martes, noviembre 19, 2013

Windows: Como crear Políticas de restricción de software

En este momento vamos a hacer que no se puedan lanzar ejecutables desde cualquier directorio de nuestro querido Windows. Sobre todo desde aquellos lgares más comunies para sufrir algún tipo de infección del tipo ransomware. No es efectivo 100% porque solo nos dedicamos a no permitir la ejecución de ciertos subdirectorios y si se coloca en otro sitio es posible que se pueda ejecutar, pero es un principio.

Tenemos el método manual que pongo a continuación y un fichero que he creado para que se introduzca en el registro, que es más rápido si tienes Win 6/7/8 (AQUI)

(ACTUALIZACION: 20/11/2013) - Ahora creo que si Fichero Reg Win 6/7/8:(AQUI)

Abrimos Panel de control –> Sistema y seguridad –> Herramientas administrativas
image
Ahora nos vamos a Directivas de seguridad local –> Directivas de restricción de Software
Si no tenemos la creamos
image
Botón derecho –> Crear directivas de restricción de software
image
Pinchamos en Reglas adicionales dentro del panel izquierdo
image
Ahora con el botón derecho en el panel derecho pinchamos en: Regla nueva de Ruta de acceso
image
Creamos ciertas rutas para evitar que se ejecuten programas desde sitios no deseables, incluidos los adjuntos a los correos electrónicos.
image
Bloquear ejecutables en %AppData%
Ruta de acceso: %AppData%\*.exe
Nivel de seguridad: No permitido
Descripción: No podemos lanzar ejecutables desde %AppData%
image
Bloquear ejecutables en %LocalAppData%
Ruta de acceso Windows XP: %UserProfile%\Local Settings\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\*.exe Nivel de seguridad: No permitido
Descripcion: No podemos lanzar ejecutables desde %LocalAppData%
image
Block Zbot executable in %AppData%
Ruta de Acceso: %AppData%\*\*.exe
Nivel de seguridad: No permitido
Descripcion: No podemos lanzar ejecutables desde un subdirectorio de %AppData%
image

Bloquear ejecutables en %LocalAppData%
Ruta de acceso Windows XP: %UserProfile%\Local Settings\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\*\*.exe Nivel de seguridad: No permitido
Descripcion: No podemos lanzar ejecutables desde un subdirectorio de %LocalAppData%\*
image

Bloquear ejecutables desde los adjuntos que se abren con WinRar:
Ruta de acceso Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Nivel de seguridad: No permitido
Descripcion: Bloquear ejecutables desde los adjuntos que se abren con WinRar.
image
Bloquear ejecutables desde los adjuntos que se abren con 7zip:
Ruta de acceso Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Nivel de seguridad: No permitido

Descripcion: Bloquear ejecutables desde los adjuntos que se abren con 7zip.
image
Bloquear ejecutables desde los adjuntos que se abren con WinZip:
Ruta de acceso Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Nivel de seguridad: No permitido

Descripcion: Bloquear ejecutables desde los adjuntos que se abren con WinZip.
image
Bloquear ejecutables desde los adjuntos que se abren con el Zip de Windows:
Ruta de acceso Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Ruta de acceso Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Nivel de seguridad: No permitido

Descripcion: Bloquear ejecutables desde los adjuntos que se abren con el Zip de Windows.
image

El resultado de introducir estas rutas será el siguiente:
image
Esto hará que si algún programa intenta ejecutarse desde esas rutas, nos aparecerá un mensaje indicando que el administrador mediante una Política de seguridad no nos permite ejecutar ese programa y se complementará con su pertinente entrada en el visor de eventos.
Ahora bien, esto es si lo queremos hacer a mano, estas acciones previas hacer que se introduzcan en el registro de Windows unas claves en el registro tanto en HKLM y HKLU:
image
Que se pueden exportar:
image
Estos ficheros los podemos descargar de AQUI
Ahora probamos que funciona, vamos a intentar ejecutar un EXE que reside dentro de un fichero ZIP y que abrimos con WinRar:

image 
ACTUALIZACION: Con esta configuracion Spotify no funcionara. Para que funcione tenemos que permitir la ejecucion en %AppData%/*/*.exe

Tenemos otra forma de impedir ejecucion de ransomware que nos da Sergio de Los Santos desde Hispasec: http://unaaldia.hispasec.com/2013/04/ultimas-versiones-del-virus-de-la.html