jueves, 4 de octubre de 2012

Directivas de Restricción de Software y AppLocker (III de III)


Artículos Relacionados...
  
AppLocker es una nueva característica disponible en las versiones Enterprise y Ultimate de windows7. Las directivas de AppLocker son similares a las de restricción de software, aunque AppLocker posee varias ventajas, puede ser aplicado a usuario, cuentas de grupo y la capacidad de aplicar a todas las versiones de un producto.

Las directivas de AppLocker se encuentran en:
Configuración del equipo\Windows\Seguridad\Directivas de control de aplicación

AppLocker se basa en un servicio denominado Identidad de la aplicación y el tipo de inicio de este servicio está configurado como Manual. Al probar AppLocker, se recomienda mantener el tipo de inicio como Manual. Si se configura una regla de forma incorrecta puedes reiniciar el equipo y la regla de AppLocker dejará de estar en vigor. Sólo cuando esté seguro de que las directivas se aplican correctamente debe configurar el inicio Tipo de Servicio de Identidad de la aplicación en Automático.
La configuración incorrecta de AppLocker puede bloquear un equipo de forma inutilizable.

Reglas predeterminadas
Reglas que se DEBEN crear de forma automática y que permiten el acceso por defecto de Windows y archivos de programa, son necesarias porque AppLocker limita la ejecución de cualquier aplicación que no esté en una regla de permiso. Esto significa que cuando se habilita AppLocker, no se puede ejecutar ninguna aplicación, script o instalador que no figure en una regla Permitir.


Reglas de Bloqueo
Es necesario añadir una regla de bloqueo sólo si otra regla de AppLocker permite una aplicación, puedes utilizar explícitamente reglas definidas de bloqueo para impedir la ejecución de aplicaciones que son activadas a través de las reglas predeterminadas.



Reglas ejecutables
Aplicadas a los archivos: exe y com, por defecto son reglas de ruta que permiten a todos para ejecutar todas las aplicaciones en la carpeta Archivos de programa y la carpeta de Windows.

Las reglas predeterminadas también permiten a los administradores ejecutar aplicaciones en cualquier lugar en el equipo. Es necesario utilizar las reglas por defecto, ya que Windows no funcionará correctamente a menos que ciertas aplicaciones, cubiertas por estas reglas, tengan autorización para ejecutar. 



Reglas de instalación
Archivos con extensiones: Msi y Msp, por defecto permite a Todos utilizar archivos firmados Windows Installer en la carpeta % SystemDrive% \Windows y los miembros del grupo de administradores local para ejecutar cualquier msi o msp. Las reglas predeterminadas permiten la instalación de software y actualizaciones de software a través de Directiva de grupo.


Es importante recordar que incluso si una regla de AppLocker permite a todos acceder a un archivo de instalación en particular, todavía necesitan los permisos administrativos pertinentes para instalar software en el ordenador.


Reglas de comandos 
Incluye los archivos: bat, cmd, vbs y extensiones js aunque es posible el uso de reglas de publicador con secuencias de comandos, la mayoría de scripts se crean sobre una base ad-hoc por administradores y rara vez firmado digitalmente.
Utilizar las reglas de hash con los scripts que son rara vez modificados y reglas de ruta con directorios que contienen secuencias de comandos que se actualizan periódicamente.


Reglas DLL

Bibliotecas, archivos dll y extensiones ocx, estas reglas no están habilitadas de forma predeterminada en AppLocker, es necesario crear una regla para cada DLL utilizada por las aplicaciones, aunque la creación de reglas es fácil generando reglas automáticamente. Para habilitarla hay que ir a Equipo \Windows \Seguridad \Directivas de Control Aplicación \AppLocker y en Directiva de grupo, seleccione la pestaña Avanzadas y marca la opción Habilitar la DLL colección de reglas.


Reglas de publicador
A diferencia de una regla de certificados de restricción de software, no es necesario obtener un certificado para utilizar una regla editor porque los detalles de la firma digital son extraídos del archivo de aplicación de referencia. 

Si un archivo no tiene firma digital, no se puede restringir ni permitir mediante reglas de AppLocker editor.

Permiten más flexibilidad que las reglas hash porque se puede especificar no sólo una versión específica de un archivo, también todas las versiones futuras de ese archivo.


Reglas hash
Permiten identificar un archivo binario específico que no está firmado digitalmente por la creación de una huella digital de dicho archivo. Esta huella digital se conoce como hash. En AppLocker son más manejables que en Directivas de restricción de software, pudiendo utilizar el asistente de creación de reglas para automatizar la creación de hash de archivo para todos los archivos una ubicación específica.


Reglas de ruta
Las reglas de AppLocker funcionan de una manera similar a las reglas de restricción de software.

Configurar Excepciones
Permiten a aplicaciones específicas estar exentas de reglas más generales. Se puede utilizar cualquier método para especificar una excepción, y el método que elija no dependerá del tipo de norma que se está creando. Puede crear excepciones para las reglas de bloqueo, así como reglas de permiso.

 

AppLocker Auditoría 
Esto permite comprobar qué aplicaciones son afectadas por AppLocker sin llegar a bloquear la ejecución. Se puede configurar AppLocker para auditar normas en lugar de hacerlas cumplir.

Los Eventos de AppLocker auditoría se encuentran en el registro de sucesos de AppLocker, que se encuentra en la ruta: Visor de Eventos \aplicaciones y servicios \Microsoft \Windows



Los eventos contienen información:


El nombre de regla
El SID del usuario atacado o grupo
Archivo afectado por qué regla y trayectoria.
Si el archivo está bloqueado o permitido 
El tipo de regla (hash editor, ruta de acceso o archivo)

Seguridad a lo Jabalí para Todos!!


No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias