Windows XP Service Pack 2
Las mejoras introducidas son muchas, y en ocasiones, tan importantes que los desarrolladores de aplicaciones tendrán que verificar que las mismas funcionen adecuadamente.
Los mejores estrategas militares del pasado establecían, a la hora de la construcción de fortalezas, una defensa basada en diferentes niveles de obstáculos, creando un sistema de capas de protección que impedía o dificultaba un ataque directo a las partes críticas de la construcción.
La aproximación a la seguridad que toma el SP2 de Windows XP intenta darnos la misma protección que ofrece disponer de varios niveles de defensa.
La idea es crear una serie de capas de protección para gusanos el riesgo frente virus y gusanos, aun en el caso de que no hayamos podido actualizar el sistema ante una vulnerabilidad en una determinada función.
En realidad, son nuevas tecnologías de seguridad que mitigan el riesgo cuando una actualización no puede ser desplegada de forma inmediata por cualquier razón. Estas tecnologías las podemos agrupar en las siguientes áreas:
– Protección de los servicios de red.
– Protección de memoria del sistema.
– Manejo seguro del correo.
– Explorador de Internet IE más seguro.
– Mantenimiento y actualización del sistema.
Es importante entender el alcance de cada una de ellas y ver como impacta en las sistemas actuales, por ello vamos a ver detenidamente cada una de las innovaciones y modificaciones que supone la instalación del Service Pack 2 para Windows XP.
1. Tecnologías de protección de los servicios de red
En el siguiente apartado vamos a comentar aquellas innovaciones introducidas en el SP2 de XP que tienen impacto en la forma de trabajar en red Windows XP.
Servicio de alertas y Messenger
Estos servicios son componentes de Windows heredados de versiones inferiores y que permiten enviar mensajes entre máquinas en la red. El servicio de Messenger envía mensajes desde aplicaciones y servicios, mientras que el servicio de Alertas esta orientado de forma específica a alertas administrativas del sistema.
Cambios: Hasta ahora el servicio de Messenger se iniciaba automáticamente al arrancar Windows mientras que Alertas era de forma manual. Con SP2, ambos servicios quedan en estado de deshabilitado. No se hace ningún otro cambio en ellos, cualquier aplicación que haga uso de estos servicios para comunicar no manual.
Implicaciones: Hay dos formas de resolver el impacto de esta modificación. La primera y aconsejada es la revisión de las aplicaciones que hagan uso de estos servicios y su modificación para hacer uso de otros modos de comunicación. El segundo modo de resolver la modificación es adaptar la aplicación para iniciar los servicios antes de hacer uso de ellos.
Soporte Bluetooth
Bluetooth es una de las tecnologías inalámbrica de rango corto de mayor éxito y disponible en una amplia variedad de dispositivos. Hasta ahora el soporte de estos dispositivos era responsabilidad del fabricante. Éste era quien proveía de toda la pila de comunicaciones para el dispositivo. Con el SP2 se introduce el soporte nativo de esta tecnología.
Cambios: Soporte integrado de la especificación Bluetooth. Algunas de las características incluidas son el soporte para PAN (red de área personal con IP sobre Bluetooth), Hard copy Replacement Profile, HCRP, habilita impresión, uso de teléfonos móviles como modem, HID (host interface device), object psh profile para transferencia de ficheros, y soporte de puertos COM virtuales, entre otros.
Implicaciones: No hay efectos en el sistema al instalar el SP2 cuando no hay un transceptor instalado. Tan sólo se habilita al tener un dispositivo Bluetooth aprobado en la lista de compatibilidad WHQL. Se puede acceder a configurar los nuevos accesos a través del panel de control y una nueva función en accesos de red. Existe además una aplicación en el grupo de programas accesorios para transferencia de ficheros.
Si existe un driver no-Microsoft de Bluetooth, la actualización a SP2 no hace que el controlador sea reemplazado. Se puede hacer posteriormente de forma manual o a través de un programa.
Herramientas administrativas cliente
Las herramientas administrativas cliente son una serie de consolas de gestión llamadas genéricamente MMC, Microsoft Management Console, a las que se les incorporan nos complementos con la funcionalidad requerida. Por ejemplo, administrar usuarios, ordenadores, servicios y otros componentes.
Existen dos cuadros de dialogo generados por estas utilidades de gestión. no es el seleccionar usuarios, ordenadores o grupos y otro es el buscar usuarios, contactos o grupos. El primero es el usado al poner seguridad en carpetas compartidas, por ejemplo. El segundo suele aparecer en búsquedas en el directorio activo.
Cambios: Windows XP Service Pack 2 modifica el comportamiento de estas herramientas cuando actúan administrando sistemas de forma remota. En local permanecen igual.
Implicaciones: Para sar estas herramientas remotamente en un sistema con el Firewall habilitado es necesario abrir el puerto TCP 445. Para esto podemos reconfigurar, en línea de comando o, el Firewall ejectando lo siguiente: Netsh firewall set portopening TCP 445 enable O bien hacerlo por políticas de grupo.
Mejoras de seguridad en DCOM
El modelo de componentes distribuidos DCOM es un modelo de programación para crear componentes software que interaccionen entre sí, en local o remoto. Esto habilita al programador distribuir los componentes de la aplicación en distintas solicitudes según lo requiera. El SP2 modifica el comportamiento si estos componentes están en remoto.
Cambios: La infraestructura de sistema operativo que alberga la operación de COM en Windows XP se ha modificado para que el sistema regule el acceso a todas las llamadas, activaciones o solicitudes de ejecución en el ordenador. Para facilitar la comprensión de lo que se ha hecho, pensemos, que se añade una capa adicional de control de acceso. una llamada, AccessCheck, realizada contra la lista de accesos ACL en cada petición de llamada, activación o lanzamiento de cualquier servidor COM en el ordenador.
Implicaciones: Por defecto, el grupo todos tiene concedidos los permisos de activación local, lanzamiento y llamada local y por defecto, también, el grupo todos tiene concedido el permiso de llamada remota. Lo que habilita el acceso para la mayor parte de los clientes COM, incluyendo los casos donde el cliente pasa una referencia local al servidor remoto. Esto podría deshabilitar escenarios que requieran llamadas remotas no autentificadas. Por defecto, los administradores tienen permisos de activación remota y lanzamiento del servidor COM. Esto deshabilita activaciones remotas por no administradores a servidores COM instalados.
Restricción del interface RPC
Se han introducido varios cambios en el servicio con el fin de securizar el acceso al interface. La modificación más significativa podemos decir que es la nueva clave de registro RestricRemoteClients. Esta clave modifica el comportamiento por defecto de todos los interfaces RPC en el sistema haciendo que no sean accesibles de forma anónima. Otro cambio implica a la clave EnableAthEpResoltion para resolción de la autentificación del asignador dinámico de puertos y tres nuevos flags de registro para los desarrolladores de aplicaciones.
Redirector Webdav
El redirector WebDAV (DAVRdr) permite a los sistemas Windows XP acceder a servidores WebDAV (Web-based Distribted Athoring and Versioning). Siendo WebDAV una extensión de http, existe la posibilidad de autentificación básica y en este caso el nombre de usuario y password van sin cifrar.
El redirector DAVRdr no soporta cifrado http (HTTPS o SSL) y transmitirá las credenciales en claro en caso de que se intente una autentificación básica. Si el servidor es configurado para no aceptar este tipo de autentificación entonces no se enviarán las credenciales sin cifrar. Sin embargo existe el riesgo de que un servidor sea impresionado y por lo tanto que un servidor falso fuerce una autentificación básica, robando las credenciales.
Implicaciones: Al aplicar el SP2 se verán afectados aquellos servidores configurados para autentificación básica y que sen DAVRdr de tal forma que se impide este tipo de autentificación. El mismo concepto es aplicable a aquellas aplicaciones que hacen uso del interface WINInet.
Windows Firewall
Windows Firewall (ver Pantalla 1), anteriormente Internet Connection Firewall, es un firewall software con filtro de estado mantenido para Windows XP y Windows Server 20003. Aporta una protección adicional frente a conexiones entrantes no solicitadas en TCP/IP IPv4 e IPv6. Las opciones de configuración incluyen:
– Ajustes a nivel de interface.
– apertura estática de puertos.
– configuración básica de opciones ICMP.
– Registro de paquetes rechazados y conexiones con éxito.
Service Pack 2 tiene los siguientes efectos en este componente.
Activo por defecto
Antes de SP2 el firewall se encontraba desactivado por defecto. El usuario necesitaba configurarlo manualmente, lo que en general era demasiado difícil para los usuarios. Por tanto, en muchos casos, el sistema operativo quedaba desprotegido al no activarse para el interface conectado a red.
Cambios: La activación del firewall es inmediata en todos los interfaces de red. También afecta a cualquier nueva conexión que se pueda añadir en adelante. Esto aplica tanto a IPv4 como a IPv6 incluso si existe ya otro firewall en el sistema.
Implicaciones: Tras la instalación del SP2 algunas aplicaciones no preparadas para trabajar con un firewall de filtro con estado pueden dejar de funcionar. En estos casos es conveniente revisar estas aplicaciones para adaptarlas al funcionamiento con Windows Firewall. Podría haber también algún tipo de conflicto con otro firewall software o hardware presentes en el entorno.
Seguridad en tiempo de arranque
En versiones anteriores hay una ventana de tiempo desde el arranque de la pila de red hasta que el firewall empieza a proteger en donde el sistema es susceptible de ser atacado. Esto es debido a que el firewall no comienza a filtrar hasta que el servicio es cargado y se ha aplicado la política de protección configurada. El tiempo de carga es función de las dependencias que el servicio Firewall tiene de otros servicios y de la velocidad de la maquina.
Cambios: Con SP2, cuando el firewall se activa, se la aplica inmediatamente una regla estática para llevar a cabo un filtrado desde el primer momento. Esta regla estática se denomina política en tiempo de arranque. Permite proteger al sistema desde el primer momento, y a la vez, llevar a cabo tareas básicas de red como descubrimientos de DHCP, DNS y otros. una vez que el firewall esta preparado se aplican las políticas de tiempo de ejecución personalizadas y se eliminan los filtros de arranque.
Configuración global
En las versiones anteriores, Windows Firewall era configurado para cada interfaz de red. Lo cal significaba que cada interfaz requería su propia definición. Esto, en sí, es muy difícil gestionar a nivel de sistema y más a nivel de organización.
Cambios: Con las configuraciones globales, cada vez que se aplica un cambio, se aplica a todas las conexiones de red. De esta forma se puede establecer una política de firewall a todas las conexiones existentes y las de ultra creación. Esto no impide que se puedan tener configuraciones individualizadas para cada interfaz de red.
Restricciones para la red local
Por defecto, cuando un puerto es abierto, se hace de forma global; cualquier tráfico entrante desde cualquier red puede llegar al puerto. Ya sea desde Internet, intranet o local.
Cambios: Con SP2 podemos configurar, que cuando se abra un puerto, sólo reciba tráfico de direcciones locales. Es recomendable configurar esta restricción para cualquier puerto estático usado en comunicación local.
Soporte de configuración por línea de comando
La necesidad de poder configurar el firewall por línea de comando ha hecho necesario el desarrollo de una aplicación de configuración que abarque la amplia funcionalidad de Windows Firewall tanto en IPv4 como IPv6.
– Cambios: Se ha introducido el comando Netsh con el que se podrán configurar todas las opciones del firewall. Especialmente acciones tales como: estado del firewall, configuración de puertos, opciones de registro de actividad, lista de excepciones de aplicaciones, etc.
Modo operacional: Activo sin excepciones
En el uso normal de Windows XP, éste, puede permitir la recepción de tráfico no solicitado desde distintos pntos de la red; por ejemplo, si comparte una impresora. A s vez, pueden ejectarse varias aplicaciones con ss respectivos puertos configurados. En estos entornos, en caso de riesgo pntal, es necesario poder configurar al sistema, de forma inmediata, que trabaje como solo cliente sin exponer ningún servicio.
Cambios: Se establece un modo de operación que permite poner de forma instantánea el firewall en modo Activo sin excepciones de tal forma que se evita toda recepción de tráfico no solicitado y se cierran cualquier conexión existente.
Lista de excepciones
Cuando una aplicación actúa como servidor se debe permitir el acceso de tráfico no solicitado por adelantado, ya que, en general, no sabemos quien quiere interaccionar con ésta. Hay entonces un trabajo de la aplicación que debe solicitar al Firewall la apertura de los puertos necesarios para recibir las comunicaciones y además cerrarlos al terminar. Por otra parte para poder permitir estas operaciones la aplicación debería correr en el contexto de seguridad de un administrador local, lo cal viola el principio de menor privilegio.
Cambios: Con SP2 la aplicación que requiera poder abrir puertos, puede ser añadida a la lista de excepciones. cuando ésta requiera abrir un puerto, podrá hacerlo, independientemente del contexto de seguridad en el que este corriendo. Las aplicaciones se pueden añadir a la lista de forma programática drante la instalación, por interacción con el usuario a través de un cadro de opciones, o bien de forma manual con el administrador del firewall.
Múltiples Perfiles
Cambios: Para los sistemas incorporados a un dominio se permite tener dos perfiles de políticas de configuración Firewall. no para cuando se encentra en la red corporativa y otro para cuando no lo esta.
Esta opción esta especialmente concebida para dispositivos móviles que han de trabajar en entornos no controlados como son redes inalámbricas en aeropuertos y hoteles.
Soporte RPC
En las versiones anteriores del Firewall, el tratamiento de las aplicaciones que hacían uso de la asignación de puertos RPC, de forma dinámica, era muy problemático.
El Firewall podía permitir el acceso al puerto del asignador dinámico de puertos RPC para que se asignara un puerto al cliente. Pero el puerto asignado era aleatorio, y por tanto, el Firewall no permitía el acceso al tenerlo previamente bloqueado.
Cambios: Windows Firewall permitirá la apertura dinámica de puertos si la aplicación RPC que llama al asignador lo hace en el contexto de seguridad de Sistema local, servicio de red o Servicio local. Existe la posibilidad de para que esto se haga incluso si la aplicación no estuviera en la lista de excepciones.
Restauración de la configuración por defecto
Cambios: Anteriormente no había posibilidad de configurar el sistema con las opciones por defecto una vez que estas se habían modificado. Con SP2 esto ya es posible, y, además, se permite que las organizaciones OEMs definan estos perfiles por defecto de forma personalizada.
Soporte para la instalación desatendida
Cambios: Posibilidad para que los OEM o las organizaciones configuren Windows Firewall durante las instalaciones desatendidas. Se puede preconfigurar opciones como: Modo operacional, aplicaciones de la lista de excepciones, opciones ICMP y opciones de registro.
Soporte ampliado de tráfico multicast y broadcast
Existen ciertos escenarios donde es necesario captar tráfico difundido en modo multicasts o broadcast. Este tipo de tráfico es rechazado por el Firewall ya que provienen de una máqina desconocida tras una petición previa del sistema. Esto impide el uso de ciertas aplicaciones de difusión de media o descubrimiento de servicios en red.
Cambio: Para habilitar estos escenarios, Windows Firewall permite una respuesta nicast por 3 segundos desde cualquier dirección de procedencia en el mismo puerto desde donde el trafico ni o broadcast se originó.
Configuración a través de políticas de grupo
En la versión de Windows Firewall disponible hasta ahora solo se podía controlar, por políticas de grupo, la prohibición o no del uso del Firewall.
Cambio: Con SP2 cada opción de configuración de Windows Firewall puede ser controlada desde las políticas de grupo haciendo increíblemente fácil administrar de forma centralizada un gran número de sistemas.
Windows Messenger
Windows Messenger es el cliente de mensajería instantánea que permite comunicar en tiempo real con otros usuarios de Windows Messenger y MSN Messenger. Se han añadido nuevas funcionalidades con objeto de incrementar la seguridad. Estas son algunas:
Bloqueo de transferencias de ficheros no seguras
Cuando alguien trata de enviarnos un fichero Windows Messenger primero mira a ver si esta en la lista de contactos. Posteriormente examina el tipo de fichero y salvo que sean .img , .jpg, o .txt nos preguntará qué queremos hacer con él. Los ficheros considerados no seguros son todos los que podrían tener algún tipo de código embebido como .doc, ppt, pdf, zip, exe, cmd, wsh,…
Obligación de presentar el nombre de contacto
Con SP2 será necesario tener un nombre de contacto diferente del alias de correos usado para entrar en el servicio de mensajería instantánea. Con esto se evita el riego de que ciertos virus sean capaces de descubrir el alias de correos en los ficheros de texto donde se guarden las conversaciones.
Servicio de ahorro de apropiamiento Wireless
Los servicios de aprovisionamiento Wireless, SAW, son una extensión a los servicios de Wireless e interfaces de administración de conexiones de red dentro de Windows XP y Windows Server 2003.
Por tanto, están construidos sobre características ya existentes como la ato configuración Wireless y seguridad WPA (Wi-Fi protected Access) y PEAP (Protected Extensible Athentication).
Este nuevo servicio trabaja en conjnto con Windows Server 2003 SP1 ya que se requiere de la funcionalidad modificada del servicio IAS (Internet Athentication Service, Radis) para el servicio de autentificación de clientes en el proceso de aprovisionamiento.
El objeto de SAW es permitir a las empresas y a los proveedores de acceso a Internet Wireless enviar información de aprovisionamiento y configuración a los clientes móviles que intentan conectar a Internet o los servicios de red corporativos de una organización.
Entre la información que es posible enviar a los clientes están los nombres de diferentes identificadores SSID, redes opcionales, información de costo, facturación y cobro por uso, así como políticas de uso.
Toda la información de configuración e información que se descarga al cliente queda registrada y en accesos sucesivos la entrada será automática refrescando las configuraciones. El resultado final es el acceso transparente, automático y seguro de un cliente a redes Wireless corporativas o públicas.
2.Tecnologias de protección de la memoria.
Hay una variedad de ataques que están basados en la posibilidad de inyectar código ejecutable en zonas de memoria donde sólo debería haber datos. una vez colocado el código y por diversas técnicas se explota esta posibilidad.
La protección de ejecución básicamente lo que hace es marcar todas las posiciones de memoria en un proceso como no-ejecutables a menos que el lugar contenga de forma explicita código ejecutable. cuando desde una posición de datos se intenta ejecutar código, la protección de ejecución eleva una excepción a la aplicación.
La protección de memoria trabaja junto con el procesador para marcar la memoria con un atributo que indica que no se debe ejecutar desde esa área de memoria. Además funciona en base a páginas de memoria virtual, cambiando un bit en la tabla de entradas de página (PTE) para marcar la página de memoria.
Tanto Intel como AMD han presentado procesadores con este tipo de protección. Windows soporta protección en la plataforma AMD64 e Intel Itanim Processor.
La versión 32 bits de Windows (comenzando con XP SP2) utiliza la protección NX según la define AMD. Para ello el procesador debe ejecutar en modo PAE (physical Address Extensión).
