más resistente a errores temporales como violaciones de acceso, interrupción de flujo eléctrico, etc.

  • La instrumentación del sistema se ha actualizado para permitir el envío de datos adicionales a Microsoft mediante CEIP. Con estos datos se han podido identificar numerosas incidencias que ahora se han resuelto en el Service Pack 1.

  • Se mejora el informe de memoria instalada, indicando la memoria física real y no la memoria disponible por el sistema, como ocurría anteriormente. Por lo tanto, aquellos equipos de 32 Bits con 4 GB de memoria RAM instalados, reflejarán los  4 GB físicos en las propiedades del sistema. En cualquier caso, este comportamiento depende de que el BIOS sea compatible, por lo tanto no todos los usuarios observarán este cambio.

  • Se reduce el número de consultas de UAC (User Account Control) desde 4 a 1 cuando se crean o renombran carpetas en una ubicación protegida.

  • Se eliminan dos exploits que afectan a la estabilidad y seguridad del sistema


    • Exploit de BIOS OEM que modifica el sistema de archivos y el BIOS para simular la activación de producto realizado en copias de Windows preinstalados de fábrica.

    • Exploit que resetea el periodo de gracia que se otorga después finalizar la instalación, hasta que se solicita la activación del producto.

Control Parental (I de IV)


Aquí comienza la serie de cuatro publicaciones sobre una de las funcionalidades
que incorpora Windows Vista: El Control Parental. Analizaremos el concepto, el
funcionamiento, la aplicación práctica, la configuración y el control de
informes. Comencemos explicando en qué consiste,  para que no queden dudas.

1. Introducción: Empezando a caminar.

1.1. Descripción.

¿Alguna vez has tenido la necesidad de controlar lo que hace «tu pequeño» cuando
está en el ordenador? En un principio, esta utilidad está dirigida a padres que
deseen tener una determinada seguridad, por ejemplo, en lo que se refiere a los
riesgos de visión de contenidos no deseados para un niño; Sin embargo, la
potencia y la gran cantidad de opciones del Control Parental, determina que
también podremos emplearlo para otro tipo de usuario (más mayor) al que
deseemos limitar en ciertos aspectos. Con una configuración sencilla, tendremos
la posibilidad de aplicarle a un usuario (podremos crear un perfil de
configuración para cada usuario) restricciones de uso.

1.2. ¿Qué se puede controlar?

El Control Parental nos da la posibilidad de restringir
distintas opciones que ayudan a mantener un control sobre el usuario al que se
lo apliquemos:

– Establecer un límite de tiempo para el uso del equipo.
– Evitar el uso de determinados juegos.
– Determinar las páginas web bloqueadas para un usuario.
– Limitar el uso de aplicaciones del sistema.
– Llevar a cabo control de informes.
– Restringir la visión de ciertos contenidos en Windows Media Center (Si bien,
esta no es una función nativa del Control Parental de Windows Vista, sino del
WMC).

Todos estos controles, los trataremos de manera detallada, en los próximos puntos
del artículo, donde comprobaremos lo sencillo que puede llegar a ser.

1.3. Activando el Control Parental.

Antes de activar el Control Parental, debemos de
asegurarnos, de que nuestra cuenta con permisos de administrador, así como las
otras cuentas de administradores, deben tener contraseña, pues, de lo
contrario, cualquier persona podrá desactivar/modificar el Control Parental,
añadiendo más riesgos que este «descuido» puede generar. Es conveniente,
además, crear un usuario estándar, sobre el que aplicaremos el control.

Activar el CP es muy fácil; Si acabamos de crear la cuenta, al final del
proceso ya se nos abre la ventana para activarlo. En caso de que, la cuenta ya
esté creada, tendremos que dirigirnos a Inicio – Panel de Control – Control
Parental y elegir el usuario deseado.


Al terminar el proceso de creación de
usuario ya podremos activar el Control Parental.

2. Configuración: Las primeras palabras.

2.2. Configurando el Control Parental: Introducción.

Una vez que lo tenemos activado, vamos a llevar a cabo el
proceso de configuración. Con la intención de que este proceso sea lo más fácil
posible, las distintas opciones están agrupadas; Vamos a detallar, a
continuación, la función de cada grupo.

2.2. El CP en la Web: ¡El porno no es
para tí!

Con esta primera opción, podremos restringir los sitios Web que un determinado
usuario pueda visitar, así como impedir la descarga de archivos.

El bloqueo de páginas, se puede hacer de forma manual o automática; De esta
forma disponemos de la opción de agregar direcciones permitidas o prohibidas,
accediendo a la opción «Editar la lista de permitidos y bloqueados». También
podemos determinar, que solo se emplee esa lista de permitidos generada por
nosotros, pulsando la pestaña «Permitir solo los sitios web que están en la
lista de permitidos».


