Compartir a través de

Protección adicional de recursos de Windows en claves de registro

  • Artículo

Plataforma

Clientes: Windows 7
Servidores: Windows Server 2008 R2

Impacto en las características

Gravedad: media
Frecuencia: baja

Descripción

Los recursos adicionales del sistema han añadido la configuración de Protección de recursos de Windows (WRP) en Windows 7, convirtiéndolos en configuraciones de solo lectura. La gran mayoría de los recursos que han recibido protección añadida son claves de servidor COM del sistema, aunque algunas funciones han añadido protección de recursos específicos. Microsoft modificó estos recursos para evitar que el sistema y otras aplicaciones se estropearan entre sí y para proporcionar una plataforma consistente y estable sobre la que pudieran ejecutarse aplicaciones de forma fiable. En el pasado, las aplicaciones podían proporcionar archivos personalizados y utilizar el registro COM desprotegido para modificar el sistema. En el caso de aplicaciones antiguas, esto puede degradar los tiempos de ejecución del sistema o cambiar la interfaz sobre la que otras aplicaciones necesitaban funcionar correctamente. En el peor de los casos, estas instalaciones podrían provocar errores del sistema o degradación con el paso del tiempo. Para ofrecer una mejor experiencia y una plataforma de aplicaciones más estable, bloqueamos estos registros para que solo las actualizaciones de Microsoft pudieran cambiar los componentes del sistema.

Dado que la mayoría de los recursos modificados son claves COM utilizadas por el sistema, este cambio no afectará a la mayoría de las aplicaciones. Aunque esperamos que la mayoría de las aplicaciones tengan una mejor experiencia en Windows 7 como resultado de estos cambios, un pequeño subconjunto de aplicaciones puede verse afectado negativamente. Las capas de compatibilidad de aplicaciones del sistema resolverán automáticamente los problemas de configuración indicando siempre a la aplicación que ha conseguido cambiar una configuración, aunque haya fallado por tratarse de un recurso protegido. Esto evita que se rompa la configuración de la aplicación, pero puede causar problemas si es necesario cambiar la configuración para que la aplicación funcione correctamente.

Manifiesto

Las aplicaciones pueden haber modificado esta configuración antes de Windows 7. Al instalar en Windows 7, las aplicaciones pueden encontrar ciertas características que ya no funcionan porque la configuración no refleja lo que esperaba la aplicación.

Hay dos escenarios en los que las aplicaciones pueden encontrar problemas relacionados con esta protección agregada:

  • Aplicaciones que pueden haber estado utilizando la configuración ahora protegida como almacén de datos o como un punto de extensibilidad poco frecuente o involuntario.
  • En raras ocasiones, es posible que el mecanismo de detección utilizado para identificar las configuraciones de las aplicaciones no reconozca una configuración concreta y, por lo tanto, no se aplique la capa de mitigación de compatibilidad de aplicaciones.

Mitigación

El principal medio de mitigación es la capa de compatibilidad de aplicaciones del sistema, que se aplica automáticamente a las configuraciones de las aplicaciones cuando se detecta. También puede aplicarlo manualmente a cualquier aplicación mediante la pestaña de compatibilidad de las propiedades de la aplicación.

Esta capa resuelve el problema interceptando las operaciones del registro. En el caso de que la aplicación intentara modificar una configuración de solo lectura (WRP), la capa siempre devuelve que la operación se ha completado correctamente, aunque realmente la configuración no se haya modificado. Para la mayoría de las aplicaciones, esto no provocará problemas. Sin embargo, existe la posibilidad de que la aplicación necesite que la configuración se modifique para funcionar correctamente, que es el primer escenario descrito anteriormente.

Solución

Para los dos escenarios identificados anteriormente:

  • Si la aplicación requiere que se pueda escribir la clave para que funcione o use el almacén de datos, no hay ninguna solución que no sea cambiar la aplicación para que ya no escriba en esa ubicación.
  • Si la capa de compatibilidad no se aplicó a una configuración, se debe detectar el fallo de la configuración y ofrecer que se aplique y se vuelva a ejecutar. Las aplicaciones también pueden ejecutarse en modo de compatibilidad, en cuyo caso siempre se aplica la capa de mitigación.

Pruebas de compatibilidad

Cómo detectar si una aplicación tenía aplicada la mitigación de WRP:

  • Windows Installer es consciente de WRP; ignora de forma automática y silenciosa los intentos de escribir o modificar un recurso protegido. Si la aplicación se instaló con Windows Installer y se ha habilitado el registro, se registrará una advertencia por cada operación de escritura de clave de registro que se haya ignorado por ser un recurso protegido por WRP.
  • La API Protección de recursos de Windows incorpora SfCIsKeyProtected, que puede consultar si una clave del registro está protegida con WRP en el sistema actual.