José ParadaExEvangelista - ATS Sector Públicojparada@microsoft.com

V 5

Fundamentos de la Compatibilidad de Aplicaciones2ª Parte

AgendaEjecución de aplicaciones en WindowsProblemas frecuentes- Mejoras de Seguridad

Control de Cuentas de Usuario (UAC)Windows Resource ProtectionModo Protegido de Internet ExplorerSO y Versión de IENueva ubicación de CarpetasAislamiento de la Sesión 0

Problemas no tan frecuentesHerramientas

PCAAppHelp

Problemas FrecuentesControl de Cuentas de Usuario

(UAC)Windows Resource Protection

Modo protegido Internet ExplorerVersiones de OS e IE

Ubicación nueva de CarpetasAislamiento de la Sesión 0

¿Porque? : WRP

Los ficheros y claves del registro del núcleo del sistema operativo pueden ser sobrescritos con versiones anteriores o con código malicioso causando graves problemas de estabilidad y seguridad. Windows Resource Protection (WRP) esta diseñado para proteger esos objetos contra sobre escritura

Aumenta la estabilidad, la fiabilidad y la predictibilidad del sistema

¿Como?: WRPRestringidas las actualizaciones para proteger recursos a:

Instaladores de confianza del SO (Windows Modules Installer service)

Afecta a ficheros, carpetas y claves del registro específicas.

La mayoría de los módulos del núcleo del SO (EXE y DLL)

La mayoría del las claves del registro del núcleo de HKCR

Los directorios usados exclusivamente por los recursos del SO

WRP: Fallos del Instalador

Síntomas La aplicación no se instala

Similar a los problemas de UAC pero las soluciones de UAC no funcionan

Generalmente solo afecta a los instaladores

CausasEl instalador trata de sobrescribir los recursos protegidos

WRP: Mitigación y SolucionesSoluciones Automáticas

Los códigos de error del acceso denegado se suprimen si la aplicación se detecta como un instalador legado (sin manifiesto)

Soluciones manualesAplicar el shim “WRPMitigation”

Renombrar el instalador a “setup.exe”

ArreglosUsar el distribuidor de paquetes de Microsoft que esta diseñado específicamente para Vista

WRP en Acción

Problemas FrecuentesControl de Cuentas de Usuario

(UAC)Windows Resource Protection

Modo protegido Internet ExplorerVersiones de OS e IE

Ubicación nueva de CarpetasAislamiento de la Sesión 0

¿Porque?: Modo Protegido de IE7

Cambiar config. ,

Descargar una FotoEl Exploit puede instalar MALWARE

IExplore.exeIExplore.exe

Instalar un control ActiveX

Contenido Cacheado en Web

El Exploit puede instalar MALWARE

Priv. de AdministradorPriv. de Administrador

Privilegios de UsuarioPrivilegios de Usuario

Ficherors Temp. InternetFicherors Temp. Internet

HKLM

Archivos de Programa

HKCU

Mis Documentos

Carpetas de Inicio

Ficheros y configuraciones en los que no se confía.

¿Como?: Modo Protegido de IE7En Windows Vista, Microsoft Internet

Explorer 7 se ejecuta en Modo Protegido (IEPM) para los sitios en los que no se confía (Por defecto)IE se ejecuta en instancias de procesos separadas para los diferentes modos de protección

Los exploits de desbordamiento de buffer no afectan a sitios con mayor nivel de confianza

IEPM requiere por debajo de lo siguiente:

Mandatory Integrity Control (MIC) (CIO)

User Interface Privilege Isolation (UIPI)

¿Como?: Modo Protegido de IE7Niveles de Integridad (IL) para IE7

IEPM: Nivel de Integridad BajoSin protección: Nivel de Integridad Medio

Procesos con bajo nivel de Integridad (como IEPM) solo pueden acceder a directorios, ficheros y claves del registro que tienen asignados un MIC Bajo.

Ficheros Temporales de Internet%TEMP%\LowHistorialCookiesFavoritosFicheros Temporales de Windows%userprofile%\AppData\LocalLow

Mandatory Integrity Control (MIC)Windows Vista implementa el Control de

Integridad Obligatorio “Mandatory Integrity Control (MIC)”Los procesos se ejecutan en uno de los cuatro niveles de Integridad definidos:

Los procesos de Sistema en el “ NIO Sistema”

Aplicaciones que requieren privilegios de administración en el “NIO Alto”

Aplicaciones estándar en el “NIO Medio”

Aplicaciones restringidas en el “NIO Bajo”

Objetos con ACL(Ficheros, Procesos, Equipos, Colas de mensajes , etc..) definen el mínimo NIO que un proceso necesita para accederles

El NIO Por Defecto es Medio

UI Privilege Isolation (UIPI)UIPI usa los NIO (MIC) para restringir el envió de mensajes entre los procesos Windows

Las aplicaciones no pueden comunicarse con otras aplicaciones que se ejecutan con un NIO mas alto

Aplicaciones en alto pueden permitir el acceso

Cuando la compatibilidad tiene un impacto alto (Accesibilidad) las aplicaciones con Bajo NIO pueden manifestarse para evitar UIPI

Manifiesto con atributo uiAccess=True

Firma (autenticado)

Instalado en “Archivos de Programa”

Nivel de Integridad y UIPI

Procesos conNIO Medio

Alto

Medio

Bajo

Alto

Medio

Bajo

LeerEscribir

Procesos conNIO Bajo

Procesos Objetos

Enviar

Procesos con NIO Alto

Política y Nivel de Integridad

Identificadores de Seguridad (SIDs) Para los Niveles de Integridad

RID define el nivel de integridad

Bajo S-1-16-4096 (0x1000)

Medio S-1-16-8192 (0x2000)

Alto S-1-16-12288 (0x3000)

Sistema S-1-16-16384 (0x4000)

Politica y Nivel de Integridad

Politica de los Niveles de IntegridadNo-Escritura-Superior - procesos con NI bajo no pueden modificar objetos con NI mas altos

No-Lectura-Superior – previene el acceso a la lectura desde procesos con NI mas bajo

No-Ejecución-Superior – previene el acceso a la ejecución de procesos con NI mas bajos

La política por defecto es NO-Escritura-Superior

Integrity Levels

Impacto en la Compatibilidad

Fallan los intentos de los controles Active X para modificar objetos con NIO medio o alto.

e.g. escribir en la Carpeta de Mis Documentos

Fallo en la instalación de los controles ActiveXSoluciones Automáticas

PM IE: Soluciones Automáticas

IExplore en ModoProtegido

Instalar un control ActiveX

Cambiar la configuración

Arrastrar y Soltar

Con

trol d

e I

nte

gri

dad

y U

IPI

IEU

ser.

exe

Ficheros y Configuraciones

Redirigidos

Contenido Web Cacheado

Acceso Priv. AdministracAcceso Priv. Administrac

Acceso Priv UsuarioAcceso Priv Usuario

Ficheros Temp InternetFicheros Temp Internet

HKLM

HKCR

Archivos de Programa

HKCU

Mis Documentos

Directorio Inicio

Ficheros y configuraciones que no son de confianza

IEIn

stall.

exe

PM IE7: Soluciones Manuales

Rediseñar el sitio Web para que funcione correctamente en modo Protegido.

Añadir el el sitio a los Sitios de Confianza.

El Modo Protegido no se habillita para los sitios de confianza

Usar el nuevo servicio de instalacion de ActiveX (AXIS) para despliegues corporativos

AXIS: Como funcionaIE7 carga una pagina que necesita un control ActiveX

Si el usuario es estándar , se llama a AXIS.

AXIS realiza una búsqueda en la lista de Sitios desde lo que se puede instalar, desplegada con las Políticas de Grupo

Si la URL del Host esta en la lista el control es descargado por el servicio

Si el control cumple con el criterio de las firmas se instalará con la cuenta LocalSystem

AXIS: Habilitar el Servicio

AXIS es un componente opcional que ha de ser habilitado

Deplegar con SMS

Ejecutar cmd.exe como Administrator, despues ejecutar el comando: ocsetup.exe AxInstallService

Panel de Control Programas y Caracteristicas Activar o Desactivar las Caracteristicas de Windows

AXIS: Configurar la políticaEjecutar gpedit.msc

Navegar a Configuración del EquipoPlantillas administrativas

Componentes de Windows

Servicio del instalador de ActiveX

Introducir el la URL del Host y la política para cada sitio de confianza

Se debe de especificar el protocolo: http o https(preferido)Ejemplo: http://download.microsoft.comBest Policy 2, 1, 0, 0

AXIS: Configurar la políticaLa política consiste en 4 valores separados por comas 1. Firmas de confianza

Silencioso(2*), Preguntar(1), o NO Permitir(0)

2. Controles firmadosSilencioso(2), Preguntar(1*), o NO Permitir(0)

3. Controles NO FirmadosPreguntar(1) o NO Permitir(0*)

4. Flags de la conexión HTTPSMascara de los siguientes valores

0* Se deben de pasar todos los chequeos de la conexión0x00000100  Ignorar CA desconocidas 0x00001000  Ignorar CN Inválidos0x00002000  Ignorar Fechas de certificados invalidas0x00000200  Ignorar incorrecto uso de certificado

