Guia SYSTEM SAFETY MONITOR - Configuración

Una vez instalado, podremos ver el icono del programa junto al reloj del sistema (una "S" en tonos grises-plateados).

Click derecho de ratón sobre él > Preferences (Preferencias), desde donde tendremos acceso a diferentes pestañas para su configuración:

Fig. 1

Pestaña PLUGINS:

Fig. 2

Marcamos "Enable Plugins/Activar Plugins".

Consta de 4 módulos: StartMenu, Services, Registry e INI Files, que respectivamente vienen a monitorizar Inicio, Servicios, Registro y los ficheros *.ini.
En la parte de arriba podemos picar sobre Show plugin log y mostrará en ventana aparte los reportes que los plugins nos hayan hecho en función de alguna modificación en la parcela que monitorizan:

Fig. 3

En verde estarán los que fueron permitidos y en rojo los que denegáramos en sesiones anteriores. Los que veáis remarcados de color verde o rojo se corresponden a los procedentes de avisos recientes (permitidos o bloqueados, respectívamente). Según os indique en Address, podréis comprobar fácilmente a qué plugin de monitorización correspondieron los avisos y con el resto de sectores (Action, Name y Value), más información como tipo de acción, nombre del "responsable" y otros datos de valor.
Si picáis con botón dcho. sobre alguna de ellas, veréis que manualmente se puede eliminar el valor (Supr. o Del.), bloquearlo (F2) o permitirlo (F3). Puede ser interesante tanto para frenar servicios indeseados como entradas de registro nocivas:

Fig. 3a

Dentro de cada plugin encontramos dos apartados: Configuration (Configuración) e Information (Información). Cada plugin muestra un listado de lo que monitoriza al picar sobre el nombre del plugin o sobre Configuration. Si en alguno de los valores que os muestre picáis con botón dcho. de ratón, os dará las opciones de modificarlo, añadir una nueva entrada, borrarla y en algunos casos, su ejecución. Como siempre cuando se trata del registro, no es recomendable realizar modificaciones por usuarios sin conocimientos avanzados.

Fig. 2a

Dentro de Information, Enable this plugin (Activar este plugin) nos permitirá activar/desactivar algún plugin individualmente -no necesario en principio-.
Polling Interval sirve especificar el intervalo de chequeo en mseg. o si preferimos que éste se realice sólo una vez, cuando SSM es iniciado. Por ejemplo, si estuviera especificado en 7000 mseg. para el plugin del registro, SSM inspeccionaría el registro cada 7 segundos.
Por defecto vienen marcados unos determinados valores en mseg. y a falta de más pruebas, no parece que debamos variar este punto.

Fig. 2b

Pestaña APPLICATIONS (APLICACIONES):

Fig. 4

Marcamos "Watch App activity" (Vigilar actividad de aplicaciones).

En esta ventana, SSM nos muestra un listado de todos los procesos que están corriendo en el sistema en ese momento. Si pulsamos botón dcho. de ratón sobre alguno de ellos, nos aparecerá el menú que muestra la imagen:

Fig. 5

Desde ahí podremos crear una regla (Create rule) para el proceso marcado:
Blocked = Bloquearlo (F2)
Allowed = Permitirlo (F3)
Allowed for admin only = Permitirlo sólo bajo uso de Administrador (F4)
No rule = No crearle ninguna regla (SSM lanzará aviso cuando dicho proceso vaya a ser lanzado)

Terminate = terminar un proceso ya iniciado
Start new = iniciar un proceso. Se nos abrirá una ventana navegable para seleccionar el proceso que deseemos.

Tareas avanzadas (no válido en Win 9x/Me): en los windows de núcleo NT, nos permitirá suspender temporalmente (Pause) un proceso sin finalizarlo, así como permitir su continuación más adelante (Resume). Ejemplo: se está realizando compresión de video que consume casi todos los recursos de la CPU, pero deseamos realizar otra tarea de corta duración... se podría pausar lo primero y continuarlo cuando hayamos finalizado con la tarea breve.

Los siguientes tres ítems se salen del objetivo de esta guía, aunque quizás merezca la pena comentar los últimos:
Attach/Detach DLL = asociar/desasociar DLLs a algún proceso. Si seleccionamos un proceso y pulsamos sobre More, veremos un listado de todas las DLLs empleadas durante el funcionamiento del mismo y los "manitas" podrían seleccionar y desasociar o descargar las deseadas.

