josé parada exevangelista - ats sector público [email protected] v 5 fundamentos de la...
TRANSCRIPT
José ParadaExEvangelista - ATS Sector Pú[email protected]
V 5
Fundamentos de la Compatibilidad de Aplicaciones2ª Parte
AgendaEjecución de aplicaciones en WindowsProblemas frecuentes- Mejoras de Seguridad
Control de Cuentas de Usuario (UAC)Windows Resource ProtectionModo Protegido de Internet ExplorerSO y Versión de IENueva ubicación de CarpetasAislamiento de la Sesión 0
Problemas no tan frecuentesHerramientas
PCAAppHelp
Problemas FrecuentesControl de Cuentas de Usuario
(UAC)Windows Resource Protection
Modo protegido Internet ExplorerVersiones de OS e IE
Ubicación nueva de CarpetasAislamiento de la Sesión 0
¿Porque? : WRP
Los ficheros y claves del registro del núcleo del sistema operativo pueden ser sobrescritos con versiones anteriores o con código malicioso causando graves problemas de estabilidad y seguridad. Windows Resource Protection (WRP) esta diseñado para proteger esos objetos contra sobre escritura
Aumenta la estabilidad, la fiabilidad y la predictibilidad del sistema
¿Como?: WRPRestringidas las actualizaciones para proteger recursos a:
Instaladores de confianza del SO (Windows Modules Installer service)
Afecta a ficheros, carpetas y claves del registro específicas.
La mayoría de los módulos del núcleo del SO (EXE y DLL)
La mayoría del las claves del registro del núcleo de HKCR
Los directorios usados exclusivamente por los recursos del SO
WRP: Fallos del Instalador
Síntomas La aplicación no se instala
Similar a los problemas de UAC pero las soluciones de UAC no funcionan
Generalmente solo afecta a los instaladores
CausasEl instalador trata de sobrescribir los recursos protegidos
WRP: Mitigación y SolucionesSoluciones Automáticas
Los códigos de error del acceso denegado se suprimen si la aplicación se detecta como un instalador legado (sin manifiesto)
Soluciones manualesAplicar el shim “WRPMitigation”
Renombrar el instalador a “setup.exe”
ArreglosUsar el distribuidor de paquetes de Microsoft que esta diseñado específicamente para Vista
WRP en Acción
Problemas FrecuentesControl de Cuentas de Usuario
(UAC)Windows Resource Protection
Modo protegido Internet ExplorerVersiones de OS e IE
Ubicación nueva de CarpetasAislamiento de la Sesión 0
¿Porque?: Modo Protegido de IE7
Cambiar config. ,
Descargar una FotoEl Exploit puede instalar MALWARE
IExplore.exeIExplore.exe
Instalar un control ActiveX
Contenido Cacheado en Web
El Exploit puede instalar MALWARE
Priv. de AdministradorPriv. de Administrador
Privilegios de UsuarioPrivilegios de Usuario
Ficherors Temp. InternetFicherors Temp. Internet
HKLM
Archivos de Programa
HKCU
Mis Documentos
Carpetas de Inicio
Ficheros y configuraciones en los que no se confía.
¿Como?: Modo Protegido de IE7En Windows Vista, Microsoft Internet
Explorer 7 se ejecuta en Modo Protegido (IEPM) para los sitios en los que no se confía (Por defecto)IE se ejecuta en instancias de procesos separadas para los diferentes modos de protección
Los exploits de desbordamiento de buffer no afectan a sitios con mayor nivel de confianza
IEPM requiere por debajo de lo siguiente:
Mandatory Integrity Control (MIC) (CIO)
User Interface Privilege Isolation (UIPI)
¿Como?: Modo Protegido de IE7Niveles de Integridad (IL) para IE7
IEPM: Nivel de Integridad BajoSin protección: Nivel de Integridad Medio
Procesos con bajo nivel de Integridad (como IEPM) solo pueden acceder a directorios, ficheros y claves del registro que tienen asignados un MIC Bajo.
