Secure NT Configuration

Document Sample
Secure NT Configuration Powered By Docstoc
					Microsoft Windows NT
Cómo asegurar la instalación de Windows NT

23 de octubre de 1997

Microsoft Corporation



Indice

Resumen

Establecimiento de la seguridad e la computadora


  Niveles de seguridad


  Fuera de estante vs. software personalizado


  Seguridad mínima


  Seguridad estándar


  Seguridad de alto nivel


  Consideraciones de la seguridad de alto nivel de software


  Derechos de usuario


  Protección de archivos y directorios


  Protección del registro


  Visualización segura de la bitácora de eventos


  Instalación segura del controlador de impresión
El servicio de programas (Comando AT)


Archivos compartidos seguros


Servicio FTP


Acceso NetBios desde Internet


Cómo esconder el último nombre de usuario


Restricción del proceso de arranque


Cómo permitir sólo a los usuarios conectados apagar la computadora


Control del acceso a medios eliminables


Cómo asegurar los objetos base del sistema


Habilitación de la auditoría del sistema


Protección mejorada para la base de datos del administrador de cuentas
de seguridad


Restricción del acceso anónimo a red para el registro


Restricción del acceso anónimo a red para buscar nombres y grupos de
cuentas, así como redes compartidas


Refuerzo de contraseñas sólidas de usuarios


Inhabilitación del soporte hash de contraseña del administrador de LAN


Eliminación del archivo de páginas del sistema durante el apagado de
limpieza del sistema
  Inhabilitación de la memoria caché de las credenciales de acceso durante
  el acceso interactivo


  Seguridad C2


  Evaluación vs. certificación


  Instalación de un sistema que cumpla con C2

Resumen
 El sistema operativo Microsoft® Windows NT® proporciona un conjunto muy completo
de funciones de seguridad. Sin embargo, la configuración predeterminada de fábrica es
altamente flexible, especialmente en el producto Workstation. Esto se debe a que el
sistema operativo se vende como un producto con todo integrado asumiendo que un
usuario promedio no quiere un sistema altamente restringido en su escritorio, sino uno
seguro. Esta suposición ha cambiado a través de los años a medida que Windows NT
gana popularidad en gran parte debido a sus funciones de seguridad. Microsoft está
investigando una configuración predeterminada con mejor seguridad para versiones
futuras. Mientras tanto, este documento analiza varios aspectos de seguridad
relacionados con la configuración de todos los productos de OS de Windows NT versión
4.0 para lograr un ambiente de cómputo altamente seguro.

El documento es únicamente para fines informativos con algunas recomendaciones. Los
requerimientos de una instalación en particular pueden diferir significativamente de
otros. Por lo tanto, es necesario que los clientes evalúen su ambiente y requerimientos
particulares antes de implementar una configuración de seguridad. Esto también se
debe a que la implementación de configuraciones de seguridad puede tener un impacto
en la configuración del sistema. Ciertas aplicaciones instaladas en Windows NT pueden
requerir configuraciones más flexibles para funcionar adecuadamente que otras, debido
a la naturaleza del producto. Por lo tanto, a los clientes se les recomienda evaluar
cuidadosamente las sugerencias en el contexto de las configuraciones y usos de su
sistema.


      Nota: La serie de documentos sobre el equipo de escritorio de Microsoft y la
      división de sistemas empresariales está diseñada para instruir a
      profesionales de tecnología de la información (IT) sobre Windows NT y la
      familia de productos Microsoft BackOffice. A pesar de que las tecnologías
      actuales que se utilizan en los productos Microsoft se cubren con frecuencia,
      el objetivo real de estos documentos es proporcionar a los lectores una idea
      sobre cómo las tecnologías principales están evolucionando, la forma en que
      Microsoft utiliza dichas tecnologías y cómo esta información afecta a los
      planeadores de tecnología.


      Para obtener la información más reciente sobre el Windows NT Server,
      consulte nuestro World Wide Web site en
      http://www.microsoft.com/backoffice/ o el foro del Windows NT en la red
      de Microsoft (IR A: MSNTS).


      Nota: La información que se incluye en este documento representa el punto
      de vista de Microsoft Corporation sobre los temas que se analizan a la fecha
      de publicación. Debido a que Microsoft debe responder a las condiciones
      cambiantes del mercado, no se deberá interpretar como un compromiso por
      parte de Microsoft y Microsoft no puede garantizar la precisión de cualquier
      información que se presente después de la fecha de publicación.


      Este documento sólo es para fines informativos. MICROSOFT NO REALIZA
      NINGUNA GARANTIA, EXPRESA O IMPLICITA, SOBRE ESTE DOCUMENTO.
Establecimiento a la seguridad de la computadora
Niveles de seguridad

Windows NT le permite establecer una variedad completa de niveles de seguridad,
desde ninguna hasta el nivel C2 de seguridad requerido por muchas dependencias
gubernamentales. En este capítulo, describimos tres niveles de seguridad: mínimo,
estándar y alto, así como las opciones que se utilizan para proporcionar cada nivel. Estos
niveles son arbitrarios, y usted probablemente deseará crear su propio “nivel” al
combinar las características de los que se presentan aquí.

¿Por qué no contar con máxima seguridad todo el tiempo? Una razón es que los límites
que usted establece para accesar los recursos de una computadora hace que se les
dificulte a las personas con los recursos protegidos. Otra es que es trabajo extra para
instalar y mantener las protecciones que desea. Por ejemplo, si sólo los usuarios
miembros del grupo de usuarios HR tienen permiso para accesar los registros de
empleado, y una nueva persona es contratada para realizar ese trabajo, entonces
alguien necesita instalar una cuenta para el empleado recién contratado y agregarla al
grupo HR. Si la nueva cuenta es creada pero no se agrega al HR, el nuevo empleado no
puede accesar los registros de empleados y, por lo tanto, no puede realizar su trabajo.
Si la seguridad es demasiada, los usuarios tratarán de evitarla para poder hacer su
trabajo. Por ejemplo, si usted establece la política de contraseñas para que estas sean
difíciles de recordar, los usuarios las escribirán para evitar ser bloqueados. Si algunos
usuarios no pueden accesar archivos que necesitan utilizar, sus colegas tal vez
compartan sus propias contraseñas con el fin de promover el flujo de trabajo.

El primer paso al establecer la seguridad es llevar a cabo una evaluación precisa de sus
necesidades. Después, seleccione los elementos de seguridad que desea e
impleméntelos. Asegúrese de que sus usuarios sepan lo que necesitan hacer para
mantener la seguridad y porqué es importante. Finalmente, monitoree sus sistemas y
realice los ajustes necesarios.



Fuera de estante vs. Software personalizado

Si está utilizando software creado especialmente para su instalación o si está utilizando
recursos que no está seguro son confiables, y usted desea mantener una seguridad
relativamente alta, se recomienda que consulte el apéndice B de la Guía de recursos de
la Microsoft® Windows NT®, “seguridad en un ambiente de desarrollo de software” Este
proporciona información sobre configuraciones y llamadas que pueden soportar o evitar
las configuraciones de seguridad.

Seguridad mínima

Tal vez a usted no le interese la seguridad si una computadora no es utilizada para
almacenar o accesar datos sensibles o si es un lugar muy seguro. Por ejemplo, si la
computadora se encuentra en la oficina central de un propietario único de un negocio o
si se utiliza como una máquina de prueba en el laboratorio restringido de una compañía
de desarrollo de software, entonces las precauciones de seguridad podrían ser
innecesarias. Windows NT le permite hacer que el sistema sea totalmente flexible, sin
ninguna protección, si eso es lo que requiere su instalación.

Consideraciones de seguridad física

Tome las precauciones que considerará para proteger cualquier pieza de equipo valioso
contra el robo casual. Este paso puede incluir cerrar el cuarto donde se encuentra la
computadora cuando nadie está ahí para vigilarla o utilizar un cable con seguro para
conectar la unidad a la pared. También, tal vez deba establecer procedimientos para
trasladar o reparar la computadora, con el fin de que ésta o sus componentes no pueden
ser trasladados bajo intenciones falsas.

Utilice un protector de voltaje o un ajustador de alimentación para proteger la
computadora y sus periféricos contra cables de corriente. Asimismo, realice inspecciones
periódicas del disco y de fragmentación para aislar los sectores dañados y mantener el
rendimiento más alto posible de disco.



Consideraciones de seguridad mínima de software

Para seguridad mínima, no se utiliza ninguna de las funciones de seguridad Windows NT.
De hecho, usted puede permitir acceso automático a la cuenta del administrador (o a
cualquier otra cuenta de usuario) siguiendo las instrucciones en el capítulo 25
“Administración de la configuración y el registro” en la Guía de recursos de la Windows
NT Workstation. Esto permite que cualquiera con acceso físico a la computadora la
encienda y tenga inmediatamente acceso total a los recursos de la máquina.