Las versiones de 64bits san la característica NX del procesador y ciertos valores de derechos de acceso a la PTE en los procesadores Intel IPF. Se espera que las futuras versiones de procesadores 32 y 64 bits soporten protección de ejecución.
Protección de ejecución en versiones 32bits Windows y sus aplicaciones
Para poder aprovechar esta protección es necesario que lo soporte el procesador. Como es lógico pensar, por ahora, la mayor parte de los sistemas Windows y las aplicaciones compatibles Windows en el futuro consistirán en procesadores 32 bits y aplicaciones 32 bits.
El primer paso de la industria son los procesadores con extensiones 64 bits tales como al AMD Opteron y Athlon 64 que soportan ambos modos de ejecución y que son capaces de trabajar con aplicaciones antiguas y nuevas con soporte NX cuando PAE esta activado.
Cambios: Windows XP SP2 añade el soporte para protección de ejecución. El usuario o administrador es capaz de desactivar esta funcionalidad a través de registro o panel de control. A su vez, y con el propósito de deshabilitar de forma selectiva la protección aciertas aplicaciones 32bits, se ha incluido una opción para impedir que esta función les afecte.
3. Tecnologías para el manejo seguro del correo
Outlook Express
Outlook Express es una de los clientes de correo usados mas frecuentemente para acceso al correo electrónico y foros de noticias. Por ello se han aplicado los siguientes cambios en su funcionalidad:
Modo Texto plano
Al recibir un correo en formato HTML, Outlook Express utiliza el control MSHTML. Este control procesa de forma automática la cabecera de script HTML donde se puede encontrar código malicioso y exponer, de esta forma, al sistema.
Cambios: Al entrar el correo en el buzón, el usuario, ahora tiene la opción de presentar el mensaje en modo texto plano en vez de formato HTML. cuando Outlook presenta el correo en esta forma sa el control de texto rico en vez de MSHTML. Este control no procesa los posibles scripts. Esto supone una barrera al correo malicioso ya que impide la ejecución de código no consentido.
No bajar contenido HTML externo
Los autores de correo spam suelen recurrir a referencia a imágenes que residen en ss web dentro de los correos. cuando el correo es recibido por el usuario, al abrirlo, se produce una búsqueda automática de estas imágenes, confirmando al creador del spam que la dirección de envío es correcta. una vez confirmada esta dirección se podrá ver sometida a nuevas acciones de spam en adelante.
Cambios: Outlook presenta una nueva opción para no bajar de forma automática los contenidos externos. Al no contactar el servidor web externo el origen del spam no podrá confirma la dirección y con ello gusanos la recepción de nuevos correos no deseados. Esta opción también facilita el trabajo a los usuarios que trabajan con acceso a través de modem ya que al abrir los correos, éstos no intentarán establecer conexión a Internet.
Integración en el API de AES
AES es un nuevo conjunto de interfaces de programación llamado servicio de ejecución de adjuntos o Attachment Exection Service. El objeto de AES es eliminar todo el código de las distintas aplicaciones orientado a chequear los ficheros adjuntos y crear un marco invocable por todas las aplicaciones que hagan uso de adjuntos. AES de esta forma, presenta una gestión centralizada del tratamiento de adjuntos, reforzando centralizadamente las políticas de uso seguro de adjuntos.
Cambios: Outlook Express se integra ahora en este marco de tratamiento de adjuntos. No aporta ningún cambio visible al usuario.
4. Tecnologías para la navegación segura por internet
En este apartado vamos a ver las tecnologías incluidas en el SP2 de Windows XP que hacen posible una navegación Web más segura.
Mejoras en la descarga, adjuntos y Authenticode
Los avisos que aparecen en la descarga de ficheros, adjuntos en el correo, ejecución de procesos e instalación de programas se han modificado en el SP2 para ser más claros y consistentes. Además, Windows XP muestra al usuario el editor de un fichero cuando se seleccionan ficheros ejecutables en Internet Explorer Outlook Express.
Con este cambio se mejora la experiencia en la descarga de ficheros de Internet y se impide que ficheros sospechosos comprometan la seguridad del sistema.
Cambios: cuando un usuario se descarga un fichero desde Internet Explorer o desde Outlook Express, le aparecerá un cadro de diálogo con información más completa, en función de si el fichero tiene más o menos riesgo.
Después de descargarlo, IE muestra información sobre el editor del fichero. Si el fichero no incluye la firma del editor, tiene una firma inválida o está bloqueado por el administrador del sistema, no podrá ejecutarse en la máquina.
Implicaciones: Con este cambio, los ficheros ejecutables con firmas inválidas o bloqueadas no se ejecutarán. Para poder ejecutarlos, se deberá desbloquear al editor del fichero en Internet Explorer.
Componentes de detección de fallos y gestión en Internet Explorer
Los datos obtenidos con los informes de errores de Windows han mostrado que una de las principales casas de la inestabilidad de Internet Explorer son los complementos añadidos al mismo, además de que éstos podrían contener código malicioso o desconocido.
En el SP2 aparecen dos nuevos componentes, el de gestión, que permite a los usuarios ver y controlar la lista de complementos que pueden cargarse en Internet Explorer (ver Pantalla 2) y el de detección de fallos que intenta detectar fallos en IE relativos a un determinado complemento; cuando éste es identificado, el usuario puede desactivar el mismo. Con esta funcionalidad, los administradores pueden crear una lista con los complementos permitidos o no y restringir los permisos a los usuarios para que no puedan gestionarlos.
Cambios: Los usuarios pueden ver y gestionar la lista de complementos de Internet Explorer con mayor control que antes, desactivando cualquiera de ellos de una forma my sencilla. Los administradores pueden desactivar este interfaz de usuario, para ser ellos quienes controlen los complementos.
Siempre que Internet Explorer falle, se iniciará el componente de Detección de Fallos. Si detecta que el fallo lo ha provocado un complemento, aparece un cuadro de diálogo con toda la información al respecto.
Parámetros de seguridad del comportamiento binario de IE
Internet Explorer contiene componentes que encapsulan funcionalidad específica para los elementos HTML a los que son anexados. A estos componentes binarios no se los controla con los parámetros de seguridad de IE, lo que permite que funcionen en páginas Web incluso en la zona de Sitios Restringidos.
Cambios: En cada zona de seguridad de IE, aparece un nuevo parámetro para los componentes binarios que está activado en todas las zonas, excepto en la zona de Sitios Restringidos.
