Firmar sus programas
Puede utilizar IEAK para firmar digitalmente sus . Las muestran la procedencia de los programas y comprueban que no han sido alterados. Firme sus paquetes personalizados de explorador y los programas personalizados para garantizar que los usuarios no reciban advertencias cuando instalen el explorador personalizado.
No obstante, antes deberß obtener un certificado digital con el que firmar los archivos. Al ejecutar el Asistente para personalizar Internet Explorer 6 deberß especificar la ubicaci≤n del certificado; de esta forma, se firmarßn los archivos cuando se cree el paquete. Para obtener informaci≤n acerca de c≤mo obtener un certificado digital, consulte la siguiente secci≤n, "┐C≤mo puedo obtener certificados digitales?"
Si piensa distribuir paquetes personalizados a travΘs de Internet, deberß hacer que IEAK firme los archivos contenedores (.cab) personalizados que crea. Si piensa distribuir los paquetes personalizados a travΘs de una intranet, firme los archivos personalizados o configure previamente la zona de intranet local con un nivel bajo de seguridad. La configuraci≤n de seguridad predeterminada no permitirß a los usuarios descargar programas o c≤digo sin firmar. Para obtener mßs informaci≤n acerca de las zonas de seguridad, consulte Seguridad de Internet Explorer.
Se firmarßn los archivos personalizados siguientes:
| Nombre del archivo |
Funci≤n del archivo |
| Branding.cab |
Informaci≤n de marca para el programa de instalaci≤n de Windows Update |
| Desktop.cab |
Actualizaci≤n del escritorio de Windows |
| Iecif.cab |
Identifica quΘ componentes de Microsoft Internet se han instalado como parte de la instalaci≤n de Windows Update |
| IE5setup.exe |
Programa de instalaci≤n de Windows Update |
| Custom<n>.cab |
instalados despuΘs de haber reiniciado el sistema. Cada componente se empaqueta en un archivo contenedor (.cab) independiente y numerado. |
Para ver un organigrama en el que se muestra c≤mo el Asistente para personalizar Internet Explorer 6 crea estos archivos, consulte C≤mo genera IEAK los paquetes personalizados.
Notas
- Es posible que los usuarios no puedan instalar controles ActiveX y paquetes de Java que no estΘn firmados..
- TambiΘn debe firmar cualquier programa personalizado, tanto en formato .exe como .cab, que incluya en su paquete del explorador.
- Si piensa que su organizaci≤n utilizarß la funci≤n Instalaci≤n a petici≤n a travΘs de Internet, debe firmar los archivos .cab y especificar en la configuraci≤n de seguridad que el servidor que aloja esos archivos es de confianza. En el caso especφfico de un sitio de intranet, puede seleccionar tambiΘn un nivel bajo de seguridad. Para obtener mßs informaci≤n acerca de esta caracterφstica, consulte Administrar la instalaci≤n a petici≤n.
Si el nivel de seguridad de la intranet es Media o superior, deberß especificar que los servidores de red son servidores en los que se confφa. Para ello, siga estos pasos:
- En la pßgina Configuraci≤n de seguridad del asistente, haga clic en Importar la configuraci≤n actual de las zonas de seguridad y, despuΘs, haga clic en Modificar configuraci≤n.
- Seleccione la zona Intranet local y, despuΘs, haga clic en Sitios.
- Desactive la casilla de verificaci≤n Incluir todas las rutas de red (UNCs) y haga clic en Aceptar.
- Seleccione la zona Sitios de confianza, haga clic en Sitios, escriba la ruta del servidor de descarga y, despuΘs, haga clic en Agregar.
- Repita el paso anterior para cada servidor de descarga que desee especificar como servidor de confianza.
Los certificados digitales forman parte de la tecnologφa , que identifica la procedencia de los programas y comprueba que no hayan sufrido alteraciones. Para obtenerlos, puede solicitarlos a una entidad emisora de certificados o a un servidor de certificados de control privado. Los certificados pueden ser comerciales o individuales.
Para obtener mßs informaci≤n acerca de Authenticode y la seguridad, visite el sitio Web Microsoft Security Advisor en http://www.microsoft.com/security/.
DespuΘs de obtener un certificado tendrß que firmar el c≤digo. Las herramientas para firmar c≤digo estßn disponibles en el sitio Microsoft Site Builder Network Workshop.
TambiΘn necesitarß conocer las claves p·blicas y privadas, que son un conjunto de claves coincidentes que crea la compa±φa de software para el cifrado y el descifrado. Las claves se generan en el momento en que se solicita el certificado a la entidad emisora de certificados (CA). Se generan en el equipo del usuario y la clave privada no se envφa nunca a la CA ni a ning·n tercero.
La caducidad de los certificados es una medida adicional de seguridad. Por ejemplo, si una universidad certifica a todos sus alumnos con identificadores digitales (Id.), puede establecer que cada identificador caduque cuando el alumno deje la universidad. El c≤digo firmado con un certificado caducado no es vßlido. Cuando el certificado caduca, la compa±φa de software debe volver a firmar el c≤digo y publicar nuevas versiones de Θste.
Las compa±φas de software pueden incluir una marca de hora al firmar el c≤digo con el fin de probar que el certificado era vßlido en el momento en que se firm≤ el c≤digo. De esta forma, el c≤digo firmado seguirß siendo vßlido despuΘs de que el certificado haya caducado.
Si es un administrador corporativo, puede preconfigurar las , preestablecer las restricciones y personalizar las entidades emisoras de certificados. TambiΘn puede definir para controlar si los usuarios podrßn modificar o no la configuraci≤n de la seguridad. Para obtener informaci≤n acerca de configuraciones especφficas, consulte Opciones de seguridad de Internet Explorer.
Puede garantizar que los usuarios recibirßn advertencias cuando intenten ver contenido potencialmente inseguro. TambiΘn puede evitar que los usuarios descarguen controles ActiveX y paquetes de Java sin firmar.
La firma de c≤digo es un proceso sencillo y rßpido. Para firmar su c≤digo no es necesario conocer los detalles tΘcnicos acerca del procedimiento.
DespuΘs de desarrollar y probar el c≤digo, la compa±φa de software firma el archivo de c≤digo. La compa±φa utiliza un programa de firma, como puede ser Signcode.exe, que ejecuta un algoritmo de hash con el c≤digo y crea un "resumen" del archivo. A travΘs de la capa del sistema operativo, el programa cifra ese resumen con la clave privada, y lo combina con el nombre del algoritmo de hash y con el certificado de la CA (que contiene el nombre de la compa±φa, su clave p·blica, etc.) y forma asφ una estructura que se denomina bloque de firma. El programa inserta entonces ese bloque en el archivo de c≤digo, con lo que Θste queda listo para su distribuci≤n a travΘs de Internet. Tenga en cuenta que un archivo .cab firmado incluye tambiΘn un bloque de firma.
Cuando el usuario descarga el archivo desde Internet, la aplicaci≤n que realiza la descarga llama a una funci≤n de comprobaci≤n. Como consecuencia de esa llamada, el sistema operativo extrae el bloque de firma, determina quΘ CA valid≤ el certificado y utiliza la clave p·blica para descifrar el resumen. El sistema utiliza despuΘs el algoritmo de hash indicado en el bloque de firma para crear un segundo resumen. Si el c≤digo no se modific≤ desde que se firm≤, el resumen nuevo debe coincidir con el antiguo. Si los dos res·menes no coinciden, significa que el c≤digo se ha modificado o que las claves p·blica y privada no coinciden. En ambos casos, el c≤digo se convierte en sospechoso y se advierte al usuario.
Temas relacionados
