La
seguridad en
Windows NT es una combinación de
técnicas que aseguran un nivel de protección consistente contra los accesos no deseados.
Para implementar la seguridad, tendremos que proteger la
red, el
sistema operativo y los
datos, mediante algun tipo de
sistema, como por ejemplo firewalls(corta fuego). Para lo cual el
administrador (de la parte informatica de
la empresa) tendrá que sacrificar
recursos para aumentar la seguridad.
De esta manera NT gestiona tanto a usuarios como
máquinas y sus recursos, debe validar la autentificación de los usuarios y proveerlos de los recursos necesarios para acceder al sistema.
La herramienta básica para administrar los usuarios y
grupos de un
dominio es el
programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios.
La auditoria es un tema a tratar y de primordial importancia en este documento, se ven los alcances de la auditoria,
control de los recursos,
administración de estos mediante check list, tratando de llevar algun control sobre si la seguridad esta realmente funcionando o no.
LA SEGURIDAD EN WINDOWS NT Es una combinación de técnicas que aseguran un nivel de protección consistente contra los accesos no deseados. Para implementar la seguridad, tendremos que proteger la red, el sistema operativo y los datos. Para eso, disponemos de la autentificación de acceso propia de Windows NT, seguridad a nivel de objeto y
derechos de usuarios,
proceso a cargo del administrador del sistema. Para sacar provecho de los más altos niveles de seguridad que permite Windows NT, el nivel de seguridad C2, necesitaremos tanto el
hardware como el
software adecuados. NT dispone de
herramientas de
auditoría que nos permitirán conocer nuestros niveles de seguridad, pero hay que tener muy presentes los temas relativos a la seguridad cuando entran en
juego las
comunicaciones sobre la
Internet. Para estar
seguro que estamos protegidos en todos los frentes, es necesario conocer determinadas técnicas.
La seguridad
La seguridad puede ser clasificada en tres diferentes áreas funcionales: seguridad: - a nivel de red
- seguridad del sistema operativo
- y inscripción de datos.
La Seguridad de red
Ofrece autentificación (verificando que el
servidor de datos y que el receptor de los mismos son correctos) y verificando la integridad de la
información (de forma que los datos enviados y los recibidos sean los mismos). Conseguir este nivel de seguridad a nivel de red significa haber implementado un
protocolo de red, como NetBEUI o
TCP/IP, ajustado a las necesidades de la red.
Esos
protocolos ofrecen varios niveles de seguridad, rendimiento (conseguidos reduciendo al mínimo la carga derivada de la seguridad), flexibilidad, y disponibilidad sobre múltiples plataformas. Tras haber definido e instalado una determinada infraestructura de red, añadir y extender protocolos de seguridad es algo teóricamente muy simple.
La seguridad a nivel de sistema operativo De por si debe terner ya un mínimo nivel de seguridad. Si esas
funciones básicas de seguridad no han sido implementadas al propio sistema operativo desde un principio, implementarlas con posterioridad será casi imposible. Por ejemplo,
Microsoft no fue capaz de implementar una seguridad seria a sus versiones de 16 bits de Windows tras su fase de
desarrollo. Fue necesario un nuevo sistema operativo de 32 bits, y un nuevo
modelo de
programación (la API Win32) para
poder hacerlo. Windows NT dispone de unas robustas funciones de seguridad que controla el acceso de los usuarios a los objetos como
archivos, directorios,
registro de sistema e
impresoras. También incluye un sistema de auditoría que permite a los administradores rastrear los accesos a los archivos u a otros objetos, reintento de inicio de sesión, apagados y encendidos del sistema, etc… En
cambio, Windows 95 dispone únicamente de un rudimentario sistema de seguridad en el inicio de sesión, y no dispone de seguridad a nivel de objetos.
Encriptación de datos Puede operar de distintas formas. Muchas aplicaciones disponen de encriptación por sí mismas. Algunos protocolos, como SSMTP (Secure Simple Mail Transfer Protocol) soportan encriptación automática. La encriptación ofrecida por terceras compañías, como PGP (Pretty Good Privacy) también está disponible. Incluso Microsoft ha añadido un sistema de encriptación básico, CAPI (Cryptography API) a la API Win32. CAPI consiste en un juego de funciones que permiten a las aplicaciones y a los desarrolladores de
sistemas de software acceder de forma independiente a los
servicios de
criptografía.
