Hoy me voy a meter un poco en algo mas complejo. Ya que se que siempre digo que el blog esta orientado a la gente que no sabe demasiado, pero también es cierto que a veces doy un giro de tuerca (como con la entrada del malware) e intento explicar algo "mas difícil" para atraer nuevos visitantes y subir un pelin el nivel de los asiduos.
Dicho esto, vamos a hablar un poco de AppLocker.
Applocker sirve (a grandes rasgos, para no liarnos) para bloquear la ejecución de programas. Con el fin de aumentar la seguridad de nuestros equipos, Microsoft nos ha dotado de esta útil herramienta.
AppLocker permite gestionar librerías (DLL´s), aplicaciones o scripts que otros usuarios del equipo podrían ejecutar.
Podemos gestionarlo para definir el funcionamiento de aplicaciones o programas y hacerlo efectivo para grupo o usuarios.
También esta disponible en 2008 Server, aunque hoy, vamos a ver como funciona en Windows 7.
Para hacerlo "salir a la luz" vamos a inicio, panel de control, herramientas administrativas y directivas de seguridad local.
Y una vez que nos abre la pantalla de directiva de seguridad local, pinchamos sobre directivas de control de aplicaciones y ahí esta AppLocker.
Al darle a AppLocker, en la mitad de la pantalla, en configurar la aplicación de reglas, nos sale un mensaje que nos dice que ha de estar activo el servicio de identidad de la aplicación.
Así que, vamos a servicios (desde el cuadro de búsqueda de inicio) y buscamos identidad de aplicación.
Si nos fijamos, esta desactivado, así que, vamos a propiedades con el botón derecho del ratón, y en estado de servicio, le damos a iniciar.
Windows mostrara un mensaje de que lo esta activando, y una vez finalice, le damos a aceptar y el servicio quedará activado. No se si con cerrar la sesión valdría, pero por si acaso vamos a reiniciar. (Se me ha olvidado decir que en el tipo de inicio hay que darle a automático en el desplegable, ya que sino, al reiniciar el equipo, el servicio no carga. Sorry).
Una vez ha arrancado el equipo, ya podemos empezar a restringir el uso de una aplicación.
Para poder bloquear un programa, debemos ir a la ruta que vimos anteriormente.
Inicio, panel de control, herramientas administrativas y directivas de seguridad local. Y una vez que nos abre la pantalla de directiva de seguridad local, pinchamos sobre directivas de control de aplicaciones y AppLocker.
Bien, ahora, para restringir el uso de la aplicación, al pinchar en el desplegable de AppLocker, en reglas ejecutables, con el botón derecho del ratón, de damos a crear nueva regla
y nos aparece la siguiente pantalla, en la que daremos a siguiente, sin cambiar nada mas.
En la siguiente pantalla, en acción le daremos a denegar, ya que lo que queremos en esta ocasión es que no se tenga acceso a una aplicación. Y acto seguido, elegimos el usuario al que denegarselo, o al grupo, si así se quiere.
Vale, hecho esto, en la siguiente pantalla, nos dice que seleccionemos el tipo de condición. Tenemos 3, pero en cada una, hay una breve descripción del mismo. En este caso elijo la primera, editor.
Le damos a siguiente para continuar, y en la siguiente pantalla, a través del botón de examinar, seleccionamos la aplicación.
Al darle a siguiente, nos abre la parte de excepciones, que en esta caso dejaremos tal cual.
Proseguimos con la configuración de la regla. En la ultima pantalla, nos indica el nombre y demás características y nos dice que si queremos introducir una descripción. Le ponemos regla notepad por ejemplo, aunque es opcional como el mismo nos indica.
Por ultimo, le damos a crear y acto seguido nos sale un aviso de si queremos agregar las reglas ahora (hoy no, mañaaaaaaaaaaana xD)
Y ya podemos ver nuestra regla creada en el visor.
Pues nada, ya solo nos resta para terminar, comprobar si realmente funciona todo lo que hemos hecho. Para ello debemos "llamar" al notepad.exe. Volemos a escribir en inicio, en el cuadro de búsqueda e intentamos abrirlo.
Parece ser que si que funciona, así que aquí se acaba nuestra pequeña introducción a AppLocker.
Cabe destacar que esta herramienta es mas potente de lo que aquí muestro, pero también, que no es infalible y como todo, se puede "esquivar" ya que no protege, por ejemplo de Python ni de Pearl, en cuyo caso habría que bloquear los interpretes.
Un saludo.
martes, 13 de noviembre de 2012
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.