La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

José Parada ExEvangelista - ATS Sector Público V 5 Fundamentos de la Compatibilidad de Aplicaciones 2ª Parte.

Publicada porYolanda Romero Pereyra Modificado hace 9 años

Presentaciones similares

Presentación del tema: "José Parada ExEvangelista - ATS Sector Público V 5 Fundamentos de la Compatibilidad de Aplicaciones 2ª Parte."— Transcripción de la presentación:

1 José Parada ExEvangelista - ATS Sector Público jparada@microsoft.com V 5 Fundamentos de la Compatibilidad de Aplicaciones 2ª Parte

2 Agenda Ejecución de aplicaciones en Windows Problemas frecuentes- Mejoras de Seguridad Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo Protegido de Internet Explorer SO y Versión de IE Nueva ubicación de Carpetas Aislamiento de la Sesión 0 Problemas no tan frecuentes HerramientasPCAAppHelp

3 Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0

4 ¿Porque? : WRP Los ficheros y claves del registro del núcleo del sistema operativo pueden ser sobrescritos con versiones anteriores o con código malicioso causando graves problemas de estabilidad y seguridad. Windows Resource Protection (WRP) esta diseñado para proteger esos objetos contra sobre escritura Aumenta la estabilidad, la fiabilidad y la predictibilidad del sistema

5 ¿Como?: WRP Restringidas las actualizaciones para proteger recursos a: Instaladores de confianza del SO (Windows Modules Installer service) Afecta a ficheros, carpetas y claves del registro específicas. La mayoría de los módulos del núcleo del SO (EXE y DLL) La mayoría del las claves del registro del núcleo de HKCR Los directorios usados exclusivamente por los recursos del SO

6 WRP: Fallos del Instalador Síntomas La aplicación no se instala Similar a los problemas de UAC pero las soluciones de UAC no funcionan Generalmente solo afecta a los instaladores Causas El instalador trata de sobrescribir los recursos protegidos

7 WRP: Mitigación y Soluciones Soluciones Automáticas Los códigos de error del acceso denegado se suprimen si la aplicación se detecta como un instalador legado (sin manifiesto) Soluciones manuales Aplicar el shim “WRPMitigation” Renombrar el instalador a “setup.exe” Arreglos Usar el distribuidor de paquetes de Microsoft que esta diseñado específicamente para Vista

8 WRP en Acción

9 Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0

10 ¿Porque?: Modo Protegido de IE7 Cambiar config., Descargar una Foto El Exploit puede instalar MALWARE IExplore.exe Instalar un control ActiveX Contenido Cacheado en Web El Exploit puede instalar MALWARE Priv. de Administrador Privilegios de Usuario Ficherors Temp. Internet HKLM Archivos de Programa HKCU Mis Documentos Carpetas de Inicio Ficheros y configuraciones en los que no se confía.

11 ¿Como?: Modo Protegido de IE7 En Windows Vista, Microsoft Internet Explorer 7 se ejecuta en Modo Protegido (IEPM) para los sitios en los que no se confía (Por defecto) IE se ejecuta en instancias de procesos separadas para los diferentes modos de protección Los exploits de desbordamiento de buffer no afectan a sitios con mayor nivel de confianza IEPM requiere por debajo de lo siguiente: Mandatory Integrity Control (MIC) (CIO) User Interface Privilege Isolation (UIPI)

12 ¿Como?: Modo Protegido de IE7 Niveles de Integridad (IL) para IE7 IEPM: Nivel de Integridad Bajo Sin protección: Nivel de Integridad Medio Procesos con bajo nivel de Integridad (como IEPM) solo pueden acceder a directorios, ficheros y claves del registro que tienen asignados un MIC Bajo. Ficheros Temporales de Internet %TEMP%\LowHistorialCookiesFavoritos Ficheros Temporales de Windows %userprofile%\AppData\LocalLow

13 Mandatory Integrity Control (MIC) Windows Vista implementa el Control de Integridad Obligatorio “Mandatory Integrity Control (MIC)” Los procesos se ejecutan en uno de los cuatro niveles de Integridad definidos: Los procesos de Sistema en el “ NIO Sistema” Aplicaciones que requieren privilegios de administración en el “NIO Alto” Aplicaciones estándar en el “NIO Medio” Aplicaciones restringidas en el “NIO Bajo” Objetos con ACL(Ficheros, Procesos, Equipos, Colas de mensajes, etc..) definen el mínimo NIO que un proceso necesita para accederles El NIO Por Defecto es Medio

14 UI Privilege Isolation (UIPI) UIPI usa los NIO (MIC) para restringir el envió de mensajes entre los procesos Windows Las aplicaciones no pueden comunicarse con otras aplicaciones que se ejecutan con un NIO mas alto Aplicaciones en alto pueden permitir el acceso Cuando la compatibilidad tiene un impacto alto (Accesibilidad) las aplicaciones con Bajo NIO pueden manifestarse para evitar UIPI Manifiesto con atributo uiAccess=True Firma (autenticado) Instalado en “Archivos de Programa”

15 Nivel de Integridad y UIPI Procesos con NIO Medio Alto Medio Bajo Alto Medio Bajo Leer Escribir Procesos con NIO Bajo Procesos Objetos Enviar Procesos con NIO Alto

16 Política y Nivel de Integridad Identificadores de Seguridad (SIDs) Para los Niveles de Integridad RID define el nivel de integridad Bajo S-1-16-4096 (0x1000) Medio S-1-16-8192 (0x2000) Alto S-1-16-12288 (0x3000) Sistema S-1-16-16384 (0x4000)

17 Politica y Nivel de Integridad Politica de los Niveles de Integridad No-Escritura-Superior - procesos con NI bajo no pueden modificar objetos con NI mas altos No-Lectura-Superior – previene el acceso a la lectura desde procesos con NI mas bajo No-Ejecución-Superior – previene el acceso a la ejecución de procesos con NI mas bajos La política por defecto es NO-Escritura- Superior

18 Integrity Levels

19 Impacto en la Compatibilidad Fallan los intentos de los controles Active X para modificar objetos con NIO medio o alto. e.g. escribir en la Carpeta de Mis Documentos Fallo en la instalación de los controles ActiveX Soluciones Automáticas

20 PM IE: Soluciones Automáticas IExplore en Modo Protegido IExplore en Modo Protegido Instalar un control ActiveX Cambiar la configuración Arrastrar y Soltar Control de Integridad y UIPIIEUser.exe Ficheros y Configuraciones Redirigidos Compat Layer Contenido Web Cache ado Acceso Priv. Administrac Acceso Priv Usuario Ficheros Temp Internet HKLM HKCR Archivos de Programa HKCU Mis Documentos Directorio Inicio Ficheros y configuraciones que no son de confianza IEInstall.exe

21 PM IE7: Soluciones Manuales Rediseñar el sitio Web para que funcione correctamente en modo Protegido. Añadir el el sitio a los Sitios de Confianza. El Modo Protegido no se habillita para los sitios de confianza Usar el nuevo servicio de instalacion de ActiveX (AXIS) para despliegues corporativos

22 AXIS: Como funciona IE7 carga una pagina que necesita un control ActiveX Si el usuario es estándar, se llama a AXIS. AXIS realiza una búsqueda en la lista de Sitios desde lo que se puede instalar, desplegada con las Políticas de Grupo Si la URL del Host esta en la lista el control es descargado por el servicio Si el control cumple con el criterio de las firmas se instalará con la cuenta LocalSystem

23 AXIS: Habilitar el Servicio AXIS es un componente opcional que ha de ser habilitado Deplegar con SMS Ejecutar cmd.exe como Administrator, despues ejecutar el comando: ocsetup.exe AxInstallService Panel de Control  Programas y Caracteristicas  Activar o Desactivar las Caracteristicas de Windows

24 AXIS: Configurar la política Ejecutar gpedit.msc Navegar a Configuración del Equipo Plantillas administrativas Componentes de Windows Servicio del instalador de ActiveX Introducir el la URL del Host y la política para cada sitio de confianza Se debe de especificar el protocolo: http o https(preferido) Ejemplo: http://download.microsoft.com http://download.microsoft.com Best Policy 2, 1, 0, 0

25 AXIS: Configurar la política La política consiste en 4 valores separados por comas 1. Firmas de confianza Silencioso(2*), Preguntar(1), o NO Permitir(0) 2. Controles firmados Silencioso(2), Preguntar(1*), o NO Permitir(0) 3. Controles NO Firmados Preguntar(1) o NO Permitir(0*) 4. Flags de la conexión HTTPS Mascara de los siguientes valores 0* Se deben de pasar todos los chequeos de la conexión 0x00000100 Ignorar CA desconocidas 0x00001000 Ignorar CN Inválidos 0x00002000 Ignorar Fechas de certificados invalidas 0x00000200 Ignorar incorrecto uso de certificado * Por defecto si no se especifica el valor para la política

26 AXIS: Mas Información. Audoria AXIS crea 4 eventos El Control ActiveX pasa todos los chequeos de la política La instalación del Control ActiveX se bloqueo por la política El Host no esta en la política Fallo al descargar el Control ActiveX El Host esta en la política pero la coneción https:// fallo porque el certificado es invalido Intento de instalar un Control ActiveX que no esta en la política El host esta en la política pero el control no esta firmado correctamente

27 Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0

28 Versiones de SO e IE La versión Interna de Windows Vista es la 6.0. La función GetVersion devuelve ese número de versión La Versión de Internet Explorer es 7.0 La Versión esta incluida en el “User Agent String” El ”User Agent String” esta incluido en todos las encabezados de solicitudes HTTP Windows 2000 Windows XP Windows Server 2003 Windows Vista Versión 5.05.15.26.0

29 Versión del SO: Síntoma Las aplicaciones que chequean la versión del SO obtienen un número de versión superior al esperado Los instaladores de aplicaciones no funcionan y las aplicaciones no se ejecutan Puede que las aplicaciones avisen al usuario sobre una incorrecta versión del SO pero que continúen funcionando correctamente

30 Versiónes del SO: Mitigaciones Vista proporciona un modo de compatibilidad: En la etiqueta de compatibilidad el usuario puede elegir el modo de compatibilidad Windows XP SP2. Esto aplica varios “shims” incluyendo “WinXPSP2VersionLie” El PCA automatiza los pasos para los instaladores Mejor: Aplicar solo el shim “WinXPSP2VersionLie” En muchos casos, las aplicaciones funcionan igual que lo hacina en XP no hay necesidad de cambiarlas

31 Versiones del SO: Mitigaciones El PCA monitoriza un programa detectado como si fuera un instalador. PCA utiliza la funcionalidad del “User Access Contro”l (UAC) para saber si un programa es un ejecutable Si no se genera ninguna entrada en “Programas y Funcionalidades” PCA entiende que el proceso de instalación no se realizo correctamente

32 Versiones del SO: Mitigaciones 'Reinstalar usando las configuraciones recomendadas' Aplica el modo de compatibilidad de Windows XP y reinicia el programa Esta solución es efectiva para todos los usuarios (almacenados en HKLM)

33 Versiones del SO: Mitigaciones ‘El Programa se instaló correctamente' En algunas ocasiones PCA se inicia con un programa que se instalo correctamente pero que no genero ninguna entrada en PyF. 'Cancelar' 'Cancelar' PCA no hace nada

34 Versiones del SO Problemas y Soluciones

35 Versiones del SO: Soluciones La aplicaciones no deberian realizar chequeso de version con Igual (== 5.1) Si necesitan una funcionalidad específica, debne de chequear si esta disponible o no Si se requiere Windows XP, chequear por Windows XP o superior(>= 5.1) Hay excepciones a esto por motivos de negocio o legales como cuando un organismo de regulación requiere chequear la version para certificar la aplicación con cada versión del SO

36 Versiones de IE7: Síntomas Puede que los sitios WEB no se visualicen correctamente Los sitios Web que chequean la Cadena del Agente de Usuario para IE obtendrán un numero de versión superior Puede que los sitios WEB no se carguen Los sitios Web Sites pueden reducir su funcionalidad

37 Versiones de IE7 : Mitigaciones Cambiar manualmente la clave del registro para que emule a IE6 Afecta a todos los sitios WEB (malo) Utilidad “User Agent String v2” http://www.microsoft.com/downloads/details.aspx ?familyid=9517db9c-3c0d-47fe-bd04- fad82a9aac9f&displaylang=en http://www.microsoft.com/downloads/details.aspx ?familyid=9517db9c-3c0d-47fe-bd04- fad82a9aac9f&displaylang=en Opcional: Personaliza la pagina de inicio en: %ProgramFiles%\Microsoft User Agent String Utility\IE7asIE6.htm

38 Versión de IE7: Solución Reescribir la aplicación Web para que maneje correctamente el comportamiento de la Cadena de Agente de Usuario de IE7 http://msdn.microsoft.com/library/default.asp?url=/ workshop/ author/dhtml/overview/browserdetection.asp http://msdn.microsoft.com/library/default.asp?url=/ workshop/ author/dhtml/overview/browserdetection.asp

39 Utilidad “User Agent String Utility v2” para IE7

40 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Descargar ppt "José Parada ExEvangelista - ATS Sector Público V 5 Fundamentos de la Compatibilidad de Aplicaciones 2ª Parte."

Presentaciones similares

Windows Mobile 1. Configurar una cuenta de Correo Personal Configurar Yahoo! Microsoft Confidential2 Inicio Fin.

Windows Mobile 1. Configurar una cuenta de Correo Personal Configurar Yahoo! Microsoft Confidential2 Inicio Fin.
New Form Factors for Applications Introducción Windows Vista provee muchas formas para conectar al usuario con los datos –Colaboración usando Peer-to-Peer,

New Form Factors for Applications Introducción Windows Vista provee muchas formas para conectar al usuario con los datos –Colaboración usando Peer-to-Peer,
Mejoras en la gestión de calendarios en Exchange Server 2007

Mejoras en la gestión de calendarios en Exchange Server 2007
Ramón de Diego Support Specialist

Ramón de Diego Support Specialist
Cómo instalar Vista y Office System 2007 con BDD 2007 Gustavo Gurmandi MVP – MCT – MCSE – CCEA Beyond IT Microsoft Corporation.

Cómo instalar Vista y Office System 2007 con BDD 2007 Gustavo Gurmandi MVP – MCT – MCSE – CCEA Beyond IT Microsoft Corporation.
© 2006 Microsoft Corporation. All rights reserved.

© 2006 Microsoft Corporation. All rights reserved.
3/24/2017 4:00 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

3/24/2017 4:00 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
3/24/2017 4:02 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

3/24/2017 4:02 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Implementación de SQL Server 2000 Reporting Services

Implementación de SQL Server 2000 Reporting Services
De BDC a BCS Gustavo Velez Overview El problema y la solución Arquitectura Listas Externas (SharePoint Designer) Visual Studio 2010.

De BDC a BCS Gustavo Velez Overview El problema y la solución Arquitectura Listas Externas (SharePoint Designer) Visual Studio 2010.
Crear libro de pedidos SAP Best Practices.

Crear libro de pedidos SAP Best Practices.
Virtual Desktop Infrastructure (VDI) from Microsoft

Virtual Desktop Infrastructure (VDI) from Microsoft
3/29/2017 10:02 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

3/29/ :02 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Mario Cortés Flores Consultor SharePoint en Renacimiento Coordinador SUGES Coautor de:

Mario Cortés Flores Consultor SharePoint en Renacimiento Coordinador SUGES Coautor de:
Infraestructura de la información crucial

Infraestructura de la información crucial
Database Mounting Tool (Dsamain.exe) Mediante esta nueva herramienta y una de las mejoras de la nueva versión de Ntdsutil… podemos generar y examinar.

Database Mounting Tool (Dsamain.exe) Mediante esta nueva herramienta y una de las mejoras de la nueva versión de Ntdsutil… podemos generar y examinar.
3/29/2017 1:27 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.

3/29/2017 1:27 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
DIRECT ACCESS.

DIRECT ACCESS.
LOW COST COMPUTER SYSTEM for QUALITY EVALUATION and PRESERVATION of GRAINS STORED in POLYMER BAGS Dra. Claudia Pons Researcher CONICET – LIFIA - CAETI.

LOW COST COMPUTER SYSTEM for QUALITY EVALUATION and PRESERVATION of GRAINS STORED in POLYMER BAGS Dra. Claudia Pons Researcher CONICET – LIFIA - CAETI.
Introducción a la nueva consola de administración de Exchange 2007 Angel Sánchez Clemares Ingeniero de Soporte David Cervigón IT.

Introducción a la nueva consola de administración de Exchange 2007 Angel Sánchez Clemares Ingeniero de Soporte David Cervigón IT.

Presentaciones similares

Anuncios Google