21 julio 2010

Esta entrada detalla cómo aplicar una directiva de restricción de software para evitar la última vulnerabilidad crítica de Windows en todas sus versiones y para la que aún no hay parche. Es una libre adaptación y traducción de la entrada de Didier

Para aplicar la directiva hay que acceder desde el panel de control, herramientas administrativas: Directiva de seguridad Local.


La primera vez que se accede a las Directivas de restricción de software, es necesario crearlas pulsando sobre el botón derecho en esa carpeta.


Posteriormente se añadirá la ruta de los discos duros donde se encuentren ficheros de sistema y que serán excluidos de la directiva. Añadiendo una nueva ruta dentro de las "Reglas adicionales", en el ejemplo el disco es C:





Para evitar la vulnerabilidad, además de los archivos ejecutables EXE, también hay que añadir las librerías DLL. En las propiedades de "Obligatoriedad", seleccionando "Todos los archivos de software"


Por último, se modificará el funcionamiento de listas negras a listas blancas. Dentro de Niveles de Seguridad, en las propiedades de "No permitido": Establecer como predeterminado.

 

Esta misma directiva podría ser aplicada mediante una GPO en un dominio, de tal forma que todos los equipos de la red queden protegidos de la vulnerabilidad.

Una vez aplicada, será necesario que el usuario vuelva a iniciar sesión para que los cambios tengan efecto.

9 comments :

Chuski dijo...

No olvideis poner tmb la ruta de los distintos scripts de arranque que tengais, y probar antes que todo funciona correctamente :)

Chuski dijo...

Por cierto, no he dado las gracias... muchas gracias por el truco, me ha sido de gran ayuda!

Anónimo dijo...

¿En que entorno empresarial puedes aplicar esta solución?. Ya que esa directiva implica que no se pueda instalar en los equipos ningún software nuevo...al menos hasta que Microsoft saque un parche que solucione el problema....y eso puede tardar.

Le das al botón de aplicar GPO y con la misma tienes el teléfono del Helpdesk echando fuego!!!

Anónimo dijo...

Muchas gracias por la explicación!!
En cuanto pueda lo hago, con la regla adicional de c: :D

Jay Kamble Govind dijo...

Muy buenas,

Si los usuarios emplean otras particiones aparte de C:\ y unidades de red, ¿con ponerlos en la regla de exclusión sería suficiente?

Muchas gracias y un saludo!!

PD: Fantástico el blog, muy buen trabajo, sí señor!!!

Anónimo dijo...

Buenas,

La verdad es que la solución es más agradable que la de la deshabilitación de los iconos de los lnk. Una pregunta, con la unidad C: me funciona correctamente pero con una unidad en red, digamos S, ¿como se haría?

Gracias de antemano, saludos.

Alejandro Ramos dijo...

@Jay Kamble Govind y @Anónimo: si no son particiones de sistema, no deberian de estar excluidas, justamente las más peligrosas son las de red.

Un saludo

Jay Kamble Govind dijo...

Muy buenas,

Si los usuarios emplean otras particiones aparte de C:\ y unidades de red, ¿con ponerlos en la regla de exclusión sería suficiente?

Muchas gracias y un saludo!!

PD: Fantástico el blog, muy buen trabajo, sí señor!!!

Geovani Valerio dijo...

esto me pasa pero soy el administrador y no puedo modificar el gpo de domino