SYSTEM, causa y efecto. I de IV

Estándar


SYSTEM, causa y efecto II de IV

SYSTEM, causa y efecto III de IV

SYSTEM, causa y efecto IV de IV

Hola a todos!!

En esta serie de 4 capítulos, examinaremos las sutiles diferencias entre un usuario administrador y un usuario de sistema (SYSTEM). Estas diferencias, serán cruciales a la hora de decidir qué tipo de cuenta será necesaria para la explotación de un fallo en el sistema, o decidir si es o no imprescindible el uso de técnicas para ganar una posible elevación de privilegios. También nos ayudarán a conocer el porqué de ciertos comportamientos dispares entre cuentas aparentemente similares.
A nivel de sistema operativo, tanto la cuenta Administrador como la cuenta de sistema, son cuentas con los mismos privilegios. Esta equidad, sólo se manifiesta a nivel de ficheros. A nivel de directorios, la cuenta SYSTEM tendrá, obligatoriamente por diseño del sistema operativo, mayores privilegios que una cuenta de tipo Administrador.
La cuenta SYSTEM, es usada por el sistema operativo para la carga o precarga de elementos cruciales en el inicio del sistema operativo. Servicios y procesos que necesita Windows para el buen funcionamiento del sistema, y para el inicio del mismo. La cuenta, diseñada para ese propósito, es una cuenta interna, y por tal motivo, no podemos administrarla utilizando funciones básicas de administración, como por ejemplo las siguientes:

  • Administración de usuarios
  • Añadir o eliminar de grupos
  • Derechos especiales de usuario

Para demostrar esto, se pueden utilizar dos ejemplos básicos. Uno es a nivel de ficheros, y otro por ejemplo, es a nivel de Registro.
En Windows XP, por defecto la cuenta SYSTEM tiene control total en todos los ficheros y directorios del sistema operativo, y no como la cuenta Administrador, que tiene control total en casi todos los elementos del sistema. Un ejemplo válido es la carpeta SYSTEM VOLUME INFORMATION, ubicada en la raíz del sistema instalado, y que tiene como objetivo el almacenamiento de las copias de seguridad o puntos de restauración. Si se intenta obtener acceso a este directorio a través de una cuenta con privilegios únicamente de administrador, obtendremos un bonito error, ya que a nivel NTFS, no tenemos privilegios.

 
Imagen 1.- Acceso denegado en SYSTEM VOLUME INFORMATION

Otro ejemplo válido lo tenemos a la hora de visualizar elementos del registro de Windows. La cuenta SYSTEM tiene, por diseño del propio sistema operativo, control total sobre ciertas claves de registro, imprescindibles para el buen funcionamiento del mismo. Algunos de estos ejemplos son la clave SAM, en donde se almacenan los datos de los usuarios existentes en el sistema, y la totalidad de los permisos en la clave SECURITY, ubicada en la clave HKLM (HKEY LOCAL MACHINE). En la siguiente imagen, se puede visualizar un ejemplo de este tipo.


Imagen 2.- Elementos de registro visibles a través de la cuenta SYSTEM


A partir de Windows Vista en adelante, en el apartado referente al control de ficheros y directorios, y siempre hablando a nivel NTFS, se añade una nueva entidad con control total en el sistema. Esta entidad, llamada TrustedInstaller, es la encargada de una nueva característica en Windows Server 2008 y Windows Vista/7, llamada Windows Resource Protection.

Imagen 3.- Lista de control de acceso discrecional en Windows 7

En el siguiente post, repasaremos el funcionamiento de ambas cuentas a nivel de sesiones de usuario, evaluando el funcionamiento de las mismas en base a los perfiles que éstas crean.
Saludos!!
Referencias
Funcionamiento de ICACLS
http://technet.microsoft.com/es-es/library/cc753525(WS.10).aspx
Mecanismos reemplazados en Windows Server 2008
http://msdn.microsoft.com/en-us/library/aa382540(v=vs.85).aspx
Cómo es usada la cuenta SYSTEM en Windows
http://support.microsoft.com/kb/120929/en-us

Anuncios

Controlando Firefox en entornos corporativos

Estándar

Hola chic@s!

Tenía ganas de escribir sobre esto, ya que es un tema que en un principio (hace un par de años) me dió mucha guerra en su momento, y es la posibilidad de controlar ciertas aplicaciones en un entorno corporativo, como puede ser Directorio Activo.

Hoy en día estamos ante un hecho irrefutable, y es que nuestros desarrolladores (principalmente), deben convivir en un sistema con varios navegadores, para así poder dar soporte de sus aplicaciones Web.

Siempre he sido reacio a instalar aplicaciones “importantes” en un entorno corporativo y centralizado, si no puedo controlarlas desde mi Directorio Activo, es decir, a través de políticas.

Internet Explorer es altamente configurable a través de políticas. Es tal su nivel de granularidad, que podemos hacer prácticamente todo lo que se nos antoje. Desde cambiar el user-agent, hasta cambiar el tittle. Y todo ello a través de políticas. Las aplicas a una Unidad Organizativa, y se aplican a todos los objetos que ésta contenga. Fácil no?

Con Firefox la cosa cambiaba mucho, ya que no disponía de políticas de grupo para un control de esas características. La gran diferencia entre estos dos navegadores, es que Firefox puede ser una gran herramienta de hacking, mientras que IE no. IE es un navegador corporativo en toda regla, o por lo menos algunos lo vemos así.