Centrándonos de nuevo en la pestaña Applications/Aplicaciones, abajo a la dcha. aparece Show App Activity Log; si lo pulsamos, nos mostrará un registro de la actividad de aplicaciones que han provocado alertas y hemos bloqueado gracias a SSM. En la esquina inferior izda. de la ventana de estas notificaciones podemos especificar el tiempo en segundos que nos permanecerá en pantalla cuando salte en el desempeño de sus funciones (según le indiquemos en la pestaña Options, como se verá más adelante).

Fig. 6

Abajo a la izda. tenemos un apartado: Trust all currently started programs. Pulsándolo, todos los programas iniciados serán autentificados por SSM (utiliza MD5).

Pestaña WINDOWS (VENTANAS):

Como se comentó anteriormente, uno de los módulos de SMM tiene como función la monitorización de ventanas. Desde esta pestaña, podremos ver un listado de todas las ventanas abiertas en ese momento, tanto las visibles como las que no lo son; para esto último, habría que marcar abajo a la izda. Include hidden windows in list / Incluir ventanas ocultas en el listado (no necesario, en principio, como medida general; tiene su utilidad bajo casos concretos: ventanas que nos dificultan su cierre como pueden ser ciertos pop-up, o bien las procedentes de jokes o cierto tipo de bichejos, etc.).

En la parte superior izda. de esta pestaña vemos dos palabras remarcadas en azul (Windows -ventanas- y Filters -filtros-).
Empecemos por Windows (Ventanas):

Fig. 7

Desde este lugar, podremos seleccionar cualquiera de ellas con el botón dcho. de ratón y nos ofrecerá diversas opciones:

Fig. 8

Copy info (copiar información): copia al portapapeles la información que de dicha ventana seleccionada nos ofrezca SSM.

Close windows / process (cerrar ventana/proceso): cerrar la ventana o proceso respectivamente. Seguro que navegando sin sistema de bloqueo de pop-up os podéis haber encontrado con alguna molesta ventana que se resiste a ser cerrada; con SSM sería tan fácil como seleccionarla en el listado e indicar su cierre.

Show / Enable / Hide window (mostrar/activar/ocultar): muestra una ventana oculta / oculta una ventana visible. Activar una ventana merece comentarlo un poco porque puede resultar útil en ciertos casos; por ejemplo, estamos trabajando con alguna aplicación cuando aparece una ventana o pop-up de los que no se dejan cerrar y que a la vez impide el acceso a la ventana principal, haciendo difícil guardar el trabajo realizado. O bien vais a guardar cualquier cosa: "Archivo > Guardar como..." y, tras abrir la ventana de diálogo, queréis desplazar hacia abajo la ventana original para ver o anotar cualquier detalle no visible... un molesto pitido os recordaría que este acto no es permitido hasta guardar o cancelarlo (¡diantres!). Pues sencillamente seleccionamos la ventana principal en el listado de SSM, la activamos y fuera problema ;)

Vamos ahora con la función Filters (Filtros): básicamente se trata de crear una lista negra con palabras clave, de tal manera que aquella ventana que contenga alguna de dichas palabras clave en su título o cabecera, verá bloqueada su apertura por parte de SSM.
Para añadir palabras o letras clave a la lista negra, basta con que pulsemos sobre Filters y añadir en el espacio en blanco las palabras o texto que deseemos. Para muestra el ejemplo de la imagen:

Fig. 9

Este módulo puede tener utilidad tanto como función de control parental (padres deseosos de evitar que sus hijos abran ventanas del navegador con contenidos porno o violentos), pasando por protección extra que deseemos brindar a documentos propios (ese documento "secreto.txt" o "innombrable secreto" que no queréis que lean en casa, no podrían abrirlo desde vuestro PC con las aplicaciones habituales), hasta políticas restrictivas que quiera aplicar el admin de un equipo compartido.

Utilizadlo con precaución y cierta cabeza: si deseáis evitar que os abran ese memorable "explosiva_bailarina.html" (;D), no os limitéis a incluir en la lista negra "exp" o... ni siquiera podréis abrir el explorador de windows!

Algunos detalles antes de terminar con esta pestaña:
- Se bloquea lo contenido en la lista negra independientemente de su ubicación en el título de la ventana. Es decir, no inspecciona sólo el encabezado del título, si no éste en su totalidad. Si seguimos con el "exp" anterior, os bloquearía no sólo el Explorador de windows, también el Outlook Express y el Internet Explorer, por ejemplo.
- No diferencia entre mayúsculas y minúsculas.
- Como texto o letras clave a incluir en la lista negra deben utilizarse al menos dos caracteres.