En forma predeterminada, el acceso está limitado a ciertos archivos. Para seguridad
mínima, otorgue al grupo Todos acceso total a los archivos.

Sin embargo, todavía deberá tomar precauciones en contra de virus, por que pueden
inhabilitar programas que necesite utilizar o usar la computadora de seguridad mínima
como un vector para infectar otros sistemas computacionales.



Seguridad estándar

Con frecuencia, las computadoras se utilizan para almacenar datos sensibles y/o
valiosos. Estos datos pueden ser desde finanzas o archivos de personal, hasta
correspondencia personal. Asimismo, tal vez necesiten protegerse contra cambios
accidentales o deliverados en la forma en que la computadora se instala. No obstante,
los usuarios de las computadoras necesitan poder realizar su trabajo, con barreras
mínimas a los recursos que le son necesarios.

Consideraciones de seguridad física

Con seguridad mínima la computadora debe protegerse como se haría con cualquier
equipo valioso. Generalmente, esto implica conservar la computadora en un edificio que
esté cerrado a usuarios no autorizados, como la mayoría de los hogares y oficinas. En
algunos casos, tal vez deba utilizar un cable y asegurar la computadora a su lugar. Si la
máquina tiene un candado físico, puede asegurarla y conservar la llave en un lugar
seguro para lograr seguridad adicional. Sin embargo, si la llave se pierde o no se puede
tener acceso a ella, un usuario autorizado no podrá trabajar en la computadora.
Consideraciones de seguridad estándar de software

Un sistema seguro requiere esfuerzo por parte de los administradores del sistema,
quienes mantienen ciertas configuraciones de software, y de los usuarios diarios que
deben cultivar hábitos como desconectarse al final del día y memorizar (en lugar de
escribir) sus contraseñas.

Advertencia legal en pantalla antes de conectarse

Windows NT puede mostrar en pantalla un cuadro de mensajes con las notas y textos de
su elección antes de que un usuario se conecte. Muchas organizaciones utilizan este
cuadro de mensajes para mostrar en pantalla una advertencia que notifique a los
usuarios potenciales que pueden ser procesados legalmente si intentan utilizar la
computadora sin contar con la autorización adecuada. La ausencia de dicha advertencia
podría ser considerada como una invitación, sin restricción, a entrar y buscar en el
sistema.

Asimismo, el mensaje al momento de conectarse puede ser utilizado en configuraciones
(como un kiosco de información) donde los usuarios requieren instrucciones sobre cómo
proporcionar un nombre y contraseña de usuario para la cuenta adecuada.

Para mostrar en pantalla una advertencia legal, utilice el editor de registro para crear o
asignar los siguientes valores clave de registro en la estación de trabajo que va a
protegerse:



Hive:         HKEY_LOCAL_MACHINE\SOFTWARE
Clave:        \Microsoft\Windows NT\Current Version\Winlogon
Nombre:       LegalNoticeCaption
Tipo:         REG_SZ
Valor:        Lo que desee escribir como texto del mensaje
Hive:         HKEY_LOCAL_MACHINE\SOFTWARE
Clave:        Microsoft\Windows NT\Current Version\Winlogon
Nombre:       LegalNoticeText
Tipo:         REG_SZ
Valor:        Lo que desee escribir como texto del mensaje



Los cambios toman lugar la próxima vez que se inicia la computadora. Es posible que
desee actualizar el disco de reparación de emergencia para mostrar estos cambios.
Ejemplos

Bienvenido al kiosco de información YXZ
Conéctese utilizando el nombre de cuenta y contraseña de la XYZ Corp..
Sólo usuarios autorizados
Sólo los individuos que actualmente tienen asignada una cuenta en esta computadora por parte de XYZ Corp.
pueden accesar datos en la misma. Toda la información almacenada en esta computadora es propiedad de
XYZ Corp. Y está sujeta a todo tipo de protección de acuerdo con la propiedad intelectual.
Cuentas y grupos de usuarios

Con la seguridad estándar, una cuenta y contraseña de usuario (nombre de usuario)
puede ser necesaria para utilizar la computadora. Usted puede establecer, eliminar o
inhabilitar cuentas de usuarios con el administrador de usuarios, que se encuentra en el
grupo de programas de herramientas administrativas. El administrador de usuarios
también le permite establecer políticas de contraseña y organizar las cuentas de
usuarios en grupos.

       Nota: Los cambios a la política de derechos de usuarios de computadoras
       Windows NT toman lugar cuando el usuario se conecta la próxima vez..
Cuentas administrativas vs. cuentas de usuarios

Utilice cuentas separadas para las actividades administrativas y las actividades generales
de usuario. Los individuos que realizan trabajo administrativo en las computadoras
deberán notar con dos cuentas de usuario en el sistema: una para tareas administrativas
y otra para actividades generales. Con el fin de evitar cambios accidentales a los recursos
protegidos, deberá utilizarse la cuenta con menos privilegios que pueda realizar la tarea.
Por ejemplo, los virus pueden causar mayor daño si se activan desde una cuenta con
privilegios de administrador.

Es buena idea renombrar la cuenta integrada de administrador con un nombre que sea
menos obvio. Esta cuenta poderosa nunca puede ser bloqueada aún cuando se realicen
varios intentos fallidos de acceso, y por lo tanto es atractiva a piratas que intentan
introducirse adivinando repetidamente contraseñas. Al renombrar la cuenta, usted
fuerza a los piratas a adivinar el nombre de la cuenta y la contraseña.

La cuenta de huésped

Acceso limitado puede permitirse a usuarios casuales a través de la cuenta integrada de
huésped. Si la computadora es para uso único, la cuenta de huésped puede ser utilizada
para accesos públicos. Prohiba al huésped escribir o borrar cualquier archivo, directorio
o claves de registros (con la posible excepción de un directorio donde se pueda dejar
información).
En una configuración de seguridad estándar, una computadora que permite el acceso a
huéspedes también puede ser utilizada por otros usuarios para accesar archivos que no
se desean estén disponibles para el público general. Estos usuarios pueden conectarse
con sus propios nombres de usuarios y accesar archivos en directorios sobre los cuales
tienen los permisos adecuados. Deberán ser especialmente cuidadosos al desconectarse
o al bloquear la estación de trabajo antes de dejar de utilizarla. La cuenta de huésped se
analiza en el Capítulo 2 “Cómo trabajar con cuentas de usuarios y grupos” en Conceptos
y planeación del Microsoft Windows NT Server. Para información de procedimiento, ver
Ayuda.

Acceso inicial

Todos los usuarios deben siempre oprimir las teclas CTRL+ALT+DEL antes de conectarse.
Los programas diseñados para solicitar contraseñas de cuentas pueden aparecer cómo
una pantalla de conexión que espera por usted. Al presionar CTRL+ALT+DEL usted puede
activar estos programas y obtener la pantalla de acceso seguro proporcionada por
Windows NT.

Desconexión o bloqueo de la estación de trabajo

Los usuarios deben conectarse o bloquear la estación de trabajo si van a alejarse de la
computadora por algún tiempo. Desconectarse permite a otros usuarios volver a
conectarse (si saben la contraseña de una cuenta); bloquear la estación de trabajo no
permite lo anterior. La estación de trabajo puede establecerse para bloquearse
automáticamente si no es supervisada durante algún tiempo usando cualquier protector
de pantalla de 32 bits con la opción de protección con contraseña. Para mayor
información sobre cómo instalar los protectores de pantalla, ver Ayuda.

Contraseñas

Cualquiera que sepa el nombre de un usuario y la contraseña asociada puede conectarse
como ese usuario. Los usuarios deben tener cuidado de no revelar sus contraseñas. A
continuación, se proporcionan algunos consejos:

  •   Cambie las contraseñas frecuentemente y evite volver a utilizarlas.

  •   Evite utilizar palabras que se adivinen fácilmente que aparezcan en el diccionario.
      Una frase o combinación de letras y números funciona bien.

  •   No escriba la contraseña; elija una que le sea fácil recordar.
Protección de archivos y directorios

El sistema de archivos NTFS proporciona más funciones de seguridad que el sistema FAT
y debe utilizarse si la seguridad es un aspecto importante. La única razón para utilizar el
FAT es para la partición de arranque de un sistema RISC que cumpla con ARC. Una
partición de sistema que utiliza el FAT, puede asegurarse, totalmente utilizando el
comando Secure System Partition (partición de sistema seguro) en el menú Partition de
la utilidad del administrador de disco.

Con el NTFS, usted puede asignar una variedad de protecciones a archivos y directorios,
especificando qué grupos o cuentas individuales pueden tener acceso a estos recursos y
en qué formas. Al utilizar la función de permisos heredados y al asignar permisos a
grupos en lugar de a cuentas individuales, usted puede simplificar la tarea de mantener
protecciones apropiadas. Para mayor información, consulte el Capítulo 4,
“Administración de recursos compartidos y seguridad de recursos” en Conceptos y
planeación del Microsoft Windows NT Server. Para información de procedimiento, ver
Ayuda.

