Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Bloqueo de-ejecutables-en-windows-xp
1. Bloqueo de ejecutables en Windows XP.
Por…
Eder A. López.
WhiteSec Sistemas
www.whitesec.com.mx
Mayo de 2011
2. INDICE
Introducción
¿Que son las Directivas de Restricción de Software?.
¿Qué es DeepFreeze?.
Requisitos previos e indispensables.
Configurando el bloqueo de ejecutables en Windows XP.
Instalando DeepFreeze.
Instalar aplicaciones después de DeepFreeze.
Recomendaciones finales.
Ventajas y desventajas.
Conclusión.
Acerca de…
3. Introducción
Esta técnica para el bloqueo de ejecutables en Windows XP, se lleva a cabo
mediante las directivas de restricción de software y deepfreeze.
Es una técnica bastante tediosa pero también bastante efectiva, al grado que desde
que la implemente por primera vez, nunca más ninguno de los usuarios a quienes
he dado mantenimiento, ha vuelto a quejarse por malware en Windows.
La primera vez que la descubrí, la implemente en Windows XP, y debido a las
necesidades de los usuarios también la implemente de manera efectiva en Windows
Vista y Windows 7.
¿Que son las Directivas de Restricción de Software?.
Según Microsoft: Tal como su nombre lo indica. Las directivas de restricción de
software mediante su configuración regulan el uso de software en el sistema,
software benigno y maligno para el caso de virus informáticos. Entonces las
directivas de restricción de software son directivas de confianza, es decir, son reglas
definidas por un administrador para restringir aquel software o las secuencias de
comandos en las que no se confía y así impedir que realicen acciones no autorizadas
en el sistema operativo.
Los usuarios deben tomar decisiones constantemente sobre si ejecutar software
desconocido. Con frecuencia, los virus y los caballos de Troya se camuflan
intencionadamente para que los usuarios los ejecuten. Resulta difícil para los
usuarios hacer elecciones seguras sobre el software que deben ejecutar.
Con las directivas de restricción de software, puede proteger su entorno informático
de software en el que no se confía mediante la identificación y la especificación del
software cuya ejecución está permitida. Puede definir el nivel de seguridad
predeterminado en Irrestricto o No permitido para un objeto de directiva de grupo
(GPO) de modo que el software, ya esté permitido o no, se ejecute de manera
predeterminada. Puede crear excepciones a este nivel de seguridad predeterminado
mediante reglas de directivas de restricción de software para determinado software.
Por ejemplo, si el nivel de seguridad predeterminado está establecido en No
permitido, puede crear reglas que permitan que determinado software se ejecute.
Importante…
Las directivas de restricción de software no deben utilizarse como sustitutos del
software antivirus.
4. ¿Qué es DeepFreeze?.
Según Wikipedia: Deep Freeze es un software que se clasifica como de tipo
"reinicie y restaure" (Reboot and Restore) desarrollado por la compañía Canadiense
Faronics en 1996.
Funcionamiento: DeepFreeze es un controlador del núcleo que protege la
integridad del disco duro redirigiendo la información que se va a escribir en el disco
duro o partición protegida, dejando la información original intacta. Las escrituras
redirigidas desaparecen cuando el sistema es reiniciado, restaurando el equipo a su
estado original. Esto permite a los usuarios realizar cambios originales en el equipo,
por ejemplo para probar cambios potencialmente estables o benignos, sabiendo que
al reiniciar el sistema volverán a desaparecer.
Para realizar cambios el sistema se debe congelar, activando Deep Freeze, de forma
que los siguientes cambios sean permanentes.
DeepFreeze puede restaurar ciertos daños provocado por el malware y virus ya que
tras el reinicio cualquier cambio hecho por el software malicioso puede quedar
eliminado del sistema al ser revertido al estado original (junto con cualquier otro
tipo de modificaciones que se hayan hecho). Sin embargo, esto no impide que un
virus ó malware se desarrolle mientras que no se reinicie el sistema, ó que el virus
afecte a una partición que no esté protegida, o que se coloque en el registro del
DeepFreeze como archivo que estaba previamente en el sistema.
