martes, abril 01, 2008

Tecnologías de Seguridad en
Windows Vista (III de IV)

***************************************************************************************
Artículo publicado en NEXT IT Specialist Mar'08

Tecnologías de Seguridad en Windows Vista (I de IV)
Tecnologías de Seguridad en Windows Vista (II de IV)
Tecnologías de Seguridad en Windows Vista (III de IV)
Tecnologías de Seguridad en Windows Vista (IV de IV)
***************************************************************************************

Control de dispositivos USB

Con el avance de las tecnologías van apareciendo nuevas amenazas y hoy en día, en una memoria USB o en un disco duro USB puede caber toda la información confidencial de una empresa. La fuga de información mediante el uso de dispositivos USB ha sido un quebradero de cabeza de muchas compañías. Las empresas implementan firewalls, sistemas de detección de Intrusos, sistemas de prevención de ataques y mecanismos de cifrado para que al final un usuario con permisos pinche su disco duro de 40 Gb de capacidad de almacenamiento y vuelque toda la información de la empresa y se la lleve a su casa, la cuelgue en Internet o la utilice en contra de los intereses de la empresa.

Evitar esto ha sido tarea difícil y en Windows XP SP2 no había ninguna opción que permitiera controlar los dispositivos USB que se permitían conectar o no. En muchas empresas se ha llegado a deshabilitar el uso de conexiones USB en la BIOS. Con Windows Vista se puede gestionar que dispositivos USB están permitidos y denegar el uso de otros. Esto le permite a las empresas y usuarios trabajar con cualquier dispositivo autorizado y que nunca nadie pudiera pinchar una memoria USB no autorizada.

Imagen 4: Directivas de Restricción de Instalación de dispositivos

Dentro de las más de 800 directivas de seguridad en Windows Vista hay un conjunto de ellas pensadas especialmente para esta situación y, cuando se intente conectar un dispositivo no autorizado el sistema avisará de esta situación.

Imagen 5: Dispositivo USB no permitido

MIC, UIPI y el modo protegido de IE7

En Windows Vista, el sistema ha sido segmentado por niveles de seguridad. Esto quiere decir que alguien que está en un nivel inferior de seguridad no va a poder hablar con un nivel más alto en la escala de seguridad. Para ello se utilizan dos tecnologías: Mandatory Integrity Control (MIC) y User Interface Privilege Isolation (UIPI).

MIC divide todos los datos del sistema en 5 niveles de seguridad que van desde el 0 (o anónimo) hasta el 400 (sistema). Ningún programa va a poder acceder a datos o ficheros situados en un nivel de integridad más alto. UIPI funciona de forma similar pero centrada en el intercambio de mensajes entre aplicaciones gráficas. En este caso ninguna aplicación gráfica va a poder enviar un mensaje a otra aplicación gráfica situada en un nivel superior y, por lo tanto, tampoco interceptar mensajes de otras aplicaciones.

Como se puede ver en la Imagen 6, cada proceso en ejecución tiene un nivel de Integridad distinto. Es importante fijarse en que Internet Explorer está compuesto por dos procesos, uno de ellos es el que se expone a Internet (iexplore) que corre con nivel de integridad bajo y otro, que es la representación en el sistema y el que tiene los privilegios de la cuenta (ieuser) que se ejecuta con nivel de integridad medio. En el caso de que un exploit ataque a Internet Explorer 7 sobre Widnows Vista, sólo lograría obtener privilegios de nivel de integridad bajo, protegiendo así todo el resto del sistema. Esta arquitectura se conoce como Modo Protegido de Internet Explorer 7.

Imagen 6: Niveles de Integridad vistos con Process Explorer

***************************************************************************************
Artículo publicado en NEXT IT Specialist Mar'08

Tecnologías de Seguridad en Windows Vista (I de IV)
Tecnologías de Seguridad en Windows Vista (II de IV)
Tecnologías de Seguridad en Windows Vista (III de IV)
Tecnologías de Seguridad en Windows Vista (IV de IV)
***************************************************************************************

9 comentarios:

  1. El problema de deshabilitar los USB por BIOS es que ahora los ratones, teclados, etc. van por USB.

    En WindowsXP se puede inhabilitar sólo la escritura en los USB consiguiendo que nadie se lleve la información y que nada deje de funcionar.

    Para ello se edita el registro,
    HKEY_LOCAL_MACHINE\System
    \CurrentControlSet\Control
    se crea una clave DWORD con nombre WriteProtect y valor 1.

    Está probado y funciona bien. No es tan sofisticado como Vista pero bueno...

    Saludos.

    ResponderEliminar
  2. Si no deshabilitas los usbs por bios arranco con mi liveCD y enchufo mi disco duro. Puedes desahibilitar que arranque con cd, a nivel de bios claro.

    Si aplicas la restriccion a nivel de S.O. con alguna medida adicional, como cifrar el disco (no se como se llama la opcion en win, FileVault en mac), al menos la combinacion resulta para que no te lleves datos del disco local, pero los de la red te los vas a llevar igual (mucho matices aqui, depende de la autenticacion, integracion con AD, kerberos, pero en todos los casos que estoy pensando puedes pillarlos).

    ResponderEliminar
  3. Hola Palako,
    Y si desde la BIOS se deshabilita el boot desde CD?

    ResponderEliminar
  4. No hay inocentada¡¡¡¡¡

    Buhh

    Esta pagina no es lo que era.

    ResponderEliminar
  5. Efectivamente, Mikelats, Chema dijo que han deshabilitado USB A NIVEL BIOS.

    Para habilitar a nivel BIOS, es lo siguiente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usb
    "USBBIOSx"=dword:00000001

    Si te deshabilitan la opción de ejecutar Live CD desde la BIOS,
    abres el PC Sobremesa, quitas la batería más de media hora y voilá. Bios reseteada. Ahora sí vas con el Live CD...

    Aún no me "he pegado" con HastaLaVista para reconducir la nueva configuración de seguridad mediante USB. Desconozco si me llevaría mucho o poco, volver a controlarla según mis objetivos y no los del Admin. Pero os aconsejo que no apostéis por "el Jefe".

    Saludos!.

    ResponderEliminar
  6. Un pequeño añadido al artículo es que en algunos Centros Oficiales Estatales, piénsese Ministerios y así, anulan la instalación del Visor de imágenes y Fax del EquisP.

    Su "terapia" sería la siguiente:

    -Descargar de esta página la DLL correspondiente.

    http://www.dll-files.com/

    Shimgvw.dll

    -Posicionarla en System 32_Dll cache y en System 32 como otra dll cualquiera.

    -Darla de alta como servicio.
    Ir a Ejecutar_Inicio:

    regsvr32 C:\WINDOWS\system32\shimgvw.dll
    Intro.

    Siempre se respeta un espacio desde regsvr32 hasta la letra del disco duro. Claro.

    Por cierto, ¿alguien se ha dado cuenta de que cada vez que entra un post mío, se acortinan todos los comentarios del blog como si no existiera ninguno, quedando sólo a la vista el artículo original?. Mi índice de popularidad debe haber caído bastante, en ese caso.

    ResponderEliminar
  7. quisiera yo saber en que empresa con datos de seguridad trabajais vosotros que os dejan abrir un pc media hora o tener acceso al registro, vaya patochadas por dios..

    ResponderEliminar
  8. También existe la posibilidad de arrancar un SO desde la red o de un puerto USB

    ResponderEliminar