En este apartado, a diferencia de los anteriores, evito indicar la conveniencia o no de activar la captación o bloqueo de ventanas (marcando Filter window caption). Para equipos con usuario único quizás no tenga utilidad apenas, mientras que padres deseosos de controlar un poco la navegación de sus peques probablemente lo vean interesante. Si eres admin de un equipo compartido por usuarios sin mucha idea y/o poco fiables, es posible que desees utilizarlo para evitar el acceso fácil a cierto contenido del HD (aunque para esto hay mejores medidas, como actuar a nivel de politicas de seguridad del propio win, cifrado, etc.). Es, por tanto, una decisión que debe tomarse en función del uso y manos por las que pase el equipo. De todas maneras sólo es aplicable a la función de filtrado, ya que el listado de ventanas y las funciones que éste nos posibilita (cerrar, ocultar, activar, etc.) siguen presentes aunque desactivemos la filtración.

Pestaña APPLICATION RULES (REGLAS DE APLICACIONES):

Cuando antes se mencionaba la pestaña Applications, veíamos que se refería a procesos que estaban corriendo en ese momento. Pues bien, en esta nueva pestaña Applications Rules tenemos las reglas creadas para cada proceso o aplicación. Conforme instaléis SSM y vayáis utilizando aplicaciones, podréis observar cómo van siendo incorporadas a esta lista en función de las respuestas definitivas que le hayáis ido dando a los avisos que os muestre SSM.

Fig. 10

El listado de reglas para aplicaciones consta de tres columnas, que de izda. a dcha. son:
- Application: nombre de la aplicación
- Trusted: nos muestra si la aplicación está autorizada en SSM.
······> Si su casillero está bajo fondo verde, indica que está autorizada y permitido su uso. (Yes/Si)
······> Si es de color azulado, sólo permitido su uso al administrador -se comentará más adelante-. (Admin only/ Administrador sólo)
······> De color rojizo indicaría que no está autorizada, con lo que no se permitiría su ejecución o se cerraría en caso de estar abierta. (No)
- MD5: algoritmo utilizado por SSM (y otros programas, como los usuarios de Kerio sabrán) para reconocer con cierta seguridad cada aplicación. El firmado MD5 es una especie de huella digital que se asigna a cada aplicación.
La primera vez que hacemos correr el ejecutable de una aplicación, SSM nos preguntará y le creará una firma MD5 propia y exclusiva para ella. Esta firma MD5 será chequeada por SSM en posteriores utilizaciones de dicho ejecutable, de tal manera que si hubiera algún cambio en éste (por ejemplo, si un troyano mediante spoofing tratara de suplantar a cualquier aplicación permitida, empleando falsamente el nombre de ésta), debería ser reconocido y consecuentemente, alertarnos de ello.
Hasta aquí muy bien, pero se sabe que este método no es infalible; mediante inyección de dll/código, es posible que aplicaciones nocivas traten de traspasar nuestras barreras con éxito. Afortunadamente, tanto SSM como Kerio PF v4 cuentan con un control de aplicaciones que trata de paliar este asunto (se comentará más adelante). Y es precisamente uno de los motivos por los que SSM se convierte en una pareja muy recomendable para la v2 del Kerio o cualquier otro cortafuegos que no cuente con un control de aplicaciones como el de KPF4.

En la parte de arriba de esta ventana observamos un casillero Application Lookup; es un buscador que nos permitirá acceder rápidamente a la regla que busquemos de una aplicación concreta dentro de todo el listado, evitándonos así repasarlo en su totalidad. Bastaría con introducir el nombre de la aplicación, o parte de éste, para que nos muestre su regla resaltada. Además, si queremos que dicha aplicación se ejecute en ese momento, sólo tendríamos que pulsar [Ctrl] + [Enter]. Por otro lado, si hemos marcado la regla para una aplicación manualmente, basta con pulsar [Enter] para que ésta se ejecute. El propio SSM nos indica, en la zona inferior de la propia ventana, la combinación de teclas que deberemos emplear en cada caso (Press [CTRL]+[ENTER] to run highlighted application o bien Press [ENTER] to run selected application).

Entremos en faena con las reglas. Si seleccionáis la de una aplicación con el botón dcho. del ratón, tendremos una imagen como esta:

Fig. 11

- Add new: añadir una nueva regla.
- Remove: eliminar de la lista una regla ya existente (la seleccionada).
- Database maintenance (3 opciones):
······> Recalculate MD5 (for selected elements): recalcular o volver a crear la firma MD5 a los elementos seleccionados.
······> Recalculate MD5 (for all elements): recalcularla para todos los elementos de la lista.
······> Remove rules for non-accessible files: eliminar reglas de ficheros no accesibles (es de suponer que se refiera a los eliminados o no existentes ya en el sistema).
- Execute: ejecutar la aplicación de la regla que hayamos marcado.
- Trusted(para modificar los permisos de una aplicación): las 3 opciones que veíamos antes y que son No, Yes (si) o Admin only (sólo en modo administrador).
- Advanced properties: si lo pulsamos tras haber seleccionado una aplicación, se nos abrirá otra ventana aparte como la sgte.:

Fig. 12

El programa diferencia entre procesos parentales (Parent) y procesos filiales (Child). Se explica mejor con un ejemplo práctico: si picamos sobre el icono del navegador que tenemos en el escritorio, el proceso parental será el Explorer.exe y el filial el IEXPLORE.EXE (suponiendo que el navegador fuera el IE; ocurriría lo mismo con Opera, Firebird, MyIE2, etc.). Si es la primera vez que tratamos de abrir el navegador desde que instalamos SSM, nos mostrará una ventana de aviso como esta:

Fig. 13

Las opciones son cinco:
- (F1) Always allow this action = Permitir siempre esta acción.
- (F2) Always block this action = Bloquear siempre esta acción.
- (F3) Always allow this action in Administrator mode and block in User mode = Permitir esta acción siempre que se esté en modo Administrador PERO bloquearla en modo Usuario (estos modos se comentarán más adelante).
- (F4) Allow this action only at this time = Permitir la acción sólo esta vez.
- (F5) Block this action only at this time = Bloquear la acción sólo esta vez.

Las dos últimas acciones no crean regla ninguna en SSM, sólo son aplicables a esa petición, de ese momento concreto. Es la recomendada cuando no tengáis certeza de la benignidad de la acción.
Entre paréntesis va la tecla (atajo de teclado o hotkey) que deberéis pulsar en cada caso, como alternativa para los que les parezca más cómodo que el uso de ratón.

Si volvemos a la anterior imagen (Advanced Properties / Propiedades Avanzadas, Fig. 12), vemos que para cada regla hay un casillero Child y otro Parent. A su vez, para cada casillero hay 3 opciones:
= Permitido (que se inicie o que sea lanzado por otra aplicación)
= No permitido (impide que se inicie o su lanzamiento por otra aplicación)
= No especificado (no hay regla para él).

Vamos a verlas en el mismo orden pero para cada tipo de proceso:

Para Procesos FILIALES ("Y"):
- Permitir a "X": significa que se le permite a "X" ejecutar o lanzar el proceso filial "Y"
- No permitírselo
- No especificarle ninguna regla

Para Procesos PARENTALES ("X"):
- Permitirle ejecutar o lanzar aplicaciones que no tengan regla parental especificada ( en Parent).
- No se le permite ejecutar aplicaciones sin regla parental especificada.
- SSM nos preguntará si una aplicación sin regla parental especificada trata de ser ejecutada por "X".

Vamos a por un caso práctico: queremos que sólo EXPLORER.EXE tenga permiso explícito para lanzar CMD.EXE (símbolo de sistema, para trabajar desde la línea de comandos); también que CMD.EXE pueda lanzar el Winamp, pero que éste a su vez no pueda lanzar CMD.EXE. Lo que escrito pueda parecer complicado en una primera lectura, vamos a desgranarlo y plasmarlo con imágenes, quedará de manera sencilla:

- En la pestaña Application Rules, tecleamos CMD.EXE en el casillero buscador Lookup; de esta manera, SSM nos muestra directamente la localización de éste en el listado (sombreado en gris):

Fig. 17

- Con él señalado, pulsamos en More... (o bien en Advanced properties, picando botón dcho. de ratón sobre la línea de cmd.exe) y se nos abrirá la ventana correspondiente:

Fig. 18

Como se observa en la imagen, hemos concedido permiso explícito a CMD.EXE para que pueda lanzar Winamp.exe, porque hemos marcado activamente el casillero Child de winamp). De paso, hemos desmarcado el casillero Parent; de esta manera, nos aseguramos de que desde nuestro Winamp no podrán ejecutar CMD.EXE.

- Si en ese listado buscamos la línea del EXPLORER.EXE, podemos darle permiso explícito para ejecutar CMD.EXE. Bastaría con marcarle activamente el casillero Parent, como se muestra en la sgte. imagen:

Fig. 19

En resumen, en este caso que hemos seleccionado CMD.EXE:
- todas aquellas aplicaciones a las que les marquemos activamente el casillero Child, podrán ser ejecutadas desde la línea de comandos sin que SSM bloquee la orden.
- todas aquellas aplicaciones a las que les desmarquemos completamente el casillero Child, NO podrán ser ejecutadas desde la línea de comandos (SSM bloquearía la orden ejecutada desde CMD.EXE).
- Si dejamos el sombreado por defecto en el casillero Child, SSM os preguntará en cada ocasión que tratemos de ejecutar esa aplicación desde la línea de comandos.
- Todas aquellas aplicaciones a las que les marquemos activamente el casillero Parent, tendrán permiso explícito para ejecutar CMD.EXE.
- Todas aquellas aplicaciones a las que les desmarquemos completamente el casillero Parent, estarán imposibilitadas de ejecutar CMD.EXE.
- Si dejamos el sombreado por defecto, en caso de que esa aplicación trate de ejecutar CMD.EXE, SSM debería avisarnos y mostrarnos la ventana de opciones.

De momento, lo recomendado es dejar el sombreado por defecto (Not set o No especificado) en reglas avanzadas de permisos (salvo que deseemos crear reglas concretas para aplicaciones de absoluta confianza, aspecto que siempre puede ser cuestionable).

Más interesante puede ser crear reglas de bloqueo específicas, asunto que trataremos conforme vayamos avanzando en el estudio de SSM y éste, a su vez, en su desarrollo (recordemos que es una beta). También puede sernos útil para lidiar con los servicios propios del win (instalando SSM Service Guard, de descarga aparte). De todas maneras, para un uso cotidiano, basta con seleccionar la opción adecuada en el típico aviso del SSM (ver Fig. 13) y obtener así una protección extra que vendrá muy bien a los usuarios de windows ;)

Antes de terminar con esta pestaña (Fig. 10), comentar brevemente el recuadro que muestra en su esquina inferior dcha.:

Fig. 22

Hace referencia a funciones u opciones de configuración del SSM relativos a una aplicación o proceso concreto (se debe marcar previamente una aplicación para poder acceder a estas opciones).

- Set Windows Hook Ex API: si estuviera permitido , a la aplicación marcada se le permitiría fijar o añadir cualquier DLL a casi cualquier proceso mediante WH_* (cuidado con permitir esto sin pensarlo, puede emplearse en técnicas de DLL Injection).
- Create Remote Thread API: API ( Interfaz de Programacion de Aplicaciones ) de creacion de hilos/threads remotos.
- Debug Active Process API: API de depuracion de procesos activos.
- Open Thread API: API de apertura de hilos/threads.
- Terminate Process API: API de terminacion de procesos.
Estas opciones sólo bajo windows de núcleo NT. Si estuvieran permitidas expresamente para un proceso, éste podría ejecutar la función API correspondiente sin que SSM nos alertara de ello. Por norma general no debemos permitirlo sin meditarlo, al emplearse en técnicas de Code injection.

- Notify when this application is terminated by SSM: notificar cuando esta aplicación sea finalizada por SSM
- Notify when this application is closed: notificar cuando esta aplicación sea cerrada por el usuario o por otro programa (útil de marcar para ciertos programas residentes).
- Notify when this application is started: notificar cuando esta aplicación es iniciada.
- Notify about other activity of this application: notificar acerca de otro tipo de actividades de esta aplicación. Con esta opción activada, SSM mostrará un recuadro de notificación cada vez que actividad sospechosa de dicha aplicación (como creación de un nuevo proceso -comportamiento típico de ciertos virus- o DLL/Code Injection -comentada más adelante-) sea bloqueada. Huelga decir que este tipo de notificación es muy importante conocerla.

- Keep this process in memory: mantener este proceso en memoria. Si estuviera activado este casillero para alguna aplicación, SSM iniciaría ese programa de nuevo en caso de que hubiera sido cerrado/terminado o no se hubiese iniciado completamente. Esta opción puede ser interesante activarla por ejemplo para software de seguridad residente, como puede ser la monitorización del antivirus o el cortafuegos (recordemos que algunos bichejos tratan de finalizar los procesos activos de este tipo de software).

- Allow this process to execute any unclassified program: permitir a este proceso ejecutar cualquier programa no clasificado. Si este casillero estuviera marcado activamente para alguna aplicación, SSM automáticamente permitiría a dicha aplicación ejecutar cualquier programa no clasificado sin creación de reglas (sin la intervención del usuario por tanto, al no mostrarle aviso de ello). En principio no parece que sea adecuado activar esta opción y dar carta blanca, aunque el programa iniciado por esa aplicación sea monitorizado después, como es habitual en SSM.

Por defecto vienen todas en modo sombreado Not set o No especificado:
Para ciertas funciones y casos concretos es muy interesante marcar activamente, como se ha comentado para el software de seguridad residente (monitorización permanente del antivirus, cortafuegos...). Habrá más casos que deban ser personalizados en función de las aplicaciones y uso que hagamos del equipo, siendo recomendable hacerlo, sin duda. Pero no penséis que obligatoriamente debemos especificar cada una de estas opciones para cada aplicación o que por no hacerlo vayamos a mermar considerablemente la protección. Afortunadamente para nosotros, este aspecto ha sido solventado en SSM de manera muy acertada: he comentado que por defecto está indicado el modo sombreado Not Set, pues bien, como se verá más adelante, para los casos donde aquí dejemos marcado el Not Set, desde la pestaña Options (Opciones) > Notifications (Notificaciones) podremos configurar de manera genérica este aspecto de SSM. Os adelanto que algunas notificaciones pueden ser prescindibles y resulta bastante cómodo manejarlas genéricamente, evitándonos configurarlas una por una en cada aplicación.

Pestaña OPTIONS (OPCIONES):

Según seleccionemos en la columna de su izda., accederemos a varias ventanas de configuración. Veamos cada una:

GENERAL:

Fig. 20

- Si hemos instalado hace poco SSM y hemos visto que no hay conflictos en nuestro sistema (es una beta y cada PC es un mundo), podemos marcar la primera casilla: Start SSM Automatically, para que SSM arranque con el inicio del win. Es lo deseable.

- Default action for new application in User-mode (acción por defecto para nuevas aplicaciones en modo Usuario): en modo Usuario, SSM no nos hará ningún tipo de preguntas. En función de lo que aquí le indiquemos, así se comportará SSM cuando una aplicación no clasificada sea iniciada:
······> Allow it to be executed: si lo marcamos, SSM sólo bloqueará las aplicaciones de su lista negra (blocked en pestaña Applications).
······> Kill it immediately: si lo marcamos, SSM sólo permitirá la ejecución de aplicaciones especificadas como permitidas (allowed en pestaña Applications), del resto evitará su ejecución. Interesante para administradores de un PC compartido.
- Activation keystroke: asigna una combinación de teclas a pulsar para mostrar/ocultar el icono de SSM y su menú de la bandeja de sistema. Por defecto es [Ctrl] + [Alt] + [S]

NOTIFICATIONS (NOTIFICACIONES):

Fig. 21

Desde aquí podremos indicar que cierto tipo de sucesos nos sean reportados por SSM en forma de cuadro de notificaciones (recordamos Fig. 6):

Veamos una por una:

- Alert on registry change: avisar ante cambios en el registro. Si lo activamos (recomendable), una ventana de alerta nos avisará cada vez que se vaya a modificar algún valor guardado del registro (y podremos bloquearlo o permitirlo haciendo uso de F2 ó F3 respectivamente, como vimos en el apartado correspondiente de plugins). El conjunto de estos avisos de alerta pueden ser vistos a posteriori; simplemente pulsando Show plugin log en la pestaña Plugins.
- Alert if application was terminated by SSM: avisar si una aplicación fue terminada por SSM. Si lo activamos (recomendable), SSM nos alertará de haber intervenido para bloquear el intento de ejecución de una aplicación. Esta opción se aplica sólo si la correspondiente opción para esa aplicación -recuadro inferior dcho. en la pestaña Application Rules/Reglas de Aplicaciones- está configurado en Not set o No especificado (como viene por defecto, se puede dejar así):

Fig. 22

- Alert if application was closed: avisar cuando se cierre una aplicación. Si lo activamos, SSM nos notificará cada vez que una aplicación sea cerrada. Al igual que en el caso anterior, sólo aplicable cuando la correspondiente opción para esa aplicación esté configurada en Not set. No es imprescindible su uso.
- Alert if application was started: avisar cuando una aplicación sea abierta. Si lo activamos, SSM nos notificará cada vez que una aplicación sea abierta. Sólo aplicable cuando la correspondiente opción para esa aplicación esté configurada en Not set. No es imprescindible su uso.
- Alert on miscellaneous application activity: avisar ante otras actividades (extrañas) de una aplicación. Si lo activamos (MUY recomendable), SSM nos mostrará un recuadro de notificación cada vez que una actividad extraña (creación de un proceso, inyección de dll/código) por parte de alguna aplicación sea bloqueada. Sólo aplicable cuando la correspondiente opción para esa aplicación esté configurada en Not set.

Estos recuadros mencionados de notificación por aplicaciones se pueden ver también a posteriori, pulsando Show Ap Activity log en la pestaña Applications.

- System beep when application action was blocked: alerta sonora cuando la acción extraña de una aplicación sea bloqueada (como puede ser creación de un nuevo proceso o inyección de dll/código).
- Beep when registry change was detected: alerta sonora cuando un cambio en cadenas guardadas del registro sea detectado.
- Flash system tray icon when action was blocked: el icono de SSM parpadeará cuando una acción extraña (como creación de un nuevo proceso o maniobras de DLL/Code injection) sea bloqueada.

SECURITY (SEGURIDAD):

Fig. 23

Antes de hablar de esta ventana, es necesario detallar que hay dos modos implementados en SSM: modo Administrador y modo Usuario.
Se puede alternar entre un modo y otro desde el icono del SSM (junto al reloj del sistema): User-mode / Administrator-mode (modo Usuario / modo Administrador)

Fig. 23A

El modo Administrador puede ser protegido mediante contraseña desde la ventana de configuración Security, como ahora veremos. Es apropiado utilizar configuraciones restrictivas en aquellos equipos con varios usuarios cuyo admin desea que éstos vean limitadas sus acciones, como puede ser impedirles instalación de software, ejecución de ciertas aplicaciones -interesante ante posibles infecciones y usuarios poco cuidadosos- o por ejemplo para evitar la vulnerabilidad anunciada recientemente en la v2 de Kerio (ejecución local de cmd.exe con privilegios de system). También si, como medida de seguridad extra, no se quiere utilizar el equipo logueado como admin más que lo imprescindible, al estilo de las distribuciones Linux.
En modo Usuario no se podrá realizar ningún cambio en la configuración de SSM ni tampoco el programa os hará ningún tipo de preguntas. Bajo este modo no podrá finalizarse el programa y ninguna de las ventanas de SSM serán mostradas (excepto la necesaria para cambiar a modo Administrador).

Volvemos a la ventana SECURITY (Fig. 23):
Start SSM in locked state (User-mode): iniciar SSM en estado bloqueado (modo Usuario). Con esta opción activa, SSM pasará automáticamente a modo Usuario una vez iniciado.
Restart computer when SSM is terminated (in User-mode): reiniciar computadora cuando SSM sea finalizado (en modo Usuario). Opción obsoleta según su autor y mejorada en el futuro. Con ella activada, SSM reiniciará el PC si el usuario no lo cerró por el método convencional, si no empleando el administrador de tareas (en Win9x) para finalizarlo.

Password for Administrator-mode: Contraseña para modo Administrador. Cada vez que se cambie de modo Usuario a modo Administrador nos será pedida la contraseña que especifiquemos en los recuadros inferiores (si se deja en blanco, no pedirá ninguna). Diferencia entre mayúsculas y minúsculas, cuidado con equivocaros o no podréis pasar de un modo a otro.

BEHAVIOUR (COMPORTAMIENTO):

Fig. 24

Show icon in system tray al start up: Mostrar el icono en la bandeja de sistema al iniciar. Con esta opción activada, el icono de SSM será mostrado (junto al reloj del sistema) al iniciar.

Se puede alternar entre visibilidad/ocultamiento de dicho icono presionando la correspondiente combinación de teclas mencionada en la ventana GENERAL de esta misma pestaña OPTIONS (por defecto, Ctrl + Alt + S).

Main window always on top: ventana principal (de SSM) siempre visible (por encima de otras posibles ventanas).
Registry Alert window always on top: ventana de alertas del Registro siempre visible.
Application Activity Log window always on top: ventana del log o registro de actividad de aplicaciones siempre visible.
Application Activity dialog window always on top: ventana o cuadro de diálogo de actividad de aplicaciones siempre visible.

Treat (Esc) key as "(F5) Block only this time" in App Activity dialog: emplear la tecla [Esc] como "[F5] Bloquear sólo esta vez" en el cuadro de diálogo de Actividad de Aplicación. Esto es sencillo pero requiere su explicación y para ello debemos remontarnos a la Fig. 13; por defecto, la tecla [Esc] sirve para aceptar de manera rápida "[F4] Allow this action only at this time" (permitir esta acción sólo esta vez), PERO si activamos este casillero, la acción de pulsar [Esc] ante una ventana de diálogo de este tipo servirá como hot key para indicarle la opción de que sólo bloqueará en esa ocasión la actividad de una aplicación ([F5] Bloquear sólo esta vez), independientemente de qué punto salga marcado por defecto en dicha ventana (que seguirá siendo "permitir...").

Create allowing rule for Current Parent + Child pair instead of any Application + Child (as by default recommended): crear regla de permiso para el actual par [Parental + Filial] en lugar de para [cualquier aplicación + filial] (como por defecto es lo recomendado). Esta opción no viene activada de serie ya que, por defecto, SSM crea reglas para nuevas aplicaciones en el primer momento de abrirlas, lo que permite que sean iniciadas por cualquier aplicación. Pero si este casillero lo activáramos, entonces SSM crearía una regla para que esa nueva aplicación que iniciamos sólo pueda ser lanzada por la aplicación parental que en este momento está tratando de iniciarla.

Un ejemplo práctico: pongamos el caso de que "explorer.exe" estuviera lanzando "cmd.exe" por primera vez desde que hemos instalado SSM; si tuviéramos marcado este casillero y le diéramos permiso en su correspondiente ventana de alerta, en el futuro no estaría permitido que ninguna otra aplicación pudiera lanzar a "cmd.exe", sólo podría hacerse desde "explorer.exe" (un usuario local no podría ejecutar cmd.exe con privilegios de system desde la v2 del Kerio :) ...de todas maneras, este tipo de reglas podemos modificarlas a posteriori, como ya hemos visto al comentar Advanced properties (propiedades avanzadas) en la pestaña Application Rules (Reglas de aplicaciones).

LENGUAJE / LOOK (IDIOMA / APARIENCIA):

Aquí nos podemos ahorrar la imagen puesto que sólo ofrece una opción. Si pulsamos Select language (appearance scheme) / Seleccionar idioma (apariencia de diseño) se nos abre una ventana para que le indiquemos la ubicación del fichero de idioma que deseemos ponerle.

MISC (MISCELANEA) y DEBBUNGGING:

Como el propio autor indica, son aspectos en desarrollo, para facilitar opciones con propósito de depuración. "Evite usarlas, a menos que esté seguro de lo que hace".

Pestaña SERVICE (SERVICIO):

Fig. 25

Uninstall System Safety Monitor: Desinstalar SSM
Puede utilizarse para desinstalar SSM o cuando el programa de fallos al cerrarse (llevo probada esta beta desde que salió sin apreciar fallos relevantes, pero siempre viene bien contar con esta opción).
Click here, if you've encountered a serious problem and don't know how to remove SSM: pulse aquí si ha encontrado un grave problema y no sabe cómo eliminar SSM.

Join another config file to the current one: unir otro fichero de config. al actual. Esta opción permite importar opciones de configuración de un tercero (siempre que éstas hayan sido guardadas en el formato adecuado, *.ssm.cfg). También nos permite restaurar copias de seguridad que hayamos guardado previamente de nuestro fichero de configuración.

Save current config file as...: guardar el actual fichero de configuración como...
Esta opción nos permite guardar una copia a modo de back up de nuestras opciones de configuración. El fichero resultante podremos emplearlo en futuras restauraciones mediante la opción anteriormente comentada.

Specify global config: Especificar configuración global
Esta opción permite especificar la localización de un fichero de configuración, que será automáticamente cargado dentro de cada perfil de usuario. Teóricamente, esto podría ser usado para crear un "servidor de configuración", el cual proporcionaría sus ajustes u opciones de configuración desde el server remoto a los usuarios locales. Usar esta opción no eliminaría ningún ajuste que estuviera presente en los ficheros de configuración originales, aunque no estén presentes en el global. Si algunos ajustes existen en ambos ficheros de configuración y no son coincidentes, los aplicados serán los procedentes del fichero de configuración global.