Requisitos previos e indispensables.
Como primer requisito y sin pretextos, es tener una instalación reciente y limpia de
Windows XP. Si no la tienes siempre antes de implementar esta técnica recomiendo
que formatees tu computador con Windows XP y hagas una instalación limpia desde
cero, si ya la tienes sigue leyendo este tutorial, de lo contrario empieza por buscar tu
CD de instalación de Windows XP.
Importante: Recomiendo ampliamente o exageradamente que para esta técnica es
estrictamente necesario tener dos particiones en tu disco duro, por ejemplo: C: y
D:
Esto servirá para tener una unidad para el sistema y una para guardar tus archivos
una vez que tu sistema este congelado con DeepFreeze.
En donde C: será para el sistema y D: será para guardar tus documentos por
ejemplo videos, música, fotos y demás archivos que quieras.
NOTA: Para hacerlo hágalo desde y con el disco de instalación de Windows XP. Si no
sabe como por favor busque un manual en internet para hacer particiones con
Windows XP desde una instalación nueva, o en su defecto llévelo a un taller de
mantenimiento y reparación de equipos de cómputo para que se lo hagan.
5. Además de lo anterior para ir haciendo las pruebas de configuración es necesario
que tengas un fichero ejecutable y un programa de instalación, en mi caso usare
Microsoft Office como programa de instalación.
NOTA: Si no sabe cómo hacer una instalación desde cero de Windows XP,
recomiendo buscarse un manual en www.google.com.mx que hay muchos por ahí.
Configurando el bloqueo de ejecutables en Windows XP.
Una vez recién tengas ya instalado Windows XP, deberás tener una pantalla más o
menos así.
La mía esta tan limpia, por que para este tutorial recientemente he instalado
Windows XP. La tuya puede no estar exactamente igual, no importa la cosa es que
este tutorial se entienda y logre su objetivo.
6. Ahora supongo que ya tenemos nuestra unidad C: y D: si es así, entonces vamos
a direccionar el directorio de Mis documentos a la unidad D:
Entonces sigue estos pasos:
1.- Da clic en la barra de tareas Botón Inicio/Mis documentos/ y clic derecho en
Propiedades.
2.- En la pantalla siguiente de un clic en la pestaña Mover… y luego en la otra
ventanita busque la unidad D: en su caso, la mía será la unidad F: luego de un
clic en Aceptar.
7. 3.- Luego de un clic en la opción Aplicar y en la otra ventana de dialogo diga Si.
En la siguiente ventana también diga Si a todo.
8. 4.- Luego en la siguiente ventana de un clic en la opción Aceptar.
5.- Para comprobar que la ruta Mis documentos ha sido movido de un clic en Mis
documentos luego en una carpeta cualquiera por ejemplo: Mi música y vera que en
la barra de dirección aparecerá la unidad de respaldo, en su caso será la unidad
D: en mi caso la unidad F:
Ahora que ya redirigimos mis documentos estamos ya listos para empezar a
configurar algo de seguridad en Windows XP.
9. Bien tenemos instalado Windows XP y una vez redirigido la carpeta mis documentos
vamos a buscar la siguiente sintaxis, Barra de Tareas/Inicio/Ejecutar.
Damos un clic ahí y en seguida tendremos una ventanita en el cual escribiremos
secpol.msc y damos Enter, o Aceptar así como se ve en la imagen.
10. En seguida tendremos otra pantalla en la que buscaremos la siguiente cadena de
directorio.
Luego en esa ventana crearemos permiso para crear las Directivas de Restricción de
Software. Y para ello solo damos en Acción/Crear nuevas directivas/
En seguida tendremos la ventana de esta forma.
11. IMPORTANTE…
Si el nivel de seguridad predeterminado se establece en No permitido,
automáticamente se crean las siguientes cuatro reglas de ruta de acceso del
Registro.
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%*.exe
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRoot%System32*.exe
%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir%
Estas reglas de ruta de acceso del Registro se crean como protección contra el
bloqueo del sistema para uno mismo y todos los usuarios. Sólo los usuarios
avanzados deben considerar la opción de modificar o eliminar estas reglas.
Los elementos de inicio se colocan en
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun en
el Registro. Si desea que se ejecuten, asegúrese de crear una regla de ruta de acceso
del Registro para ellos.
PASOS DEL PROCESO 1
En la ventana anterior daremos doble clic en la opción Reglas adicionales y en la
siguiente ventana daremos clic derecho y clicamos en la opción Regla de nueva
ruta…
12. Luego nos aparecerá otra ventanita en la cual tendrá 3 campos de escritura y una
opción de Examinar…
Ruta de acceso:
Nivel de seguridad:
Descripción:
El que nos importa por ahora es el campo de escritura Ruta de acceso: en el cual
escribiremos A: y revisa que en el campo de Nivel de seguridad: diga No
permitido y luego da un clic en Aceptar.
Lo anterior es para evitar que archivos ejecutables con extensión tales como: .exe,
.bat, .com, .cmd, .vbs, .inf, entre otros considerados como ejecutables, no se
ejecuten en la unidad A:
13. Los pasos anteriores deberá dejarnos la ventana de la siguiente forma:
Nota: Si no te ha salido bien repite los pasos del proceso 1 e inténtalo de nuevo.
Nota: Si ya te salió bien el ejercicio de todas formas repite 26 veces más, los pasos
del proceso 1 y sigue escribiendo la letra que sigue del abecedario por cada paso que
repitas.
Nota: En cada paso que repitas, siempre cuida que en el campo Nivel de
seguridad: diga siempre No permitido.
Hasta que quede la pantalla de la siguiente manera:
14. Ahora ya todo está restringido, ante ficheros ejecutables y en ninguna parte del
sistema se pueden abrir ficheros ejecutables excepto en Archivos de programa.
15. Ahora toma tu fichero ejecutable que se ha pedido en la sección requisitos previos, y
prueba ejecutarlo en cualquier directorio de tu sistema, por ejemplo, en el
escritorio y mis documentos.
Al darle doble clic aparecerá una pantalla como la que sigue.
Esto es porque hemos puesto a todo las letras de las unidades en Nivel de
seguridad: No permitido.
16. Ahora lo que sigue es crear un directorio en el cual podamos ejecutar los ficheros
ejecutables para ello voy a crear un directorio llamado PATH DE EJECUCION en
Mis documentos en mi unidad F:
Ahora vamos de nuevo a nuestra directiva de restricción de software para darle
permiso de ejecución a ese directorio repitiendo los pasos del proceso 1 solo que
esta vez daremos clic en el botón Examinar… y buscamos el directorio que dice
PATH DE EJECUCION y damos Aceptar, y en Nivel de seguridad: ponemos
Irrestricto. Y damos en Aceptar.
Así como se ve en las siguientes imágenes.
17.
18. Ahora dentro de ese directorio ya podemos abrir ficheros ejecutables o programas
como gustes llamarlo. Si haces la prueba al dar doble clic sobre tu fichero
ejecutable, se ejecutara sin ningún problema.
Bueno hasta aquí vamos bien.
Ahora Agarra tu programa de instalación y mételo en el directorio PATH DE
EJECUCION e instálalo desde ahí. En mi caso instalare Microsoft Office 2007.
19. Mi escritorio ha quedado de la siguiente manera:
Ahora si se intenta ejecutar algún programa de la paquetería Office que he
instalado, aparecerá un error porque también es ejecutable.
Ahora para corregir esto haremos una serie de configuraciones repitiendo los pasos
del proceso 1 solo que esta vez los directorios también serán distintos, y
además especificaremos las rutas donde se podrán abrir ficheros ejecutables.
NOTA: En el campo Nivel de seguridad: seguirá siendo No permitido.
