Widows XP Service Pack 2
Las mejoras introdcidas son mchas, y en ocasiones, tan importantes qe los desarrolladores de aplicaciones tendrán qe verificar qe las mismas fncionen adecadamente.

Los mejores estrategas militares del pasado establecían, a la hora de la constrcción de fortalezas, na defensa basada en diferentes niveles de obstáclos, creando n sistema de capas de protección qe impedía o dificltaba n ataqe directo a las partes críticas de la constrcción.
La aproximación a la segridad qe toma el SP2 de Windows XP intenta darnos la misma protección qe ofrece disponer de varios niveles de defensa. La idea es crear na serie de capas de protección para disminir el riesgo frente virs y gsanos, an en el caso de qe no hayamos podido actalizar el sistema ante na vlnerabilidad en na determinada fnción.

En realidad, son nevas tecnologías de segridad qe mitigan el riesgo cando na actalización no pede ser desplegada de forma inmediata por calqier razón. Estas tecnologías las podemos agrpar en las sigientes áreas:
- Protección de los servicios de red.
- Protección de memoria del sistema.
- Manejo segro del correo.
- Explorador de Internet IE más segro.
- Mantenimiento y actalización del sistema.

Es importante entender el alcance de cada na de ellas y ver como impacta en las sistemas actales, por ello vamos a ver detenidamente cada na de las innovaciones y modificaciones qe spone la instalación del Service Pack 2 para Windows XP.

1. TECNOLOGÍAS DE PROTECCIÓN DE LOS SERVICIOS DE RED

En el sigiente apartado vamos a comentar aqellas innovaciones introdcidas en el SP2 de XP qe tienen impacto en la forma de trabajar en red Windows XP.

SERVICIO DE ALERTAS Y MESSENGER

Estos servicios son componentes de Windows heredados de versiones inferiores y qe permiten enviar mensajes entre máqinas en la red. El servicio de Messenger envía mensajes desde aplicaciones y servicios, mientras qe el servicio de Alertas esta orientado de forma específica a alertas administrativas del sistema.
- Cambios: Hasta ahora el servicio de Messenger se iniciaba atomáticamente al arrancar Windows mientras qe Alertas era de forma manal. Con SP2, ambos servicios qedan en estado de deshabilitado. No se hace ningún otro cambio en ellos. Calqier aplicación qe haga so de estos servicios para comnicar no fncionará.

- Implicaciones: Hay dos formas de resolver el impacto de esta modificación. La primera y aconsejada es la revisión de las aplicaciones qe hagan so de estos servicios y s modificación para hacer so de otros modos de comnicación. El segndo modo de resolver la modificación es adaptar la aplicación para iniciar los servicios antes de hacer so de ellos.

SOPORTE BLETOOTH

Bletooth es na de las tecnologías inalámbrica de rango corto de mayor éxito y disponible en na amplia variedad de dispositivos. Hasta ahora el soporte de estos dispositivos era responsabilidad del fabricante. Éste era qien proveía de toda la pila de comnicaciones para el dispositivo. Con el SP2 se introdce el soporte nativo de esta tecnología.
- Cambios: Soporte integrado de la especificación BleTooth. Algnas de las características inclidas son el soporte para PAN (red de area personal con IP sobre BleTooth), Hard copy Replacement Profile, HCRP, habilita impresión, so de teléfonos móviles como modem, HID (host interface device), object psh profile para transferencia de ficheros, y soporte de pertos COM virtales, entre otros.

- Implicaciones: No hay efectos en el sistema al instalar el SP2 cando no hay n transceptor instalado. Tan sólo se habilita al tener n dispositivo Bletooth aprobado en la lista de compatibilidad WHQL. Se pede acceder a configrar los nevos accesos a través del panel de control y na neva fnción en accesos de red. Existe además na aplicación en el grpo de programas accesorios para transferencia de ficheros.

Si existe n driver no-Microsoft de Bletooth, la actalización a SP2 no hace qe el controlador sea reemplazado. Se pede hacer posteriormente de forma manal o a través de n programa.

HERRAMIENTAS ADMINISTRATIVAS CLIENTE

Las herramientas administrativas cliente son na serie de consolas de gestión llamadas genéricamente MMC, Microsoft Management Console, a las qe se les incorporan nos complementos con la fncionalidad reqerida. Por ejemplo, administrar sarios, ordenadores, servicios y otros componentes.

Existen dos cadros de dialogo generados por estas tilidades de gestión. no es el seleccionar sarios, ordenadores o grpos y otro es el bscar sarios, contactos o grpos. El primero es el sado al poner segridad en carpetas compartidas, por ejemplo. El segndo sele aparecer en búsqedas en el directorio activo.
- Cambios: Windows XP Service Pack 2 modifica el comportamiento de estas herramientas cando actúan administrando sistemas de forma remota. En local permanecen igal.
- Implicaciones: Para sar estas herramientas remotamente en n sistema con el Firewall habilitado es necesario abrir el perto TCP 445. Para esto podemos reconfigrar, en línea de comando o, el Firewall ejectando lo sigiente: Netsh firewall set portopening TCP 445 enable O bien hacerlo por políticas de grpo.

MEJORAS DE SEGRIDAD EN DCOM

El modelo de componentes distribidos DCOM es n modelo de programación para crear componentes software qe interaccionen entre sí, en local o remoto. Esto habilita al programador distribir los componentes de la aplicación en distintas bicaciones según lo reqiera. El SP2 modifica el comportamiento si estos componentes están en remoto.
- Cambios: La infraestrctra de sistema operativo qe alberga la operación de COM en Windows XP se ha modificado para qe el sistema regle el acceso a todas las llamadas, activaciones o solicitdes de ejección en el ordenador. Para facilitar la comprensión de lo qe se ha hecho, pensemos, qe se añade na capa adicional de control de acceso. na llamada, AccessCheck, realizada contra la lista de accesos ACL en cada petición de llamada, activación o lanzamiento de calqier servidor COM en el ordenador.

- Implicaciones: Por defecto, el grpo todos tiene concedidos los permisos de activación local, lanzamiento y llamada local y por defecto, también, el grpo todos tiene concedido el permiso de llamada remota. Lo qe habilita el acceso para la mayor parte de los clientes COM, inclyendo los casos donde el cliente pasa na referencia local al servidor remoto. Esto podría deshabilitar escenarios qe reqieran llamadas remotas no atenticadas. Por defecto, los administradores tienen permisos de activación remota y lanzamiento del servidor COM. Esto deshabilita activaciones remotas por no administradores a servidores COM instalados.

RESTRICCIÓN DEL INTERFACE RPC

Se han introdcido varios cambios en el servicio con el fin de secrizar el acceso al interface. La modificación más significativa podemos decir qe es la neva clave de registro RestricRemoteClients. Esta clave modifica el comportamiento por defecto de todos los interfaces RPC en el sistema haciendo qe no sean accesibles de forma anónima. Otro cambio implica a la clave EnableAthEpResoltion para resolción de la atenticación del asignador dinámico de pertos y tres nevos flags de registro para los desarrolladores de aplicaciones.

REDIRECTOR WEBDAV

El redirector WebDAV (DAVRdr) permite a los sistemas Windows XP acceder a servidores WebDAV (Web-based Distribted Athoring and Versioning). Siendo WebDAV na extensión de http, existe la posibilidad de atenticación básica y en este caso el nombre de sario y password van sin cifrar. El redirector DAVRdr no soporta cifrado http (HTTPS o SSL) y transmitirá las credenciales en claro en caso de qe se intente na atenticación básica. Si el servidor es configrado para no aceptar este tipo de atenticación entonces no se enviarán las credenciales sin cifrar. Sin embargo existe el riesgo de qe n servidor sea impersonado y por lo tanto qe n servidor falso ferce na atenticación básica, robando las credenciales.

- Implicaciones: Al aplicar el SP2 se verán afectados aqellos servidores configrados para atenticación básica y qe sen DAVRdr de tal forma qe se impide este tipo de atentificación. El mismo concepto es aplicable a aqellas aplicaciones qe hacen so del interface WINInet.


WINDOWS FIREWALL

Windows Firewall (ver Pantalla 1), anteriormente Internet Connection Firewall, es n firewall software con filtro de estado mantenido para Windows XP y Windows Server 20003. Aporta na protección adicional frente a conexiones entrantes no solicitadas en TCP/IP IPv4 e IPv6. Las opciones de configración inclyen:
- Ajstes a nivel de interface.
- Apertra estática de pertos.
- Configración básica de opciones ICMP.
- Registro de paqetes rechazados y conexiones con éxito.


Service Pack 2 tiene los sigientes efectos en este componente:

Activo por defecto

Antes de SP2 el firewall se encontraba desactivado por defecto. El sario necesitaba configrarlo manalmente, lo qe en general era demasiado difícil para los sarios. Por tanto, en mchos casos, el sistema operativo qedaba desprotegido al no activarse para el interface conectado a red.
- Cambios: La activación del firewall es inmediata en todos los interfaces de red. También afecta a calqier neva conexión qe se peda añadir en adelante. Esto aplica tanto a IPv4 como a IPv6 inclso si existe ya otro firewall en el sistema.
- Implicaciones: Tras la instalación del SP2 algnas aplicaciones no preparadas para trabajar con n firewall de filtro con estado peden dejar de fncionar. En estos casos es conveniente revisar estas aplicaciones para adaptarlas al fncionamiento con Windows Firewall. Podría haber también algún tipo de conflicto con otro firewall software o hardware presentes en el entorno.

Segridad en tiempo de arranqe

En versiones anteriores hay na ventana de tiempo desde el arranqe de la pila de red hasta qe el firewall empieza a proteger en donde el sistema es ssceptible de ser atacado. Esto es debido a qe el firewall no comienza a filtrar hasta qe el servicio es cargado y se ha aplicado la política de protección configrada. El tiempo de carga es fnción de las dependencias qe el servicio Firewall tiene de otros servicios y de la velocidad de la maqina.
- Cambios: Con SP2, cando el firewall se activa, se la aplica inmediatamente na regla estática para llevar a cabo n filtrado desde el primer momento. Esta regla estática se denomina política en tiempo de arranq. Permite proteger al sistema desde el primer momento, y a la vez, llevar a cabo tareas básicas de red como descbrimientos de DHCP, DNS y otros. na vez qe el firewall esta preparado se aplican las políticas de tiempo de ejección personalizadas y se eliminan los filtros de arranqe.

Configración global

En las versiones anteriores, Windows Firewall era configrado para cada interfaz de red. Lo cal significaba qe cada interfaz reqería s propia definición. Esto, en sí, es my difícil gestionar a nivel de sistema y más a nivel de organización.
- Cambios: Con las configraciones globales, cada vez qe se aplica n cambio, se aplica a todas las conexiones de red. De esta forma se pede establecer na política de firewall a todas las conexiones existentes y las de ftra creación. Esto no impide qe se pedan tener configraciones individalizadas para cada interfaz de red.

Restricciones para la red local

Por defecto, cando n perto es abierto, se hace de forma global; calqier tráfico entrante desde calqier red pede llegar al perto. Ya sea desde Internet, intranet o local.
- Cambios: Con SP2 podemos configrar, qe cando se abra n perto, sólo reciba tráfico de direcciones locales. Es recomendable configrar esta restricción para calqier perto estático sado en comnicación local.

Soporte de configración por línea de comando

La necesidad de poder configrar el firewall por línea de comando ha hecho necesario el desarrollo de na aplicación de configración qe abarqe la amplia fncionalidad de Windows Firewall tanto en IPv4 como IPv6.
- Cambios: Se ha introdcido el comando Netsh con el qe se podrán configrar todas las opciones del firewall. Especialmente acciones tales como: estado del firewall, configración de pertos, opciones de registro de actividad, lista de excepciones de aplicaciones, etc.

Modo operacional: Activo sin excepciones

En el so normal de Windows XP, éste, pede permitir la recepción de tráfico no solicitado desde distintos pntos de la red; por ejemplo, si comparte na impresora. A s vez, peden ejectarse varias aplicaciones con ss respectivos pertos configrados. En estos entornos, en caso de riesgo pntal, es necesario poder configrar al sistema, de forma inmediata, qe trabaje como solo cliente sin exponer ningún servicio.
- Cambios: Se establece n modo de operación qe permite poner de forma instantánea el firewall en modo Activo sin excepciones de tal forma qe se evita toda recepción de tráfico no solicitado y se cierran calqier conexión existente.

Lista de excepciones

Cando na aplicación actúa como servidor se debe permitir el acceso de tráfico no solicitado por adelantado, ya qe, en general, no sabemos qien qiere interaccionar con ésta. Hay entonces n trabajo de la aplicación qe debe solicitar al Firewall la apertra de los pertos necesarios para recibir las comnicaciones y además cerrarlos al terminar. Por otra parte para poder permitir estas operaciones la aplicación debería correr en el contexto de segridad de n administrador local, lo cal viola el principio de menor privilegio.
- Cambios: Con SP2 la aplicación qe reqiera poder abrir pertos, pede ser añadida a la lista de excepciones. Cando ésta reqiera abrir n perto, podrá hacerlo, independientemente del contexto de segridad en el qe este corriendo. Las aplicaciones se peden añadir a la lista de forma programática drante la instalación, por interacción con el sario a través de n cadro de opciones, o bien de forma manal con el administrador del firewall.

Múltiples Perfiles
- Cambios: Para los sistemas incorporados a n dominio se permite tener dos perfiles de políticas de configración Firewall. no para cando se encentra en la red corporativa y otro para cando no lo esta. Esta opción esta especialmente concebida para dispositivos móviles qe han de trabajar en entornos no controlados como son redes inalámbricas en aeropertos y hoteles.

Soporte RPC
En las versiones anteriores del Firewall, el tratamiento de las aplicaciones qe hacían so de la asignación de pertos RPC, de forma dinámica, era my problemático. El Firewall podía permitir el acceso al perto del asignador dinámico de pertos RPC para qe se asignara n perto al cliente. Pero el perto asignado era aleatorio, y por tanto, el Firewall no permitía el acceso al tenerlo previamente bloqeado.
- Cambios: Windows Firewall permitirá la apertra dinámica de pertos si la aplicación RPC qe llama al asignador lo hace en el contexto de segridad de Sistema local, servicio de red o Servicio local. Existe la posibilidad de para qe esto se haga inclso si la aplicación no estviera en la lista de excepciones.

Restaración de la configración por defecto
- Cambios: Anteriormente no había posibilidad de configrar el sistema con las opciones por defecto na vez qe estas se habían modificado. Con SP2 esto ya es posible, y, además, se permite qe las organizaciones OEMs definan estos perfiles por defecto de forma personalizada.

Soporte para la instalación desatendida
- Cambios: Posibilidad para qe los OEM o las organizaciones configren Windows Firewall drante las instalaciones desatendidas. Se pede preconfigrar opciones como: Modo operacional, aplicaciones de la lista de excepciones, opciones ICMP y opciones de registro.

Soporte ampliado de tráfico mlticast y broadcast

Existen ciertos escenarios donde es necesario captar tráfico difndido en modo mlticasts o broadcast. Este tipo de tráfico es rechazado por el Firewall ya qe provienen de na máqina desconocida tras na petición previa del sistema. Esto impide el so de ciertas aplicaciones de difsión de media o descbrimiento de servicios en red.
- Cambio: Para habilitar estos escenarios, Windows Firewall permite na respesta nicast por 3 segndos desde calqier dirección de procedencia en el mismo perto desde donde el trafico ni o broadcast se originó.

Configración a través de políticas de grpo

En la versión de Windows Firewall disponible hasta ahora solo se podía controlar, por políticas de grpo, la prohibición o no del so del Firewall.
- Cambio: Con SP2 cada opción de configración de Windows Firewall pede ser controlada desde las políticas de grpo haciendo increíblemente fácil administrar de forma centralizada n gran número de sistemas.

WINDOWS MESSENGER

Windows Messenger es el cliente de mensajería instantánea qe permite comnicar en tiempo real con otros sarios de Windows Messenger y MSN Messenger. Se han añadido nevas fncionalidades con objeto de incrementar la segridad. Estas son algnas:

Bloqeo de transferencias de ficheros no segras

Cando algien trata de enviarnos n fichero Windows Messenger primero mira a ver si esta en la lista de contactos. Posteriormente examina el tipo de fichero y salvo qe sean .img , .jpg, o .txt nos pregntará qé qeremos hacer con él. Los ficheros considerados no segros son todos los qe podrían tener algún tipo de código embebido como .doc, ppt, pdf, zip, exe, cmd, wsh,…

Obligación de presentar el nombre de contacto

Con SP2 será necesario tener n nombre de contacto diferente del alias de correos sado para entrar en el servicio de mensajería instantánea. Con esto se evita el riego de qe ciertos virs sean capaces de descbrir el alias de correos en los ficheros de texto donde se garden las conversaciones.

SERVICIO DE APROVISIONAMIENTO WIRELESS

Los servicios de aprovisionamiento Wireless, SAW, son na extensión a los servicios de Wireless e interfaces de administración de conexiones de red dentro de Windows XP y Windows Server 2003. Por tanto, están constridos sobre características ya existentes como la ato configración Wireless y segridad WPA (Wi-Fi protected Access) y PEAP (Protected Extensible Athentication). Este nevo servicio trabaja en conjnto con Windows Server 2003 SP1 ya qe se reqiere de la fncionalidad modificada del servicio IAS (Internet Athentication Service, Radis) para el servicio de atenticación de clientes en el proceso de aprovisionamiento.

El objeto de SAW es permitir a las empresas y a los proveedores de acceso a Internet Wireless enviar información de aprovisionamiento y configración a los clientes móviles qe intentan conectar a Internet o los servicios de red corporativos de na organización. Entre la información qe es posible enviar a los clientes están los nombres de diferentes identificadores SSID, redes opcionales, información de costo, factración y cobro por so, así como políticas de so.

Toda la información de configración e información qe se descarga al cliente qeda registrada y en accesos scesivos la entrada será atomática refrescando las configraciones. El resltado final es el acceso transparente, atomático y segro de n cliente a redes Wireless corporativas o públicas.

2.TECNOLOGÍAS DE PROTECCIÓN DE LA MEMORIA

Hay na variedad de ataqes qe están basados en la posibilidad de inyectar código ejectable en zonas de memoria donde sólo debería haber datos. na vez colocado el código y por diversas técnicas se explota esta posibilidad. La protección de ejección básicamente lo qe hace es marcar todas las posiciones de memoria en n proceso como no-ejectables a menos qe el lgar contenga de forma explicita código ejectable. Cando desde na posición de datos se intenta ejectar código, la protección de ejección eleva na excepción a la aplicación.

La protección de memoria trabaja jnto con el procesador para marcar la memoria con n atribto qe indica qe no se debe ejectar desde esa área de memoria. Además fnciona en base a páginas de memoria virtal, cambiando n bit en la tabla de entradas de página (PTE) para marcar la página de memoria.

Tanto Intel como AMD han presentado procesadores con este tipo de protección. Windows soporta protección en la plataforma AMD64 e Intel Itanim Processor. La versión 32 bits de Windows (comenzando con XP SP2) tiliza la protección NX según la define AMD. Para ello el procesador debe ejectar en modo PAE (physical Address Extensión). Las versiones de 64bits san la característica NX del procesador y ciertos valores de derechos de acceso a la PTE en los procesadores Intel IPF. Se espera qe las ftras versiones de procesadores 32 y 64 bits soporten protección de ejección.

Protección de ejección en versiones 32bits Windows y ss aplicaciones

Para poder aprovechar esta protección es necesario qe lo soporte el procesador. Como es lógico pensar, por ahora, la mayor parte de los sistemas Windows y las aplicaciones compatibles Windows en el ftro consistirán en procesadores 32 bits y aplicaciones 32 bits. El primer paso de la indstria son los procesadores con extensiones 64 bits tales como al AMD Opteron y Athlon 64 qe soportan ambos modos de ejección y qe son capaces de trabajar con aplicaciones antigas y nevas con soporte NX cando PAE esta activado.
- Cambios: Windows XP SP2 añade el soporte para protección de ejección. El sario o administrador es capaz de desactivar esta fncionalidad a través de registro o panel de control. A s vez, y con el propósito de deshabilitar de forma selectiva la protección aciertas aplicaciones 32bits, se ha inclido na opción para impedir qe esta fnción les afecte.



3. TECNOLOGÍAS PARA EL MANEJO SEGRO DEL CORREO

Otlook Express
Otlook Express es na de los clientes de correo sados mas frecentemente para acceso al correo electrónico y foros de noticias. Por ello se han aplicado los sigientes cambios en s fncionalidad:

Modo Texto plano
Al recibir n correo en formato HTML, Otlook Express tiliza el control MSHTML. Este control procesa de forma atomática la cabecera de script HTML donde se pede encontrar código malicioso y exponer, de esta forma, al sistema.
- Cambios: Al entrar el correo en el bzón, el sario, ahora tiene la opción de presentar el mensaje en modo texto plano en vez de formato HTML. Cando Otlook presenta el correo en esta forma sa el control de texto rico en vez de MSHTML. Este control no procesa los posibles scripts. Esto spone na barrera al correo malicioso ya qe impide la ejección de código no consentido.

No bajar contenido HTML externo
Los atores de correo spam selen recrrir a referencia a imágenes qe residen en ss web dentro de los correos. Cando el correo es recibido por el sario, al abrirlo, se prodce na búsqeda atomática de estas imágenes, confirmando al creador del spam qe la dirección de envío es correcta. na vez confirmada esta dirección se podrá ver sometida a nevas acciones de spam en adelante.
- Cambios: Otlook presenta na neva opción para no bajar de forma atomática los contenidos externos. Al no contactar el servidor web externo el origen del spam no podrá confirma la dirección y con ello disminir la recepción de nevos correos no deseados. Esta opción también facilita el trabajo a los sarios qe trabajan con acceso a través de modem ya qe al abrir los correos, éstos no intentarán establecer conexión a Internet.

Integración en el API de AES
AES es n nevo conjnto de interfaces de programación llamado servicio de ejección de adjntos o Attachment Exection Service. El objeto de AES es eliminar todo el código de las distintas aplicaciones orientado a cheqear los ficheros adjntos y crear n marco invocable por todas las aplicaciones qe hagan so de adjntos. AES de esta forma, presenta na gestión centralizada del tratamiento de adjntos, reforzando centralizadamente las políticas de so segro de adjntos.
- Cambios: Otlook Express se integra ahora en este marco de tratamiento de adjntos. No aporta ningún cambio visible al sario.



4. TECNOLOGÍAS PARA LA NAVEGACIÓN SEGRA POR INTERNET

En este apartado vamos a ver las tecnologías inclidas en el SP2 de Windows XP qe hacen posible na navegación Web más segra.

Mejoras en la descarga, adjntos y Athenticode

Los avisos qe aparecen en la descarga de ficheros, adjntos en el correo, ejección de procesos e instalación de programas se han modificado en el SP2 para ser más claros y consistentes. Además, Windows XP mestra al sario el editor de n fichero cando se seleccionan ficheros ejectables en Internet Explorer Otlook Express. Con este cambio se mejora la experiencia en la descarga de ficheros de Internet y se impide qe ficheros sospechosos comprometan la segridad del sistema.
- Cambios: Cando n sario se descarga n fichero desde Internet Explorer o desde Otlook Express, le aparecerá n cadro de diálogo con información más completa, en fnción de si el fichero tiene más o menos riesgo. Despés de descargarlo, IE mestra información sobre el editor del fichero. Si el fichero no inclye la firma del editor, tiene na firma inválida o está bloqeado por el administrador del sistema, no podrá ejectarse en la máqina.
- Implicaciones: Con este cambio, los ficheros ejectables con firmas inválidas o bloqeadas no se ejectarán. Para poder ejectarlos, se deberá desbloqear al editor del fichero en Internet Explorer.

Componentes de detección de fallos y gestión en Internet Explorer

Los datos obtenidos con los informes de errores de Windows han mostrado qe na de las principales casas de la inestabilidad de Internet Explorer son los complementos añadidos al mismo, además de qe éstos podrían contener código malicioso o desconocido. En el SP2 aparecen dos nevos componentes, el de gestión, qe permite a los sarios ver y controlar la lista de complementos qe peden cargarse en Internet Explorer (verPantalla 2) y el de detección de fallos qe intenta detectar fallos en IE relativos a n determinado complemento; cando éste es identificado, el sario pede desactivar el mismo. Con esta fncionalidad, los administradores peden crear na lista con los complementos permitidos o no y restringir los permisos a los sarios para qe no pedan gestionarlos.
- Cambios: Los sarios peden ver y gestionar la lista de complementos de Internet Explorer con mayor control qe antes, desactivando calqiera de ellos de na forma my sencilla. Los administradores peden desactivar este interfaz de sario, para ser ellos qienes controlen los complementos.


Siempre qe Internet Explorer falle, se iniciará el componente de Detección de Fallos. Si detecta qe el fallo lo ha provocado n complemento, aparece n cadro de diálogo con toda la información al respecto.

Parámetros de segridad del comportamiento binario de IE

Internet Explorer contiene componentes qe encapslan fncionalidad específica para los elementos HTML a los qe son anexados. A estos componentes binarios no se los controla con los parámetros de segridad de IE, lo qe permite qe fncionen en páginas Web inclso en la zona de Sitios Restringidos.
- Cambios: En cada zona de segridad de IE, aparece n nevo parámetro para los componentes binarios qe está activado en todas las zonas, excepto en la zona de Sitios Restringidos.
- Implicaciones: Si el código de las aplicaciones tiliza complementos binarios en la zona de Sitios Restringidos, se necesitará cambiar el código implementando na gestión de la segridad personalizada.

