martes, 2 de octubre de 2012

Directivas de Restricción de Software y AppLocker (I de III)

Hoy en día es necesario limitar las aplicaciones que los usuarios pueden ejecutar y existen dos tecnologías en Windows7 con ese propósito: AppLocker y las directivas de restricción de software, es posible bloquear una aplicación concreta o asegurarse de funcionen sólo las aplicaciones de una lista aprobada en su organización, restringir programas, archivos de instalación, guiones, e incluso librerías DLL.

Las Directivas de restricción de software estan en Windows XP, Vista, Server 2003 y Server 2008 y se gestionan mediante Directivas de grupo en la ruta...
Configuración del equipo \Windows \Configuración de seguridad \Software



Las directivas de restricción de software se aplican en un orden en particular, con la norma más explícita tipos primordiales tipos de reglas más generales. El orden de precedencia de lo más específico (hash) a menos específico es la siguiente:
  1. Reglas hash
  2. Las reglas de certificado
  3. Reglas de ruta
  4. Las reglas de zona
  5. Reglas predeterminadas
Si dos normas contradictorias con diferentes niveles de seguridad se establecen para el mismo programa, la regla más específica tendrá prioridad.

Niveles de seguridad y reglas predeterminadas
La regla por defecto se aplica cuando no hay software de Directiva de Restricción, solamente hay una regla predeterminada a la vez.Las tres reglas predeterminadas son:
  • Permitida, los usuarios no pueden ejecutar una aplicación si la aplicación no está permitida por una política de restricción de software existente.
  • Usuario básico, los usuarios son capaces de ejecutar aplicaciones si estas aplicaciones no requieren derechos administrativos de acceso. Los usuarios pueden acceder aplicaciones que requieren derechos administrativos de acceso sólo si una regla ha sido creada para esa aplicación.
  • Sin restricciones cuando esta norma se establece como regla predeterminada, un usuario es capaz de ejecutar aplicaciones.
Diferente de las directivas de AppLocker, que no utilizan las reglas de prioridad y donde un bloque en cualquier tipo de regla siempre tiene preferencia sobre cualquier regla de permiso.

Directivas de restricción a todos los archivos de software, excepto las bibliotecas, incluyendo archivos DLL.

Si el nivel predeterminado está establecido en No permitido y configura la directiva  que se aplican a todos los archivos de software, se debe tener presente que hay que configurar las reglas para todas y cada una de las DLLs utilizados por un programa para poder usar ese programa, de lo contrario esa DLL no tendrá permitido ejecutarse en el Sistema Operativo.




Puede utilizar la aplicación de restricción de software para todos los usuarios o todos los usuarios excepto para los miembros del grupo de administradores locales. 

También puede utilizar esta política para especificar si las reglas de certificado se cumplen o ignoran.

Modificar la directiva de tipos de archivo, determina qué extensiones de archivo deben ser reconocidos como ejecutables y las directivas de restricción de software. No se puede eliminar el archivo ejecutable estándar extensiones: com, exe, vbs son reconocidos como ejecutables. 

Seguridad a lo Jabalí para Todos!!

2 comentarios:

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias