Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Denegar ejecución de programas a un usuario de Windows 7




Hoy en día suele darse que diferentes usuarios usan el mismo ordenador, generando que se pierda el control en la ejecución de aplicaciones, lo que podría derivar en la infección con distintas amenazas. Un padre podría bloquear la ejecución de juegos pero permitir la ejecución de herramientas ofimática para realizar trabajos del colegio.






En un un escenario real, un padre podría bloquear la ejecución de juegos pero permitir la ejecución de herramientas ofimática para realizar trabajos del colegio. De esta forma, reduciría el tiempo de distracción en juegos por parte del joven, en combinación con control parental en el uso de Internet, que podría lograr el uso más productivo del equipo para los jóvenes.

Usaremos la creación de perfiles de usuarios de equipo como invitados; estos serán asociados un grupo donde es posible administrarlos y por último, veremos cómo definir políticas -por ejemplo, denegar la ejecución de aplicaciones fuera de nuestro control en estos grupos.

Estas buenas prácticas resultan de utilidad en empresas, y también benefician a las familias, protegiendo a los más pequeños de la ejecución de aplicaciones no deseadas.

Actualmente vemos que a diario surgen nuevas amenazas que afectan a los Sistemas Operativos. En el contexto hogareño, suele darse que diferentes usuarios usan el mismo ordenador y toman distintos recaudos, generando que se pierda el control en la ejecución de aplicaciones, lo que podría derivar en la infección con distintas amenazas. 

Es por eso que en esta entrada veremos tres formas de aumentar la seguridad en equipos con Windows 7 utilizando sus propias herramientas.

Este tipo de configuraciones son las que hacen que el Sistema Operativo se vuelva más fuerte y robusto, sobre todo cuando el equipo es utilizado por varias personas y si su dueño desconoce la actividad que cada una de estas realizan con el ordenador.

También es una muy buena forma de reducir las infecciones de malware en el equipo, permitiendo controlar qué aplicaciones utilizan las demás personas.

Esto puede volverse muy útil a la hora de aplicar restricciones en aplicaciones para el cuidado de los más pequeños, ya que desde esta sección se puede bloquear el uso de aplicaciones podrían poner en riesgo la integridad del equipo o el mundo digital de los niños.

Como consejo debemos decir que es muy recomendable, como dueño de un equipo, utilizar estos perfiles con mínimos privilegios.

Configurar el Control parental



Para activar el Control parental para una cuenta de usuario estándar

  1. Para abrir Control parental, haga clic en el botón InicioImagen del botón Inicio, después en Panel de control y, a continuación, en Cuentas de usuario y protección infantil, haga clic en Configurar el Control parental para todos los usuarios.‌ ‌ Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
  2. Haga clic en la cuenta de usuario estándar para la que desea establecer el Control parental. Si la cuenta de usuario estándar no está aún configurada, haga clic en Crear nueva cuenta de usuario para configurar una cuenta nueva.
  3. En Control parental, haga clic en Activado, aplicar configuración actual.
  4. Una vez que haya activado el Control parental para la cuenta de usuario estándar de un niño, puede ajustar los siguientes valores individuales que desea controlar:
    • Límites de tiempo. Puede establecer límites temporales para controlar el momento en que los niños pueden iniciar una sesión en el equipo. Los límites de tiempo impiden que los niños inicien una sesión durante las horas especificadas. Puede establecer distintas horas de inicio de sesión para cada día de la semana. Si hay una sesión iniciada cuando finalice el tiempo asignado, se cerrará automáticamente. Para obtener más información, consulte Controlar el momento en que los niños pueden usar el equipo.
    • Juegos. Puede controlar el acceso a los juegos, elegir una clasificación por edades, elegir los tipos de contenido que desea bloquear y decidir si quiere permitir o bloquear juegos específicos. Para obtener más información, consulte Elegir juegos aptos para niños.
    • Permitir o bloquear programas específicos. Puede impedir que los niños ejecuten programas que no quiera que ejecuten. Para obtener más información, consulte Impedir que los niños usen programas específicos.
Aquí simplemente tendremos que seleccionar la opción “activado, aplicar configuración actual” y en la derecha, activar “Limites de programas” haciendo click en “Desact.” Accederemos a un nuevo apartado que nos permitirá elegir qué programas deseamos permitir para la cuenta de usuario con la que estamos trabajando.

Impedir que los niños usen programas específicos


  1. Para abrir Control parental, haga clic en el botón InicioImagen del botón Inicio, después en Panel de control y, a continuación, en Cuentas de usuario y protección infantil, haga clic en Configurar el Control parental para todos los usuarios. Se requiere permiso de administrador Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
  2. Haz clic en el nombre de la persona a la que deseas impedir el uso de programas específicos.
  3. En Control parental, haz clic en Activado, aplicar configuración actual.
  4. Haga clic en Permitir y bloquear programas específicos.
  5. Haz clic en nombre_de_usuario solamente puede usar los programas permitidos.
  6. Seleccione los programas que deseas permitir. Si el programa que deseas no aparece en la lista, haz clic en Examinar para buscarlo.

Mediante Applocker

Esta opción es la más  completa ya que podemos controlar el acceso de los usuarios a ficheros ejecutables: .exe, archivo de Windows Installer (extensión msi) y a scripts o bibliotecas de programas (dll).

Por defecto Applocker sólo se encuentra presente en las versiones Windows Ultimate y Enterprise de Windows 7. En Windows 7 Profesional podemos crear reglas pero no las vamos a poder ejecutar.

Para acceder a Applocker deberemos teclear "secpol.msc" en el menú inicio > buscar y abrir la carpeta directiva de control de aplicaciones.


Una vez iniciada la aplicación observaremos las tres clases de reglas que podemos crear:

  •  Reglas de ejecutables
  • Reglas de Scripts
  • Reglas de Windows installer

El procedimiento para configurar cualquiera de ellas es idéntico así que vamos a ver cómo crear una regla para archivos ejecutables, para iniciar el procedimiento hacemos clic con el botón derecho sobre cualquiera de las tres categorías y seleccionamos la opción crear nueva regla.

Se nos abrirá el asistente que observamos en la imagen, el asistente nos permitirá seleccionar si deseamos permitir o denegar la ejecución del archivo en cuestión y también seleccionar el grupo al que se le va a aplicar dicha regla, por defecto aparecerá “Todos”. 

Al hacer clic en siguiente accedemos a la siguiente pantalla, en la que podremos elegir las condiciones que deseamos establecer para seleccionar el ejecutable con el que vamos a trabajar para crear la regla en la que estamos trabajando. Aquí podremos crear la regla basándonos en el editor, para la cual necesitaremos que nuestro archivo este firmado o certificado por su autor, en la ruta de acceso al programa, o bien en el hash de archivo. El hash de archivo es una identificación inequívoca para dicho archivo por lo que esta es una buena elección si el archivo ejecutable seleccionado no está firmado.

Finalmente si seleccionamos la opción “crear reglas automáticamente” del menú contextual, accederemos a un asistente que nos creará él solito una lista de reglas basándose en los programas que tenemos ya instalados.

Denegar ejecución de programas a  un usuario de Windows 7


Nota: Primero debemos dejar dejar el usuario Administrador solo para fines de administración del equipo como instalación de aplicaciones o actualizaciones, entre otros.

Recordar que el Administrador está deshabilitado por defecto (lo indica el símbolo de la flecha apuntando hacia abajo). 



 Es muy importante habilitar el Administrador antes de quitar permisos, ya que una vez hechos los cambios, de requerir permisos de este tipo, simplemente no se tendrán. Por eso es recomendable habilitarlo y definir una contraseña fuerte y robusta.


En el caso de que varias personas usen diferentes perfiles para acceder al ordenador y usar sus aplicaciones, esto puede restringirse mediante políticas al grupo asociado. Para hacer esto es necesario ingresar a:


Panel de control > Todos los elementos de Panel de control > Herramientas administrativas > Directivas de Seguridad Local

Para este ejemplo crearemos una regla para denegar la ejecución de todas las aplicaciones a los usuarios dentro del grupo “HogarProtegido”, dentro del cual hemos puesto a todos excepto a Administrador. Basta con hacer clic con el botón derecho para crear una nueva regla, como en la captura de pantalla a continuación:


 El primer paso en esta instancia es acceder a “Reglas ejecutables” (número 1); en el panel derecho se crea la regla (número 2) y luego se puede acceder a ella para ver su configuración (número 3). Aquí se puede ver el nombre que la identifica. La acción de la misma es “Denegar”, en este caso, la ejecución de aplicaciones. Por último vemos a qué grupo se aplica esta politica (grupo local Labo-PC\HogarProtegido). Cabe destacar que también pueden añadirse excepciones, como por ejemplo permitir usar el navegador y aplicaciones ofimáticas.

Una vez realizado esto se debe acceder a la carpeta “Niveles de seguridad”, en la cual se preestablecerá automáticamente la configuración de seguridad:


 En el panel derecho basta con posicionarse sobre el nivel deseado y hacer clic derecho para establecerlo como predeterminado. En este caso predeterminamos el nivel “No permitido” para ver su comportamiento.

Después habrá que posicionarse sobre el directorio “Directivas de restricción de software” como se marca con el número 1. En segundo lugar, sobre la ventana derecha hacer doble clic en “Cumplimiento” (numero 2) donde aparecerá una ventana como la siguiente:


Dentro de la ventana marcada con el número 3, pueden usarse configuraciones como la de aplicar directivas de restricción a todos los usuarios excepto a los administradores locales, entre otras que pueden apreciarse.

Una vez aplicadas estas reglas, cualquiera de los perfiles pertenecientes a este grupo (HogarProtegido), al intentar ejecutar cualquier aplicación verá un mensaje como el siguiente:



Como puede verse, gracias a la política establecida se evitó la ejecución del navegador. 

