miércoles, 3 de octubre de 2012

Directivas de Restricción de Software y AppLocker (II de III)

Ayer hablábamos sobre las directivas de Restricción de software, una de las herramientas que es indispensable conocer en entornos empresariales sobre sistemas Microsoft para configurar una política adecuada de instalación y uso de los recursos de la empresa. Continuamos con los tipos de Reglas de Restricción de Software que podemos implementar…

Reglas de Ruta
Permite especificar un archivo, carpeta o clave del Registro como al objetivo de una directiva de restricción de software. Cuanto más específica sea una regla de ruta, mayor será su prioridad.

Ejemplo:
Una regla de ruta que establece el archivo C: \Archivos de programa \Application \App.exe Sin restricciones y la carpeta C: \Archivos de programa \Application en No permitido, la norma específica tiene prioridad y la aplicación se puede ejecutar.

El comodín se puede utilizar, pero es conveniente saber que las Reglas que emplean un comodín son menos específicas que las reglas que utilizan la ruta completa de un archivo. …\ Application\*. Exe

El inconveniente de las reglas de ruta es que se basan en rutas de archivos y carpetas, un atacante podría ejecutar la misma aplicación en otro directorio o renombrar el archivo. Las Reglas de ruta funcionan sólo cuando los permisos del sistema operativo subyacente no permiten mover o cambiar el nombre.

Reglas Hash
Generan una huella digital que identifica un archivo en función de sus características binarias. Esto significa que un archivo crea un hash identificable independientemente del nombre asignado o la ubicación. Además no requieren que el archivo tenga una firma digital.

El inconveniente crear un hash por archivo. No se puede crear reglas hash automáticamente para las políticas de restricción de software, hay que generar cada regla manualmente, también se deben modificar cada vez que se aplica una actualización de software de una aplicación.

Reglas de Certificado
Las reglas de certificado utilizan un certificado firmado con el código editor del software para identificar las aplicaciones. Múltiples aplicaciones se pueden agrupar en una única regla. No es necesario modificar una regla de certificado en el caso de que una actualización de software.

Para configurar una regla de certificado, deberá obtener un certificado del proveedor. Las reglas de certificado imponen una carga de rendimiento en el equipo debido a que la validez del certificado se debe comprobar antes de que la aplicación se pueda ejecutar.
Otra desventaja de las reglas de certificado es que se aplica para todo el software de un proveedor, los usuarios pueden ejecutar cualquier aplicación que se valide mediante ese certificado de proveedor.

Reglas de Zona de Red
Se aplican solo al Windows Installer (. MSI) obtenidos mediante Internet Explorer. Las reglas de zona no funcionan en aplicaciones, como. Exe obtenidos mediante el navegador.

La diferenciación de paquetes de instalación basada en el sitio de la que fueron descargados puede tener como posibles ubicaciones: Internet, Intranet, Sitios restringidos, Sitios de confianza y Mi PC.


Seguridad a lo Jabalí para Todos!!

3 comentarios:

  1. Se que hace tiempo de esto pero es que he estado jugando con ello hace poco.

    Teniendo las directivas de restriccion de software habilitadas en modo no permitido prueba a ejecutar cualquier binario no permitido desde una sesion de usuario limitado utilizando runas y veras que sorpresa.

    Saludos

    ResponderEliminar

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias