José Parada ExEvangelista - ATS Sector Público V 5 Fundamentos de la Compatibilidad de Aplicaciones 2ª Parte
Agenda Ejecución de aplicaciones en Windows Problemas frecuentes- Mejoras de Seguridad Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo Protegido de Internet Explorer SO y Versión de IE Nueva ubicación de Carpetas Aislamiento de la Sesión 0 Problemas no tan frecuentes HerramientasPCAAppHelp
Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0
¿Porque? : WRP Los ficheros y claves del registro del núcleo del sistema operativo pueden ser sobrescritos con versiones anteriores o con código malicioso causando graves problemas de estabilidad y seguridad. Windows Resource Protection (WRP) esta diseñado para proteger esos objetos contra sobre escritura Aumenta la estabilidad, la fiabilidad y la predictibilidad del sistema
¿Como?: WRP Restringidas las actualizaciones para proteger recursos a: Instaladores de confianza del SO (Windows Modules Installer service) Afecta a ficheros, carpetas y claves del registro específicas. La mayoría de los módulos del núcleo del SO (EXE y DLL) La mayoría del las claves del registro del núcleo de HKCR Los directorios usados exclusivamente por los recursos del SO
WRP: Fallos del Instalador Síntomas La aplicación no se instala Similar a los problemas de UAC pero las soluciones de UAC no funcionan Generalmente solo afecta a los instaladores Causas El instalador trata de sobrescribir los recursos protegidos
WRP: Mitigación y Soluciones Soluciones Automáticas Los códigos de error del acceso denegado se suprimen si la aplicación se detecta como un instalador legado (sin manifiesto) Soluciones manuales Aplicar el shim “WRPMitigation” Renombrar el instalador a “setup.exe” Arreglos Usar el distribuidor de paquetes de Microsoft que esta diseñado específicamente para Vista
WRP en Acción
Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0
¿Porque?: Modo Protegido de IE7 Cambiar config., Descargar una Foto El Exploit puede instalar MALWARE IExplore.exe Instalar un control ActiveX Contenido Cacheado en Web El Exploit puede instalar MALWARE Priv. de Administrador Privilegios de Usuario Ficherors Temp. Internet HKLM Archivos de Programa HKCU Mis Documentos Carpetas de Inicio Ficheros y configuraciones en los que no se confía.
¿Como?: Modo Protegido de IE7 En Windows Vista, Microsoft Internet Explorer 7 se ejecuta en Modo Protegido (IEPM) para los sitios en los que no se confía (Por defecto) IE se ejecuta en instancias de procesos separadas para los diferentes modos de protección Los exploits de desbordamiento de buffer no afectan a sitios con mayor nivel de confianza IEPM requiere por debajo de lo siguiente: Mandatory Integrity Control (MIC) (CIO) User Interface Privilege Isolation (UIPI)
¿Como?: Modo Protegido de IE7 Niveles de Integridad (IL) para IE7 IEPM: Nivel de Integridad Bajo Sin protección: Nivel de Integridad Medio Procesos con bajo nivel de Integridad (como IEPM) solo pueden acceder a directorios, ficheros y claves del registro que tienen asignados un MIC Bajo. Ficheros Temporales de Internet %TEMP%\LowHistorialCookiesFavoritos Ficheros Temporales de Windows %userprofile%\AppData\LocalLow
Mandatory Integrity Control (MIC) Windows Vista implementa el Control de Integridad Obligatorio “Mandatory Integrity Control (MIC)” Los procesos se ejecutan en uno de los cuatro niveles de Integridad definidos: Los procesos de Sistema en el “ NIO Sistema” Aplicaciones que requieren privilegios de administración en el “NIO Alto” Aplicaciones estándar en el “NIO Medio” Aplicaciones restringidas en el “NIO Bajo” Objetos con ACL(Ficheros, Procesos, Equipos, Colas de mensajes, etc..) definen el mínimo NIO que un proceso necesita para accederles El NIO Por Defecto es Medio
UI Privilege Isolation (UIPI) UIPI usa los NIO (MIC) para restringir el envió de mensajes entre los procesos Windows Las aplicaciones no pueden comunicarse con otras aplicaciones que se ejecutan con un NIO mas alto Aplicaciones en alto pueden permitir el acceso Cuando la compatibilidad tiene un impacto alto (Accesibilidad) las aplicaciones con Bajo NIO pueden manifestarse para evitar UIPI Manifiesto con atributo uiAccess=True Firma (autenticado) Instalado en “Archivos de Programa”
Nivel de Integridad y UIPI Procesos con NIO Medio Alto Medio Bajo Alto Medio Bajo Leer Escribir Procesos con NIO Bajo Procesos Objetos Enviar Procesos con NIO Alto
Política y Nivel de Integridad Identificadores de Seguridad (SIDs) Para los Niveles de Integridad RID define el nivel de integridad Bajo S (0x1000) Medio S (0x2000) Alto S (0x3000) Sistema S (0x4000)
Politica y Nivel de Integridad Politica de los Niveles de Integridad No-Escritura-Superior - procesos con NI bajo no pueden modificar objetos con NI mas altos No-Lectura-Superior – previene el acceso a la lectura desde procesos con NI mas bajo No-Ejecución-Superior – previene el acceso a la ejecución de procesos con NI mas bajos La política por defecto es NO-Escritura- Superior
Integrity Levels
Impacto en la Compatibilidad Fallan los intentos de los controles Active X para modificar objetos con NIO medio o alto. e.g. escribir en la Carpeta de Mis Documentos Fallo en la instalación de los controles ActiveX Soluciones Automáticas
PM IE: Soluciones Automáticas IExplore en Modo Protegido IExplore en Modo Protegido Instalar un control ActiveX Cambiar la configuración Arrastrar y Soltar Control de Integridad y UIPIIEUser.exe Ficheros y Configuraciones Redirigidos Compat Layer Contenido Web Cache ado Acceso Priv. Administrac Acceso Priv Usuario Ficheros Temp Internet HKLM HKCR Archivos de Programa HKCU Mis Documentos Directorio Inicio Ficheros y configuraciones que no son de confianza IEInstall.exe
PM IE7: Soluciones Manuales Rediseñar el sitio Web para que funcione correctamente en modo Protegido. Añadir el el sitio a los Sitios de Confianza. El Modo Protegido no se habillita para los sitios de confianza Usar el nuevo servicio de instalacion de ActiveX (AXIS) para despliegues corporativos
AXIS: Como funciona IE7 carga una pagina que necesita un control ActiveX Si el usuario es estándar, se llama a AXIS. AXIS realiza una búsqueda en la lista de Sitios desde lo que se puede instalar, desplegada con las Políticas de Grupo Si la URL del Host esta en la lista el control es descargado por el servicio Si el control cumple con el criterio de las firmas se instalará con la cuenta LocalSystem
AXIS: Habilitar el Servicio AXIS es un componente opcional que ha de ser habilitado Deplegar con SMS Ejecutar cmd.exe como Administrator, despues ejecutar el comando: ocsetup.exe AxInstallService Panel de Control Programas y Caracteristicas Activar o Desactivar las Caracteristicas de Windows
AXIS: Configurar la política Ejecutar gpedit.msc Navegar a Configuración del Equipo Plantillas administrativas Componentes de Windows Servicio del instalador de ActiveX Introducir el la URL del Host y la política para cada sitio de confianza Se debe de especificar el protocolo: http o https(preferido) Ejemplo: Best Policy 2, 1, 0, 0
AXIS: Configurar la política La política consiste en 4 valores separados por comas 1. Firmas de confianza Silencioso(2*), Preguntar(1), o NO Permitir(0) 2. Controles firmados Silencioso(2), Preguntar(1*), o NO Permitir(0) 3. Controles NO Firmados Preguntar(1) o NO Permitir(0*) 4. Flags de la conexión HTTPS Mascara de los siguientes valores 0* Se deben de pasar todos los chequeos de la conexión 0x Ignorar CA desconocidas 0x Ignorar CN Inválidos 0x Ignorar Fechas de certificados invalidas 0x Ignorar incorrecto uso de certificado * Por defecto si no se especifica el valor para la política
AXIS: Mas Información. Audoria AXIS crea 4 eventos El Control ActiveX pasa todos los chequeos de la política La instalación del Control ActiveX se bloqueo por la política El Host no esta en la política Fallo al descargar el Control ActiveX El Host esta en la política pero la coneción fallo porque el certificado es invalido Intento de instalar un Control ActiveX que no esta en la política El host esta en la política pero el control no esta firmado correctamente
Problemas Frecuentes Control de Cuentas de Usuario (UAC) Windows Resource Protection Modo protegido Internet Explorer Versiones de OS e IE Ubicación nueva de Carpetas Aislamiento de la Sesión 0
Versiones de SO e IE La versión Interna de Windows Vista es la 6.0. La función GetVersion devuelve ese número de versión La Versión de Internet Explorer es 7.0 La Versión esta incluida en el “User Agent String” El ”User Agent String” esta incluido en todos las encabezados de solicitudes HTTP Windows 2000 Windows XP Windows Server 2003 Windows Vista Versión
Versión del SO: Síntoma Las aplicaciones que chequean la versión del SO obtienen un número de versión superior al esperado Los instaladores de aplicaciones no funcionan y las aplicaciones no se ejecutan Puede que las aplicaciones avisen al usuario sobre una incorrecta versión del SO pero que continúen funcionando correctamente
Versiónes del SO: Mitigaciones Vista proporciona un modo de compatibilidad: En la etiqueta de compatibilidad el usuario puede elegir el modo de compatibilidad Windows XP SP2. Esto aplica varios “shims” incluyendo “WinXPSP2VersionLie” El PCA automatiza los pasos para los instaladores Mejor: Aplicar solo el shim “WinXPSP2VersionLie” En muchos casos, las aplicaciones funcionan igual que lo hacina en XP no hay necesidad de cambiarlas
Versiones del SO: Mitigaciones El PCA monitoriza un programa detectado como si fuera un instalador. PCA utiliza la funcionalidad del “User Access Contro”l (UAC) para saber si un programa es un ejecutable Si no se genera ninguna entrada en “Programas y Funcionalidades” PCA entiende que el proceso de instalación no se realizo correctamente
Versiones del SO: Mitigaciones 'Reinstalar usando las configuraciones recomendadas' Aplica el modo de compatibilidad de Windows XP y reinicia el programa Esta solución es efectiva para todos los usuarios (almacenados en HKLM)
Versiones del SO: Mitigaciones ‘El Programa se instaló correctamente' En algunas ocasiones PCA se inicia con un programa que se instalo correctamente pero que no genero ninguna entrada en PyF. 'Cancelar' 'Cancelar' PCA no hace nada
Versiones del SO Problemas y Soluciones
Versiones del SO: Soluciones La aplicaciones no deberian realizar chequeso de version con Igual (== 5.1) Si necesitan una funcionalidad específica, debne de chequear si esta disponible o no Si se requiere Windows XP, chequear por Windows XP o superior(>= 5.1) Hay excepciones a esto por motivos de negocio o legales como cuando un organismo de regulación requiere chequear la version para certificar la aplicación con cada versión del SO
Versiones de IE7: Síntomas Puede que los sitios WEB no se visualicen correctamente Los sitios Web que chequean la Cadena del Agente de Usuario para IE obtendrán un numero de versión superior Puede que los sitios WEB no se carguen Los sitios Web Sites pueden reducir su funcionalidad
Versiones de IE7 : Mitigaciones Cambiar manualmente la clave del registro para que emule a IE6 Afecta a todos los sitios WEB (malo) Utilidad “User Agent String v2” ?familyid=9517db9c-3c0d-47fe-bd04- fad82a9aac9f&displaylang=en ?familyid=9517db9c-3c0d-47fe-bd04- fad82a9aac9f&displaylang=en Opcional: Personaliza la pagina de inicio en: %ProgramFiles%\Microsoft User Agent String Utility\IE7asIE6.htm
Versión de IE7: Solución Reescribir la aplicación Web para que maneje correctamente el comportamiento de la Cadena de Agente de Usuario de IE7 workshop/ author/dhtml/overview/browserdetection.asp workshop/ author/dhtml/overview/browserdetection.asp
Utilidad “User Agent String Utility v2” para IE7
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.