NOTA: Y en el campo Ruta de acceso al final de la ruta agregaremos lo siguiente
*.exe
Esto para especificar que en esa ruta se pueden abrir ficheros ejecutables, pero que
no en todos los subdirectorios que pertenecen a dicha unidad.
20. Espero que no se me pierdan en las siguientes configuraciones.
Veamos un ejemplo con la configuración del directorio: C:Documents and
SettingsAll UsersEscritorio*.exe
Y a la unidad C: también la pongamos así: C:*.exe
Las configuraciones realizadas quedaran así:
Ahora si ejecutas algún programa de office o cualquier otro, o un ejecutable que
pudiera ser un virus en tu escritorio, puedes observar que se ejecuta
satisfactoriamente.
Pero no te preocupes que así es el proceso de configuración y en seguida vamos a
arreglarlo.
NOTA: Por cada configuración que vallas haciendo te recomiendo que vayas
probando tu fichero ejecutable en diferentes directorios para que veas que es lo que
va pasando con la configuración de tu sistema.
Ahora como ya estás muy familiarizado con esto, puesto que hasta ahora lo he
explicado paso a paso, por ahora realiza las siguientes configuraciones a los
siguientes directorios, hasta que te quede como en la imagen:
21. NOTA: Exactamente no puede quedarte igual pero si parecido en un 95%, y solo
podrá quedarte diferente los marcados con el recuadro rojo.
22. IMPORTANTE: Al final de esta configuración revisa en tu escritorio, que tus
programas de office si se ejecutan y que tu fichero ejecutable (ejemplo de un virus),
no se ejecute. Por ejemplo:
Listo si ya te resulto esta configuración, toma tu fichero ejecutable, y asegúrate que
no se ejecuta en ningún otro directorio.
Ahora ya tienes tu configuración de bloqueo de ejecutables, en Windows XP.
NOTA: Instala todos los programas que necesites desde el directorio PATH DE
EJECUCION antes de proceder al siguiente tema de Instalando DeepFreeze.
Una vez instalado todo lo que necesites, pasemos al siguiente tema…
23. Instalando DeepFreeze.
Para iniciar la instalación de DeepFreeze, primero debes tenerlo y para ello puedes
comprarlo desde su página oficial www.faronics.com o busca uno gratis con serial
incluido en algunas de las comunidades de intercambio de información, por ejemplo
TARINGA o en alguna red P2P.
Luego copia el programa de instalación en tu directorio PATH DE EJECUCION y lo
ejecutes para que inicie la instalación.
En mi caso instalare la versión DeepFreeze Standard 7.0.020.3172 y para ello
empecemos siguiendo estos pasos:
1.- Como el software fue descargado de internet busca este archivo ejecutable
DFStd.exe y dale doble clic para que se ejecute y luego aparece la siguiente
pantalla.
24. 2. Haga clic en la opción Siguiente y haga clic en Acepto los términos del Contrato
de licencia y nuevamente haga clic en Siguiente.
3. Ingrese la clave de licencia y de un clic en Siguiente para iniciar la instalación
de DeepFreeze, o seleccione la casilla Evaluación de uso y nuevamente de clic en
Siguiente para iniciar DeepFreeze en modo de Evaluación.
NOTA: Si decide usar el modo Evaluación de uso el periodo de evaluación
terminara dentro de los siguientes 30 días de su instalación, por eso recomendó que
de alguna otra forma consigamos uno con serial.
25. 4. En la siguiente pantalla seleccione las unidades que desea poner en estado
Frozen de la lista que se muestra y haga clic en Siguiente.
Importante: Nótese que la unidad que sea seleccionada no permitirá ningún cambio
en el sistema por que estará congelada.
En este caso seleccionaremos la unidad C:
Entonces no se podrán hacer cosas como:
1. Crear ni eliminar archivos en el escritorio, ni mucho menos guardar archivos
en el escritorio. Así que no guardéis ningún archivo en el escritorio porque al
apagar o reiniciar el sistema desaparecerán.
2. Eliminar archivos ni crear archivos en la unidad C:
3. Mientras el sistema este en estado Frozen o sea congelado no podrás instalar
ni desinstalar programas.
4. Mientras el sistema este congelado, lo que directamente esta en C: no podrá
sufrir ningún cambio. A menos que se descongele, pero eso lo veremos en el
siguiente tema.
Entonces elijamos la unidad C: tal como se ve en la siguiente imagen.
Nota: Cuida que solo este marcada con la flechita la unidad C: y de clic en
Siguiente.
26. 5. Como último paso haga clic en Instalar para que el proceso de instalación se
inicie.
NOTA: El sistema se reiniciara automáticamente después que se haya completado la
instalación.
27. Una vez iniciado nuevamente después de la instalación de DeepFreeze, se podrá ver
en la barra de tareas un candado en la parte derecha. Esto indica que DeepFreeze se
ha instalado correctamente y que debemos configurarlo.
El icono Frozen o Thawed de DeepFreeze aparece en la barra de tareas del sistema
después de la instalación, si la computadora está protegida (Frozen) por
DeepFreeze o si esta desprotegida (Thawed).
Cuando la computadora está en estado Frozen, o sea protegido se muestra el
siguiente icono:
Frozen (Modo seguro).
Cuando la computadora está en estado Thawed, o sea desprotegido se muestra el
siguiente icono:
Thawed (En riesgo).
Entonces una vez instalado DeepFreeze necesitamos hacer unos ajustes entre ellos
poner una contraseña.
Para comenzar a configurar DeepFreeze debemos mantener presionada la tecla
Shift+doble clic sobre el icono de representación Frozen o Thawed.
Luego aparecerá la ventanita siguiente donde se nos pedirá que ingresemos una
contraseña.
NOTA: Como por primera vez no le hemos puesto una contraseña, no ingresamos
nada y presionamos clic en OK.
28. En seguida aparecerá la siguiente ventana:
En la ventana anterior verifica que en la pestaña Status este marcada la opción
Reiniciar Frozen para que al reinicio, tu sistema se inicie protegido.
Ahora en la ficha Contraseña colócale la contraseña de tu preferencia y da clic en
Aplicar y Reiniciar así como se mira en la imagen siguiente.
Luego tu sistema se reiniciara en modo Frozen.
29. Instalar aplicaciones después de DeepFreeze.
Prácticamente una vez que el sistema este en estado seguro, no habrá manera de
realizar cambios en el sistema, no podrá instalar y desinstalar programas o
modificar el cambio de escritorio.
Entonces para realizar algún cambio en el sistema, instalación o desinstalar
programas, el sistema debe estar en estado Thawed y posteriormente reiniciarlo en
estado Frozen.
Para ello entonces deberá seguirse el siguiente proceso:
1. Primero suponiendo que el sistema está en estado Frozen procederemos a
ingresar a las opciones de configuración de DeepFreeze presionando Shift y
haciendo doble clic izquierdo en el icono de DeepFreeze en la barra de tareas
ingresamos la contraseña que hemos colocado antes y presionamos en OK.
2. En la ficha Status marcamos la opción que dice Reiniciar Thawed y damos
clic en Aplicar y Reiniciar.
3. Una vez reiniciado el equipo deberá apareceré en modo Thawed.
Entonces podrás realizar toda la configuración que necesites, así como
instalar y desinstalar programas, etc.
4. Una vez hecho todo esto, nuevamente entrar a las opciones de configuración
de DeepFreeze y reiniciarlo en modo Frozen.
5. Entonces una vez reiniciado tu sistema nuevamente estará seguro, de las
amenazas de ficheros ejecutables en Windows XP.
Recomendaciones finales.
1. Primero y una bien importante es que a la hora de la instalación de DeepFreeze
tienes obligatoriamente que ponerle al menos una contraseña. De lo contrario
algún usuario mas podría ingresar a DeepFreeze, modificar su configuración y
dejar el equipo en riesgo.
2. Para poder ahorrarse el trabajo de estar protegiendo y desprotegiendo el
sistema, entre algunas cosas recomiendo antes de instalar DeepFreeze tener
una lista bien clara y definida de todos los programas que vamos a necesitar
para funcionar nuestro sistema y que nos ayudaran en nuestras labores
diarias.
3. Recomiendo configurar la resolución de pantalla y el fondo de pantalla antes
de instalar DeepFreeze.
30. 4. Si tienes algún gestor de descarga P2P, recomiendo también bloquear los
ficheros ejecutables de los repositorios de archivos descargados.
5. Cuida que en las rutas de archivos compartidos también esté bloqueado la
ejecución de ficheros ejecutables.
6. Recomiendo estrictamente no guardar en el escritorio nada de información u
documentación de cualquier índole, como: documentos de todo tipo, videos,
música e imágenes, etc.
7. Guarda toda tu información en la carpeta Mis documentos de modo que cada
archivo que guardes no se pierda al momento de apagar el equipo, dando por
hecho que al inicio también direccionaste la ruta de mis documentos a la
unidad D: de otro modo todo lo que guardes seguramente podría perderse.
8. Por último y la más importante, asegúrate de hacer respaldos de tu
información más importante por lo menos a cada dos días.
Ventajas y desventajas.
Como toda cosa, también aplicar esta técnica tiene sus ventajas y sus desventajas…
Desventajas:
1. La primera y la más grande es que los usuarios comunes o a quienes se les de
soporte técnico, no podrán usar al 100% su sistema, puesto que no tendrán la
facilidad de instalar y quitar programas. Para hacerlo tienen que llamar al
administrador del sistema.
2. Para ejecutar un programa, no podrás hacerlo desde un USB, o una unidad de
CD o DVD, para ello tienes que copiarlo al directorio PATH DE EJECUCION y
ejecutarlo desde ahí.
NOTA: Tendríamos que darle permiso temporal a la unidad de CD o DVD
desde la directiva de restricción de software.
3. Tan solo para cambiar el fondo de tu pantalla tendrías que desactivar a modo
Thawen y posteriormente reiniciarlo en modo Frozen, cosa que resulta
laborioso.
Ventajas:
1. Una de las ventajas es que los ficheros que son considerados ejecutables y
que resultan ser una amenaza de seguridad para tu sistema, no se ejecutarían
desde tu unidad USB, ni los ficheros autorun.inf y eso ya es un avance
bastante bueno.
2. Cada vez que alguien que no seas tú podrá usar tu equipo y no tienes que
preocuparte de infección de virus.
31. 3. Tu equipo no se infecta ni infectas a otros usuarios.
4. La otra ventaja que se refleja en esta técnica es que no vuelves a saber más de
infección de virus en tu sistema.
5. Y la ultima y la más grande es: Si un usuario intencionalmente mete un virus
en algún directorio donde este permitido su ejecución, nomas por mencionar
alguno puede ser en C:Archivos de programa o en el directorio PATH DE
EJECUCION, el virus infectara temporalmente tu equipo y posteriormente al
reininiar, tu sistema estará tan inpecable como si nunca se ubiece infectado.
Puesto que cada cambio que se haga en el sistema mientras DeepFreeze este
en modo Frozen será devuelto a su estado anterior.
Conclusión.
Al final si usas esta técnica, vivirás agradecidamente tranquilo por el tiempo que
invertirás aplicando cada una de sus configuraciones y puedes estar seguro que no
volverás a saber más sobre infección de virus en tu sistema.
Acerca de…
Para mayor información, cualquier duda, sugerencia o comentario,
escribirme a dr.h47@live.com.mx o en www.whitesec.com.mx y
cualquier cosa con gusto la responderé.
WhiteSec Sistemas
www.whitesec.com.mx
dr.h47@live.com.mx
Dr. H47
Mexico | Mayo de 2011.
All Gr33tz my friendz | COPYLEFT.