Es la gran pregunta que nos hemos hecho muchos administradores al llegar al punto de decidir si algunos usuarios en nuestra empresa deben o pueden convivir con varios navegadores, en especial, los desarrolladores Web.

He visto empresas que tenían usuarios con IE y Firefox, y éste último instalado con decenas de extensiones y configuraciones. A medida que van llegando herramientas de este tipo a nuestra empresa, y sin un control centralizado de ellas, nuestra empresa va perdiendo seguridad. A mayor capacidad de la herramienta (mayores extensiones y configuraciones), mayor es la degradación de la seguridad.

Aquí no se trata de si un navegador es mejor que otro, y este artículo no va por esa línea. Particularmente me encanta IE y me encanta FF. Este artículo va de cómo puedo mantener un cierto grado de seguridad en mi empresa, quitando aspectos de la herramienta que no me interese, sin que para ello se vea afectada la productividad de mis usuarios y/o trabajadores al manejar la herramienta.

Aquí es donde entran en juego las políticas de sistema de Windows y las plantillas administrativas.

Una plantilla administrativa no es más que un archivo de texto que define las propiedades de un componente en una aplicación específica. Se reconocen por tener extensión ADM, y su estructura es parecida a la siguiente:

CLASS (Máquina o usuario)

      CATEGORY (Cagegoría)

             KEYNAME (Clave de registro)

       POLICY

       END POLICY

       END CATEGORY

Si queréis saber más sobre la ubicación de las políticas de grupo en Windows, y su estructura, podéis leer los artículos que os enlazo:

http://support.microsoft.com/kb/228460/es (Ubicación de las plantillas ADM)

http://support.microsoft.com/kb/225087/es (Escribir archivos ADM personalizados)

La página Web FrontMotion ha realizado un estupendo trabajo creando y liberando en su día unas plantillas para que pudiésemos realizar este trabajo e integrar FF en nuestra empresa, aunque hasta hace poco, las plantillas no estaban tan depuradas como hasta ahora.
Para integrar Firefox en nuestro Directorio Activo, tendremos que seguir unos pasos muy sencillos.

Tendremos que descargarnos una versión de FF específica, creada para este fin:

En nuestro caso, y para Firefox en su versión 2.0.0.6, tendremos los siguientes archivos:

Firefox 2.0.0.6 versión Spanish

Plantilla ADM número 1 para Firefox (Válida para configuración de equipo y usuario)

Plantilla ADM número 2 para Firefox (Válida sólo para configuración de equipo)

 Una vez que tengamos estas herramientas, podemos planear una instalación del navegador a través de políticas. Partiendo de la base de que el navegador está instalado en todos los usuarios pertenecientes a mi Unidad Organizativa llamada picateclas, vamos a añadir las plantillas administrativas.
Una buena práctica a la hora de administrar un Directorio Activo, es crear grupos de políticas independientes cada vez que deseemos administrar una parte del sistema operativo o alguna aplicación concreta. Por ejemplo si en un sistema operativo quiero administrar el Firewall de Windows, el Internet Explorer y el Firefox, me crearé una plantilla (para administrarlas a través del editor de políticas gpedit) por cada una de ellas. Con esto evitamos el poder perdernos entre tanta política. Imaginad si algún compañero no viene a trabajar un día determinado, se pone malo, de vacaciones, etc.. En un entorno empresarial grande y con tantas políticas para el equipo y aplicaciones, podríamos perder productividad como administradores. En el ejemplo, y para la unidad organizativa en cuestión, quedaría de esta manera.

A continuación agregaré y linkaré las dos plantillas para administrarlas. Linkaré estas dos plantillas en una configuración de equipo. Recordad que una de las dos plantillas sólo admite la posibilidad de cuenta de equipo.

Una vez agregadas las plantillas, podremos configurar Firefox a nuestro gusto, añadiendo y quitando funciones, para adecuar el funcionamiento de la herramienta a las necesidades de la empresa, manteniendo la funcionalidad y la seguridad.

La configuración que voy a realizar para la unidad organizativa picateclas es la siguiente:

    Configurar una página de inicio
      Desactivar el molesto chequeo del navegador por defecto
      Habilitar un espacio fijo para la caché de navegación
      Establecer un directorio determinado para la ubicación de las descargas
      Desactivar la instalación de nuevos complementos

Una vez configuradas las políticas, desde el editor de políticas de grupo se verán aplicadas de esta manera

Estas plantillas dan la posibilidad de configurar de forma avanzada nuestro navegador Firefox, de tal forma que no se nos escape nada, tal y como configuraríamos Firefox desde la opción about:config.

Una vez establecido las políticas a la unidad organizativa en cuestión, la próxima vez que reinicien el equipo, éste se comportará de esta manera una vez que naveguen a través de Firefox.

La página de inicio se muestra en gris, y no se puede cambiar (o al menos yo no he podido todavía)
El directorio de descargas tampoco se puede cambiar.

Si por el contrario, uno de mis usuarios desea descargarse algún que otro complemento, el navegador responderá de la siguiente manera:

Con esta configuración, obligamos a nuestros empleados a utilizar formularios internos si desean algún tipo de configuración en el navegador, impidiendo así la instalación no deseada de software en el navegador.

Recordad que si la aplicación lo permite, podemos crearnos nuestras propias plantillas administrativas. Gracias a ello podremos administrar nuestras aplicaciones desde Directorio Activo, centralizando el trabajo y manteniendo la seguridad. Son todo beneficios!

Saludos a tod@s!