¿Previene y / o detecta la instalación de certificados raíz en Windows?

10

Noté que algunas aplicaciones instalaron certificados raíz en mi computadora.

  • ¿Es posible prevenir esto?
  • ¿O hay un servidor de seguridad o tal que me lo notifique?
pregunta Rápli András 04.04.2016 - 09:43
fuente

2 respuestas

1

Entornos de Windows.

Background

Los servidores de Windows que tienen conectividad a Internet llegan a los servidores de CA y actualizan automáticamente certificados de Trusted Root Authority, CTL, STL y certificados revocados. Esto ocurre en segundo plano y no requiere ninguna entrada o interacción del usuario.

¿Por qué controlarlo?

A muchos entornos gubernamentales les gusta apagar esta activación, ya que se trata de control. Por ejemplo, cuando se demostró por primera vez que el certificado CA de eDellRoot de Dell era una vulnerabilidad, Microsoft no lo revocó de inmediato. Pasaron algunos días antes de que terminara en una lista no confiable o revocada. Muchos en el campo de la seguridad sienten que pueden reaccionar más rápido controlando las listas. Muchos reducen la amenaza tan pronto como se enteran a través de varios canales, en lugar de esperar a que los equipos de Microsoft consideren algo inseguro.

¿Cómo controlarlo?

Para desactivar la Actualización automática de certificados raíz mediante el Editor de políticas de grupo local:

  • Haga clic en Inicio y luego haga clic en Ejecutar.

  • Escriba gpedit.msc y luego haga clic en Aceptar.

  • Si aparece el cuadro de diálogo Control de cuenta de usuario, confirme que la acción que muestra es lo que desea y luego haga clic en Continuar.
  • En la configuración de la computadora, haga doble clic en Plantillas administrativas, haga doble clic en Sistema, haga doble clic en Administración de comunicación de Internet y luego haga clic en Configuración de comunicación de Internet.
  • Haga doble clic en Desactivar la actualización automática de certificados raíz, haga clic en Habilitado y luego haga clic en Aceptar.
  • Cierre el Editor de políticas de grupo local.

Tenga en cuenta que hacerlo de esta manera es más seguro que desactivar las Actualizaciones automáticas. Porque aún desea que se apliquen otros parches de seguridad. (Suponiendo que tiene una conexión a Internet).

    
respondido por el mumbles 30.06.2016 - 04:44
fuente
0

Si conoce el directorio donde están instaladas las CA raíz, podría ajustar los permisos para escribir en ese directorio. Si configura ese directorio para que solo sea legible y no pueda escribirse, entonces evitará la instalación de nuevos certificados.

Además, puede configurar un sistema de alerta que le notifique cuando cambie algo en ese directorio. De esta manera, podría permitir que se instalen nuevas CA y podría verificar los cambios para verificarlos.

Todo esto se puede hacer en los sistemas operativos Linux / Unix / BSD / Mac.

    
respondido por el Brent Kirkpatrick 14.04.2016 - 05:36
fuente

Lea otras preguntas en las etiquetas