Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
921
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
mayo
(Total:
35
)
- Locker es el primer ransomware que espera instrucc...
- Madrid ya navega con los 1.000 Mbps de Fibra FAST!...
- El fiscal pide más de 5 años de cárcel para la cúp...
- Comparativa de 18 antivirus para Linux
- La herramienta de análisis IDA reinicia las claves...
- Denegar ejecución de programas a un usuario de Win...
- El 97% de los usuarios no es capaz de identificar ...
- Las API's de Windows más utilizadas por el malware
- Kali Linux presenta su contenedor Docker oficial b...
- Moose, el gusano que ataca routers basados en Linu...
- Rombertik: Un maestro de evasión de técnicas de an...
- Nuevo ransomware para Android también pide rescate...
- Obnoxious, otro miembro de Lizard Squad detenido e...
- Nuevo truco para bypassear UAC en Windows
- Google recomienda evitar el uso de la "Preguntas s...
- La NSA planeaba espiar a los usuarios teléfonos mó...
- Reporte trimestral Akamai ataques DDoS en 2015: SS...
- Presentación del Libro CiberCrimen de Mercè Molist
- Disco de recuperación de Windows 7 y 8
- Adolescente de 15 años quema un ordenador de su co...
- Nueva variante de TeslaCrypt permite chatear con l...
- Parche de Oracle para la vulnerabilidad Venom en l...
- Ofuscación de Macros maliciosas en Documentos Word
- Una extensión para Chrome permite ver los amigos o...
- Google cerrará el servicio PageSpeed el 3 de agosto
- Microsoft Powershell DSC ahora disponible para Linux
- Rombertik: malware que intenta escribir en el MBR ...
- Tarjeta controladora (PCB Printed Circuit Board) d...
- Office 2016 permitirá la edición de documentos en ...
- Bokken, interfaz gráfica (GUI) para Radare y pyew
- NoSuchApp para Android decubre apps que se conecta...
- CCN-CERT: Medidas de seguridad contra el Ransomware
- TeslaCrypt, una variante del ransomware CryptoLock...
- Introducción a los ataques DDoS basados en JavaScript
- Se cumplen 15 años del Virus I Love You
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
394
)
privacidad
(
363
)
google
(
345
)
ransomware
(
336
)
vulnerabilidad
(
293
)
Malware
(
257
)
android
(
238
)
Windows
(
237
)
cve
(
231
)
tutorial
(
223
)
manual
(
208
)
software
(
201
)
hardware
(
189
)
linux
(
123
)
twitter
(
115
)
ddos
(
92
)
WhatsApp
(
89
)
Wifi
(
84
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
app
(
65
)
sysadmin
(
63
)
Networking
(
53
)
nvidia
(
52
)
ssd
(
50
)
youtube
(
50
)
adobe
(
43
)
firmware
(
41
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
programación
(
25
)
apache
(
23
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Desde 2016, todas las conversaciones de WhatsApp están cifradas de extremo a extremo, lo cual está considerado el modo más seguro para evita...
-
Cómo activar y utilizar la herramienta MSRT de Windows , que pese a llevar en todas las versiones del sistema operativo desde Windows XP, ...
-
Tal vez no conozcas Medicat USB , aquí aprenderás qué es si ya no lo sabías, y si ya lo conocías, aprenderás cómo utilizar esta poderosa c...
Denegar ejecución de programas a un usuario de Windows 7
miércoles, 27 de mayo de 2015
|
Publicado por
el-brujo
|
Editar entrada
Hoy en día suele darse que diferentes usuarios usan el mismo ordenador, generando que se pierda el control en la
ejecución de aplicaciones, lo que podría derivar en la infección con
distintas amenazas. Un padre podría
bloquear la ejecución de juegos pero permitir la ejecución de
herramientas ofimática para realizar trabajos del colegio.