Por ejemplo, un usuario puede copiar un documento sensible a un directorio que está
disponible a personas que no deberían tener permiso para leer el documento, pensando
que las protecciones asignadas al documento en su ubicación anterior todavía podría
aplicar. En este caso, las protecciones deben aplicarse al documento tan pronto como se
copia o debe transferirse primero al nuevo directorio y después copiarse de nuevo en el
directorio original.

Por otro lado, si un archivo que fue creado en un directorio protegido se está colocando
en un directorio compartido para que otros usuarios puedan leerlo, debe copiarse al
nuevo directorio; si se transfiere al nuevo directorio, las protecciones del archivo deben
cambiarse rápidamente para que otros usuarios puedan leerlo.

Cuando se cambien permisos para un archivo o directorio, los nuevos permisos aplican
cada vez que el archivo o directorio se abre subsecuentemente. Los usuarios que ya
tienen el archivo o directorio abierto cuando usted cambia los permisos, todavía tienen
acceso permitido de acuerdo con los permisos que estaban vigentes cuando abrieron el
archivo o directorio.

Respaldos

Los respaldos regulares protegen sus datos contra fallas de hardware y errores no
deliverados, así como contra virus y otros riesgos peligrosos. La utilidad de respaldo
Windows NT se describe en el Capítulo 6, “Respaldo y restablecimiento de archivos de
red” en Conceptos y planeación del Microsoft Windows NT Server. Para información de
procedimiento, ver Ayuda.
Obviamente, los archivos deben leerse para ser respaldados y escribirse para ser
restablecidos. Los privilegios de respaldo deberán limitarse a los administradores y
operadores de respaldo: personas a las que usted se siente seguro de otorgar acceso de
lectura y escritura a todos los archivos.

Protección del registro

Toda la información de inicialización y configuración utilizada por Windows NT está
almacenada en el registro. Normalmente, las claves en el registro se cambian
indirectamente a través de las herramientas administrativas como el panel de control.
Se recomienda este método. El registro también puede ser alterado directamente, con
el editor de registro; algunas claves sólo pueden alterarse en esta forma.

El editor de registro soporta el acceso remoto al registro Windows NT. Para restringir el
acceso de red al registro, utilice el editor de registro para crear la siguiente clave de
registro:



Hive:           HKEY_LOCAL_MACHINE
Clave:          \CurrentcontrolSet\Control\SecurePipeServers
Nombre:         \winreg



Los permisos de seguridad establecidos en esta clave definen qué usuarios o grupos
pueden conectarse al sistema para obtener acceso remoto al registro. La instalación
predeterminada de la Windows NT Workstation no define esta clave y no restringe el
acceso remoto al registro. Windows NT Server sólo permite a los administradores el
acceso remoto al registro.

La utilidad de respaldo que se incluye con Windows NT le permite respaldar el registro,
así como los archivos y directorios.


         Nota: El editor de registro debe ser utilizado únicamente por individuos que
         entienden a fondo la herramienta, el registro en sí y los efectos de los
         cambios a varias claves en el registro. Los errores que se cometan en el
         editor de registro podrían dejar inservible todo el sistema o parte del
         mismo.
Auditoría

La auditoría puede informarle acciones que representan un riesgo de seguridad y
también identificar las cuentas de usuarios desde las cuales se emprendieron acciones
de auditoría. Considere que la auditoría sólo le indica qué cuentas de usuarios fueron
utilizadas para los eventos auditados. Si las contraseñas se protegen adecuadamente,
esto a su vez indica qué usuario intentó realizar los eventos de auditoría. Sin embargo, si
una contraseña ha sido robada o si se tomaron acciones mientras un usuario estaba
conectado, pero lejos de la computadora, la acción pudo haber sido iniciada por alguien
que no fuera la persona a la que está asignada la cuenta de usuario.

Cuando establezca una política de auditoría, necesitará evaluar el costo (en espacio en
disco y ciclos de la CPU) de las varias opciones de auditoría con base en las ventajas de
las mismas. Por lo menos, deberá auditar los intentos fallidos de acceso, los intentos
para accesar datos sensibles y los cambios a las configuraciones de seguridad. A
continuación, se mencionan amenazas comunes de seguridad y el tipo de auditoría que
podría ayudar a monitorearlas:



Amenaza                  Acción
Entrada al sistema por   Habilitar auditoría de fallas para eventos acceso y
parte de un pirata       desconexión.
utilizando contraseñas
aleatorias
Entrada utilizando       Habilitar auditoría de éxito para eventos de acceso y
contraseñas robadas      desconexión. Las entradas de registro no distinguirán entre
                         los usuarios reales y los falsos. Lo que se busca aquí son
                         actividades inusuales en las cuentas de los usuarios, como
                         conexiones en horas anormales o en días cuando no se
                         espera ninguna actividad.
Uso indebido de los      Habilitar auditoría satisfactoria para uso de derechos de
privilegios              usuario; para administración de usuario y grupos, para
administrativos por      cambios de política de seguridad y para reiniciar, apagar y
parte de los usuarios    eventos del sistema. Nota: Debido al gran volumen de
autorizados              eventos que se registraría, Windows NT normalmente no
                         audita el uso de archivos de respaldo y directorios, así como
                         los archivos de restablecimiento y derechos de directorio. El
                         Apéndice B, “Seguridad en un ambiente de desarrollo de
                         software”, explica cómo habilitar la auditoría del uso de
                         estos derechos).
Virus                    Habilitar la auditoría de logros y fallas de acceso escrito para
                         archivos de programa, como archivos con extensiones .exe y
                         .dll. Habilitar la auditoría de monitoreo de proceso de logros
                         y fallas. Ejecutar programas sospechosos y examinar la
                         bitácora de seguridad en busca de intentos inesperados para
                         modificar archivos de programa o creación de procesos
                         inesperados. Considerar que estas configuraciones de
                         auditoría generan un gran número de registros de eventos
                         durante el uso de rutina del sistema. Deberá utilizarlos
                         únicamente cuando esté monitoreando activamente la
                         bitácora del sistema.
Acceso indebido a        Habilitar auditoría de logros y fallas para eventos de acceso a
archivos sensibles       archivos y objetos, y después utilizar el administrador de
                         archivos para habilitar la auditoría de logros y fallas de
                         acceso de escritura y lectura por parte de usuarios o grupos
                         sospechosos a archivos sensibles.
Acceso indebido a        Habilitar auditoría de logros y fallas para eventos de acceso a
impresoras               archivos y objetos, y después utilizar el administrador de
                         impresión para habilitar la auditoría de logros y fallas de
                         acceso a impresión por parte de usuarios o grupos
                         sospechosos a impresoras.



Seguridad de alto nivel

Las precauciones de seguridad estándar son suficientes para la mayoría de las
instalaciones. Sin embargo, precauciones adicionales se encuentran disponibles para
computadoras que contienen datos sensibles o que tienen alto riesgo de robo de datos o
de interrupción accidental o maliciosa del sistema.

Consideraciones de seguridad física

Las consideraciones de seguridad física descritas para las configuraciones de seguridad
mínima y estándar también aplican aquí. Además, tal vez deba examinar el enlace físico
proporcionado por la red de su computadora, y en algunos casos utilizar los controles
integrados para ciertas plataformas de hardware, con el fin de restringir quien puede
encender la computadora.

Redes y seguridad

Cuando usted instala una computadora en una red, agrega una ruta de acceso a la
misma y, por tanto, desea que esa ruta sea segura. La validación de usuarios y
protecciones de archivos y otros objetos son suficientes para la seguridad de nivel
estándar, pero para la seguridad de alto nivel necesitará asegurarse que la red en sí sea
segura o en algunos casos, aislar completamente la computadora.

Los dos riesgos de las conexiones de red son otros usuarios de red y los accesos
indebidos a la misma. Si todos en la red necesitan accesar su computadora segura,
probablemente prefiera incluirla en la red para facilitar el acceso a aquellas personas a
los datos en la máquina.

Si toda la red se encuentra en un edificio seguro, el riesgo de accesos no autorizados es
mínimo o inexistente. Si el cableado deba pasar a través de áreas no seguras, utilice
enlaces de fibra óptica en lugar de un par trenzado para evitar intentos de hacer
conexiones con los cables y tener acceso a los datos transmitidos.
Si su instalación necesita acceso a Internet, conozca los aspectos de seguridad
relacionados con proporcionar acceso a y desde la comunidad de Internet. El Capítulo 2,
“Seguridad del servidor en Internet”, en la Guía de Internet del Windows NT Server
contiene información sobre cómo utilizar la topología de red para proporcionar
seguridad.

Control del acceso a la computadora

Ninguna computadora estará totalmente segura si personas que no sean el usuario
autorizado pueden accesarla físicamente. Para lograr máxima seguridad en una
computadora que no es físicamente segura (guardada en un lugar seguro), siga todas o
algunas de las siguientes medidas de seguridad:

 •   Inhabilite el arranque basado en disco flexible, si el hardware de la computadora
     proporciona esa opción. Si la computadora no requiere una unidad de disco
     flexible, elimínela.

 •   La CPU deberá tener una cubierta que no puede ser abierta sin la llave. La llave
     debe guardarse en un lugar seguro.

 •   Todo del disco duro deberá ser NTFS.

 •   Si la computadora no requiere acceso a red, elimine la tarjeta de red.

Control de acceso al interruptor de encendido

Usted puede elegir mantener alejados a los usuarios no autorizados de los interruptores
de encendido o reniniciar los interruptores de la computadora, particularmente si la
política de derechos de su máquina le niega el derecho a apagar la computadora. Las
computadoras más seguras (aquellas que no se encuentran en cuartos cerrados y
vigilados) tienen únicamente a disposición de los usuarios el tablero, monitor, mouse e
impresora (cuando sea necesario). La CPU y unidades de medios retirables pueden
guardarse donde sólo personal específicamente autorizado puedan accesarlo.

En muchas plataformas de hardware, el sistema puede protegerse utilizando una
contraseña de encendido. Una contraseña de encendido evita que personal no
autorizado inicie un sistema operativo que no sea Windows NT, lo que podría
comprometer la seguridad del sistema. Las contraseñas de encendido es una función del
hardware de la computadora, y no del software del sistema operativo. Por lo tanto, el
procedimiento para configura la contraseña de encendido depende del tipo de
computadora y está disponible en la documentación del distribuidor que se incluye con
el sistema.
Consideraciones de seguridad de alto nivel de software
Algunas opciones de alta seguridad pueden implementarse utilizando únicamente el
editor de registro. El editor de registro deberá ser utilizado únicamente por los
administradores que están familiarizados con el material en la parte V de la Guía de
recursos de la Windows NT Workstation.

Derechos del Usuario

Existen varios derechos de usuarios que los administradores de instalaciones de alta
seguridad deben conocer y posiblemente auditar. De estos, tal vez deba cambiar los
permisos predeterminados de tres derechos, de la siguiente forma:




                     Los grupos reciben este     Cambio recomendado Los grupos reciben   Cambio
Derechos del         derecho en forma           para la estación de  este derecho en     recomendado
usuario              predeterminada en la       trabajo del servidor forma               para el
                     estación de trabajo y en   autónomo             predeterminada en   controlador de
                     el servidor autónomo                            el controlador de   dominio
                                                                     dominio

 Acceso local.        Administradores,           Elimine este       Operadores de           Sin cambio
 Permite que un       todos, huéspedes,          derecho para todos cuentas,
 usuario accese la    usuarios avanzados y       y los huéspedes.   administradores,
 computadora          usuarios                                      operadores de
 desde el teclado                                                   respaldo,
 de la misma.                                                       operadores de
                                                                    servidor,
                                                                    operadores de
                                                                    impresión
 Apague el            Administradores,           Elimine este         Operadores de         Sin cambio
 sistema. (Ver        todos, huéspedes,          derecho para todos   cuentas,
 privilegio de        usuarios avanzados y       huéspedes y          administradores,
 apagado)             usuarios                   usuarios.            operadores de
 permite a un                                                         respaldo,
 usuario apagar                                                       operadores de
 Windows NT.                                                          servidor,
                                                                      operadores de
                                                                      impresión
 Acceso a esta         Administradores,       Administradores,     Administradores,    Administradore
 computadora           todos y usuarios       usuarios avanzados   todos               s, operadores
 desde la red          avanzados              y usuarios                               de respaldo,
 Permite a un                                                                          operadores de
 usuario                                                                               servidor,
 conectarse a la                                                                       operadores de
 computadora a                                                                         impresión,
 través de la red                                                                      usuarios y
                                                                                       huéspedes si
                                                                                       están
                                                                                       habilitados



Los derechos en la siguiente tabla generalmente no requieren cambios a las
configuraciones predeterminadas, incluso en las instalaciones con más alta seguridad.
Sin embargo, se recomienda analizar la lista y hacer cualquier cambio con base en las
necesidades de una instalación particular.




                                                          Los grupos reciben este   Los grupos reciben
 Derechos del usuario                                     derecho en forma          este derecho en
                                                          predeterminada en la      forma
                                                          estación de trabajo       predeterminada en
                                                                                    el servidor

Actúa como parte del sistema operativo                     (Ninguno)                  (Ninguno)
(SetTcbprivilege)
Permite un proceso que desempeñe como una parte
segura y confiable del sistema operativo. Algunos
subsistemas reciben este derecho.


                                                          Los grupos reciben este   Los grupos reciben
Derechos del usuario                                      derecho en forma          este derecho en
                                                          predeterminada en la      forma
                                                          estación de trabajo       predeterminada en
                                                                                    el servidor

Agregar estaciones de trabajo al dominio                   (Ninguno)                  (Ninguno)
(SeMachineAccountPrivileges)
Permite que los usuarios agreguen estaciones de trabajo
al dominio en particular. Este derecho es importante
sólo en los controladores de dominio.
Archivos de respaldo y directorios                         Administradores,           Administradores,
(SeBackupPrivilege)                                        operadores de              operadores de
Permite a un usuario respaldar archivos y directorios.     respaldo, operadores       respaldo,
Este derecho anula los permisos de archivos y              de servidor                operadores de
directorios.                                                                          servidor
Verificación inversa de desviación                           Todos:                   Todos:
(SeChangeNotifyPrivilege)
Permite a un usuario cambiar directorio, así como
archivos y subdirectorios de acceso aún cuando el
usuario no tenga permiso para accesar directorios
principales.
Cambiar la hora del sistema                                  Administradores,         Administradores,
(SeSystemTimePrivilege)                                      usuarios avanzados       operadores de
Permite a un usuario establecer la hora en el reloj                                   servidor
interno de la computadora.
Crear un archivo de búsqueda                                 Administradores          Administradores
(SeCreatePagefilePrivilege)
Permite al usuario crear nuevos archivos de búsqueda
para el swapping de memoria virtual.
Crear un objeto token (SeCreateTokenPrivilege)               (Ninguno)                (Ninguno)
Permite un proceso para crear tokens de acceso. Sólo la
autoridad de seguridad local puede hacer esto.
Crear objetos compartidos permanentes (Ver el                (Ninguno)                (Ninguno)
privilegio de objetos permanentes)
Permite a un usuario crear objetos permanentes
especiales, como \\Dispositivo, que son utilizados con
Windows NT.
Programas de depuración (SeDebugPrivilege)                   Administradores          Administradores
Permite a un usuario depurar varios objetos de nivel
bajo, como las cadenas.
Forzar apagado desde un sistema remoto                       Administradores,         Administradores,
(SeRemoteShutdownPrivilege)                                  usuarios avanzados       operadores de
Permite al usuario apagar el sistema Windows NT en                                    servidor
forma remota a través de una red.
Generará auditorías de seguridad (SeauditPrivilege)          (Ninguno)                (Ninguno)
Permite el proceso para generar entradas de bitácora de
auditoría de seguridad.
Aumentar cuotas (SeincreaseQuotaPrivilege)                   Administradores          Administradores
Ninguno. Este derecho no tiene efecto en versiones
actuales de Windows NT.


                                                          Los grupos reciben este   Los grupos reciben
Derechos del usuario                                      derecho en forma          este derecho en
                                                          predeterminada en la      forma
                                                          estación de trabajo       predeterminada en
                                                                                    el servidor

Aumentar prioridad de programación                           Administradores          Administradores
(SeIncreaseBasePriorityPrivilege)
Permite a un usuario arrancar la prioridad de ejecución
de un proceso.
Cargar y descargar controladores de dispositivo            Administradores   Administradores
(SeLoadDriverPrivilege)
Permite a un usuario instalar y retirar controladores de
dispositivos.
Bloqueo de páginas en la memoria                           (Ninguno)         (Ninguno)
(SeLockMemoryPrivilege)
Permite a un usuario bloquear páginas en la memoria
para que no puedan ser transferidas fuera de la página a
un almacenamiento de respaldo como el Pagefile.sys.
Accesar como un trabajo de lote                            (Ninguno)         (Ninguno)
Ninguno. Este derecho no tiene efecto en versiones
actuales de Windows NT.
Accesar como un servicio                                   (Ninguno)         (Ninguno)
Permite a un proceso registrarse con el sistema como un
servicio.
Administrar auditoría y bitácora de seguridad              Administradores   Administradores
(SeSecurityPrivilege)
Permite a un usuario especificar qué tipos de acceso a
recursos (como un acceso a archivos) se auditarán, así
como ver y borrar la bitácora de seguridad. Considere
que este derecho no permite que un usuario establezca
una política del sistema utilizando el comando auditoría
en el menú de política del administrador de usuarios.
Asimismo, los miembros de grupos de administradores
siempre tienen la capacidad de visualizar y depurar la
bitácora de seguridad.
Modificar las variables de ambiente de firmware (Ver       Administradores   Administradores
privilegio de ambiente del sistema)
Permite a un usuario modificar las variables de ambiente
del sistema almacenadas en RAM no volátil de sistemas
que soportan este tipo de configuración.
Perfil de un solo proceso (SeProfSingleProcess)            Administradores   Administradores
Permite a un usuario realizar el perfil (muestreo de
rendimiento) de un proceso.
Perfil del rendimiento del sistema                         Administradores   Administradores
(SeSystemProfilePrivilege)
Permite a un usuario realizar un perfil (muestreo de
rendimiento) del sistema.
Reemplazar un token de nivel de proceso                    (Ninguno)         (Ninguno)
(SeAssignPrimaryTokenPrivilege)
Permite que un usuario modifique un token de acceso
de seguridad de proceso. Este es un derecho poderoso
utilizado únicamente por el sistema.
                                                            Los grupos reciben este   Los grupos reciben
Derechos del usuario                                        derecho en forma          este derecho en
                                                            predeterminada en la      forma
                                                            estación de trabajo       predeterminada en
                                                                                      el servidor

Restablecer archivos y directorios (SeRestorePrivilege)        Administradores,         Administradores,
Permite a un usuario restablecer los archivos y                operadores de            operadores de
directorios respaldados. Este derecho anula los permisos       respaldo                 servidor,
de archivos y directorios.                                                              operadores de
                                                                                        respaldo
Apropiarse de archivos u otros objetos                         Administradores          Administradores
(SeTakeOwnershipPrivilege)
Permite a un usuario apropiarse de archivos, directorios,
impresores y otros objetos de la computadora. Este
derecho anula los permisos que protegen a los objetos.



Protección de archivos y directorios

Entre los archivos y directorios que deben protegerse se encuentran aquellos que
conforman al software del sistema operativo en sí. El grupo estándar de permisos sobre
archivos y directorios del sistema proporciona un grado razonable de seguridad sin
interferir con el uso de la computadora. Sin embargo, para las instalaciones de seguridad
de alto nivel, tal vez deba establecer adicionalmente permisos de directorios a todos los
subdirectorios y archivos existentes, como se muestra en la siguiente lista,
inmediatamente después de que se instala Windows NT. Asegúrese de aplicar permisos a
directorios principales antes de aplicar permisos a los subdirectorios.

Primero aplique lo siguiente utilizando el editor ACL:



Directorio                                     Permisos
\WINNT y todos los subdirectorios bajo el      Administradores: Control total
mismo.                                         PROPIETARIO CREADOR: Control total
                                               Todos: Lectura
                                               SISTEMA: Control total



Ahora, dentro del árbol \WINNT aplique las siguientes excepciones a la seguridad
general:
Directorio                               Permisos
\WINNT\REPAIR                            Administradores: Control total
\WINNT\SYSTEM32\CONFIG                   Administradores: Control total
                                         PROPIETARIO CREADOR: Control total
                                         Todos: Lista
                                         SISTEMA: Control total
\WINNT\SYSTEM32\SPOOL                    Administradores: Control total
                                         PROPIETARIO CREADOR: Control total
                                         Todos: Lectura
                                         Power Users: Cambio
                                         SISTEMA: Control total
\WINNT\COOKIES                           Administradores: Control total
\WINNT\FORMS                             PROPIETARIO CREADOR: Control total
\WINNT\HISTORY                           Todos: Acceso a directorio especial -
\WINNT\OCCACHE                           lectura, escritura y ejecución, acceso a
                                         archivo especial - ninguno
\WINNT\PROFILES
                                         Sistema Control total
\WINNT\SENDTO
\WINNT\Archivos de Internet temporales



Varios archivos de sistemas operativos críticos existen en el directorio principal de la
partición de sistema en los sistemas basados en Intel 80486 y Pentium. En las
instalaciones de alta seguridad tal vez deba asignar los siguientes permisos a estos
archivos:



Archivo                                  Permisos de nivel C2
\Boot.ini, \Ntdetect.com, \Ntldr         Administradores: Control total
                                         SISTEMA: Control total
\Autoexec.bat, \Config.sys               Todos: Lectura
                                         Administradores: Control total
                                         SISTEMA: Control total
Directorio \TEMP                         Administradores: Control total
                                         SISTEMA: Control total
                                         PROPIETARIO CREADOR: Cotorra total
                                         Todos: Acceso a directorio especial –
                                         lectura, escritura y ejecución, acceso a
                                         archivo especial –ninguno



Para visualizar estos archivos en el administrador de archivos, seleccione el comando By
File Type (por tipo de archivos) en el menú View (ver ) y después seleccione el cuadro de
verificación Show Hidden/System Files (mostrar archivos escondidos/del sistema) en la
pantalla de diálogo By File Type (según el tipo de archivo).
Considere que las protecciones mencionadas aquí están sobre y son superiores a las que
se mencionaron anteriormente en la sección de nivel de seguridad estándar, que incluía
tener únicamente particiones NTFS (con excepción de la partición de arranque en caso
de máquinas RISC). La partición de arranque FAT para sistemas RISC puede configurarse
utilizando el comando Secure System Partition (partición segura de sistemas) en el
menú Partition (partición) de la utilidad de administrador de disco.

También se recomienda ampliamente que los administradores exploren manualmente
los permisos en varias particiones del sistema y verifiquen que estén aseguradas
adecuadamente para varios accesos de usuarios en su ambiente.



Protección del registro

Además de las consideraciones para la seguridad estándar, los administradores de una
instalación de alta seguridad tal vez deban establecer protecciones sobre ciertas claves
en el registro.

En forma predeterminada, las protecciones se establecen en varios componentes del
registro que permiten que se realice el trabajo al tiempo que se proporciona una
seguridad de nivel estándar. Para seguridad de alto nivel, tal vez deba asignar derechos
de acceso a claves específicas de registro. Esto debe hacerse con precaución, porque los
programas que los usuarios requieren para realizar sus trabajos a menudo necesitan
acceso a ciertas claves a nombre de los usuarios. Para mayor información, consulte el
Capítulo 24, “Editor de registro y administración del registro”.

Para cada una de las claves enumeradas a continuación, haga el siguiente cambio:

                        Acceso permitido

Grupo de todos Consultar valor, enumerar subclaves, notificar y leer control



En la HKEY_LOCAL_MACHINE en la pantalla de diálogo de máquina local:

\\Software

      Se recomienda este cambio. Bloquea al sistema en términos de quién puede
      instalar el software. Considere que no se recomienda que todo el sub-árbol se
      bloquee utilizando esta configuración porque puede provocar que el software
      quede inservible.

\Software\Microsoft\RPC (y sus subclaves)
     Esto bloquea los servicios RPC.

\Software\Microsoft\Windows NT\ CurrentVersion

\Software\Microsoft\Windows NT\ CurrentVersion\Profile List

\Software\Microsoft\Windows NT\ CurrentVersion\AeDebug

\Software\Microsoft\Windows NT\ CurrentVersion\Compatibility

\Software\Microsoft\Windows NT\ CurrentVersion\Drivers

\Software\Microsoft\Windows NT\ CurrentVersion\Embedding

\Software\Microsoft\Windows NT\ CurrentVersion\Fonts

\Software\Microsoft\Windows NT\ CurrentVersion\FontSubstitutes

\Software\Microsoft\Windows NT\ CurrentVersion\Font Drivers

\Software\Microsoft\Windows NT\ CurrentVersion\Font Mapper

\Software\Microsoft\Windows NT\ CurrentVersion\Font Cache

\Software\Microsoft\Windows NT\ CurrentVersion\GRE_Initialize

\Software\Microsoft\Windows NT\ CurrentVersion\MCI

\Software\Microsoft\Windows NT\ CurrentVersion\MCI Extensions

\Software\Microsoft\Windows NT\ CurrentVersion\PerfLib

     Considere eliminar en esta clave Everyone Read access. Esto permite a los
     usuarios remotos ver los datos de rendimiento en la máquina. En lugar de ello,
     usted puede otorgar Read Access que permitirá únicamente acceso INTERACTIVO
     al conectarse el usuario a esta clave, además de administradores y el sistema.

\Software\Microsoft\Windows NT\ CurrentVersion\Port (y todas las subclaves)

\Software\Microsoft\Windows NT\ CurrentVersion\Type1 Installer

\Software\Microsoft\Windows NT\ CurrentVersion\WOW (y todas las subclaves)

\Software\Microsoft\Windows NT\ CurrentVersion\Windows3.1MigrationStatus (y
todas las subclaves)

\System\CurrentControlSet\Services\LanmanServer\Shares
\System\CurrentControlSet\Services\UPS

         Considere que aparte de configurar la seguridad en esta clave, también se requiere
         que el archivo de comandos (si es que hay alguno) asociado con el servicio UPS
         esté asegurado adecuadamente, permitiendo a los administradores: Control total,
         sistema: Sólo control total.

\Software\Microsoft\Windows\CurrentVersion\Run

\Software\Microsoft\Windows\CurrentVersion\RunOnce

\Software\Microsoft\Windows\CurrentVersion\Uninstall

En la HKEY_CLASSES_ROOT en el diálogo de la máquina local:

\HKEY_CLASSES_ROOT (y todas las subclaves)

En los HKEY_USERS en la pantalla de diálogo máquina local:

\.DEFAULT

El editor de registro soporta el acceso remoto al registro Windows NT. Para restringir el
acceso de red al registro, utilice el editor de registro para crear la siguiente clave de
registros:



Hive:           HKEY_LOCAL_MACHINE
Clave:          System\CurrentcontrolSet\Control\SecurePipeServers
Nombre:         \winreg
Los permisos de seguridad establecidos en esta clave definen qué usuarios o grupos
pueden conectarse al sistema para lograr acceso remoto al registro. La instalación
predeterminada de la Windows NT Workstation no define esta clave y no restringe el
acceso remoto al registro. Windows NT Server permite únicamente a los
administradores acceso remoto a la mayor parte del registro. Algunas trayectorias que
necesitan ser accesibles a los no administradores se especifican en la clave
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\A
llowedPaths key.

En los ambientes donde los miembros de los operadores de servidor no son lo
suficientemente confiables, se recomienda que la seguridad en la siguientes claves se
cambie como se indica a continuación:
Clave del registro                          Permisos recomendados
HKEY_LOCAL_MACHINE\Software\Microso         PROPIETARIO CREADOR: Control total
ft\Windows NT\CurrentVersion\Winlogon       Administradores: Control total
                                            SISTEMA: Full Control
                                            Todos: Lectura



Visualización segura de EventLog

La configuración predeterminada permite a los huéspedes y a los propietarios sin acceso
la capacidad de visualizar las bitácoras de eventos (sistema y bitácoras de aplicaciones).
En forma predeterminada, la bitácora de seguridad está protegida contra acceso de
huéspedes y puede ser visualizada por usuarios que tienen derecho de usuario
“administrar bitácoras de auditoría”. Los servicios de bitácora de eventos utilizan la
siguiente clave para restringir el acceso de huéspedes a estas bitácoras:



Hive:           HKEY_LOCAL_MACHINE
Clave:          \System\CurrentControlSet\Services\EventLog\[LogName]
Nombre:         RestrictGuestAccess
Tipo            REG_DWORD
Valor:          1



Establezca 1 como el valor para cada una de las bitácoras. El cambio toma lugar en el
siguiente rearranque. No es necesario decirle que tendrá que cambiar la seguridad de
esta clave para evitar que alguien que no sea administrador y sistema pueda accesar
porque de otra forma usuario malintencionados pueden restablecer estos valores.



Instalación segura de controlador de impresión

La clave de registro AddPrinter Drivers bajo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\Print\Providers\LanMan
Print Services\Servers, Key value AddPrinterDrivers (REG_DWORD) se utiliza para
controlar quien pueda agregar controladores de impresoras utilizando el archivo de
impresión. Este valor de clave debe establecerse en uno para permitir que el spooler del
sistema restrinja esta operación a los administradores y a los operadores de impresión
(en el servidor), así como a los usuarios avanzados (en la estación de trabajo).
Hive:          HKEY_LOCAL_MACHINE
Clave:         System\CurrentcontrolSet\Control\Print\Providers\LanMan Print
               Services\Servers
Nombre:        AddPrintDrivers
Tipo           REG_DWORD
Valor:         1



El servicio de programación (comando AT)

El servicio de programación (también conocido como comando AT) se utiliza para
programar tareas con el fin de que se ejecuten automáticamente en un tiempo
predeterminado. Debido a que la tarea programada se ejecuta en el contexto ejecutado
por el servicio de programación (normalmente el contexto del sistema operativo), este
servicio deberá utilizarse en un ambiente de alta seguridad.

En forma predeterminada, sólo los administradores pueden utilizar comandos AT. A fin
de permitir también a los operadores del sistema utilizar comandos AT, utilice el editor
de registro para crear o asignar el siguiente valor de clave de registros:



Hive:          HKEY_LOCAL_MACHINE\SYSTEM
Clave:         \CurrentControlSet\Control\Lsa
Nombre:        Submit Control
Tipo:          REG_DWORD
Valor:         1



No hay forma de permitir a alguien más utilizar comandos AT. Proteger el registro como
se explicó anteriormente restringe la modificación directa de la clave del registro
utilizando el editor de registro. El acceso a la clave de registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Schedule también deberá
restringirse sólo a aquellos usuarios/grupos (de preferencia sólo administradores) que
tienen permiso para presentar trabajos al servicio de programación.



Clave de registro                           Permisos recomendados
HKEY_LOCAL_MACHINE\System\CurrentCo         PROPIETARIO CREADOR: Control total
ntrolSet\ Services\Schedule                 Administradores: Control total
                                            SISTEMA: Control total
                                            Todos: Lectura
Los cambios tomarán lugar la próxima vez que se inicia la computadora. Es posible que
desee actualizar el Emergency Repair Disk para mostrar estos cambios.



Archivos compartidos seguros

El servicio nativo de archivos compartidos Windows NT se proporciona utilizando el
servidor basado en SMB y los servicios de redirector. Aún cuando sólo los
administradores pueden crear recursos compartidos, la seguridad predeterminada
colocada en los recursos compartidos permiten que todos tengan acceso de control
total. Estos permisos controlan el acceso a los archivos en sistemas de archivo de nivel
inferior como el FAT que no tienen mecanismos integrados de seguridad. Los recursos
compartidos en el NTFS refuerzan la seguridad en el directorio fundamental al que se
correlaciona y se recomienda establecer seguridad adecuada a través del NTFS y no del
servicio de archivos compartidos.

Asimismo, considere que la información compartida reside en el registro, que a su vez
necesita ser protegido como se explicó en la sección anterior.

   El Service Pack 3 para Windows NT versión 4.0 incluye varias mejoras al protocolo
      de archivos compartidos basado en SMB. Estas son: soporta autenticación mutua
      para contrarrestar ataques de intermediarios.

   Soporta autenticación de mensajes para evitar ataques de mensajes activos.

Estas se proporcionan al incorporar firmas de mensajes en los paquetes SMB que son
verificados por los extremos del servidor y del cliente. Estas son configuraciones de
clave de registro para habilitar las firmas SMB en ambos lados.

Para asegurar que un servidor SMB responda a los clientes con sólo firma de mensaje,
configure los siguientes dos valores de clave:



Hive:        HKEY_LOCAL_MACHINE\SYSTEM
Clave:       System\CurrentControlSet\Services\LanManServer\Parameters
Nombre:      RequireSecuritySignature
Tipo:        REG_DWORD
Valor:       1



Hive:        HKEY_LOCAL_MACHINE\SYSTEM
Clave:       System\CurrentControlSet\Services\LanManServer\Parameters
Nombre:        EnableSecuritySignature
Tipo:          REG_DWORD
Valor:         1
  Establecer estos valores asegura que el servidor se comunica sólo con aquellos clientes
  que están enterados de la firma de mensajes. Considere que esto significa que las
  instalaciones que tienen versiones múltiples de software de cliente, versiones
  anteriores, fallarán al conectarse a servidores que tienen este valor de clave
  configurado. Asimismo, recuerde que es extremadamente importante que ambas
  claves se cambien; configurar que RequireSecuritySignature sin configurar
  EnableSecuritySignature evitará el acceso a los recursos compartidos SMB de la
  máquina.

En forma similar, los clientes conscientes de la seguridad también pueden decidir
comunicarse con servidores que soportan la firma de mensajes y nada más.



Hive:          HKEY_LOCAL_MACHINE\SYSTEM
Clave:         System\CurrentControlSet\Services\Rdr\Parameters
Nombre:        RequireSecuritySignature
Tipo:          REG_DWORD
Valor:         1
Recuerde que configurar este valor de clave implica que el cliente no podrá conectarse a
servidores que no cuenten con el soporte de firma de mensajes.

Para mayor información sobre las mejoras de firmas de mensajes SMB, por favor
consulte Q161372 conocimientos básicos.

 Asimismo, el Service Pack 3 de Windows NT versión 4.0 incluye otra mejora al protocolo
de archivos compartidos SMB: en forma predeterminada usted no puede conectarse a
los servidores SMB (como el Samba o el LM/X de Hewlett-Packard (HP), o el
Administrador de LAN para UNIX) con una contraseña no decodificada (texto plano).
Esto protege contra el envío de formas de texto claro de contraseñas a través del cable.
Si tiene alguna razón para permitir a los clientes enviar contraseñas sin codificar a través
del cable, por favor consulte el artículo Q166730 conocimientos básicos.

Además, los clientes tal vez deseen eliminar los recursos compartidos administrativos
(recursos compartidos $) si no son necesarios en una instalación. Esto puede lograrse
utilizando el comando “net share”. Por ejemplo:

          C:\> net share admin$ /d
Servicio FTP

Windows NT también incluye otro servicio estándar de Internet denominado protocolo
de transferencia de archivos (FTP). Un uso común del FTP es permitir el acceso público
a archivos vía acceso anónimo. Al configurar el servidor FTP, el administrador asigna al
servidor una cuenta de usuario para accesos anónimos y un directorio central
predeterminado. La cuenta de usuario anónimo predeterminada para FTP es GUEST
(huésped). Esta debe cambiarse a una cuenta de usuario diferente y debe tener una
contraseña. Asimismo, esta cuenta no debe ser miembro de algún grupo privilegiado,
para que el único grupo predeterminado que aparezca en el token de seguridad durante
el acceso sea Todos. A la cuenta no debe permitírsele el derecho de usuario “acceso
local”, con el fin de restringir los “ataques internos”.

El parámetro de directorio central debe configurase cuidadosamente. El servidor FTP
exporta todas las particiones de disco. El administrador sólo puede configurar qué
particiones son accesibles a través del FTP, pero no qué directorios en esa partición. Por
lo tanto, un usuario que accese a través del FTP puede moverse a directorios “arriba” del
directorio central. Debido a lo anterior, en general se recomienda que si el servicio FTP
necesita ejecutarse en un sistema, lo mejor es asignar una partición completa de disco
como el almacenamiento FTP y hacer que esa partición solo se accesible a través del
FTP.

Acceso NetBios desde el Internet

Para los sistemas Windows NT con conectividad directa a Internet y que tienen NetBios,
existen dos opciones de configuración:

  •   Configure el sistema NT en Internet fuera del firewall corporativo. Asimismo, usted
      puede logra lo anterior al bloquear los puertos 135, 137 y 138 en los protocolos
      TCP y UDP en el firewall. Esto asegura que el tráfico NetBIOS no traspase firewall
      corporativo.

  •   Configure las conexiones de protocolo entre el TCP/IP, NetBIOS, el servidor y los
      servicios de estación de trabajo utilizando el panel de control de la red. Al eliminar
      las conexiones entre el NetBios y el TCP/IP, los servicios nativos de archivos
      compartidos (que utilizan los servicios del servidor y estación de trabajo) no
      podrán accesarse a través del TCP/IP y, por ende de Internet. Estos y otros
      servicios NetBios todavía podrán accesarse a través de un protocolo local no
      enrutable específico de LAN (por ejemplo: NetBEUI), si es que hay alguno. Para
      lograr esto, utilice la aplicación del panel de control de red. Seleccione la opción
         Bindings (conexiones) e inhabilite las conexiones NetBios con la pila del protocolo
         TCP/IP.

Un sistema Windows NT con conectividad directa a Internet necesita asegurarse en
relación a otros servicios a parte del acceso NetBios, específicamente el Internet
Information Server. Para mayor información sobre esta área, por favor consulte el
documento “Microsoft Internet Information Server: Descripción general de seguridad”.



Cómo esconder el último nombre de usuario

En forma predeterminada, Windows NT coloca el nombre del último usuario que accesó
la computadora en el cuadro de texto de nombre de usuario de la pantalla de diálogo
Logon (conexión de acceso). Esto hace que conectarse sea más conveniente para los
usuarios más frecuentes. Con el propósito de conservar los nombres de usuarios en
secreto, usted puede evitar que Windows NT muestre en pantalla el nombre del usuario
que se conectó por última vez. Este es especialmente importante si una computadora
que normalmente es accesible, se está utilizando para la cuenta de administrador
integrada (renombrada).

Para evitar que el nombre de un usuario aparezca en la pantalla de diálogo Longon,
utilice el editor de servicio para crear o asignar el siguiente valor clave de registro:



Hive:           HKEY_LOCAL_MACHINE\SOFTWARE
Clave:          \Microsoft\Windows NT\Current Version\Winlogon
Nombre:         DontDisplayLastUserName
Tipo:           REG_SZ
Valor:          1



Restricción del proceso de arranque

En la actualidad la mayoría de las computadoras personales pueden iniciar un número de
diferentes sistemas operativos. Por ejemplo, aún cuando usted normalmente inicia
Windows NT desde la unidad de disco C: alguien podría seleccionar otra versión de
Windows en otra unidad, incluyendo una unidad de disco flexible o de CD-ROM. Si esto
pasa, las precauciones de seguridad que usted ha tomado dentro de su versión normal
de Windows NT podrían ser evitadas.

En general, usted debería instalar sólo aquellos sistemas operativos que desea que se
utilicen en la computadora que está configurando. Para un sistema altamente seguro,
esto probablemente implicará instalar una versión de Windows NT. Sin embargo, usted
deberá todavía proteger físicamente la CPU para asegurar que no se cargue otro sistema
operativo. Dependiendo de las circunstancias, tal vez deba seleccionar retirar la unidad o
unidades de disco flexible. En algunas computadoras, usted puede inhabilitar el arranque
desde una unidad de disco flexible al conectar interruptores o puentes dentro de la CPU.
Si usted utiliza configuraciones de hardware para inhabilitar el arranque desde la unidad
de disco flexible, tal vez deba asegurar la cubierta de la computadora (si es posible) o
guardar la máquina en un gabinete con una apertura al frente para proporcionar acceso
a la unidad de disco flexible. Si la CPU se encuentra en un área restringida lejos del
teclado y del monitor, no se pueden agregar unidades de disco o cambiar las
configuraciones de hardware con el fin de iniciar desde otro sistema operativo. Otra
configuración simple es evitar el archivo boot.ini para que el tiempo límite de arranque
sea de cero segundos; esto hará que para un usuario sea difícil arrancar otro sistema si
es que existe alguno.

Otras configuraciones de hardware, como la instalación firmware, contraseña de
arranque, contraseña de encendido, también están disponibles en el hardware más
reciente para controlar el proceso de arranque y es conveniente investigar
adecuadamente al respecto y utilizarlo.



Cómo permitir que únicamente los usuarios conectados apaguen la
computadora

Normalmente, usted puede apagar una computadora que ejecuta la Windows NT
Workstation sin accesarla al seleccionar Shutdown (apagar) en la pantalla de diálogo
Logon. Esto es adecuado cuando los usuarios pueden accesar los interruptores
operacionales de la computadora; de otra forma, pueden entender apagarla o
restablecerla sin apagar adecuadamente la Windows NT Workstation. Sin embargo,
usted puede eliminar esta función si guarda la CPU en otro lugar. (Este paso no se
requiere para el Windows NT Server, porque está configurado así en forma
predeterminada).

Para solicitar a los usuarios que se conecten antes de apagar la computadora, utilice el
editor de registro para crear o asignar el siguiente valor clave de registro:



Hive:    HKEY_LOCAL_MACHINE\SOFTWARE
Clave:   \Microsoft\Windows NT\Current Version\Winlogon
Nombr    ShutdownWithoutLogon
e:
Tipo:        REG_SZ
Valor:       0
Los cambios tomarán lugar la próxima vez que se inicie la computadora. Es posible que
desee actualizar el disco de reparación de emergencia para mostrar estos cambios.



Control del acceso a los medios removibles

En forma predeterminada, Windows NT permite a cualquier programa accesar los
archivos en discos flexibles y CD. En un ambiente de usuarios múltiples y de alta
seguridad, tal vez deba permitir que sólo la persona conectada interactivamente accese
esos dispositivos. Esto permite al usuario interactivo escribir información sensible en
esas unidades, teniendo la certeza que ningún otro usuario o programa puede ver o
modificar esos datos.

Cuando se opera en este modo, los discos flexibles y/o CD en su sistema están asignados
a un usuario, como parte del proceso de conexión interactivo. Estos dispositivos se
liberan automáticamente para ser usados en forma general o para reasignarlos cuando
el usuario se desconecta. Debido a lo anterior, es importante eliminar datos sensibles de
las unidades de disco flexible o de CD ROM antes de desconectarse.