Implicaciones: Si el código de las aplicaciones utiliza complementos binarios en la zona de Sitios Restringidos, se necesitará cambiar el código implementando una gestión de la seguridad personalizada.
Mitigación BindToObject de Internet Explorer
En SP2, el modelo de seguridad de los ActiveX se aplica en todos los casos donde el enlace RL se utiliza para instanciar e inicializar un objeto. Por tanto, el modelo permite controles que sean marcados como seguro para scripting y seguro para inicialización y permite a los usuarios bloquear o permitir los controles ActiveX por zona de seguridad.
Cambios: Ahora se aplica el modelo de seguridad de los ActiveX a todas las inicializaciones de objetos con una RL como fuente. Antes, el código era el responsable de asegurar la integridad y seguridad del control, lo que podría con frecuencia resultar en una vulnerabilidad de seguridad.
Implicaciones: Los problemas de compatibilidad con aplicaciones deberían ser mínimos. Estas podrían optar por tener s propio gestor de seguridad.
Barra de información de Internet Explorer
La barra de información de IE en SP2 sustituye a muchas cajas de diálogo que piden información a los usuarios y proporciona un área de información a estos mismos usuarios. Las notificaciones incluyen instalación de ActiveX bloqueados, elementos emergentes, descargas y contenido activo.
Cambios: La barra de información aparece debajo de las barras de herramientas de IE y encima de la página web que se está visualizando, tal y como reproducimos en la Pantalla 3.
Aparece cuando existe una notificación y desaparece en la siguiente navegación. El texto varía en función de la notificación y pinchando sobre el mensaje, aparecerá un menú relativo a la notificación. Los usuarios podrán configurar la barra de información para que se reprodzca un sonido cada vez que la barra aparezca. Los tipos de notificaciones que nos mostrará la barra de información son:
Instalación de complementos, por ejemplo un control ActiveX: Ahora es menos probable que los usuarios instalen una aplicación por accidente.
Notificación de elementos emergentes (Pop-ps) bloqueados: Dejarán de aparecer esas molestas ventanas de información cada vez que navegamos por Internet.
Descargas automáticas:
Impide que el usuario instale código no deseado en sus ordenadores.
Contenido activo bloqueado.
Controles ActiveX bloqueados.
Implicaciones: Las páginas web que lanzan descargas de ficheros automáticas deberían asegurarse de que existe también un enlace a estas descargas. Además, si una página web reenvía a otra página a un usuario en función de si tiene un determinado complemento instalado, debería asegurarse de que este complemento está también disponible en la página de destino, para que el usuario tenga la posibilidad de instalarlo.
Parámetros de control de las zonas de seguridad de IE
Los clientes indicaron que se necesitaba una configuración más precisa en las diferentes zonas de seguridad. Por ejemplo, un control que proteja a los usuarios en la zona de Internet podría romper una aplicación intranet. Por tanto, SP2 proporciona más precisión en el control de las zonas de seguridad para ayudar a gestionar la compatibilidad de aplicaciones intranet.
Cambios: SP2 introduce una nueva opción en los parámetros de seguridad de IE llamada Abrir archivos basados en el contenido, no en la extensión. Si esta opción está activada, la zona está protegida como lo estaba con el SP1.
Si se desactiva, las acciones que pudieran ser dañinas no pueden ejecutarse. Más información sobre esta funcionalidad, más adelante en la sección titulada Refuerzo del manejo MIME en IE. Del mismo modo, existen dos opciones más:
Los sitios web pueden abrir nuevas ventanas en una zona de contenido web menos restringida (más información en bloqueos de elevación de zona) y Permitir que se abran ventanas sin ninguna restricción de seguridad (más información en Restricciones de Ventanas) que podrán ser activadas o desactivadas por zona de seguridad.
– Implicaciones: Si el código tiliza el gestor de seguridad RLmon, el desarrollador debe llamar a CoInternetIsFeatreEnabledForRL para chequear estos parámetros de seguridad para la zona.
Parámetros de control de IE en políticas de grupo
El SP2 introduce nuevas claves y valores del registro para IE llamadas Control de funcionalidades. Los administradores pueden gestionar las nuevas políticas de control mediante objetos de política de grupos (GPO).
Cambios: Los administradores pueden controlar mediante políticas de grupo las restricciones de seguridad del comportamiento binario, el bloqueo de la zona máqina local, el manejo mime, la gestión de elementos emergentes, etc.
Los usuarios no pueden ver estas políticas o parámetros mediante el interfaz de usuario de IE. Las políticas pueden sólo ser establecidas mediante el Editor de Objetos de Políticas de grupos. La herramienta recomendada para que los desarrolladores personalicen IE es Internet Explorer Administration Kit (IEAK) SP1.
Implicaciones: El SP2 añade nuevas políticas a la Política de grupos pero no cambia la gestión de dichas políticas. Los desarrolladores necesitan conocer cómo cada característica de seguridad afecta a ss aplicaciones.
Bloqueo de la zona máqina local de IE
Cuando IE abre una página web, éste aplica restricciones a lo que la página puede hacer, basado en la zona de seguridad de esa página. Antes del SP2, el contenido del sistema de ficheros local era asignado a la zona de seguridad de la máquina local, y esta zona permite que el contenido se ejecute con relativamente pocas restricciones. Por tanto, los atacantes intentaban aprovecharse de esta zona para elevar los privilegios y comprometer el sistema.
Ahora SP2 protege al usuario bloqueando la zona de la máqina local por defecto. Además los administradores podrán tilizar las políticas de grupo para gestionar el bloqueo de esta zona y para aplicarlo a los diferentes grupos de máquinas.
Cambios: Con el SP2, el bloqueo de la zona máquina local será incluso más restrictivo que la zona Internet. cuando el contenido intente acceder al sistema, la barra de información aparecerá comunicándonos que la página ha sido restringida. Con este cambio, se impide que el contenido eleve el privilegio de la máquina del usuario.
Implicaciones: Si la página web necesita ejectar un ActiveX o un script, se puede añadir un comentario en el código HTML. Esto fuerza a IE a que los ficheros HTML se ejecuten en una zona diferente de la máquina local. Este parámetro funciona en IE 4 y posteriores. Otra opción es crear una aplicación separada que mantenga el contenido HTML en el Internet Explorer Web Object Control (WebOC). Los desarrolladores por tanto tendrán que testear ss aplicaciones y activar el bloqueo para ofrecer nos niveles mayores de seguridad.