Ficheros Temporales de Internet%TEMP%\LowHistorialCookiesFavoritosFicheros Temporales de Windows%userprofile%\AppData\LocalLow
Mandatory Integrity Control (MIC)Windows Vista implementa el Control de
Integridad Obligatorio “Mandatory Integrity Control (MIC)”Los procesos se ejecutan en uno de los cuatro niveles de Integridad definidos:
Los procesos de Sistema en el “ NIO Sistema”
Aplicaciones que requieren privilegios de administración en el “NIO Alto”
Aplicaciones estándar en el “NIO Medio”
Aplicaciones restringidas en el “NIO Bajo”
Objetos con ACL(Ficheros, Procesos, Equipos, Colas de mensajes , etc..) definen el mínimo NIO que un proceso necesita para accederles
El NIO Por Defecto es Medio
UI Privilege Isolation (UIPI)UIPI usa los NIO (MIC) para restringir el envió de mensajes entre los procesos Windows
Las aplicaciones no pueden comunicarse con otras aplicaciones que se ejecutan con un NIO mas alto
Aplicaciones en alto pueden permitir el acceso
Cuando la compatibilidad tiene un impacto alto (Accesibilidad) las aplicaciones con Bajo NIO pueden manifestarse para evitar UIPI
Manifiesto con atributo uiAccess=True
Firma (autenticado)
Instalado en “Archivos de Programa”
Nivel de Integridad y UIPI
Procesos conNIO Medio
Alto
Medio
Bajo
Alto
Medio
Bajo
LeerEscribir
Procesos conNIO Bajo
Procesos Objetos
Enviar
Procesos con NIO Alto
Política y Nivel de Integridad
Identificadores de Seguridad (SIDs) Para los Niveles de Integridad
RID define el nivel de integridad
Bajo S-1-16-4096 (0x1000)
Medio S-1-16-8192 (0x2000)
Alto S-1-16-12288 (0x3000)
Sistema S-1-16-16384 (0x4000)
Politica y Nivel de Integridad
Politica de los Niveles de IntegridadNo-Escritura-Superior - procesos con NI bajo no pueden modificar objetos con NI mas altos
No-Lectura-Superior – previene el acceso a la lectura desde procesos con NI mas bajo
No-Ejecución-Superior – previene el acceso a la ejecución de procesos con NI mas bajos
La política por defecto es NO-Escritura-Superior
Integrity Levels
Impacto en la Compatibilidad
Fallan los intentos de los controles Active X para modificar objetos con NIO medio o alto.
e.g. escribir en la Carpeta de Mis Documentos
Fallo en la instalación de los controles ActiveXSoluciones Automáticas
PM IE: Soluciones Automáticas
IExplore en ModoProtegido
Instalar un control ActiveX
Cambiar la configuración
Arrastrar y Soltar
Con
trol d
e I
nte
gri
dad
y U
IPI
IEU
ser.
exe
Ficheros y Configuraciones
Redirigidos
Contenido Web Cacheado
Acceso Priv. AdministracAcceso Priv. Administrac
Acceso Priv UsuarioAcceso Priv Usuario
Ficheros Temp InternetFicheros Temp Internet
HKLM
HKCR
Archivos de Programa
HKCU
Mis Documentos
Directorio Inicio
Ficheros y configuraciones que no son de confianza
IEIn
stall.
exe
PM IE7: Soluciones Manuales
Rediseñar el sitio Web para que funcione correctamente en modo Protegido.
Añadir el el sitio a los Sitios de Confianza.
El Modo Protegido no se habillita para los sitios de confianza
Usar el nuevo servicio de instalacion de ActiveX (AXIS) para despliegues corporativos
AXIS: Como funcionaIE7 carga una pagina que necesita un control ActiveX
Si el usuario es estándar , se llama a AXIS.
