He aqui un pequeño truco que nos permitirá utilizar las Políticas de Restricción de Software para hacer que las aplicaciones que especifiquemos se ejecuten como un usuario básico, pese a que nuestra sesión corresponda al usuario Administrador o a alguien que pertenezca al grupo de Administradores locales.

Estas políticas, disponibles en el apartado "\Configuración del Equipo\Configuración de Windows\Configuración de Seguridad\Directivas de restricción de software", permiten especificar qué tipo de binarios puede ejecutar quien en función de una serie de reglas, a saber:

Hash: Firmado cripotográfico del fichero.
Certificado: Certificado del fabricante del software con el que se firmado el fichero.
Ruta: Path local o UNC del fichero.
Zona: Zona de Internet.

Para más información acerca de cómo utilizar estas políticas y cómo funcionan, es particularmente útil esta lectura:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/d24bc8c8-27cc-47ba-9b02-78d9d801e937.mspx
 
Por defecto, existen dos niveles de ejecución para el software que cumpla las regas mencionadas más arriba. No permitido e Irrestricto. Es decir una decisión binaria; permitimos ejecutarlo o no.

¿No sería estupendo tener un nivel intermedio?. Permitamos la ejecución de una cierta aplicación, pero con los derechos asociados a un usuario básico.

Pues bien, podemos introducir es nivel adicional simplemente agregando o modificando el valor "Levels", de tipo REG_DWORD y con valor 0x00020000, en esta rama del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
Levels=0x00020000

Obviamente, esto es particularmente útil a la hora de utilizar aplicaciones sensibles desde el punto de vista de la seguridad, tales como los navegadores de Internet o aplicaciones de correo electrónico. A modo de ejemplo, esto es lo que tendríamos que hacer para forzar que, mediante una regla de ruta, Internet Explorer se ejecute con los derechos de un usuario básico independientemente de que nuestra sesión corresponda a un administrador:

1.- Editamos el objeto de Directiva de Politicas de grupo correspondiente (Dominio, Site, OU o local del equipo) según a quién queramos que se aplique la directiva
2.- Nos movemos hasta \Configuración del Equipo\Configuración de Windows\Configuración de Seguridad\Directivas de restricción de software\Reglas adicionales
3.- Hacemos clic con el botón de la derecha del ratón y elegimos la opción "Regla de Ruta nueva"
4.- En la ruta de acceso, escribimos o buscamos iexplore.exe: c:\windows\Archivos de Programa\Internet Explorer\iexplore.exe
5.- En el desplegable de Nivel de Seguridad elegimos nuestra flamante nueva opción "Usuario básico"
6.- Opcionalmente, podemos copiar iexplore.exe a otra localización o a la misma con otro nombre, para usarlo exclusivamente en las tareas administrativas que lo requieran.

Y con esto ya estaría logrado el objetivo. Para comprobar que efectivamente todo esto ha tenido el efecto deseado, podemos usar la magnifica herramienta Process Explorer, escrita, como no, por Mark Russinovich de Sysinternals. Es una especie de Administrador de Tareas, pero con funcionalidades añadidas. Una vez lanzada la herramienta, buscaremos en la ventana principal el proceso que hayamos configurado, lo seleccionamos y pedimos sus propiedades haciendo clic con el botón de la derecha del ratón. En la primera ventana de la pestaña seguridad deberemos leer "DENY, Owner" para el grupo de Administradores.

Otra alternativa para lograr estos propósitos, y que a la postre utiliza por debajo los mismos principios, es usar una pequeña aplicación llamada DropMyRights, que podeis descargar aqui y cuyo funcionamiento se explica en este artículo.

http://www.microsoft.com/spanish/msdn/articulos/archivo/100105/voices/secure11152004.asp

Espero que os resulte de utilidad. Otro día hablaremos de lo contrario. Usar Windows XP con derechos restringidos mientras llega Windows Vista

David Cervigón

Hola

Terminamos aqui la serie sobre las conferencias del IT Forum de Barcelona. Una modalidad de las mismas es lo que se denomina Chalk and Talk (Tiza y Charla), y que como su propio nombre indica, son sesiones con un contenido altamente práctico y abierto, orientadas a un numero limitado de asistentes para que puedan ser más participativas.

