Microsoft incorpora un sistema llamado Windows Integrity Controls into Windows Vista que es básicamente una etiqueta para archivos que identifica su confiabilidad. Lo que lo hace interesante es el hecho de que los controles anulan los permisos visibles de un archivo o carpeta.
Nota : Chml fue diseñado inicialmente para Windows Vista, el sistema operativo al que Microsoft agregó los controles. También funciona en su mayor parte en las nuevas versiones de Windows.
Se pueden asignar seis niveles de confianza a archivos con el mismo o menor nivel de permiso. Esto significa que un usuario normal no puede cambiar el nivel de integridad de un archivo para el que no tiene permisos.
Los seis niveles de integridad son Instalador de confianza, Sistema (procesos del sistema operativo), Alto (administradores), Medio (no administradores), Bajo (archivos temporales de Internet) y No confiable.
- Instalador de confianza
- Sistema
- Alto
- Medio
- Bajo
- No confiable
Como puede ver, ni siquiera un administrador puede cambiar el nivel de integridad de los archivos y carpetas que pertenecen a los instaladores de confianza o al sistema, al menos no fácilmente.
Una herramienta de línea de comandos está disponible que hace bastante fácil cambiar el nivel de integridad de los archivos y carpetas. Se llama CHML y está disponible en un sitio web que explica el proceso en detalle.
El comando “chml filename” muestra el nivel de integridad de ese archivo. La modificación de archivos y carpetas sólo es posible si se realizan cambios en el Editor de directivas de grupo:
- Abrir gpedit.msc
- Navegar a Configuración del ordenador / Configuración de Windows / Políticas locales / Asignación de derechos de usuario
- En el panel derecho, verá una entrada “Modificar una etiqueta de objeto”; ábrala
- De forma predeterminada, no hay ningún listado de cuentas de usuario con este privilegio. Añada su cuenta de usuario.
- Cierre el Editor de directiva de grupo
- Cerrar sesión y volver a iniciar sesión para terminar de obtener el nuevo privilegio en el token de inicio de sesión
El comando básico para cambiar el nivel de integridad de los archivos o carpetas en Windows Vista es chml -i:u, l, m, h, o s. Sólo se necesita obviamente una letra, ya que son las siglas de Untrusted, Low, Medium, High o System.
Hay tres opciones adicionales disponibles. Las opciones -nr, -nw y -nx niegan los derechos de lectura, escritura y ejecución.
Encontré la referencia a los niveles de integridad de Windows en el foro de Donation Coder, donde Skrommel tuvo la amabilidad de crear un script de Autohotkey que añadía la funcionalidad al menú contextual.
Resumen Nombre del artículoNiveles de integridad de Windows para mayor seguridad en Windows VistaDescripciónMicrosoft incorpora un sistema llamado Windows Integrity Controls en Windows Vista que es básicamente una etiqueta para los archivos que identifica su confiabilidad.AuthorMartin BrinkmannPublisherGhacks Technology NewsLogo Publicidad