En un un escenario real, un padre podría bloquear la ejecución de juegos pero permitir la ejecución de herramientas ofimática para realizar trabajos del colegio. De esta forma, reduciría el tiempo de distracción en juegos por parte del joven, en combinación con control parental en el uso de Internet, que podría lograr el uso más productivo del equipo para los jóvenes.
Usaremos la creación de perfiles de usuarios de equipo como invitados; estos serán asociados un grupo donde es posible administrarlos y por último, veremos cómo definir políticas -por ejemplo, denegar la ejecución de aplicaciones fuera de nuestro control en estos grupos.
Estas buenas prácticas resultan de utilidad en
empresas, y también benefician a las familias, protegiendo a los más pequeños de la ejecución de aplicaciones no deseadas.
Actualmente vemos que a diario surgen nuevas amenazas que afectan a los
Sistemas Operativos. En el contexto hogareño, suele darse que diferentes usuarios usan el mismo ordenador y
toman distintos recaudos, generando que se pierda el control en la
ejecución de aplicaciones, lo que podría derivar en la infección con
distintas amenazas.
Es por eso que en esta entrada veremos tres formas
de aumentar la seguridad en equipos con Windows 7 utilizando sus propias herramientas.
Este tipo de configuraciones son las que hacen que el Sistema Operativo se vuelva más fuerte y robusto,
sobre todo cuando el equipo es utilizado por varias personas y si su
dueño desconoce la actividad que cada una de estas realizan con el
ordenador.
También es una muy buena forma de reducir las infecciones de malware en el equipo, permitiendo controlar qué aplicaciones utilizan las demás personas.
Como consejo debemos decir que es muy recomendable, como dueño de un equipo, utilizar estos perfiles con mínimos privilegios.
Configurar el Control parental
Para activar el Control parental para una cuenta de usuario estándar
-
Para abrir Control parental, haga clic en el botón Inicio, después en Panel de control y, a continuación, en Cuentas de usuario y protección infantil, haga clic en Configurar el Control parental para todos los usuarios. Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
-
Haga clic en la cuenta de usuario estándar para la que desea establecer el Control parental. Si la cuenta de usuario estándar no está aún configurada, haga clic en Crear nueva cuenta de usuario para configurar una cuenta nueva.
-
En Control parental, haga clic en Activado, aplicar configuración actual.
-
Una vez que haya activado el Control parental para la cuenta de usuario estándar de un niño, puede ajustar los siguientes valores individuales que desea controlar:
-
Límites de tiempo. Puede establecer límites temporales para controlar el momento en que los niños pueden iniciar una sesión en el equipo. Los límites de tiempo impiden que los niños inicien una sesión durante las horas especificadas. Puede establecer distintas horas de inicio de sesión para cada día de la semana. Si hay una sesión iniciada cuando finalice el tiempo asignado, se cerrará automáticamente. Para obtener más información, consulte Controlar el momento en que los niños pueden usar el equipo.
-
Juegos. Puede controlar el acceso a los juegos, elegir una clasificación por edades, elegir los tipos de contenido que desea bloquear y decidir si quiere permitir o bloquear juegos específicos. Para obtener más información, consulte Elegir juegos aptos para niños.
-
Permitir o bloquear programas específicos. Puede impedir que los niños ejecuten programas que no quiera que ejecuten. Para obtener más información, consulte Impedir que los niños usen programas específicos.
-
Aquí simplemente tendremos que seleccionar la opción “activado, aplicar configuración actual” y en la derecha, activar “Limites de programas” haciendo click en “Desact.” Accederemos a un nuevo apartado que nos permitirá elegir qué programas deseamos permitir para la cuenta de usuario con la que estamos trabajando.
Impedir que los niños usen programas específicos
-
Para abrir Control parental, haga clic en el botón Inicio, después en Panel de control y, a continuación, en Cuentas de usuario y protección infantil, haga clic en Configurar el Control parental para todos los usuarios. Si se le solicita una contraseña de administrador o una confirmación, escriba la contraseña o proporcione la confirmación.
-
Haz clic en el nombre de la persona a la que deseas impedir el uso de programas específicos.
-
En Control parental, haz clic en Activado, aplicar configuración actual.
-
Haga clic en Permitir y bloquear programas específicos.
-
Haz clic en nombre_de_usuario solamente puede usar los programas permitidos.
-
Seleccione los programas que deseas permitir. Si el programa que deseas no aparece en la lista, haz clic en Examinar para buscarlo.
Mediante Applocker
Esta opción es la más completa ya que podemos controlar el acceso de los usuarios a ficheros ejecutables: .exe, archivo de Windows Installer (extensión msi) y a scripts o bibliotecas de programas (dll).Por defecto Applocker sólo se encuentra presente en las versiones Windows Ultimate y Enterprise de Windows 7. En Windows 7 Profesional podemos crear reglas pero no las vamos a poder ejecutar.
Para acceder a Applocker deberemos teclear "secpol.msc" en el menú inicio > buscar y abrir la carpeta directiva de control de aplicaciones.
Una vez iniciada la aplicación observaremos las tres clases de reglas que podemos crear:
- Reglas de ejecutables
- Reglas de Scripts
- Reglas de Windows installer
El procedimiento para configurar cualquiera de ellas es idéntico así que vamos a ver cómo crear una regla para archivos ejecutables, para iniciar el procedimiento hacemos clic con el botón derecho sobre cualquiera de las tres categorías y seleccionamos la opción crear nueva regla.
Se nos abrirá el asistente que observamos en la imagen, el asistente nos permitirá seleccionar si deseamos permitir o denegar la ejecución del archivo en cuestión y también seleccionar el grupo al que se le va a aplicar dicha regla, por defecto aparecerá “Todos”.
Al hacer clic en siguiente accedemos a la siguiente pantalla, en la que podremos elegir las condiciones que deseamos establecer para seleccionar el ejecutable con el que vamos a trabajar para crear la regla en la que estamos trabajando. Aquí podremos crear la regla basándonos en el editor, para la cual necesitaremos que nuestro archivo este firmado o certificado por su autor, en la ruta de acceso al programa, o bien en el hash de archivo. El hash de archivo es una identificación inequívoca para dicho archivo por lo que esta es una buena elección si el archivo ejecutable seleccionado no está firmado.
Finalmente si seleccionamos la opción “crear reglas automáticamente” del menú contextual, accederemos a un asistente que nos creará él solito una lista de reglas basándose en los programas que tenemos ya instalados.
Denegar ejecución de programas a un usuario de Windows 7
Nota: Primero debemos dejar dejar el usuario Administrador solo para fines de administración del equipo como instalación de aplicaciones o actualizaciones, entre otros.
Recordar que el Administrador está deshabilitado por defecto (lo indica el símbolo de la flecha apuntando hacia abajo).
Es muy importante habilitar el Administrador antes de quitar permisos, ya que una vez hechos los cambios, de requerir permisos de este tipo, simplemente no se tendrán. Por eso es recomendable habilitarlo y definir una contraseña fuerte y robusta.
En el caso de que varias personas usen diferentes perfiles para acceder al ordenador y usar sus aplicaciones, esto puede restringirse mediante políticas al grupo asociado. Para hacer esto es necesario ingresar a:
Panel
de control > Todos los elementos de Panel de control >
Herramientas administrativas > Directivas de Seguridad Local
Para este ejemplo crearemos una regla para denegar la ejecución
de todas las aplicaciones a los usuarios dentro del grupo
“HogarProtegido”, dentro del cual hemos puesto a todos excepto a
Administrador. Basta con hacer clic con el botón derecho para crear una nueva regla, como en la captura de pantalla a continuación:
Una vez realizado esto se debe acceder a la
carpeta “Niveles de seguridad”, en la cual se preestablecerá
automáticamente la configuración de seguridad:
En el panel derecho basta con posicionarse sobre el nivel deseado y hacer clic derecho para establecerlo como predeterminado. En este caso predeterminamos el nivel “No permitido” para ver su comportamiento.