Pues bien. Hubo una de ellas que tuvo que repetirse cuatro veces, en salas más grandes para que entrarán cerca de 200 personas. El título explica por si mismo la razón de este fenómeno; "Por qué puedo hackear tu red Windows en menos de un día".

Allá que me fuí a la última de ellas sospechando por anticipado lo que me iba a encontrar. Un experto en Tests de Intrusión demostrando cómo, con herramientas al alcance de todo el mundo, pueden aprovecharse algunos de los vectores de ataque más típicos. Wireless, Man in the middle, troyanos, Rootkits, Reverse Shells, ataques por fuerza bruta a contraseñas débiles, etc. Es decir, muchas de las cosas que los que hayais asistido a las dos giras de Seguridad que hemos llevado a cabo durante el último año habreis visto en vivo y en directo también en nuestras demos.

Lógicamente, el propósito de la sesión era la concienciación acerca de lo expuestos que todos estamos ante este tipo de amenazas. Como decía el ponente, se estima que aproximadamente el 80% de los equipos conectados a la red tiene algún tipo de malware corriendo en el sistema, y de cada una de esas herramientas con las que se lleva a cabo la demostración, existe la versión "profesional" o a medida, no publicitada a lo largo y ancho de Internet y con potencia y funcionalidades reforzadas. Pero faltó, para mi gusto, la parte que debería contar como remediar todos y cada uno de los ataques demostrados. Claro que había muchas otras sesiones en las que se trataba de una manera o de otra acerca de temas de seguridad.

Aunque desde luego el presentador mostraba una gran profesionalidad y dominio de estos temas, sigo prefiriendo el inigualable estilo de nuestro Chema. A fin y al cabo, él y PadreParada son los pioneros de este tipo de seminarios, ya que era la primera vez que se hacía esto en un TechEd o en un IT Forum.

David Cervigón

Hola

La sorpresa del pasado miércoles fue la sesión de Rafal Lukawiecki acerca de las mejoras en materias de seguridad que se están impementando en Windows Vista y Windows Longhorn. Y lo fue por dos razones.

La primera de ellas es el propio Rafal Lukawiecki, de Project Botticelli Ltd. Por algo es el presentador número 1, siempre segun las opiniones de los asistentes, de los ultimos TechEd e IT Forums celebrados. Un personaje con un marcado acento británico, muy irónico y con un estilo de comunicación corporal que podríamos definir al menos como singular. No se mueve de la baldosa de la que habla, como si se estuviera marcando un chotis mientras gesticula vehementemente, dominando absolutamente el discurso con un gran conocimiento técnico, de negocio e histórico. Una delicia de la que podeis disfrutar en el apartado de IT Showtime, en TechNet, ya que hay sesiones grabadas de él hablando de seguridad:

Cryptography Overview

Holistic security and digital trust

Active Security Common Practices Part 1

Active Security Common Practices Part 2

Cryptography and PKI for Passive Security Part 1

Cryptography and PKI for Passive Security Part 2

Digital Trust - Goals and Obstacles

La segunda es, como no, el propio contenido de la sesión. Estoy seguro de que tras escucharla hasta los mayores detractores encontrarían dificultades a la hora de defender que Microsoft no se toma en serio la Seguridad y que los productos que viene desarrollado en el presente milenio no están orientados a ser lo más seguros posible. Ya iremos hablando más acerca de estos temas. Algunos no son novedosos en su concepto, ya que responden a necesidades reales del mundo de la tecnología actual que se acentuarán y aun más en un futuro muy próximo, pero si en la forma en la que han sido implementados.

Rafal nos habló acerca de Inicio Seguro y módulos TMP, de Network Access Protection, de gestión de identidades, de dispositivos de inicio de sesión y el renacimiento de las Smartcards, de filtros anti-phising integrados en Internet Explorer, del uso de los menores privilegios posibles por parte de servicios, aplicaciones y cuentas del sistema, incluso para la cuenta de Administrador, de anti-Spyware integrado, de una pila TCP/IP completamente reescrita, de un Firewall a nivel de aplicacion que monitoriza tanto conexiones entrantas como salientes, de la firma digital de la totalidad de los binarios y componentes del sistema operativo, de nuevos proveedores criptográficos extensibles, de soporte a las ultimas suites Criptográficas, de la posibilidad de controlar por políticas los dispositivos PnP que se conecten al sistema en función de su clase de dispositivo...

David

Hola de nuevo

Pues efectivamente, Mark nunca defrauda. El y David Solomon son los gurús a los que todo aficionado a los sistemas operativos del gustaría parecerse.

Aunque el contenido de la sesión era ya conocido, el momento álgido de la sesión ha sido cuando Mark ha dicho. "Bueno, esta demo la suelo hacer con el Hacker Defender, pero creo que vosotros preferiréis que lo haga con otro muy famoso últimamente, ¿estáis al tanto?". La respuesta, un sonoro y prolongado aplauso. Podéis ver el contenido de la misma y detalles del Rootkit del que estamos hablando en:

Understanding Malware: Viruses, Spyware and Rootkits

http://www.sysinternals.com/Blog/

Durante la sesión, Mark explica cómo usar tres herramientas principalmente para encontrar rastros de Rootkits y malware instalados en los equipos. Autoruns, Sigcheck y Process Explorer, además por supuesto de su Rootkit Revealer. Estas herramientas están disponibles para descargarse en la web de Sysinternals, entre otras muchas ciertamente útiles. Esta es, sin duda, una Web de obligada visita y que debe estar siempre en los Favoritos.

Saludos

Hola

Ayer empezó el IT Forum en Barcelona con las primeras Pre-Conferencias. Me metí en la de Novedades de R2 que impartía John Craddock, dejando de lado, con todo el dolor de mi corazón, la de Windows Advanced Troubleshooting que que daba Mark Russinovich en la sala de al lado.

El discurso de John empezó de la siguiente manera: "La primera vez que me pensé en las novedades de Windows server 2005 R2 pensé: pocas". Sin embargo, dijo, era una simple cuestión de ponerse a probar las cosas, Asi es que durante las 5 horas siguientes de dedicó a demostrar la potencia de Active Directory Federation Services, la nueva replicación diferencial que incorpora DFS y la mejora que esto supone para los escenarios de oficinas remotas, las nuevas funcionalidades de gestion de almacenamiento e impresión y algo acerca del mundo de los 64-bit y Virtual Server 2005 R2.

En la keynote de esta mañana, Bob Muglia ha hecho una demo de una maquina virtual haciendo failover en un cluster con nodos de 64-bits, mientras todo ello era monitorizado desde una consola de MOM. A muchos de los asistentes, yo incluido, se nos han puesto los pelos como escarpias...

Y durante la comida, cambio de tercio. Las ultimas monadas de las que son capaces de hacer los dispositivos móviles basados en Windows Mobile 2005 integrados con Exchange Server 2003 SP2. La envidia tando de los adolescentas aficionados a los tonos y los vídeos como de los honrados trabajadores que quieren acceder a la informcación desde cualquier parte del mundo.

Para resarcirme de la decisión del primer dia, corro a ver a Mark Russinovich hablar de Malware y Rootkits. Promete, ahora que esta candente con el asunto del Rootkit de Sony

Saludos desde Barcelona

David

Hola

En este post veremos cual es la información que debemos recoger a la hora de diagnosticar problemas de conexión a redes Wireless. Vaya por adelantado que la lectura de mayoría de ella es causa frecuente de frustración y desasosiego, pero le resultarán de gran utilidad a la hora de acudir a foros o Soporte Técnico.