AXIS realiza una búsqueda en la lista de Sitios desde lo que se puede instalar, desplegada con las Políticas de Grupo
Si la URL del Host esta en la lista el control es descargado por el servicio
Si el control cumple con el criterio de las firmas se instalará con la cuenta LocalSystem
AXIS: Habilitar el Servicio
AXIS es un componente opcional que ha de ser habilitado
Deplegar con SMS
Ejecutar cmd.exe como Administrator, despues ejecutar el comando: ocsetup.exe AxInstallService
Panel de Control Programas y Caracteristicas Activar o Desactivar las Caracteristicas de Windows
AXIS: Configurar la políticaEjecutar gpedit.msc
Navegar a Configuración del EquipoPlantillas administrativas
Componentes de Windows
Servicio del instalador de ActiveX
Introducir el la URL del Host y la política para cada sitio de confianza
Se debe de especificar el protocolo: http o https(preferido)Ejemplo: http://download.microsoft.comBest Policy 2, 1, 0, 0
AXIS: Configurar la políticaLa política consiste en 4 valores separados por comas 1. Firmas de confianza
Silencioso(2*), Preguntar(1), o NO Permitir(0)
2. Controles firmadosSilencioso(2), Preguntar(1*), o NO Permitir(0)
3. Controles NO FirmadosPreguntar(1) o NO Permitir(0*)
4. Flags de la conexión HTTPSMascara de los siguientes valores
0* Se deben de pasar todos los chequeos de la conexión0x00000100 Ignorar CA desconocidas 0x00001000 Ignorar CN Inválidos0x00002000 Ignorar Fechas de certificados invalidas0x00000200 Ignorar incorrecto uso de certificado
* Por defecto si no se especifica el valor para la política
AXIS: Mas Información.Audoria
AXIS crea 4 eventosEl Control ActiveX pasa todos los chequeos de la política
La instalación del Control ActiveX se bloqueo por la política
El Host no esta en la política
Fallo al descargar el Control ActiveXEl Host esta en la política pero la coneción https:// fallo porque el certificado es invalido
Intento de instalar un Control ActiveX que no esta en la política
El host esta en la política pero el control no esta firmado correctamente
Problemas FrecuentesControl de Cuentas de Usuario
(UAC)Windows Resource Protection
Modo protegido Internet ExplorerVersiones de OS e IE
Ubicación nueva de CarpetasAislamiento de la Sesión 0
Versiones de SO e IELa versión Interna de Windows Vista es la 6.0. La función GetVersion devuelve ese número de versión
La Versión de Internet Explorer es 7.0
La Versión esta incluida en el “User Agent String”El ”User Agent String” esta incluido en todos las encabezados de solicitudes HTTP
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
Versión 5.0 5.1 5.2 6.0
Versión del SO: SíntomaLas aplicaciones que chequean la versión del SO obtienen un número de versión superior al esperado
Los instaladores de aplicaciones no funcionan y las aplicaciones no se ejecutan
Puede que las aplicaciones avisen al usuario sobre una incorrecta versión del SO pero que continúen funcionando correctamente
Versiónes del SO: MitigacionesVista proporciona un modo de compatibilidad:
En la etiqueta de compatibilidad el usuario puede elegir el modo de compatibilidad Windows XP SP2. Esto aplica varios “shims” incluyendo “WinXPSP2VersionLie”
El PCA automatiza los pasos para los instaladores
Mejor: Aplicar solo el shim “WinXPSP2VersionLie”
En muchos casos, las aplicaciones funcionan igual que lo hacina en XP no hay necesidad de cambiarlas
Versiones del SO: MitigacionesEl PCA monitoriza un programa detectado como si fuera un instalador.
PCA utiliza la funcionalidad del “User Access Contro”l (UAC) para saber si un programa es un ejecutable
Si no se genera ninguna entrada en “Programas y Funcionalidades” PCA entiende que el proceso de instalación no se realizo correctamente
Versiones del SO: Mitigaciones'Reinstalar usando las configuraciones recomendadas'
Aplica el modo de compatibilidad de Windows XP y reinicia el programa
Esta solución es efectiva para todos los usuarios (almacenados en HKLM)
Versiones del SO: Mitigaciones‘El Programa se instaló correctamente'
En algunas ocasiones PCA se inicia con un programa que se instalo correctamente pero que no genero ninguna entrada en PyF.
'Cancelar' PCA no hace nada
Versiones del SO Problemas y Soluciones
Versiones del SO: SolucionesLa aplicaciones no deberian realizar
chequeso de version con Igual (== 5.1)
Si necesitan una funcionalidad específica, debne de chequear si esta disponible o no
Si se requiere Windows XP, chequear por Windows XP o superior(>= 5.1)
Hay excepciones a esto por motivos de negocio o legales como cuando un organismo de regulación requiere chequear la version para certificar la aplicación con cada versión del SO
Versiones de IE7: SíntomasPuede que los sitios WEB no se visualicen correctamenteLos sitios Web que chequean la Cadena del Agente de Usuario para IE obtendrán un numero de versión superior
Puede que los sitios WEB no se carguen
Los sitios Web Sites pueden reducir su funcionalidad
Versiones de IE7 : MitigacionesCambiar manualmente la clave del
registro para que emule a IE6Afecta a todos los sitios WEB (malo)
Utilidad “User Agent String v2”http://www.microsoft.com/downloads/details.aspx?familyid=9517db9c-3c0d-47fe-bd04-fad82a9aac9f&displaylang=en
Opcional: Personaliza la pagina de inicio en: %ProgramFiles%\Microsoft User Agent String Utility\IE7asIE6.htm
Versión de IE7: SoluciónReescribir la aplicación Web para que maneje correctamente el comportamiento de la Cadena de Agente de Usuario de IE7
http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/overview/browserdetection.asp
Utilidad “User Agent String Utility v2” para IE7
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation
as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,
EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.