Después habrá que posicionarse sobre el
directorio “Directivas de restricción de software” como se marca con el
número 1. En segundo lugar, sobre la ventana derecha hacer doble clic en
“Cumplimiento” (numero 2) donde aparecerá una ventana como la
siguiente:
Una vez aplicadas estas reglas, cualquiera de
los perfiles pertenecientes a este grupo (HogarProtegido), al intentar
ejecutar cualquier aplicación verá un mensaje como el siguiente:
Como puede verse, gracias a la política establecida se evitó la ejecución del navegador.
Permisos especiales de archivos y carpetas
En la tabla siguiente se describen los permisos especiales de archivos y carpetas.Permisos especiales | Control total | Modificar | Leer y ejecutar | Mostrar el contenido de la carpeta | Leer | Escribir |
---|---|---|---|---|---|---|
Recorrer carpeta o ejecutar archivo | sí | sí | sí | sí | no | no |
Listar carpeta / Leer datos | sí | sí | sí | sí | sí | no |
Atributos de lectura | sí | sí | sí | sí | sí | no |
Atributos extendidos de lectura | sí | sí | sí | sí | sí | no |
Crear archivos / Escribir datos | sí | sí | no | no | no | sí |
Crear carpetas / Anexar datos | sí | sí | no | no | no | sí |
Atributos de escritura | sí | sí | no | no | no | sí |
Atributos extendidos de escritura | sí | sí | no | no | no | sí |
Eliminar subcarpetas y archivos | sí | no | no | no | no | no |
Eliminar | sí | sí | no | no | no | no |
Leer permisos | sí | sí | sí | sí | sí | sí |
Cambiar permisos | sí | no | no | no | no | no |
Tomar posesión | sí | no | no | no | no | no |
Sincronizar | sí | sí | sí | sí | sí | sí |
IMPORTANTE: los grupos o los usuarios a los que se concede Control total para una carpeta pueden eliminar cualquier archivo de dicha carpeta, cualesquiera que sean los permisos que protegen al archivo.
NOTA: aunque parece que Mostrar el contenido de la carpeta y Leer y ejecutar tienen los mismos permisos especiales, estos permisos se heredan de manera diferente. Mostrar el contenido de la carpeta lo heredan las carpetas, pero no los archivos, y sólo aparece al ver los permisos de carpetas. Leer y ejecutar lo heredan tanto los archivos como las carpetas y siempre está presente cuando ve los permisos de archivos o de carpetas.
NOTA: en Windows XP Professional, el grupo Todos no incluye el grupo Inicio de sesión anónimo.
Tomar control, posesión y conceder permisos a archivos y carpetas en Windows 7
Busca la carpeta o archivo de los que quieras tomar control, haz clic
con el botón secundario del ratón, en nuestro ejemplo la carpeta
Archivos de Juan, y selecciona Propiedades del menú contextual.
Haz clic en la pestaña Seguridad y luego en Opciones avanzadas.
En la ventana de Configuración de seguridad avanzada de la carpeta o archivo que hayas seleccionado, haz clic en la pestaña Propietario. Vas a poder ver el propietario actual de la carpeta o archivo. Luego para tomar control haz clic en Editar.
Nota: si te aparece la ventana de Control de cuentas de usuario, haz clic en Sí para continuar.
En la ventana emergente selecciona un nombre de usuario debajo de Nuevo Propietario y haz clic en Aceptar.
Términos y conceptos sistma de ficheros NTFS
Todo el tema de permisos que aquí se muestra se dan gracias al
sistema de ficheros: NTFS (New Technology File System), uno de los
sistemas de ficheros de Microsoft Windows, que permite un gran avance de
seguridad en cuanto a las concesiones de permisos o privilegios de
usuarios en Windows.
Herencia: La herencia permite la propagación de ACL posicionadas en objetos contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al objeto, sólo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en sí y a sus hijos.
Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o un objeto de sistema, como una canalización con nombre, un socket, un proceso, un subproceso, etc.