"NT dispone de un
servicio básico de criptografía que nos permite codificar los datos facilitando así el
almacenamiento seguro y una transmisión segura combinando claves públicas y privadas
". El
método de encriptación es similar al PGP.
Aspectos de la seguridad NT NT ofrece seguridad en tres áreas fundamentales. Se trata de
autentificación en el inicio de sesión, seguridad a nivel de objetos y derechos de los usuarios. La "Local Security Authority" efectúa validaciones interactivas y remotas, inicios de sesión locales y globales (en dominios) verificándolo contra SAM (Security Account Manager), la
base de datos donde se almacenan los nombres de los usuarios y sus contraseñas. La "Local Security Authority" también gestiona los mensajes de auditoría. El "Security Reference
Monitor" verifica si un usuario tiene derecho a acceder a un objeto y ejecutar la
acción solicitada. Además, es el responsable de los mensajes de auditoría. Con el
diálogo permisos del Administrador de archivos (si se encuentra en NT 3.51) o el Explorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de la mayoría de los objetos. Por ejemplo, la activación y el acceso al objeto servidor del
DCOM (en Windows NT 4.0) están completamente integrados con el modelo de seguridad de Windows NT. Aparte de la seguridad de los objetos, el
NT permite controlar, y monitorizar funciones de sistema. Con el Administrador de usuarios podrá controlar qué cuenta de usuario o
grupo puede, por ejemplo, añadir estaciones de
trabajo a un dominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema, iniciar una sesión localmente, gestionar las
registros de auditoría y seguridad y cerrar el sistema.
Administración de cuentas: Autentificación de inicio de sesión A un nivel general, un dominio NT es una colección de máquinas, a las cuales el controlador de dominio administra como si se tratase de una única máquina, compartiendo una misma base de datos de seguridad. Dicha base de datos mantiene información de todos los usuarios y grupos de ese dominio. Una cuenta de dominio, llamado de otra forma cuenta global, tiene el formato dominio\usuario. Si iniciamos una sesión en una máquina del dominio e intentamos conectarnos a una unidad de red, tendremos que introducir nuestros datos con ese formato. Las cuentas de usuarios o grupos en esas máquinas locales tiene el formato
maquina\usuario y serán exclusivas de esa máquina. La herramienta básica para administrar los usuarios y grupos de un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios. Windows NT Workstation incluye una versión reducida de este programa y permite la
gestión únicamente de esa máquina.
Seguridad e Internet A diferencia del bien definido sistema de seguridad del NT, el modelo de seguridad de Microsoft respecto a Internet se encuentra sometido al continuo proceso de cambio al que a su vez se encuentra la misma Internet. El ISF (Internet Security Framework) es hoy por hoy más un compendio de protocolos que una definición de
normas de seguridad. ISF ofrece diversos protocolos de red especializados sobre el estándar de criptografía CAPI de Microsoft y sobre lo que Microsoft denomina Authenticode, un sistema de verificación por firma de objetos instalables, que garantizan que estos módulos u objetos no han sido manipulados y que tienen un autor determinado que de alguna forma,responde de la actuación de dicho objeto software. Los protocolos IFS incluyen: • PPTP (Point to Point Tunneling Protocol), el cual permite establecer
redes seguras sobre segmentos de redes inseguras, creando líneas seguras virtuales. • SSL (Secure Sockets Layer) y su versión ampliada PTC (Private Communications Technology) que ofrecen autentificación de
servidores, encriptación e integridad de datos. • SET (Secure Electronic Transaction) que permite autentificación y confidencialidad de
tarjetas de
crédito, vendedores y
clientes. SET dispone de un amplio soporte por parte de la
industria (Microsoft, IBM, Netscape, etc…) y las últimas especificaciones están disponibles en los sitios
web de VISA (
http://www.visa.com) y Mastercard (http://www.mastercard.com) • PFX (
Personal Information Exchange) que transfiere información personal entre ordenadores y plataformas. ISF encripta todos los paquetes de la red. De todas maneras, las aplicaciones pueden disponer de funciones de encriptación adicionales. Por ejemplo, con el
código que Microsoft ha licenciado de Nortel (antes Northern Telecomm) y de RSA, Microsoft Exchange puede proteger el correo electrónico con firma/encriptación. La versión estadounidense de MS Exchange también puede utilizar encriptaciones de 56 bits o hasta encriptaciones de 64 bits. Otras versiones, como la española, únicamente pueden utilizar encriptación de 40 bits. E
strategia de Seguridad Una
metodología para definir directivas y controles de seguridad.
Predecir ataques/evaluar riesgos Para cada tipo de amenaza (por ej: ataque mal intencionado) Para cada tipo de método de ataque (por ej: virus) Estrategia proactiva Predecir posibles daños Determinar vulnerabilidades Minimizar vulnerabilidades Implementar
plan y elaborar directivas y controles de seguridad Elaborar planes de contingencia
Estrategia reactiva Evaluar daños Determinar la causa del
daño Reparar daños Implementar plan y elaborar directivas y controles de seguridad Documentar y aprender Implementar plan de contingencia
Examinar resultados/hacer
simulación Examinar
eficacia de directiva Ajustar directiva en consecuencia
Auditorías
El sistema de Auditoría de Windows NT permite rastrear sucesos que ocurren en una máquina NT, tanto servidor como estación de trabajo.
Las auditorías son esenciales para mantener la seguridad de los servidores y redes. Además de permitir un seguimiento de las actividades realizadas por los usuarios.
La
política de auditorías se establece en cada máquina NT. Se pueden realizar tres tipos de auditorías en NT
Auditoría de cuentas de usuario
Rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en
Administrador de usuarios en dominios/ Directivas/Auditoría/Plan de auditorías.
Los sucesos que se pueden auditar son:
- Inicio y cierre de sesión.
- Acceso a ficheros, directorios o impresoras.
- Ejercicio de los derechos de un usuario.
- Seguimiento de procesos.
- Inicio, reinicio y apagado del sistema.
Auditoría del sistema de archivos
Rastrea sucesos del sistema de archivos. Esta opción se activa en
Propiedades, tras pulsar con el botón derecho sobre el fichero o directorio que se desee auditar y luego seleccionando
Seguridad/ Auditorías.
Los sucesos que se pueden auditar son:
Lectura,
Escritura,
Ejecución,
Eliminación,
Cambio de permisos y
Toma de posesión.
Auditoría de impresoras
Primero se establece la política de auditorías pinchando dos veces en la
impresora en cuestión, dentro del menú
Impresoras, y luego seleccionando
Seguridad/Auditorías.
Algunos de los
eventos que se pueden auditar son:
Uso de la impresora,
Cancelar trabajos de impresión,
Control total, etc.
Se debe tener derechos de administrador para configurar propiedades de auditoría.
Una vez que se activa una auditoría se utiliza el Registro de seguridad del
Visor de sucesos que se encuentra dentro del menú de Inicio
Herramientas administrativas, para ver los eventos auditados.
Se debería tener cuidado y proteger los archivos de auditoría que están almacenados en el directorio %SystemRoot% system32 config, en los archivos:
APPEVENT.EVT: Registro de sucesos de aplicaciones.
SECEVENT.EVT: Registro de sucesos de seguridad.
SYSEVENT.EVT: Registro de sucesos del sistema.
Algo muy importante a la hora de mirar los registros es que la máquina tenga la hora correcta, ya que si tenemos que comparar sus registros con los de otras máquinas: si ambas no están sincronizadas será muy difícil. Para esto debería usar NTP (Network Time Protocol) que sirve para poner en hora ordenadores y mantenerlos sincronizados
Seguridad en Red
Protocolos de Red
Debemos instalar sólo los protocolos que vayamos a necesitar. En principio y salvo que tengamos necesidad de usar más protocolos, deberíamos usar uno de estos dos:
NetBEUI es un protocolo de red no enrutable, solamente útil para redes de pequeño tamaño. TCP/
IP es el
líder indiscutible en cualquier tipo de red. Con cualquiera de estos dos protocolos el servicio que estamos ofreciendo a la red es el llamado SMB (Bloques de Mensajes de Servidor), de Microsoft, también conocido como
Cliente de redes Microsoft, y que básicamente proveen servicios de archivos y red. Estos servicios están instalados por defecto normalmente.
Los servicios
TCP/IP de Internet como servidores Web y
FTP, se pueden instalar de modo opcional en Windows NT.
Conviene tener abiertos el menor número de servicios posibles. Al ser estos opcionales, no vienen instalados por defecto y hay que instalarlos a posteriori. Salvo que se necesiten y que se sepa lo que se está haciendo, conviene no instalar ninguno.
También se pueden configurar las opciones de seguridad TCP/IP para permitir o bloquear la
dirección del o los puerto (s) que se necesiten según los servicios que se quieran utilizar. Para hacer esto, sde deben seguir los siguientes pasos:
1) Panel de Control/Red/Protocolos/Protocolo TCP/IP/Propiedades/ Avanzadas 2)Marque
Activar seguridad 3)Pulse el botón
Configurar
4)Seleccione el adaptador correspondiente y marque el número de puerto/s del servicio/s que quiera permitir.
Service Pack's
Los Service Pack (SP) no son más que un conjunto de parches que Microsoft saca de vez en cuando para solucionar fallos, dar nuevas funcionalidades, etc. Lo bueno de estos parches es que de una sola vez se aplican todos (a veces más de 100) rápida y fácilmente. El sistema es muy similar a los
clusters de parches recomendados de Sun.
Todo NT debería tener instalado al menos el penúltimo SP. En el momento de escribir este trabajo para auditoria y seguridad de sistema, el último Service Pack que es el 6a. Microsoft se ha comprometido a sacar un Service Pack 7 que resuelva aún más fallos.
Los Service Pack's son independientes del tipo de NT 4.0 que haya instalado, por lo que son los mismos para Workstation, Server, Server Enterprise, etc.
Si después de instalar un Service Pack instala algún servicio, controlador o programa que altere de forma significativa Windows NT (Microsoft
Office, sistemas de
bases de datos, etc.), es muy recomendable que reinstale el Service Pack para asegurarse de que la aplicación no ha sobreescrito ningún fichero con una versión anterior.
Un consejo
Nunca instale un SP en otro idioma que no sea el de la instalación del sistema operativo. Tendrá que reinstalar el sistema.
Cortafuegos (
FIREWALL)
Cuando se conecta un sistema Windows a Internet existe el peligro potencial de los protocolos SMB. Si hay carpetas compartidas SMB en la red que conecta a Internet, potencialmente cualquiera de los usuarios de Internet puede acceder a las carpetas o secuestrar sesiones. Además, hay
problemas de seguridad intrínsecos a los protocolos. A continuación se describe como desactivar estos servicios apropiadamente:
1)Panel de Control/Red/Enlaces. 2)Seleccione
Todos los servicios en la caja de
texto correspondiente a
Mostrar enlaces. 3)Expanda las opciones TCP/IP bajo las cabeceras:
NetBIOS,
Server y
Workstation. 4)Seleccione el adaptador a desactivar y pulsar el botón
Desactivar.
Consideraciones generales
No conviene que NT esté instalado en una máquina con arranque dual, ya que esto haría que muchas de sus garantías de seguridad perdieran efectividad.
Es casi obligado que la partición del sistema sea NTFS. No hay ningún motivo por el que NT haya de instalarse en una partición FAT.
Conviene dar a cada uno de los usuarios del sistema unas ciertas normas sobre el uso de la máquina que podría empezar con la frase de "Todo lo que no esté explícitamente permitido, está prohibido" y continuar explicando todo lo que está permitido. Si se dejan las cosas claras desde un principio, nos ahorraremos muchos quebraderos de cabeza.
Administrador no hay más que uno. Aunque NT permite que haya varios administradores para tareas determinadas, es muy importante delimitar estas tareas al máximo si más de una
persona administrará la máquina o dominio NT. A medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.
Los usuarios solo deben tener los privilegios necesarios para ser usuarios. En un exceso de celo, podemos cometer el error de limitar demasiado los privilegios de los usuarios. Esto hace que el usuario no pueda usar la máquina normalmente y perdamos de vista el
objetivo por el que hacemos todo esto. Por otro lado, si los usuarios tienen excesivos privilegios (algunos administradores irresponsables lo permiten para no tener que hacer las cosas ellos y que las hagan los usuarios) nos podemos encontrar que por desconocimiento, experimentación o maldad se cause daño al sistema
El auditor profesional tiene claro lo que necesita saber a partir de las politicas de la
empresa, y el por qué. Sus cuestionarios son vitales para
el trabajo de
análisis y
síntesis posterior, el auditor conversará y hará preguntas "normales", que en realidad servirán para la completación sistemática de sus Cuestionarios, de sus Checklists, los cuales serviran para tomar medidas si fuesen necesarias o para aplicar plnes de contingencias.
Los Checklists deben o pueden ser contestadas oralmente, o solo seran un control no verbal de solo ticks, verificando en "terreno" si secumplen las normativas.
El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado para mas tranquilidad de él, lo que genera un
clima mas relajado, pero dependiendo de la política de la empresa podría darse que un
cuestionario conste de cruces ,
marcas, cuestionarios en su presencia.
No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios adaptación correspondientes en las preguntas a realizar.
En nuestro caso podríamos aplicar el siguiente checklist, por ejemplo:
Políticas de Passwords :
El Administrador puede forzar a los usuarios a cumplir ciertas reglas en la configuración de sus cuentas.
Algunas de las medidas más utilizadas son:
Longitud máxima y mínima de la contraseña.(cumple el largo dterminado)
Duración máxima de la contraseña.(por ejemplo 6 meses)
Histórico de la contraseña.(se guardan las contraseñas en desuso?)
Bloqueo tras sucesivos fallos de login.
Combinación de caracteres en la contraseña.
Otros
objetivos del checklist podrian ser:
- Auditoría de cuentas de usuario:
- Inicio y cierre de sesión.
- Acceso a ficheros, directorios o impresoras.
- Ejercicio de los derechos de un usuario.
- Seguimiento de procesos.
- Inicio, reinicio y apagado del sistema.
- Auditoría del sistema de archivos:
- Rastrea sucesos del sistema de archivos
- Los sucesos que se pueden auditar
- Cambio de permisos y Toma de posesión.
- Auditoría de impresoras:
- Registro de sucesos de aplicaciones.
- Registro de sucesos de seguridad.
- Registro de sucesos del sistema
- Seguridad en Red
- Y los mas basico es:
- Cuenta por lo menos con la penúltima versión de Service Pack's
- Cortafuegos
- Tipo y características del cortafuego
La auditoria de Windows tanto NT como las otras versiones nos permiten descubrir intentos de acceso no autorizados. Tendrá que buscar un
equilibrio ente los
costos y beneficios derivados de la utilización de la auditoria, la cual oued estar a cargo de un auditor o encargado del area en cuestion, para salvaguardar los
activos de la empresa. Los costos incluyen el impacto en el rendimiento(por ejemplo: a medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.) del sistema y en el espacio del disco. La herramienta básica de la auditoria de Windows NT es el visor de eventos. permite auditar eventos tanto fallidos como efectuados, como además de lo eventos relativos a los derechos de los usuarios.
Con el programa USRMGR.EXE podemos activar o desactivar la auditoria sobre los inicios y fin de sesión, acceso a objetos y archivos y uso de los permisos de los usuarios, gestión e usuarios y grupos, cambios de la directiva de seguridad , reinicializacion y apagado de sistema y rastreo de los procesos del mismo. Obviamente si no se asigna los derechos para "administrar los registros de auditoria de seguridad", no se podrán realizar ningún cambio.
Todo esto con el fin de, en caso de errores, filtracion de inflormacion, manipulacion incorrecta de datos, poder poner en marcha los planes de contingencia, tomar contramedidas ya preestablecidas, poniendose en el caso ¿qué pasaria si…?, lo cual estara a cargo de la
gerencia y por supuesto, del encargado del departamento de informatica.
En fin, también podemos concluir que por muy seguro que sea Windows NT, a pesar de que podria eventualmente tener fallas, por esa razon mencionamos los Service Pack's, la seguridad depende del encargado del sistema, de la buena administrcion que pueda hacer la persona que este a cargo (que de permisos adecuados a la informacion , que verifique las claves, etc, cosa que se debe verificar con la auditoria), que por lo demas debe ser una persona calificada. De esta manera la auditoria se realizaria con mayor facilidad, eficacia y
eficiencia, y con ello ver si los objetivos de control se cumplen o no, para asi determinar que recomendacion plantear a la gerencia y al departamento en cuestión.
victor manuel cerda uribe
que se encuentra cerca del botón de Inicio. 
, y con las teclas flecha hacia arriba, subir por el menú hasta llegar a la opción deseada. Para abrir un submenú presionar la tecla flecha izquierda. Por último para abrir la aplicación presionar la tecla Enter