* Por defecto si no se especifica el valor para la política

AXIS: Mas Información.Audoria

AXIS crea 4 eventosEl Control ActiveX pasa todos los chequeos de la política

La instalación del Control ActiveX se bloqueo por la política

El Host no esta en la política

Fallo al descargar el Control ActiveXEl Host esta en la política pero la coneción https:// fallo porque el certificado es invalido

Intento de instalar un Control ActiveX que no esta en la política

El host esta en la política pero el control no esta firmado correctamente

Problemas FrecuentesControl de Cuentas de Usuario

(UAC)Windows Resource Protection

Modo protegido Internet ExplorerVersiones de OS e IE

Ubicación nueva de CarpetasAislamiento de la Sesión 0

Versiones de SO e IELa versión Interna de Windows Vista es la 6.0. La función GetVersion devuelve ese número de versión

La Versión de Internet Explorer es 7.0

La Versión esta incluida en el “User Agent String”El ”User Agent String” esta incluido en todos las encabezados de solicitudes HTTP

Windows 2000

Windows XP

Windows Server 2003

Windows Vista

Versión 5.0 5.1 5.2 6.0

Versión del SO: SíntomaLas aplicaciones que chequean la versión del SO obtienen un número de versión superior al esperado

Los instaladores de aplicaciones no funcionan y las aplicaciones no se ejecutan

Puede que las aplicaciones avisen al usuario sobre una incorrecta versión del SO pero que continúen funcionando correctamente

Versiónes del SO: MitigacionesVista proporciona un modo de compatibilidad:

En la etiqueta de compatibilidad el usuario puede elegir el modo de compatibilidad Windows XP SP2. Esto aplica varios “shims” incluyendo “WinXPSP2VersionLie”

El PCA automatiza los pasos para los instaladores

Mejor: Aplicar solo el shim “WinXPSP2VersionLie”

En muchos casos, las aplicaciones funcionan igual que lo hacina en XP no hay necesidad de cambiarlas

Versiones del SO: MitigacionesEl PCA monitoriza un programa detectado como si fuera un instalador.

PCA utiliza la funcionalidad del “User Access Contro”l (UAC) para saber si un programa es un ejecutable

Si no se genera ninguna entrada en “Programas y Funcionalidades” PCA entiende que el proceso de instalación no se realizo correctamente

Versiones del SO: Mitigaciones'Reinstalar usando las configuraciones recomendadas'

Aplica el modo de compatibilidad de Windows XP y reinicia el programa

Esta solución es efectiva para todos los usuarios (almacenados en HKLM)

Versiones del SO: Mitigaciones‘El Programa se instaló correctamente'

En algunas ocasiones PCA se inicia con un programa que se instalo correctamente pero que no genero ninguna entrada en PyF.

'Cancelar' PCA no hace nada

Versiones del SO Problemas y Soluciones

Versiones del SO: SolucionesLa aplicaciones no deberian realizar

chequeso de version con Igual (== 5.1)

Si necesitan una funcionalidad específica, debne de chequear si esta disponible o no

Si se requiere Windows XP, chequear por Windows XP o superior(>= 5.1)

Hay excepciones a esto por motivos de negocio o legales como cuando un organismo de regulación requiere chequear la version para certificar la aplicación con cada versión del SO

Versiones de IE7: SíntomasPuede que los sitios WEB no se visualicen correctamenteLos sitios Web que chequean la Cadena del Agente de Usuario para IE obtendrán un numero de versión superior

Puede que los sitios WEB no se carguen

Los sitios Web Sites pueden reducir su funcionalidad

Versiones de IE7 : MitigacionesCambiar manualmente la clave del

registro para que emule a IE6Afecta a todos los sitios WEB (malo)

Utilidad “User Agent String v2”http://www.microsoft.com/downloads/details.aspx?familyid=9517db9c-3c0d-47fe-bd04-fad82a9aac9f&displaylang=en

Opcional: Personaliza la pagina de inicio en: %ProgramFiles%\Microsoft User Agent String Utility\IE7asIE6.htm

Versión de IE7: SoluciónReescribir la aplicación Web para que maneje correctamente el comportamiento de la Cadena de Agente de Usuario de IE7

http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/overview/browserdetection.asp

Utilidad “User Agent String Utility v2” para IE7

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation

as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES,

EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.