Noté que algunas aplicaciones instalaron certificados raíz en mi computadora.
- ¿Es posible prevenir esto?
- ¿O hay un servidor de seguridad o tal que me lo notifique?
Noté que algunas aplicaciones instalaron certificados raíz en mi computadora.
Background
Los servidores de Windows que tienen conectividad a Internet llegan a los servidores de CA y actualizan automáticamente certificados de Trusted Root Authority, CTL, STL y certificados revocados. Esto ocurre en segundo plano y no requiere ninguna entrada o interacción del usuario.
¿Por qué controlarlo?
A muchos entornos gubernamentales les gusta apagar esta activación, ya que se trata de control. Por ejemplo, cuando se demostró por primera vez que el certificado CA de eDellRoot de Dell era una vulnerabilidad, Microsoft no lo revocó de inmediato. Pasaron algunos días antes de que terminara en una lista no confiable o revocada. Muchos en el campo de la seguridad sienten que pueden reaccionar más rápido controlando las listas. Muchos reducen la amenaza tan pronto como se enteran a través de varios canales, en lugar de esperar a que los equipos de Microsoft consideren algo inseguro.
¿Cómo controlarlo?
Para desactivar la Actualización automática de certificados raíz mediante el Editor de políticas de grupo local:
Haga clic en Inicio y luego haga clic en Ejecutar.
Escriba gpedit.msc y luego haga clic en Aceptar.
Tenga en cuenta que hacerlo de esta manera es más seguro que desactivar las Actualizaciones automáticas. Porque aún desea que se apliquen otros parches de seguridad. (Suponiendo que tiene una conexión a Internet).
Si conoce el directorio donde están instaladas las CA raíz, podría ajustar los permisos para escribir en ese directorio. Si configura ese directorio para que solo sea legible y no pueda escribirse, entonces evitará la instalación de nuevos certificados.
Además, puede configurar un sistema de alerta que le notifique cuando cambie algo en ese directorio. De esta manera, podría permitir que se instalen nuevas CA y podría verificar los cambios para verificarlos.
Todo esto se puede hacer en los sistemas operativos Linux / Unix / BSD / Mac.
Lea otras preguntas en las etiquetas certificates