martes, 20 de septiembre de 2011

Impedir ejecución de programas con AppLocker

AppLocker es una de las nuevas características de Windows 7 Enterprise (y también presente en Ultimate). Applocker permite bloquear la ejecución de aplicaciones si no están previamente autorizadas dentro del entorno organizacional.
Cuando queremos ejecutar por primera vez AppLocker, el asistente nos ofrece la creación de 3 reglas predeterminadas:
1-Un administrador del equipo puede ejecutar cualquier archivo
2-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %Windir%
3-Cualquiera puede ejecutar todo lo que se encuentre en la carpeta %ProgramFiles%
Con estas tres simples reglas, ya podemos evitar la ejecución de portables, programas que se encuentren en ubicaciones remotas o fuera de los directorios predeterminados de instalación.
Es importante aclarar que todo lo que no esté autorizado por AppLocker, esta negado de forma predeterminada. Además de tener el permiso de AppLocker, el usuario necesita los permisos de NTFS o autorización propia de la aplicación para ejecutarse.
Para mostrarlo en funcionamiento, vamos a explicar un caso que sucede en muchas organizaciones: Con la finalidad de evitar el crecimiento de bases de datos que no estén normalizadas, estas deben correr en los servidores SQL Server. La bases de datos en motores que se ejecutan en equipos cliente no debían utilizarse salvo en los casos excepcionales, por lo que se busca evitar la utilización de MS Access. También es necesario que la imagen corporativa utilizada para instalar los equipos incluya MS Access en todos los equipos, ya que un usuario debería poder cambiar de equipo y continuar utilizando los programas que necesita. Como último requerimiento, el mantenimiento de quien utiliza o no MS Access debe ser simple, por lo que una membresía de un grupo de seguridad debe poder controlarlo.
El procedimiento que seguimos es el siguiente:
-Creación de un grupo de seguridad de Windows llamado “Access Users” desde la consola de ADUC (Active Directory Users & Computers), PowerShell o cualquier otro método de preferencia.
-En la consola de “Manage Group Policies”, creamos un nuevo objeto al que llamamos AppLocker (Fig 1) y lo editamos (Fig 2), seleccionando: Computer Configuration, Policies, Windows Settings, Security Settings, Application Control Policies, AppLocker, Excutable Rules y finalmente Create New Rule.
Fig 1
Fig 2

-Las reglas pueden basarse en una ubicación específica, el hash de un archivo o un certificado digital. Para nuestro caso, utilizamos la opción de certificado digital al ser un archivo firmado digitalmente.
-En las opciones de Permissions, seleccionamos "Allow" y el grupo de seguridad que creamos previamente. En Conditions, seleccionamos "Publisher", "Next", "Browse..." y seleccionamos el archivo al que queremos aplicar la regla (este local o en un equipo remoto). Adicionalmente seleccionamos "Use Custom Values" para que no se pueda utilizar ninguna version menor a 16 (Office 2010 es la versión 14, por lo que la 16 aún ni existe!) (Fig 3)
Fig 3
-Ante la creación de una nueva regla, el asistente nos consulta sobre la creación de las reglas predeterminadas (Fig 4), a lo que respondemos que sí (las reglas explicadas al inicio de este artículo).
Fig 4
-Ahora debemos quitar MS Access de la regla por default que permite que todos ejecuten cualquier programa instalado en %programfiles%. Para lograrlo, seleccionamos la regla a modificar, pulsamos el botón secundario y seleccionamos "Properties" y el en tab de "Exceptions" (Fig 5), seleccionamos MS Access de forma similar a como hicimos cuando creamos la regla en el paso anterior.
Fig 5
-Por último, para que AppLocker funcione e impida la ejecución de los programas, el servicio "Application Identity" debe estar en ejecución. En nuestro ejemplo, lo activamos en el mismo GPO (Fig 6).
Fig 6
Solo nos resta ir a un equipo con MS Access y probar que pasa cuando un usuario intenta ejecutarlo (Fig 7).
Fig 7
 Si el usuario tiene permisos de ejecución (En nuestro ejemplo, que sea miembro del grupo de seguridad "Access Users"), podra utilizar MS Access de forma transparente.
De esta forma, no importa en cual equipo este autenticado el usuario, solo podrá utilizar MS Access si pertenece al grupo de seguridad correspondiente.
AppLocker puede funcionar también en modo auditoría por lo que solamente crea un evento en el log del sistema. Finalmente AppLocker puede impedir la ejecución de instaladores y scripts.
Para aprender más…
AppLocker en Technet

viernes, 16 de septiembre de 2011

Primeras imagenes de Windows 8

Les dejo unas primeras imagenes de Windows 8 corriendo en mi equipo.


Imagen del escritorio de Windows 8 e IE10 (Metro Style) con el perfile de Juanjo en Facebook



Escritorio e IE 10 (tradicional) con un video de Queen en Youtube y la aplicación Weather mostrando el estado del tiempo en vivo

Nuevo menu de inicio

Escritorio tradicional de Windows con el nuevo Task Manager

Para probarlo ya mismo esta este link de donde se lo pueden bajar. Recuerden que es una preview que aún no está ni en estado de Beta.

martes, 13 de septiembre de 2011

Windows 8 se asoma

Hoy 13 de Septiembre en el evento Build, Microsoft mostró por primera vez en forma pública Windows 8 corriendo en vivo.

La promesa era ejecutar los mismos binarios en cualquier dispositivo, por lo que se mostró Windows 8 corriendo en netbooks de hace tres años, portátiles,teléfonos ,desktops, equipos con tres placas de video corriendo en paralelo y notebooks que aún no salieron al mercado, pero que son más delgadas que un conector RJ45. Adicionalmente, se espera que cualquier equipo que hoy ejecute Windows 7 se pueda utilzar para ejecutar Windows 8, por loque esta nueva versión sóloocupa 300 megas en un equipo con una instalación limpia y 1 GB de memoria (un 25% menos que Windows 7 Sp1).

Todo el código que seejecuta en Windows 7 se podrá utilizar en Windows 8. En las demos se mostró cómo modificar las aplicaciones actuales parapoder utilizar los sensores del hardware y el nuevo look & feel: MetroApps. Con Metro Apps, las aplicaciones podrán ser aplicaciones Web oaplicaciones ricas, lo cual resulta indiferentepara la experiencia del usuario.

Además de Windows 8 se mostraron versiones de Visual Studio, Expression Blend eInternet Explorer 10, este último vendrá incluido en el sistema operativo.

Con respecto a las cararterísticas del nuevo Windows, se mostró la nueva interface de copia de archivos (ya anticipada en el blog oficial de Windows 8), el mejorado ahorro de energía, la posibilidad de compartir archivos entre diferentes equipos para accederlos conprotocolos firewall-friendly, la selección multi-touch y picture-password, lo que nos permite ingresar un password basado en una fotografía y pulsar en puntos específicos para poder indentificarnos.

Aunque el movimiento de las pantallas ya es muy veloz y fluido cuando se maneja con el touch-screen, hay que recordar que no se trata de la versión final: aún es una Developer Preview, luego vendrá una versión Beta, otra RC (ReleaseCandidate) y una RTM (Ready to Manufacture), antes de la GA (General Availability), que pondrá a Windows 8 a disposición de todos.