Los desarrolladores de controles ActiveX que permitían privilegios elevados en la zona máquina local no deberían cambiar ss controles para permitir privilegios elevados en otra zona; estos controles deberían ser convertidos para ejecutarse sólo desde una aplicación HTML (fichero .hta) o una aplicación que se ejecute fuera del bloqueo de la zona máquina local.
Parámetros de seguridad de la MSJVM de IE
Las versiones anteriores de Windows incluían la Máquina virtal de Java de Microsoft (MSJVM). Existía un parámetro para desactivar la MSJVM, pero este parámetro desactivaba también la máquina virtal de Java de cualquier otro fabricante. Con el SP2, este parámetro funciona exclusivamente con la MSJVM. Por defecto, la MSJVM se activa para todas las zonas, excepto para la de Sitios Restringidos.
Cambios: En el SP2, aparece un nuevo parámetro en la zona de seguridad de IE, llamado Microsoft Java VM. Por defecto, está activado en todas las zonas, excepto en la de Sitios Restringidos.
Implicaciones: La MSJVM ya no está incluida en Windows 2003, SP4 de Windows 2000 y SP2 de Windows XP. Si existen sitios web que dependen de la MSJVM, éstos no se comportarán correctamente cuando son accedidos por sistemas que no la tienen instalada. Los desarrolladores cuyas aplicaciones utilicen la MSJVM deberían examinar las opciones de desarrollo en Transición de la MSJVM en el sitio web de Microsoft, en [http://go.microsoft.com/fwlink/?LinkId=21850]
Referzo del manejo MIME de Internet Explorer
IE tiliza la información tipo MIME (Extensiones de correo Internet multipropósito) para decidir cómo manejar los ficheros que han sido enviados por un servidor Web, es decir, qué hacer con un ejecutable o con un fichero .jpg, por ejemplo. En el SP2, IE sigue unas reglas estrictas diseñadas para reducir la superficie de ataque y el tipo de información que utiliza IE para saber cómo manejar el fichero es la extensión, el tipo de contenido de la cabecera HTTP, la disposición del contenido y los resultados del análisis MIME.
Cambios: cuando un servidor web sirve ficheros a un cliente, IE reqiere que la información sobre el tipo de fichero sea consistente. Es decir, IE reforzará la consistencia entre cómo se maneja un fichero en el explorador de Internet y cómo se maneja en el intérprete de comandos Windows. Por ejemplo, si el tipo MIME del fichero es texto/plano pero el análisis MIME indica que el fichero realmente es unHTML o un fichero ejectable, IE no incrementará el privilegio del fichero comparado al tipo MIME declarado por el servidor. Por tanto, si un servidor Web mantiene ficheros HTML pero en la cabecera HTTP envía texto/plano como el tipo de contenido, IE mostrará el fichero como texto plano.
Implicaciones: Los desarrolladores deben cambiar ss servidores Web para mantener ficheros que tilicen cabeceras y extensiones consistentes.
Caché de objetos de Internet Explorer
En versiones anteriores al SP2, algnas páginas Web podrían acceder a objetos cacheados de otro sitio Web. Por ejemplo, se podrían crear scripts que escucharan eventos o contenido en otro sitio Web, como números de tarjetas de crédito otro dato sensible. En el SP2, ya no está accesible la referencia a un objeto cuando el usuario navega a un nuevo dominio.
Cambios: nuevo contexto de seguridad en todos los objetos hechos mediante scripts, en el que el acceso a todos los objetos cacheados está bloqueado. Además de bloquear este acceso cuando se navega por diferentes dominios, el acceso también está bloqueado cuando se navega dentro del mismo dominio.
Implicaciones: Los desarrolladores Web deberían revisar esta característica y adoptar los cambios necesarios a s sitio Web.
Bloqueador de elementos emergentes de Internet Explorer
El bloqueador de elementos emergentes (pop-ps) bloquea la mayoría de las ventanas no deseadas que aparecen cuando se navega. Los usuarios finales y administradores pueden permitir a dominios específicos que abran este tipo de ventanas. Con esta funcionalidad, la navegación por Internet será menos molesta.
Cambios: El bloqueador de elementos emergentes, que podemos ver en la Pantalla 4, es una nueva funcionalidad de IE, que proporciona cambios en la experiencia del usuario, cambios en el comportamiento de las APIs actuales (window.open y showHelp, por ejemplo) y un nuevo interfaz INewWindowsManager que permite a las aplicaciones utilizar esta tecnología en IE. Se puede configurar o desactivar en el menú Herramientas de IE. cuando se bloquea un elemento emergente, aparece una notificación en la barra de estado de IE, que nos permitirá mostrar el elemento, permitir los elementos de este sitio Web, bloquearlos o mostrar las opciones avanzadas.
Implicaciones: Si t aplicación abre ventanas automáticamente, éstas serán bloqueadas, y se tendrán que bscar otras alternativas para hacer lo mismo. una posibilidad de abrir una ventana es mediante un enlace o elemento gráfico en el que el usuario haga clic.
Bloqueo de los editores en los que no se confía de IE
Esta característica permite que el usuario bloquee todo el contenido firmado de un determinado editor sin necesidad de mostrar el cadro de diálogo de Athenticode. Esto permite que el código del editor bloqueado no sea instalado ni tampoco el código con firmas inválidas.
Cambios: cuando aparece el cadro de diálogo de Athenticode, el usuario puede seleccionar Nnca confiar en el contenido de Nombre_del_Editor.
Si lo suelecciona, el código de este editor será automáticamente bloqueado en las siguientes ocasiones, sin pregntar nuevamente al usuario. Antes no había forma de decir No qiero contenido de este editor y no me pregntes de nuevo, sólo podía seleccionarse la opción de Siempre confiar en el contenido de Nombre_del_Editor. Además, por defecto, Windows bloquea la instalación de código firmado con firma inválida.
Restricciones de ventanas de Internet Explorer
IE tiene la capacidad de poder desarrollar scripts que programáticamente abran ventanas adicionales de diferentes tipos y que reposicionen y cambien el tamaño de las ventanas existentes. La característica Restricciones de ventanas restringe dos tipos de ventanas: las ventanas popup (que no tienen componentes como la barra de dirección, la barra del título, la barra de estado y barras de herramientas) y las que incluyen la barra del títuulo y la barra de estado.
