Foros | Noticias, Actualidad | Windows | Linux | Mac OS X | Seguridad | Programacion | Diseno Grafico | Intercambio P2P | Multimedia | Redes | Messenger y IRC | Webmasters | Celular, Telefonia | Hardware | Tutoriales, Manuales | Peticiones de programas
Dic 20 2008

Activar control ActiveX en Windows Vista.

Categoria: Sin categoría | Enviado por: oalonsoll

Debido al gran auge de ataques bajo controles ActiveX, nos planteamos una seria duda. Un control ActiveX, en la mayoría de los casos (99%) ha de instalarse bajo una cuenta administrativa.

No todos los ActiveX son dañinos. Tenemos el ActiveX de Adobe, el de Windows Installer para las actualizaciones de Windows.

Como podréis observar, a día de hoy necesitábamos una solución mejor para la distribución de Desktops corporativos, ya que algún día, vamos a necesitar que sea nuestro usuario el que pueda instalarse esos ActiveX sin necesidad de ser Administrador. Eso reduciría la carga administrativa, y a la vez dotaría de dinamismo la actividad laboral entre usuario y departamento Help-Desk. Hoy en día hay aplicaciones de Intranet que necesitan esos controles ActiveX, aparte de las aplicaciones mencionadas antes.

En Windows Vista han pensado en esto (y muchas otras cosas más) y han lanzado un servicio llamado AXIS (Servicio Instalador ActiveX), el cual no es más que un servicio a nivel de políticas de grupo, que habilita esta función precisamente. El tener una White List o lista blanca en donde podamos poner las direcciones Web en las que sabemos con certeza que sus ActiveX no contienen código dañino.

La política tiene un funcionamiento muy sencillo y práctico. Para activar la política, nos dirigiremos a Panel de Control à Programas à Activar o desactivar características de Windows.

Una vez aceptado el aviso de UAC, activaremos la opción Servicio de instalador de ActiveX, el cual preparará nuestro Vista para este tipo de acciones. Una vez activada la característica, procederemos a crear nuestra White List o lista blanca de aplicaciones Web que necesiten instalar ActiveX en nuestros Desktops corporativos.

El segundo paso a realizar, consiste en iniciar la herramienta de políticas de grupo gpedit.msc.

Una vez allí, procederemos a ir a la ruta siguiente:

Configuración de equipo à Plantillas administrativas à Componentes de Windows à Servicio del instalador de ActiveX

Como podréis comprobar, la directiva aún no está aplicada, por lo que cualquier usuario con privilegios administrativos podría instalar cualquier ActiveX, venga firmado o no.

Una cosa que me gustaría remarcar, es que habilitando esta característica correctamente, habilitaremos a un usuario sin ningún tipo de privilegios, instalar controles ActiveX autorizados por nosotros, los administradores. Como podréis comprobar, la directiva se va a aplicar desde configuración de equipo, y no de usuario, así que será la cuenta de equipo quien instalará estos ActiveX permitidos.

ActiveXWhiteList

Una vez habilitada la directiva, tendremos que introducir en una lista, las direcciones Web  que queremos permitir.

WhiteList

Necesitaremos ambos valores y/o campos para establecer la directiva. En el primer campo estableceremos cual es la aplicación Web que va a necesitar de ese privilegio de instalación para su correcto funcionamiento.El segundo parámetro son una serie de controles para los diferentes estados de un ActiveX, que nos ayudarán a establecer cómo se va a comportar ese ActiveX, a la hora de descarga e instalación. Por defecto tendremos estos estados de ActiveX y por este orden se asignará la directiva:

  • TPSControlFirmado
  • Control Firmado
  • Control sin firmar
  • Política de Certificado

Y para estos campos, tendremos unos valores, los cuales son los siguientes:0.- El control ActiveX no se instalará1.- Se pedirá confirmación del usuario (tal y como hasta ahora)2.- El control ActiveX se instalará en modo silenciosoPor motivos de seguridad, para los controles sin firmar no existe el valor 2. Tan sólo está disponible el valor 0 y 1.

WhiteList

Gracias a esta nueva manera de instalación de controles ActiveX en Windows Vista, podemos mantener el mínimo privilegio posible en nuestros Desktops, sin despreciar para nada la potencia de un ActiveX.

Me dejo en el tintero la referencia a los logs que deja este tipo de configuraciones, pero lo dejo para un par de post que tengo en mente sobre Logs en Windows Vista, que sé que a los que le gustan los análisis forenses como a mí les va a resultar entretenido.

Espero que os haya molado!

Saludos!

Gracias a Juan Garrido de geeks.ms

Subido por Oscar Leal

Flechita Verde.

2 comentarios


Categoria: Sin categoría
, ,
Temas con tags relacionados:
SecretAgent 3.1.54 [MF]
ERD Commander para Vista y para Xp [MU]
Activadores [Windows, programas] [MF]
VirtualBox 3.1.4 [Instala Windows 7 dentro de tu Linux]
Tema de Windows 7 para Win XP [1 Link] [UL]
  • Enero 17th, 2009 a 3:25 am | karlost     

    xD

    karlost recomienda este tema karlost gives a rating of +1
  • Septiembre 14th, 2009 a 1:41 am | PeLuZoo     

    donde esta el link??

    PeLuZoo recomienda este tema PeLuZoo gives a rating of +1

Debes iniciar sesion para poder enviar un comentario.

GratisProgramas.org es una Web perteneciente a Tu Locura