Introduciendo direcciones, podremos
bloquear o permitir  sitios webs.

Si probamos a introducir una de las direcciones bloqueadas, nos saldrá este
mensaje en el navegador:

Si deseamos que sea el CP el que se encargue de distinguir lo
que debe de permitir de lo que no, utilizaremos el bloqueo de contenido
automático.

Existen
cuatro niveles de bloqueo automático

Alto

Bloquear todo tipo de contenidos excepto los
apropiados para niños (8-12 años) además de poder acceder a la lista de
sitios permitidos.

Medio

Los sitios se filtran en función de las categorías
de contenido web. Es posible visitar muchas páginas, pero no se mostrará el
contenido no deseado.

Ninguno

No se bloquea automáticamente ningún contenido web.
No se mostraran los sitios que aparezcan en la lista de sitios bloqueados.

Personalizado

Nos permite seleccionar las distintas categorías.

En la última opción, personalizado, disponemos de las siguientes categorías
para filtrar por contenido:
Pornografía: En el sitio web existe
material que puede alimentar los deseos sexuales.
Contenido para adultos: Información
puramente sexual; algo parecido al primer filtro.
Educación sexual: Contenidos que
tratan de explicar la ciencia de la sexología, así como, todo tipo de información
relacionada con esta.
Lenguaje cargado de odio: Sitio web
con frases racistas, insultos, etc.

Uso de explosivos.
Lugares dónde se ayuda a la construcción de artefactos, uso de armas y otras
herramientas que puedan causar daños físicos a otras personas.
Armas. Webs en las que se venden o
analizan armas u objetos peligrosos.
Drogas. El contenido promueve,
explica o describe el uso de drogas, métodos de cultivo, fármacos, substancias
químicas, etc.
Alcohol. Páginas en las que se
incita al alcohol, la embriaguez…
Tabaco. Para sitios webs dónde se
vende o publicita tabaco.
Apuestas. Sitios que contengan
apuestas, juegos de azar o información sobre apuestas.
Contenido no clasificable. Los
restantes contenidos que no están clasificados por el filtro web.

Para finalizar esta primera parte, vamos a explicar la última opción del Filtro
Web de Windows Vista: Bloquear las descargas de archivos; Para implementar este
bloqueo, tendremos que dirigirnos, dentro del Control Parental, al Filtro Web
de Windows Vista. Aquí, marcaremos la casilla «Bloquear las descargas de
archivos». Cuando este usuario, intente realizar alguna descarga saldrá el
mensaje:


Pues bien, hasta aquí he llegado. Para la próxima publicación, continuaremos
analizando las opciones del Control Parental.

Un saludo!

 

Microsoft Desktop Optimization Pack

Con este post comenzamos una serie de artículos relacionados con las herramientas de administración de Windows Vista que nos proporciona Microsoft Desktop Optimization Pack (MDOP). Estas herramientas nos van a permitir hacer más simple el proceso de migración y resolución de problemas de los equipos clientes.


Este conjunto de aplicaciones son herramientas dinámicas que van a mejorar la respuesta y calidad de nuestra empresa desde el punto de vista informático. La tendencia de las aplicaciones informáticas, va dirigida hacia la auto gestión de los equipos clientes.



Los aplicativos que contiene el paquete son:



  • SoftGrid Application Virtualization nos va a permitir mitigar el coste y los problemas que surgen en las empresas a la hora de actualizar los sistemas operativos clientes. Aplicaciones independientes del Sistema operativo.

  • Advanced Group Policy Management permite una gestión avanzada de las políticas de grupo, como por ejemplo trabajo con políticas en modo offline, recuperación de políticas borradas, control de versiones,…

  • Asset Inventory Service es un servicio web que permite inventariar las aplicaciones que hay instaladas en los equipos clientes y su estado. 

  • Diagnostics and Recover Toolset es un conjunto de aplicaciones que muchos ya conoceréis. Anteriormente se llamaba RDComander. 

  • System Center Desktop Error Monitoring es un repositorio donde se pueden redirigir todos los errores de los equipos clientes con el fin de tener controlados los fallos que provoca el sistema operativo y las aplicaciones que corren en él.

Actualmente, este paquete de herramientas solo está disponible para los usuarios de Software Assurance que deseen adquirirlo. Económicamente supone un coste añadido por equipo cliente en el que se desee usar cualquiera de las herramientas que incluye.


En los siguientes post, iremos desgranando cada uno de los componentes y explicando detalladamente su funcionamiento.