Mitigación BindToObject de Internet Explorer

En SP2, el modelo de segridad de los ActiveX se aplica en todos los casos donde el enlace RL se tiliza para instanciar e inicializar n objeto. Por tanto, el modelo permite controles qe sean marcados como segro para scripting y segro para inicialización y permite a los sarios bloqear o permitir los controles ActiveX por zona de segridad.
- Cambios: Ahora se aplica el modelo de segridad de los ActiveX a todas las inicializaciones de objetos con na RL como fente. Antes, el código era el responsable de asegrar la integridad y segridad del control, lo qe podría con frecencia resltar en na vlnerabilidad de segridad.
- Implicaciones: Los problemas de compatibilidad con aplicaciones deberían ser mínimos. Estas podrían optar por tener s propio gestor de segridad.

Barra de información de Internet Explorer

La barra de información de IE en SP2 sstitye a mchas cajas de diálogo qe piden información a los sarios y proporciona n área de información a estos mismos sarios. Las notificaciones inclyen instalación de ActiveX bloqeados, elementos emergentes, descargas y contenido activo.
- Cambios: La barra de información aparece debajo de las barras de herramientas de IE y encima de la página web qe se está visalizando, tal y como reprodcimos en la Pantalla 3. Aparece cando existe na notificación y desaparece en la sigiente navegación. El texto varía en fnción de la notificación y pinchando sobre el mensaje, aparecerá n menú relativo a la notificación. Los sarios podrán configrar la barra de información para qe se reprodzca n sonido cada vez qe la barra aparezca. Los tipos de notificaciones qe nos mostrará la barra de información son: - Instalación de complementos, por ejemplo n control ActiveX: Ahora es menos probable qe los sarios instalen na aplicación por accidente.
- Notificación de elementos emergentes (Pop-ps) bloqeados: Dejarán de aparecer esas molestas ventanas de información cada vez qe navegamos por Internet.
- Descargas atomáticas: Impide qe el sario instale código no deseado en ss ordenadores.
- Contenido activo bloqeado.
- Controles ActiveX bloqeados.

- Implicaciones: Las páginas web qe lanzan descargas de ficheros atomáticas deberían asegrarse de qe existe también n enlace a estas descargas. Además, si na página web reenvía a otra página a n sario en fnción de si tiene n determinado complemento instalado, debería asegrarse de qe este complemento está también disponible en la página de destino, para qe el sario tenga la posibilidad de instalarlo.


Parámetros de control de las zonas de segridad de IE

Los clientes indicaron qe se necesitaba na configración más precisa en las diferentes zonas de segridad. Por ejemplo, n control qe proteja a los sarios en la zona de Internet podría romper na aplicación intranet. Por tanto, SP2 proporciona más precisión en el control de las zonas de segridad para aydar a gestionar la compatibilidad de aplicaciones intranet.
- Cambios: SP2 introdce na neva opción en los parámetros de segridad de IE llamada Abrir archivos basados en el contenido, no en la extensión. Si esta opción está activada, la zona está protegida como lo estaba con el SP1. Si se desactiva, las acciones qe pdieran ser dañinas no peden ejectarse. Más información sobre esta fncionalidad, más adelante en la sección titlada Referzo del manejo MIME en IE. Del mismo modo, existen dos opciones más Los sitios web peden abrir nevas ventanas en na zona de contenido web menos restringida (más información en bloqeos de elevación de zona) y Permitir qe se abran ventanas sin ningna restricción de segridad (más información en Restricciones de Ventanas) qe podrán ser activadas o desactivadas por zona de segridad.
- Implicaciones: Si el código tiliza el gestor de segridad RLmon, el desarrollador debe llamar a CoInternetIsFeatreEnabledForRL para cheqear estos parámetros de segridad para la zona.

Parámetros de control de IE en políticas de grpo

El SP2 introdce nevas claves y valores del registro para IE llamadas Control de Fncionalidades. Los administradores peden gestionar las nevas políticas de control mediante objetos de política de grpos (GPO).
- Cambios: Los administradores peden controlar mediante políticas de grpo las restricciones de segridad del comportamiento binario, el bloqeo de la zona máqina local, el manejo mime, la gestión de elementos emergentes, etc. Los sarios no peden ver estas políticas o parámetros mediante el interfaz de sario de IE. Las políticas peden sólo ser establecidas mediante el Editor de Objetos de Políticas de Grpos. La herramienta recomendada para qe los desarrolladores personalicen IE es Internet Explorer Administration Kit (IEAK) SP1.
- Implicaciones: El SP2 añade nevas políticas a la Política de Grpos pero no cambia la gestión de dichas políticas. Los desarrolladores necesitan conocer cómo cada característica de segridad afecta a ss aplicaciones.

Bloqeo de la zona máqina local de IE

Cando IE abre na página web, éste aplica restricciones a lo qe la página pede hacer, basado en la zona de segridad de esa página. Antes del SP2, el contenido del sistema de ficheros local era asignado a la zona de segridad de la máqina local, y esta zona permite qe el contenido se ejecte con relativamente pocas restricciones. Por tanto, los atacantes intentaban aprovecharse de esta zona para elevar los privilegios y comprometer el sistema.

Ahora SP2 protege al sario bloqeando la zona de la máqina local por defecto. Además los administradores podrán tilizar las políticas de grpo para gestionar el bloqeo de esta zona y para aplicarlo a los diferentes grpos de máqinas.
- Cambios: Con el SP2, el bloqeo de la zona máqina local será inclso más restrictivo qe la zona Internet. Cando el contenido intente acceder al sistema, la barra de información aparecerá comnicándonos qe la página ha sido restringida. Con este cambio, se impide qe el contenido eleve el privilegio de la máqina del sario.
- Implicaciones: Si la página web necesita ejectar n ActiveX o n script, se pede añadir n comentario en el código HTML. Esto ferza a IE a qe los ficheros HTML se ejecten en na zona diferente de la máqina local. Este parámetro fnciona en IE 4 y posteriores. Otra opción es crear na aplicación separada qe mantenga el contenido HTML en el Internet Explorer Web Object Control (WebOC). Los desarrolladores por tanto tendrán qe testear ss aplicaciones y activar el bloqeo para ofrecer nos niveles mayores de segridad.