ACL (Access Control List): Es una lista de control de acceso que regula los permisos de acceso a los objetos del sistem. Está compuesta por entradas de controles de acceso ACE
ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una ACL. Una ACE está compuesta por un SID, una máscara de acceso que define los permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos permisos.
Hay tres tipos de ACE: Acceso concedido, Acceso denegado y Audit (para auditar la seguridad del sistema).
SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo objeto al que se le puede aplicar seguridad que contiene el SID del propietario del objeto, su grupo primario y las dos listas de ACL: DACL y SACL.
DACL (Discretionary Access Control List): Una lista de control de acceso discrecional es la que está controlada por el propietario del objeto. Especifica quién tiene permiso y quién no para acceder a dicho objeto.
SACL (System Access Control List): Una lista de control de acceso de sistema es la que controla la generación de mensajes de auditoría durante los intentos de acceder a un objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar una SACL).
SDDL (Security Descriptor Definition Language): Un lenguaje de definición descriptor de seguridad que permite definir y transportar datos almacenados en un descriptor de seguridad en formato de texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al servicio en formato SDDL.
El orden de interpretación de los permisos es o debería ser el siguiente:
- Accesos denegados explícitos (DENY ONLY).
- Accesos autorizados explícitos (ALLOW ONLY).
- Accesos denegados heredados.
- Accesos autorizados heredados.
Smart Screen es un filtro que encontramos en el próximo sistema operativo de Microsoft, Windows 8. Su función, básicamente, consiste en bloquear la ejecución de programas sin autorizar de manera automática para evitar un problema de seguridad en nuestro equipo, evitando así malware y otro software desconocido.
Herencia: La herencia permite la propagación de ACL posicionadas en objetos contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al objeto, sólo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en sí y a sus hijos.
Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o un objeto de sistema, como una canalización con nombre, un socket, un proceso, un subproceso, etc.
ACL (Access Control List): Es una lista de control de acceso que regula los permisos de acceso a los objetos del sistem. Está compuesta por entradas de controles de acceso ACE
ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una ACL. Una ACE está compuesta por un SID, una máscara de acceso que define los permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos permisos.
Hay tres tipos de ACE: Acceso concedido, Acceso denegado y Audit (para auditar la seguridad del sistema).
SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo objeto al que se le puede aplicar seguridad que contiene el SID del propietario del objeto, su grupo primario y las dos listas de ACL: DACL y SACL.
DACL (Discretionary Access Control List): Una lista de control de acceso discrecional es la que está controlada por el propietario del objeto. Especifica quién tiene permiso y quién no para acceder a dicho objeto.
SACL (System Access Control List): Una lista de control de acceso de sistema es la que controla la generación de mensajes de auditoría durante los intentos de acceder a un objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar una SACL).
SDDL (Security Descriptor Definition Language): Un lenguaje de definición descriptor de seguridad que permite definir y transportar datos almacenados en un descriptor de seguridad en formato de texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al servicio en formato SDDL.
El orden de interpretación de los permisos es o debería ser el siguiente:
- Accesos denegados explícitos (DENY ONLY).
- Accesos autorizados explícitos (ALLOW ONLY).
- Accesos denegados heredados.
- Accesos autorizados heredados.
Seguridad en Windows 8: SmartScreen Filter
Smart Screen es un filtro que encontramos en el próximo sistema operativo de Microsoft, Windows 8. Su función, básicamente, consiste en bloquear la ejecución de programas sin autorizar de manera automática para evitar un problema de seguridad en nuestro equipo, evitando así malware y otro software desconocido.
http://www.welivesecurity.com/la-es/2015/05/22/como-administrar-permisos-usuarios-grupos-usuarios-windows-7/
http://www.elhacker.net/permisos-privilegios-cuentas-usuario-windows7.html
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
directivas locales
,
ejecución
,
microsoft
,
ntfs
,
permisos
,
programas
,
sistema ficheros
,
tomar posesión
,
Windows
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.