Cambios: Las ventanas con barra de títlo y barra de estado, iniciadas por scripts, son forzadas a que estas barras estén visibles despés de que la operación se complete. Los scripts no pueden posicionar ventanas con la barra de títlo o la barra de dirección por encima de la parte visible de la pantalla ni la barra de estado por debajo de la parte visible de la pantalla. Sin este cambio, las ventanas pueden esconder elementos importantes del interfaz de usuario y éste podría pensar que están en una página segra, cuando en realidad están en un servidor Web malicioso.
Implicaciones: El diseño del script podría necesitar ser revisado para asegurar que las ventanas son visibles al usuario y que la barra de estado contiene información exacta. Si el script crea o mueve una ventana fuera de la pantalla, se debería examinar este requerimiento y elegir otra forma de llevarlo a cabo.
Bloqueos de elevación de zona de Internet Explorer
Cuando se abre una página Web en Internet Explorer, éste aplica restricciones en lo que la página puede hacer, basado en dónde esté la página: Internet, un servidor intranet, un sitio en el que se confía, etc. La zona de seguridad Máquina Local es la zona con menos restricciones de seguridad, por lo que hace que sea el principal destino para los usuarios maliciosos. La característica de Bloqueo de Elevación de Zona endurece la posibilidad de ejecutar código en esta zona, además de hacerla menos vulnerable.
Cambios: IE impide que el contexto de seguridad de cualquier enlace dentro de una página sea mayor que el contexto de seguridad de la RL raíz. Esto significa que una página en la zona Internet no puede navegar a una página en la zona Intranet, excepto si es una acción iniciada por el usuario. Esta característica también desactiva la navegación JavaScript si no existe contexto de seguridad.
Implicaciones: Las páginas Web que llaman automáticamente a otras páginas Web con más privilegios fallarán. Si una aplicación Web falla, habrá que modificar las opciones de seguridad de zona para permitir que la aplicación continúe funcionando.
5. Tecnologías mejoradas para el mantenimiento del sistema
Esta sección muestra las tecnologías incluidas en SP2 que ayudan al usuario a mantenerse informado sobre tecnologías de seguridad y asegurar que los sistemas tienen las actualizaciones de seguridad más actuales.
Filtro para añadir o qitar programas
Este filtro (ver Pantalla 5) permite a los usuarios visualizar las actualizaciones instaladas en la máquina sólo cuando es seleccionado, en lugar de combinarlas con los programas instalados.
Cambios: En el SP2 el usuario puede elegir si ver o no las actualizaciones instaladas, sueleccionando la opción Mostrar actualizaciones. Por defecto, Añadir o Quitar Programas no mostrará las actualizaciones instaladas en el sistema.
Implicaciones: Los programas no necesitan ningún tipo de cambio para segir fncionando con Añadir o Qitar Programas en el SP2. un programa puede aprovecharse de esta opción no mostrando ss actualizaciones por defecto. Los detalles de cómo no mostrarlas estarán disponibles más adelante en MSDN.
Servicios de actualización Windows y actualizaciones Atomáticas
Los servicios de actualización de Windows WS (antes conocidos como SS, Servicios de actualización de Software) permiten a los administradores atomatizar el despliege de actualizaciones críticas y de seguridad a los sistemas con Windows XP Professional, Windows 2000 o Windows 2003.
El programa de actualizaciones Atomáticas (ver Pantalla 6) se conecta periódicamente al sitio Web de actualizaciones Windows en Internet o a un servidor WS interno de la organización y según la configuración, se instalarán todas las actualizaciones automáticamente o se notificará al administrador o usuario del sistema de la existencia de actualizaciones preparadas para instalarse.
Cambios. Los más relevantes son:
Soporte para Microsoft Office, Microsoft SQL Server y Microsoft Exchange, además de distribución de drivers de hardware.
Soporte de actualizaciones de seguridad, actualizaciones críticas, service packs, y paquetes roll-p
Ahora el programa de actualizaciones Automáticas puede priorizar la descarga de actualizaciones. Por ejemplo, descargará antes una actualización que resuelve una vulnerabilidad que un Service Pack.
Cuando se utiliza un servidor WS, los administradores pueden asignar los sistemas a diferentes grupos de forma que puedan controlar qué actualizaciones se instalan en ellos. De esta forma, podríamos instalar una actualización a los clientes y no a los servidores.
Ahora existen un conjunto de APIs que pueden utilizarse para gestionar las actualizaciones Automáticas programáticamente o desde scripts.
Los administradores pueden configurar la frecuencia con la que los sistemas clientes chequean un servidor WS buscando actualizaciones.
No existe interrupción durante la instalación de actualizaciones, puesto que pueden consolidarse varias para que el sistema pueda ser reiniciado una única vez. Además, se ha eliminado la necesidad de que el usuario apruebe el acuerdo de licencias, será el administrador del servidor quien lo apruebe.
Cuando las actualizaciones están descargadas y preparadas para ser instaladas, aparece una nueva opción para Instalar actualizaciones al apagar el sistema. Esto permite que se instalen cuando el sistema no está siendo tilizado para otras actividades.
Los administradores pueden configurar el comportamiento de las actualizaciones Automáticas utilizando Políticas de grupo.
Nueva versión del servicio de transferencia, BITS 2.0 (Backgrond Intelligent Transfer Service) cuyas características principales son:
Permite descargar actualizaciones en un periodo determinado, en el que haya menos uso de la red.
Puede utilizar sólo una porción del ancho de banda disponible.
Descarga sólo las porciones de ficheros que han cambiado.
Se recupera de fallos en la red. No reiniciará la descarga de un fichero sino que comenzará donde se paró.
Mediante Políticas de grupos, se pueden configurar las opciones de programación y de notificación a los usuarios.
Los clientes pueden actualizar automáticamente a nuevas versiones el programa de actualizaciones Automáticas sin necesidad de que el administrador reconfigure el sistema.
Reglas mejoradas para asegurar que las actualizaciones son aplicadas al sistema apropiado.
Conjunto Resultante de Políticas
El conjunto resultante de políticas (RSoP) nos informa de la configuración de políticas que se aplican a un usuario o sistema. una consola (resultados de Política de grupos) pide datos RSoP a un determinado sistema y los presenta en un informe HTML. El Modelado de Política de grupos pide la misma información a un servicio que devuelve una simulación de RSoP para una combinación de sistema y usuario.
Cambios: En el SP2, el cortafuegos Windows está activado por defecto y por tanto las peticiones entrantes contra puertos cerrados son bloqueadas. Esto afecta al uso de RSoP de dos formas:
El acceso remoto a datos RSoP desde un sistema con SP2 no funciona cuando el cortafegos es instalado en el sistema destino.
Si el cortafuegos se activa, un sistema con SP2 en el que se ejecuta la consola de política de grupos no podrá recuperar los datos RSoP.
Implicaciones: Para asegurar que las peticiones entrantes RSoP puedan ser servidas, el sistema destino debe escuchar por los puertos adecuados. Estos puertos pueden configurarse mediante políticas. cuando el cortafuegos se activa, el SP2 bloquea las respuestas a las peticiones RSoP. Para no tener que abrir puertos, lo recomendable es instalar GPMC (consola de gestión de política de grupos) con SP1, disponible en [http://go.microsoft.com/fwlink/?LinkId=23529].
Centro de seguridad
El Centro de seguridad (Pantalla 7) es un nuevo servicio del SP2 que proporciona una localización central para cambiar los parámetros de seguridad, aprender más sobre seguridad y asegurarnos que el sistema está actualizado con las opciones recomendadas por Microsoft.
El Centro de seguridad chequea el estado del cortafegos (si está activado o no), del antivirus (chequea la presencia de software antivirus y si éste está actalizado) y de las actualizaciones dinámicas (si éstas no están activadas, el Centro de seguridad da las recomendaciones adecadas). Si falta algún componente, el Centro de seguridad coloca un icono rojo en la barra de tareas.
Esta característica se aplica a todos los sistemas de un grupo de trabajo y, mediante la política de grupos, los administradores pueden activar esta característica para los sistemas de un dominio.
Instalación de Paquetes
El SP2 se instala mediante el Instalador de Paquetes Windows que actaliza y cambia la instalación existente de Windows XP. Existen algnas consideraciones, como por ejemplo:
Se han añadido algunos parámetros nuevos para lanzar pdate.exe desde línea de comandos.
Dado que se han introducido muchas características nuevas en el SP2, existe un incremento en el tiempo de instalación.
Los antivirus pueden afectar en el tiempo total requerido para instalar un service pack. Si se desactiva durante la instalación, se puede reducir el tiempo alrededor de un 20%.
El Instalador Windows (Windows Installer 3.0) define y gestiona un formato estándar para la instalación y actualización de aplicaciones. Windows Installer 3.0 es una nueva versión inclida dentro del SP2 de Windows XP.
Cambios: Windows Installer 3.0 proporciona la infraestructura necesaria para que los sistemas de distribución de software envíen e instalen actualizaciones a las aplicaciones basadas en el Instalador de Windows. Esto significa que Windows Installer 3.0 y WS facilitan la actualización de los sistemas con los últimos parches de Microsoft. Además, los desarrolladores pueden sar Windows Installer 3.0 para crear paquetes de parches que tilicen la tecnología de compresión delta, lo que redce significativamente la carga del parche.
Windows Installer 3.0 soporta la desinstalación de los parches mediante el Panel de Control, el intérprete de comandos o directamente llamando a una función de Windows Installer. cuando se desinstala un parche, el sistema se queda en el mismo estado que tenía antes de instalar el parche.
En algunos escenarios, Windows Installer puede requerir acceso al recurso original de la instalación de la aplicación. Ahora los administradores pueden gestionar la lista de recursos para prodctos y parches, incluyendo la red, RL, otros dispositivos y permitir el acceso para leer, editar y reemplazar las listas de Microsoft Installer desde un proceso externo.
Otra característica importante de Windows Installer 3.0 es que permite a los desarrolladores de parches proporcionar instrucciones explícitas sobre el orden en el que las actualizaciones deberían ser aplicadas a los sistemas.
Windows Installer 3.0 tiliza WinHTTP para gestionar las descargas RL y como resltado de ello ya no se soportan ni FTP ni GOPHER. Se sigen soportando los protocolos HTTP, HTTPS y FILE. Y por último, el servicio de Windows Installer ya no es interactivo, se ejecta en el contexto de seguridad de la centa Local del Sistema.
Mitigación de cambios: Los paquetes y parches que feron creados para Windows Installer 2.0 pueden instalarse utilizando Windows Installer 3.0, sin ningún problema.
Actualización Windows
Este componente (ver Pantalla 8) ayuda a los usuarios a mantener actualizados ss sistemas en canto a parches y otras actualizaciones software de componentes de Windows se refiere. Con el SP2, la actualización Windows junto con los Servicios de actualización Windows (WS) proporciona dos servicios:
Actualización Windows: Parches y actualizaciones de componentes Windows, además de drivers.
Actualización Microsoft: Parches de seguridad y actualizaciones para componentes Windows y otros productos. Los primeros prodctos que se incluirán son SQL, Exchange y Office.
Cambios: Los principales cambios con respecto a la versión anterior son: – actualizaciones para aplicaciones Microsoft, como Office, SQL y Exchange. El usuario ya no tiene que navegar a múltiples localizaciones, recibe estas actualizaciones o bien navegando al sitio Web de actualizaciones Microsoft o bien configurando las actualizaciones Automáticas en el sistema.
Existen dos opciones de instalación: la Express y la Personalizada. Con la instalación Express, se preseleccionan las actualizaciones críticas y el usuario no puede editar la lista. Con la instalación personalizada, el usuario tiene el control completo sobre estas actualizaciones críticas.
En la página Web de actualización Windows y de actualización Microsoft, se ha revisado el diseño visual, se le muestra al usuario s configuración de actualización Windows, se le sugiere la configuración óptima, existe una nueva sección de Noticias de Microsoft con información de incidencias críticas y trucos al usuario, información al administrador sobre el Catálogo de actualizaciones, etc.
Se han hecho cambios en la organización y en la navegación del sitio Web: se han categorizado las actualizaciones, se ha optimizado el proceso de instalación de actualizaciones que deben ser instaladas de forma separada al resto, ahora se ofrece al usuario únicamente la versión de actualización última (si por ejemplo un Service Pack inclye un parche de seguridad, sólo se ofrece el Service Pack), se dan más detalles al usuario, existe la posibilidad de seleccionar todas las actualizaciones con un clic, el usuario puede ahora esconder actualizaciones que no quiere instalar, el usuario puede descargar productos en beta y actualizaciones en beta, la descarga continúa donde se quedó si se produce un corte en las comunicaciones, se da más información sobre los drivers, etc.
Además se muestran procedimientos de resolución de problemas, el histórico de instalaciones más detallado, mensajes de error mejorados, etc.
Ator: Maria José Serrano y Jancho Agilar