Los desarrolladores de controles ActiveX qe permitían privilegios elevados en la zona máqina local no deberían cambiar ss controles para permitir privilegios elevados en otra zona; estos controles deberían ser convertidos para ejectarse sólo desde na aplicación HTML (fichero .hta) o na aplicación qe se ejecte fera del bloqeo de la zona máqina local.

Parámetros de segridad de la MSJVM de IE

Las versiones anteriores de Windows inclían la Máqina virtal de Java de Microsoft (MSJVM). Existía n parámetro para desactivar la MSJVM, pero este parámetro desactivaba también la máqina virtal de Java de calqier otro fabricante. Con el SP2, este parámetro fnciona exclsivamente con la MSJVM. Por defecto, la MSJVM se activa para todas las zonas, excepto para la de Sitios Restringidos.
- Cambios: En el SP2, aparece n nevo parámetro en la zona de segridad de IE, llamado Microsoft Java VM. Por defecto, está activado en todas las zonas, excepto en la de Sitios Restringidos.
- Implicaciones: La MSJVM ya no está inclida en Windows 2003, SP4 de Windows 2000 y SP2 de Windows XP. Si existen sitios web qe dependen de la MSJVM, éstos no se comportarán correctamente cando son accedidos por sistemas qe no la tienen instalada. Los desarrolladores cyas aplicaciones tilicen la MSJVM deberían examinar las opciones de desarrollo en Transición de la MSJVM en el sitio web de Microsoft, en [http://go.microsoft.com/fwlink/?LinkId=21850]

Referzo del manejo MIME de Internet Explorer

IE tiliza la información tipo MIME (Extensiones de correo Internet mltipropósito) para decidir cómo manejar los ficheros qe han sido enviados por n servidor Web, es decir, qé hacer con n ejectable o con n fichero .jpg, por ejemplo. En el SP2, IE sige nas reglas estrictas diseñadas para redcir la sperficie de ataqe y el tipo de información qe tiliza IE para saber cómo manejar el fichero es la extensión, el tipo de contenido de la cabecera HTTP, la disposición del contenido y los resltados del análisis MIME.
- Cambios: Cando n servidor web sirve ficheros a n cliente, IE reqiere qe la información sobre el tipo de fichero sea consistente. Es decir, IE reforzará la consistencia entre cómo se maneja n fichero en el explorador de Internet y cómo se maneja en el intérprete de comandos Windows. Por ejemplo, si el tipo MIME del fichero es texto/plano pero el análisis MIME indica qe el fichero realmente es n HTML o n fichero ejectable, IE no incrementará el privilegio del fichero comparado al tipo MIME declarado por el servidor. Por tanto, si n servidor Web mantiene ficheros HTML pero en la cabecera HTTP envía texto/plano como el tipo de contenido, IE mostrará el fichero como texto plano.
- Implicaciones: Los desarrolladores deben cambiar ss servidores Web para mantener ficheros qe tilicen cabeceras y extensiones consistentes.

Caché de objetos de Internet Explorer

En versiones anteriores al SP2, algnas páginas Web podrían acceder a objetos cacheados de otro sitio Web. Por ejemplo, se podrían crear scripts qe esccharan eventos o contenido en otro sitio Web, como números de tarjetas de crédito otro dato sensible. En el SP2, ya no está accesible la referencia a n objeto cando el sario navega a n nevo dominio.
- Cambios: Nevo contexto de segridad en todos los objetos hechos mediante scripts, en el qe el acceso a todos los objetos cacheados está bloqeado. Además de bloqear este acceso cando se navega por diferentes dominios, el acceso también está bloqeado cando se navega dentro del mismo dominio.
- Implicaciones: Los desarrolladores Web deberían revisar esta característica y adoptar los cambios necesarios a s sitio Web.

Bloqeador de elementos emergentes de Internet Explorer

El bloqeador de elementos emergentes (pop-ps) bloqea la mayoría de las ventanas no deseadas qe aparecen cando se navega. Los sarios finales y administradores peden permitir a dominios específicos qe abran este tipo de ventanas. Con esta fncionalidad, la navegación por Internet será menos molesta.
- Cambios: El bloqeador de elementos emergentes, qe podemos ver en la Pantalla 4, es na neva fncionalidad de IE, qe proporciona cambios en la experiencia del sario, cambios en el comportamiento de las APIs actales (window.open y showHelp, por ejemplo) y n nevo interfaz INewWindowsManager qe permite a las aplicaciones tilizar esta tecnología en IE. Se pede configrar o desactivar en el menú Herramientas de IE. Cando se bloqea n elemento emergente, aparece na notificación en la barra de estado de IE, qe nos permitirá mostrar el elemento, permitir los elementos de este sitio Web, bloqearlos o mostrar las opciones avanzadas.
- Implicaciones: Si t aplicación abre ventanas atomáticamente, éstas serán bloqeadas, y se tendrán qe bscar otras alternativas para hacer lo mismo. na posibilidad de abrir na ventana es mediante n enlace o elemento gráfico en el qe el sario haga clic.


Bloqeo de los editores en los qe no se confía de IE

Esta característica permite qe el sario bloqee todo el contenido firmado de n determinado editor sin necesidad de mostrar el cadro de diálogo de Athenticode. Esto permite qe el código del editor bloqeado no sea instalado ni tampoco el código con firmas inválidas.
- Cambios: Cando aparece el cadro de diálogo de Athenticode, el sario pede seleccionar Nnca confiar en el contenido de Nombre_del_Editor.
Si lo selecciona, el código de este editor será atomáticamente bloqeado en las sigientes ocasiones, sin pregntar nevamente al sario. Antes no había forma de decir No qiero contenido de este editor y no me pregntes de nevo, sólo podía seleccionarse la opción de Siempre confiar en el contenido de Nombre_del_Editor. Además, por defecto, Windows bloqea la instalación de código firmado con firma inválida.

Restricciones de ventanas de Internet Explorer

IE tiene la capacidad de poder desarrollar scripts qe programáticamente abran ventanas adicionales de diferentes tipos y qe reposicionen y cambien el tamaño de las ventanas existentes. La característica Restricciones de ventanas restringe dos tipos de ventanas: las ventanas popp (qe no tienen componentes como la barra de dirección, la barra del títlo, la barra de estado y barras de herramientas) y las qe inclyen la barra del títlo y la barra de estado.

- Cambios: Las ventanas con barra de títlo y barra de estado, iniciadas por scripts, son forzadas a qe estas barras estén visibles despés de qe la operación se complete. Los scripts no peden posicionar ventanas con la barra de títlo o la barra de dirección por encima de la parte visible de la pantalla ni la barra de estado por debajo de la parte visible de la pantalla. Sin este cambio, las ventanas peden esconder elementos importantes del interfaz de sario y éste podría pensar qe están en na página segra, cando en realidad están en n servidor Web malicioso.
- Implicaciones: El diseño del script podría necesitar ser revisado para asegrar qe las ventanas son visibles al sario y qe la barra de estado contiene información exacta. Si el script crea o meve na ventana fera de la pantalla, se debería examinar este reqerimiento y elegir otra forma de llevarlo a cabo.

Bloqeos de elevación de zona de Internet Explorer

Cando se abre na página Web en Internet Explorer, éste aplica restricciones en lo qe la página pede hacer, basado en dónde esté la página: Internet, n servidor intranet, n sitio en el qe se confía, etc. La zona de segridad Máqina Local es la zona con menos restricciones de segridad, por lo qe hace qe sea el principal destino para los sarios maliciosos. La característica de Bloqeo de Elevación de Zona endrece la posibilidad de ejectar código en esta zona, además de hacerla menos vlnerable.
- Cambios: IE impide qe el contexto de segridad de calqier enlace dentro de na página sea mayor qe el contexto de segridad de la RL raíz. Esto significa qe na página en la zona Internet no pede navegar a na página en la zona Intranet, excepto si es na acción iniciada por el sario. Esta característica también desactiva la navegación JavaScript si no existe contexto de segridad.
- Implicaciones: Las páginas Web qe llaman atomáticamente a otras páginas Web con más privilegios fallarán. Si na aplicación Web falla, habrá qe modificar las opciones de segridad de zona para permitir qe la aplicación continúe fncionando.

5. TECNOLOGÍAS MEJORADAS PARA EL MANTENIMIENTO DEL SISTEMA

Esta sección mestra las tecnologías inclidas en SP2 qe aydan al sario a mantenerse informado sobre tecnologías de segridad y asegrar qe los sistemas tienen las actalizaciones de segridad más actales.

Filtro para añadir o qitar programas

Este filtro (ver Pantalla 5) permite a los sarios visalizar las actalizaciones instaladas en la máqina sólo cando es seleccionado, en lgar de combinarlas con los programas instalados.
- Cambios: En el SP2 el sario pede elegir si ver o no las actalizaciones instaladas, seleccionando la opción Mostrar actalizaciones. Por defecto, Añadir o Qitar Programas no mostrará las actalizaciones instaladas en el sistema.
- Implicaciones: Los programas no necesitan ningún tipo de cambio para segir fncionando con Añadir o Qitar Programas en el SP2. n programa pede aprovecharse de esta opción no mostrando ss actalizaciones por defecto. Los detalles de cómo no mostrarlas estarán disponibles más adelante en MSDN.




Servicios de Actalización Windows y Actalizaciones Atomáticas

Los servicios de actalización de Windows WS (antes conocidos como SS, Servicios de Actalización de Software) permiten a los administradores atomatizar el despliege de actalizaciones críticas y de segridad a los sistemas con Windows XP Professional, Windows 2000 o Windows 2003. El programa de Actalizaciones Atomáticas (ver Pantalla 6) se conecta periódicamente al sitio Web de Actalizaciones Windows en Internet o a n servidor WS interno de la organización y según la configración, se instalarán todas las actalizaciones atomáticamente o se notificará al administrador o sario del sistema de la existencia de actalizaciones preparadas para instalarse.

- Cambios: Los más relevantes son: - Soporte para Microsoft Office, Microsoft SQL Server y Microsoft Exchange, además de distribción de drivers de hardware.
- Soporte de actalizaciones de segridad, actalizaciones críticas, service packs, y paqetes roll-p
- Ahora el programa de Actalizaciones Atomáticas pede priorizar la descarga de actalizaciones. Por ejemplo, descargará antes na actalización qe reselve na vlnerabilidad qe n Service Pack.
- Cando se tiliza n servidor WS, los administradores peden asignar los sistemas a diferentes grpos de forma qe pedan controlar qé actalizaciones se instalan en ellos. De esta forma, podríamos instalar na actalización a los clientes y no a los servidores.
- Ahora existen n conjnto de APIs qe peden tilizarse para gestionar las Actalizaciones Atomáticas programáticamente o desde scripts.
- Los administradores peden configrar la frecencia con la qe los sistemas clientes cheqean n servidor WS bscando actalizaciones.
- No existe interrpción drante la instalación de actalizaciones, pesto qe peden consolidarse varias para qe el sistema peda ser reiniciado na única vez. Además, se ha eliminado la necesidad de qe el sario aprebe el acerdo de licencias, será el administrador del servidor qien lo aprebe.
- Cando las actalizaciones están descargadas y preparadas para ser instaladas, aparece na neva opción para Instalar actalizaciones al apagar el sistema. Esto permite qe se instalen cando el sistema no está siendo tilizado para otras actividades.
- Los administradores peden configrar el comportamiento de las Actalizaciones Atomáticas tilizando Políticas de Grpo.
- Neva versión del servicio de transferencia, BITS 2.0 (Backgrond Intelligent Transfer Service) cyas características principales son:
- Permite descargar actalizaciones en n periodo determinado, en el qe haya menos so de la red.
- Pede tilizar sólo na porción del ancho de banda disponible.
- Descarga sólo las porciones de ficheros qe han cambiado.
- Se recobra de fallos en la red. No reiniciará la descarga de n fichero sino qe comenzará donde se paró.
- Mediante Políticas de Grpos, se peden configrar las opciones de programación y de notificación a los sarios.
- Los clientes peden actalizar atomáticamente a nevas versiones el programa de Actalizaciones Atomáticas sin necesidad de qe el administrador reconfigre el sistema.
- Reglas mejoradas para asegrar qe las actalizaciones son aplicadas al sistema apropiado.




Conjnto Resltante de Políticas

El conjnto resltante de políticas (RSoP) nos informa de la configración de políticas qe se aplican a n sario o sistema. na consola (Resltados de Política de Grpos) pide datos RSoP a n determinado sistema y los presenta en n informe HTML. El Modelado de Política de Grpos pide la misma información a n servicio qe develve na simlación de RSoP para na combinación de sistema y sario.

- Cambios: En el SP2, el cortafegos Windows está activado por defecto y por tanto las peticiones entrantes contra pertos cerrados son bloqeadas. Esto afecta al so de RSoP de dos formas: - El acceso remoto a datos RSoP desde n sistema con SP2 no fnciona cando el cortafegos es instalado en el sistema destino.
- Si el cortafegos se activa, n sistema con SP2 en el qe se ejecta la consola de política de grpos no podrá recperar los datos RSoP.

- Implicaciones: Para asegrar qe las peticiones entrantes RSoP pedan ser servidas, el sistema destino debe escchar por los pertos adecados. Estos pertos peden configrarse mediante políticas. Cando el cortafegos se activa, el SP2 bloqea las respestas a las peticiones RSoP. Para no tener qe abrir pertos, lo recomendable es instalar GPMC (consola de gestión de política de grpos) con SP1, disponible en [http://go.microsoft.com/fwlink/?LinkId=23529].

Centro de Segridad

El Centro de Segridad (Pantalla 7) es n nevo servicio del SP2 qe proporciona na localización central para cambiar los parámetros de segridad, aprender más sobre segridad y asegrarnos qe el sistema está actalizado con las opciones recomendadas por Microsoft.



El Centro de Segridad cheqea el estado del cortafegos (si está activado o no), del antivirs (cheqea la presencia de software antivirs y si éste está actalizado) y de las actalizaciones dinámicas (si éstas no están activadas, el Centro de Segridad da las recomendaciones adecadas). Si falta algún componente, el Centro de Segridad coloca n icono rojo en la barra de tareas.

Esta característica se aplica a todos los sistemas de n grpo de trabajo y, mediante la política de grpos, los administradores peden activar esta característica para los sistemas de n dominio.

Instalación de Paqetes

El SP2 se instala mediante el Instalador de Paqetes Windows qe actaliza y cambia la instalación existente de Windows XP. Existen algnas consideraciones, como por ejemplo:
- Se han añadido algnos parámetros nevos para lanzar pdate.exe desde línea de comandos.
- Dado qe se han introdcido mchas características nevas en el SP2, existe n incremento en el tiempo de instalación.
- Los antivirs peden afectar en el tiempo total reqerido para instalar n service pack. Si se desactiva drante la instalación, se pede redcir el tiempo alrededor de n 20%.

El Instalador Windows (Windows Installer 3.0) define y gestiona n formato estándar para la instalación y actalización de aplicaciones. Windows Installer 3.0 es na neva versión inclida dentro del SP2 de Windows XP.

- Cambios: Windows Installer 3.0 proporciona la infraestrctra necesaria para qe los sistemas de distribción de software envíen e instalen actalizaciones a las aplicaciones basadas en el Instalador de Windows. Esto significa qe Windows Installer 3.0 y WS facilitan la actalización de los sistemas con los últimos parches de Microsoft. Además, los desarrolladores peden sar Windows Installer 3.0 para crear paqetes de parches qe tilicen la tecnología de compresión delta, lo qe redce significativamente la carga del parche.

Windows Installer 3.0 soporta la desinstalación de los parches mediante el Panel de Control, el intérprete de comandos o directamente llamando a na fnción de Windows Installer. Cando se desinstala n parche, el sistema se qeda en el mismo estado qe tenía antes de instalar el parche.

En algnos escenarios, Windows Installer pede reqerir acceso al recrso original de la instalación de la aplicación. Ahora los administradores peden gestionar la lista de recrsos para prodctos y parches, inclyendo la red, RL, otros dispositivos y permitir el acceso para leer, editar y reemplazar las listas de Microsoft Installer desde n proceso externo.

Otra característica importante de Windows Installer 3.0 es qe permite a los desarrolladores de parches proporcionar instrcciones explícitas sobre el orden en el qe las actalizaciones deberían ser aplicadas a los sistemas.

Windows Installer 3.0 tiliza WinHTTP para gestionar las descargas RL y como resltado de ello ya no se soportan ni FTP ni GOPHER. Se sigen soportando los protocolos HTTP, HTTPS y FILE. Y por último, el servicio de Windows Installer ya no es interactivo, se ejecta en el contexto de segridad de la centa Local del Sistema.

- Mitigación de cambios: Los paqetes y parches qe feron creados para Windows Installer 2.0 peden instalarse tilizando Windows Installer 3.0, sin ningún problema.

Actalización Windows

Este componente (ver Pantalla 8) ayda a los sarios a mantener actalizados ss sistemas en canto a parches y otras actalizaciones software de componentes de Windows se refiere. Con el SP2, la Actalización Windows jnto con los Servicios de Actalización Windows (WS) proporciona dos servicios:



- Actalización Windows: Parches y actalizaciones de componentes Windows, además de drivers.
- Actalización Microsoft: Parches de segridad y actalizaciones para componentes Windows y otros prodctos. Los primeros prodctos qe se inclirán son SQL, Exchange y Office.
- Cambios: Los principales cambios con respecto a la versión anterior son: - Actalizaciones para aplicaciones Microsoft, como Office, SQL y Exchange. El sario ya no tiene qe navegar a múltiples localizaciones, recibe estas actalizaciones o bien navegando al sitio Web de Actalizaciones Microsoft o bien configrando las Actalizaciones Atomáticas en el sistema.

- Existen dos opciones de instalación: la Express y la Personalizada. Con la instalación Express, se preseleccionan las actalizaciones críticas y el sario no pede editar la lista. Con la instalación personalizada, el sario tiene el control completo sobre estas actalizaciones críticas.

- En la página Web de Actalización Windows y de Actalización Microsoft, se ha revisado el diseño visal, se le mestra al sario s configración de Actalización Windows, se le sgiere la configración óptima, existe na neva sección de Noticias de Microsoft con información de incidencias críticas y trcos al sario, información al administrador sobre el Catálogo de Actalizaciones, etc.
- Se han hecho cambios en la organización y en la navegación del sitio Web: se han categorizado las actalizaciones, se ha optimizado el proceso de instalación de actalizaciones qe deben ser instaladas de forma separada al resto, ahora se ofrece al sario únicamente la versión de actalización última (si por ejemplo n Service Pack inclye n parche de segridad, sólo se ofrece el Service Pack), se dan más detalles al sario, existe la posibilidad de seleccionar todas las actalizaciones con n clic, el sario pede ahora esconder actalizaciones qe no qiere instalar, el sario pede descargar prodctos en beta y actalizaciones en beta, la descarga continúa donde se qedó si se prodce n corte en las comnicaciones, se da más información sobre los drivers, etc.
- Además se mestran procedimientos de resolción de problemas, el histórico de instalaciones más detallado, mensajes de error mejorados, etc.


Ator: Maria José Serrano y Jancho Agilar