Antes que nada, siempre resultará de utilidad consultar con los fabricantes de los componentes hardware involucrados en busca de actualizaciones de los drivers y firmwares de los mismos. Si en mi experiencia resolviendo problemas con dispositivos hardware esto ha sido siempre una máxima, toma especial fuerza en el caso de la tecnología Wi-Fi. Durante la preparación del material y las demos que estamos llevando en nuestra Gira TechNet de Seguridad de este año, hemos constatado que las diferentes revisiones de los componentes, versiones de firmwares y de los drivers tienen efectos y comportamientos muy diferentes unos de otros, e incluso se incluyen nuevas opciones no disponibles anteriormente.

Con respecto a las actualizaciones necesarias en los diferentes sistemas operativos de Microsoft, esto es lo recomendable:

- Windows XP SP2: Wi-Fi Protected Access 2 (WPA2)/Wireless Provisioning Services Information Element (WPS IE) Update for Windows XP with Service Pack 2
- Windows XP SP1: Wireless Update Rollup Package for Windows XP
- Windows 2000: No se soporta WPA por parte del sistema, por lo que debe recurrirse a utilidades de configuración proporcionadas por los fabricantes de las tarjetas
- Windows Server 2003: Al igual que en Windows 2000, sin el SP1 no se soporta WPA. En este caso, y se quieren manejar políticas de grupo para 802.11, es necesario aplicar esta actualización: Wi-Fi Protected Access (WPA) support for Wireless Network (IEEE 802.11) Policies is available for Windows Server 2003

Los logs con la información necesaria para aislar la causa del problema vendrán principalmente de:

1.- El cliente que accede a la red Wireless: Gracias a las capacidades de logging que se pueden habilitar para todos los componentes de red, al ejecutar este comando:

netsh ras set tracing * enable

Una vez terminada la recolección de datos, sería conveniente por cuestiones de espacio y rendimiento desactivar de nuevo las capacidades de tracing con el comando:

netsh ras set tracing * disable

y reiniciar el equipo o parar y arrancar el Servicio de Configuración Inalámbrica Rápida con los comandos “net stop wzcsvc” y “net start wzcsvc”, veremos que se han generado en la carpeta %Windir%\Tracing los siguientes archivos, entre otros:

Wzctrace.log --> Asociación 802.11
Eapol.log --> Autenticación IEEE 802.1X.
Wzcdlg.log --> Cambios hechos mediante la interfaz gráfica.
Wlpolicy.log --> Detalles de la configuración que esta siendo aplicada mediante políticas Wireless definidas en el dominio

2.- Los puntos de acceso involucrados. La mayoría de los fabricantes incluyen igualmente capacidades de logging en los dispositivos, que pueden ser consultados a través de las herramientas de administración y configuración correspondientes.

3.- En el caso de estar usando autenticación 802.1X otro buen punto de información será el log del servicio de IAS, que se encuentra por defecto en la carpeta %windir%\system32\Logfiles. El formato de la información que guarda esta documentado en este enlace. Igualmente puede ser de utilidad lo que haya en el visor de sucesos de sistema y seguridad, tanto del servidor IAS como del Controlador de Dominio correspondiente.

Esta información debería ser más que suficiente para resolver la mayor parte de los problemas. Para interpretar los datos recogidos, aquí tenéis dos estupendas guías que os ayudarán a aislar la causa del problema:

A Support Guide for Wireless Diagnostics and Troubleshooting
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wlansupp.mspx

Troubleshooting Windows XP IEEE 802.11 Wireless Access
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/wifitrbl.mspx

Por supuesto, lo mejor es que todo esto nunca llegue a ser necesario. Pero de serlo, espero que os resulte de utilidad.


Saludos

David Cervigón Luna