Aplicar el principio de Menos privilegios para Windows Vista

Por Alex HeatonGerente de Productos Senior, Seguridad de Windows Vista™, Microsoft Corporation


“Cada programa y cada usuario del sistema debe operar utilizando el menor conjunto de privilegios necesario para completar el trabajo.” Este es el principio de menos privilegios como lo definieron Saltzer y Schroeder en su documento fundamental La protección de la información en sistemas de cómputo (en inglés) publicado en 1974. El consejo sigue siendo cierto hasta ahora. Al restringir qué privilegios tienen los usuarios y el software, usted puede ayudar a que el sistema sea más seguro.

Éste fue uno de los principios guía de seguridad detrás del desarrollo de Windows Vista. ¿Por qué es importante ejecutar un sistema con un menor número de privilegios? Veamos el privilegio de las cuentas de usuarios como ejemplo. Si está ejecutando su PC con una cuenta de administrador completa, cualquier programa que ejecute y cualquier malware que pueda explotar ese programa, también se estará ejecutando con privilegios completos de administrador. Esos privilegios son suficientes para abrir puertos de firewall, crear cuentas de administrador adicionales e incluso instalar un kit raíz para ocultar la presencia de malware. Sin embargo, si el código intenta explotar el software que se está ejecutando con privilegios limitados, el malware podrá descubrir que no puede ejecutar su ataque planeado y puede ser eliminado fácilmente debido a que no pudo crear ganchos profundos en el sistema.

PExaminemos cuatro áreas donde se aplicó este principio en Windows Vista: cuentas de usuario, exploración Web, servicios y controladores.

Cuentas de usuarios
TComo se mencionó anteriormente, la mayoría de las personas utilizan Windows® hoy con cuentas de administrador. Esto los coloca en un mayor riesgo de malware serio y dificulta tener un entorno de PC administrado, debido a que los usuarios pueden modificar las configuraciones confidenciales o instalar software no aprobado y posiblemente malicioso. La solución es ejecutar Windows utilizando una cuenta estándar que no sea de administrador. Aún así, esto puede ser difícil de hacer debido a que los usuarios estándar no pueden ejecutar muchos programas y esto los restringe de realizar muchas tareas comunes por sí mismos, tareas tan comunes como modificar sus configuraciones de energía o su zona horaria.

En Windows Vista, hemos hecho aún más fácil ejecutar Windows utilizando una cuenta de usuario con el menor número de privilegios. Los usuarios estándar ahora pueden hacer más tareas por sí mismos, incluyendo modificar la zona horaria y las configuraciones de energía, conectarse a redes inalámbricas seguras e instalar dispositivos y controles ActiveX aprobados. También hemos mejorado la compatibilidad de las aplicaciones para cuentas de usuarios estándar. Actualmente, muchas aplicaciones se rompen cuando intentan escribir en áreas protegidas del sistema de archivos y del registro a los cuales el usuario estándar no tiene acceso. Para permitir que muchas aplicaciones funcionen para los usuarios estándar, Windows Vista incluye tecnología de virtualización de archivos y registros que redirecciona las escrituras (y lecturas subsecuentes) a una ubicación por usuario dentro del perfil del usuario. Al eliminar las barreras para ejecución con un menor número de privilegios, esperamos que la mayoría de las cuentas de usuarios sean implementadas con permisos de Usuarios estándar en Windows Vista.

Exploración del Web
Internet Explorer® es el programa más utilizado en muchos PCs, pero lo que hace la mayor parte del tiempo requiere muy pocos privilegios del sistema. Descarga contenido del Web, lo muestra y cuando el usuario hace clic en el siguiente vínculo, lo hace de nuevo. El explorador no necesita tener acceso a muchos recursos del sistema para hacer eso, aunque los exploradores Web actuales se ejecutan con todos los privilegios del usuario conectado. Lo que significa que el malware que explota vulnerabilidades en el explorador o un control que se ejecuta en el explorador puede hacer cualquier cosa que el usuario pueda hacer, de manera programática, sin conocimiento o interacción del usuario.

En lugar de dar al explorador Web más privilegios de los que necesita, hemos aplicado el principio de menor número de privilegios a la tarea de exploración del Web. Por predeterminación, los sitios de Internet se ejecutarán en Modo protegido, lo cual limita el acceso de un explorador a las ubicaciones que se necesitan para las tareas arriba mencionadas: el directorio temporal de archivos de Internet, la carpeta de favoritos y unos cuantos directorios o configuraciones de registro. Por lo tanto, ayuda a evitar que los archivos o las configuraciones del usuario del sistema sean modificados sin el permiso explícito del usuario. Si los usuarios desean realizar una tarea que requiere mayores privilegios que los que tiene Internet Explorer por predeterminación, existe un proceso de intermediario que les permite aprobar una acción que requiera privilegios adicionales. Sin embargo, el modo de menor número de privilegios es el predeterminado.

Servicios
Los servicios Windows por lo general se ejecutan en la cuenta LocalSystem, la cuenta más poderosa en el sistema. Esto hace que tales servicios sean objetivos atractivos para desarrolladores de virus. Algunos de los gusanos Windows más severos —Slammer, Blaster y Sasser — todos estaban dirigidos a los servicios. De manera ideal, los servicios deben limitar su potencial de daño al ejecutarse en una cuenta con menores privilegios, tal como LocalService o NetworkService. Sin embargo, muchos servicios requieren por lo menos algunos privilegios que sólo soporta LocalSystem. El modelo “todo o nada” que se utilizó antes de Windows Vista significaba que un servicio que requiriera cualquier privilegio de LocalSystem tenía también que incluir todos los demás privilegios de LocalSystem. Esto con frecuencia significaba incluir privilegios que el servicio no requería.

En Windows Vista, hemos aplicado el principio de menor número de privilegios a servicios con un concepto nuevo llamado Windows Service Hardening. Los servicios se perfilan para tener sólo los privilegios que necesitan. Un menor número de procesos en Windows Vista utiliza la cuenta SYSTEM. En comparación con Windows XP, ocho servicios que acostumbraban ejecutarse con privilegios SYSTEM ahora se ejecutan como LOCAL SERVICE, y ahora cuatro se ejecutan como NETWORK SERVICE. Además, los servicios que no requerían la cuenta SYSTEM se pueden perfilar para restringirlos contra escrituras en el sistema de archivos o al enviar tráfico de salida, si el servicio no necesita esos privilegios para hacer la función para la cual se creó. Por ejemplo, el servicio Llamada de procedimiento remoto en Windows Vista está restringido contra el reemplazo de archivos del sistema, modificar el registro o manipular con otra configuración de servicio en el sistema (tal como la configuración de software antivirus y archivos de definición de firma). Terceros también pueden aprovechar estas capacidades para que sus servicios sean más seguros.

Controladores
Los controladores por lo general se ejecutan en el kernel, lo que les da el mayor privilegio de todos. Con acceso al kernel, es posible crear un kit de raíz que oculta todos los tipos de actividad maliciosa en el sistema. Windows Vista aplica el principio de menor número de privilegios a los controladores al ejecutar muchos controladores que normalmente se ejecutaban en modo de kernel en el modo de usuario más restringido en cambio. Esto también mejorar la estabilidad del sistema, debido a que un bloqueo en el kernel con frecuencia podía resultar en un bloqueo de la pantalla azul de todo el sistema operativo, pero con frecuencia se puede recuperar de un bloqueo en modo de usuario.

Conclusión
Algunas veces menos es más. Al restringir qué privilegios tienen los usuarios y el software, usted puede ayudar a que el sistema sea más seguro. Algunas de estas protecciones son invisibles, como el endurecimiento de servicio. Algunos pueden tomar tiempo para acostumbrarse, como el Control de cuentas de usuario. Y algunos tal vez requieran que el software se actualice para funcionar bien para las cuentas de Usuarios estándar antes de que todos puedan aprovechar los beneficios. Pero al final del día, cuando se instala Windows Vista, debe tener más seguridad de que su infraestructura es menos vulnerable a ataques debido a que más cosas se están ejecutando con un menor número de privilegios.