Permisos especiales de archivos y carpetas

En la tabla siguiente se describen los permisos especiales de archivos y carpetas.

Permisos especiales Control total Modificar Leer y ejecutar Mostrar el contenido de la carpeta Leer Escribir
Recorrer carpeta o ejecutar archivo no no
Listar carpeta / Leer datos no
Atributos de lectura no
Atributos extendidos de lectura no
Crear archivos / Escribir datos no no no
Crear carpetas / Anexar datos no no no
Atributos de escritura no no no
Atributos extendidos de escritura no no no
Eliminar subcarpetas y archivos no no no no no
Eliminar no no no no
Leer permisos
Cambiar permisos no no no no no
Tomar posesión no no no no no
Sincronizar


IMPORTANTE: los grupos o los usuarios a los que se concede Control total para una carpeta pueden eliminar cualquier archivo de dicha carpeta, cualesquiera que sean los permisos que protegen al archivo.

NOTA: aunque parece que Mostrar el contenido de la carpeta y Leer y ejecutar tienen los mismos permisos especiales, estos permisos se heredan de manera diferente. Mostrar el contenido de la carpeta lo heredan las carpetas, pero no los archivos, y sólo aparece al ver los permisos de carpetas. Leer y ejecutar lo heredan tanto los archivos como las carpetas y siempre está presente cuando ve los permisos de archivos o de carpetas.

NOTA: en Windows XP Professional, el grupo Todos no incluye el grupo Inicio de sesión anónimo.


Tomar control, posesión y conceder permisos a archivos y carpetas en Windows 7

 Busca la carpeta o archivo de los que quieras tomar control, haz clic con el botón secundario del ratón, en nuestro ejemplo la carpeta Archivos de Juan, y selecciona Propiedades del menú contextual.


Haz clic en la pestaña Seguridad y luego en Opciones avanzadas.


 En la ventana de Configuración de seguridad avanzada de la carpeta o archivo que hayas seleccionado, haz clic en la pestaña Propietario. Vas a poder ver el propietario actual de la carpeta o archivo. Luego para tomar control haz clic en Editar.


 Nota: si te aparece la ventana de Control de cuentas de usuario, haz clic en para continuar.

En la ventana emergente selecciona un nombre de usuario debajo de Nuevo Propietario y haz clic en Aceptar.



 Términos y conceptos sistma de ficheros NTFS


Todo el tema de permisos que aquí se muestra se dan gracias al sistema de ficheros: NTFS (New Technology File System), uno de los sistemas de ficheros de Microsoft Windows, que permite un gran avance de seguridad en cuanto a las concesiones de permisos o privilegios de usuarios en Windows.

Herencia: La herencia permite la propagación de ACL posicionadas en objetos contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al objeto, sólo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en sí y a sus hijos.

Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o un objeto de sistema, como una canalización con nombre, un socket, un proceso, un subproceso, etc.

ACL (Access Control List): Es una lista de control de acceso que regula los permisos de acceso a los objetos del sistem. Está compuesta por entradas de controles de acceso ACE

ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una ACL. Una ACE está compuesta por un SID, una máscara de acceso que define los permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos permisos.
Hay tres tipos de ACE: Acceso concedido, Acceso denegado y Audit (para auditar la seguridad del sistema).

SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo objeto al que se le puede aplicar seguridad que contiene el SID del propietario del objeto, su grupo primario y las dos listas de ACL: DACL y SACL.

DACL (Discretionary Access Control List): Una lista de control de acceso discrecional es la que está controlada por el propietario del objeto. Especifica quién tiene permiso y quién no para acceder a dicho objeto.

SACL (System Access Control List): Una lista de control de acceso de sistema es la que controla la generación de mensajes de auditoría durante los intentos de acceder a un objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar una SACL).

SDDL (Security Descriptor Definition Language): Un lenguaje de definición descriptor de seguridad que permite definir y transportar datos almacenados en un descriptor de seguridad en formato de texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al servicio en formato SDDL.

El orden de interpretación de los permisos es o debería ser el siguiente:
- Accesos denegados explícitos (DENY ONLY).
- Accesos autorizados explícitos (ALLOW ONLY).
- Accesos denegados heredados.
- Accesos autorizados heredados.

Seguridad en Windows 8: SmartScreen Filter


Smart Screen es un filtro que encontramos en el próximo sistema operativo de Microsoft, Windows 8. Su función, básicamente, consiste en bloquear la ejecución de programas sin autorizar de manera automática para evitar un problema de seguridad en nuestro equipo, evitando así malware y otro software desconocido.

Fuente:
http://www.welivesecurity.com/la-es/2015/05/22/como-administrar-permisos-usuarios-grupos-usuarios-windows-7/
http://www.elhacker.net/permisos-privilegios-cuentas-usuario-windows7.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.