         Nota: Windows NT permite que todos los usuarios tengan acceso a la unidad
         de cinta, y por ende, cualquier usuario puede leer y escribir el contenido de
         cualquier cinta en la unidad. En general, esto no es una preocupación
         porque sólo un usuario se conecta interactivamente a la vez. Sin embargo,
         raras veces un programa iniciado por un usuario puede continuar
         ejecutándose después de que este se desconecta. Cuando otro usuario se
         conecta y coloca una cinta en la unidad de cinta, este programa puede
         transferir secretamente datos sensibles desde la cinta. Si esto es una
         inquietud, reinicie la computadora antes de utilizar la unidad de cinta.
Cómo asignar unidades de disco flexible durante la conexión y acceso

Utilice el editor de registro para crear o asignar el siguiente valor de clave de registro:



    Hive:             HKEY_LOCAL_MACHINE\SOFTWARE
    Clave:            \Microsoft\WindowsNT\CurrentVersion\Winlogon
    Nombre:           AllocateFloppies
    Tipo:             REG_SZ
    Valor:            1
Si el valor no existe u otro valor está establecido, entonces los dispositivos de disco
flexible estarán disponibles para uso compartido por parte de todos los procesos del
sistema.

Este valor tomará lugar en la siguiente conexión de acceso. Si un usuario ya está
conectado cuando este valor se establece, no tendrá lugar para esta sesión de conexión.
El usuario debe desconectarse y conectarse otra vez para hacer que los dispositivos se
asignen.

Cómo asignar los CD-ROM durante la conexión de entrada

Utilice el editor de registro para crear o asignar el siguiente valor clave de registro:



    Hive:         HKEY_LOCAL_MACHINE\SOFTWARE
    Clave:        \Microsoft\WindowsNT\CurrentVersion\Winlogon
    Nombre:       AllocateCDRoms
    Tipo:         REG_SZ
    Valor:        1



Si el valor no existe o cualquier otro valor está establecido, entonces los dispositivos de
CD-ROM estarán disponibles para uso compartido por parte de todos los procesos del
sistema.

Este valor tomará lugar en la siguiente conexión de entrada. Si un usuario ya está
conectado cuando este valor se establece, no tendrá lugar para esa sesión de conexión.
El usuario debe desconectarse y conectarse otra vez para hacer que los dispositivos se
asignen.



Cómo asegurar los objetos base de sistema

Con el fin de permitir una protección más sólida de los objetos base, agregue el siguiente
valor a la clave de registro
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager:

Nombre:          Modelo de protección

Tipo:            REG_DWORD
Valor: 1

Esta configuración de registro informan al administrador de sesión de Windows NT que
la seguridad en los objetos base del sistema debe ser el nivel de seguridad C2. Para
conocer el impacto de esta configuración, por favor consulte el Apéndice D del Windows
NT Resource Kit, versión 4.0, Guía de actualización.



Habilitación de la auditoría del sistema

Habilitar la auditoría del sistema puede informarle las acciones que representan riesgos
de seguridad y detectar las posibles violaciones de seguridad.

Para activar el registro de eventos de seguridad, por favor siga estos pasos:

  1. Conéctese como el administrador de la estación de trabajo local.

  2. Dé un clic en el botón Start (inicio), indique Programs (programas), indique
     Administrative Tools (herramientas administrativas) y después dé un clic en el
     administrador de usuarios.

  3. En el menú Policies (políticas), dé un clic en Audit (auditoría).

  4. Dé un clic en la opción Audit These Events (auditar estos eventos).

  5. Habilite las opciones que desee utilizar. La siguientes opciones se encuentran
     disponibles:

      •    Log on/Log off: Registra los accesos locales y remotos a recursos.

      •    Acceso al Archivo y objeto: acceso a archivos, directorios e impresoras.

      •    Nota: Los archivos y carpetas deben residir en una partición NTFS para poder
           habilitar el registro de seguridad. Una vez que se ha habilitado la auditoria del
           acceso a archivos y objetos, utilice el Windows NT Explorer para seleccionar la
           auditoría de archivos y carpetas individuales.

      •    Administración de un usuario y grupo: cualquier cuenta o grupo de usuarios
           creado, modificado o eliminado. Cualquier cuenta de usuario renombrada,
           inhabilitada o habilitada. Cualquier contraseña establecida o cambiada.
        •   Security Policy Changes: cualquier cambio a los derechos de usuario o a las
            políticas de auditoría.

        •   Restart, Shutdown, And System: registra los apagados y encendidos de la
            estación de trabajo local.

        •   Process Tracking: monitorea la activación de programas, el acceso indirecto a
            objetos, maneja la duplicación y procesa las salidas.

  6. Dé un clic en el cuadro de verificación Success (operaciones satisfactorias) para
     habilitar el registro de las operaciones satisfactorias y en el cuadro de verificación
     Failure (insatisfactorias) para permitir el registro de operaciones insatisfactorias.

  7. Haga clic en OK.

Tome en cuenta que la auditoría es una capacidad de “detección” y no de “prevención”.
Le ayudará a descubrir violaciones de seguridad después de que ocurren y, por lo tanto,
siempre deben considerarse medidas preventivas adicionales.

Auditoría de objetos base

Para permitir la auditoría de objetos base del sistema, agregue el siguiente valor clave a
la clave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:

Nombre:           AuditBaseObjects

Tipo:             REG_DWORD

Valor: 1

Considere que la configuración de esta clave no da inicio a la generación de auditorías.
El administrador necesitará activar las auditorías para la categoría de “acceso a objetos”
utilizando el administrador de usuarios. Esta configuración de clave de registro indica a
la autoridad de seguridad local que los objetos base deben crearse con una lista
predeterminada de control de auditoría del sistema.

Auditoría de privilegios

Ciertos privilegios en el sistema no se auditan en forma predeterminada aún cuando
esté activada la auditoría de privilegios. Esto se hace para controlar el crecimiento de
bitácoras de auditoría. Los privilegios son:

  1. Verificación inversa de desviación (se otorga a todos).
  2. Depuración de programas (se otorga únicamente a administradores)

  3. Crear un objeto de token (no se otorga a nadie)

  4. Reemplazar token de nivel de proceso (no se otorga a nadie)

  5. Generar auditorías de seguridad (no se otorga a nadie)

  6. Respaldar archivos y directorios (se otorga a administradores y operadores de
     respaldo)

  7. Restablecer archivos y directorios (se otorga administradores y operadores de
     respaldo)

1 se otorga a todos, así que no tiene significado desde la perspectiva de auditoría. 2 no
se utiliza en un sistema de trabajo y puede eliminarse del grupo de administradores. 3, 4
y 5 no se otorgan a ningún usuario o grupo y son privilegios altamente sensibles, por lo
que no deben concederse a nadie. Sin embargo, 6 y 7 se utilizan durante operaciones
normales del sistema y se espera que se usen. Para habilitar la auditoría de estos
privilegios, agregue el siguiente valor clave a la clave del registro
HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Lsa:

Nombre:         FullPrivilegeAuditing

Tipo:           REG_BINARY

Valor: 1

Tome en cuenta que estos privilegios no se auditan en forma predeterminada porque el
respaldo y el restablecimiento son operaciones frecuentes y este privilegio se verifica
para cada archivo y directorio respaldado o restablecido, lo que puede llevar a miles de
auditorías que pueden saturar la bitácora de auditoría en segundos. Considere con
cuidado la activación de la auditoría de estos usos con privilegios.

Opción de apagado en la bitácora de auditoría total

En un sistema configurado C2, el sistema de auditoría de Windows NT proporciona una
opción al administrador para apagar el sistema cuando la bitácora de auditoría de
seguridad está saturada. Para habilitar esto, utilice el siguiente valor clave en la clave
del registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa:

Nombre:         CrashOnAuditFail
Tipo:           REG_DWORD

Valor: 1

Con esta configuración, el sistema se apagará automáticamente cuando se detecte la
bitácora de auditoría saturada. El valor en el registro se restablece en 2. Cuando el
sistema se reinicia, sólo permite que los administradores se conecten a la máquina (en
forma local o remota). Se le solicitará que limpien la bitácora de auditoría (o la
archiven), restablezcan el valor en uno y rearranquen el sistema antes de que cualquier
otro usuario obtenga permiso para conectarse.

Base de datos del administrador de cuentas de seguridad

El hotfix clave del sistema del Windows NT Server 4.0 (incluido en el Service Pack 3)
proporciona la capacidad de utilizar técnicas firmes de codificación para aumentar la
protección de contraseñas de cuentas almacenadas en el registro por el administrador
de cuentas de seguridad (SAM). Windows NT Server almacena información de cuentas
de usuarios, incluyendo una derivación de la contraseña de cuenta de usuario, en un
parte segura del registro protegida por control de acceso y una función de confusión. La
información de cuentas en el registro sólo puede ser accesada por miembros del grupo
de administradores. Windows NT Server, como otros sistemas operativos, permite que
los usuarios privilegiados, que son los administradores, accesen todos los recursos del
sistema. Para instalaciones que necesitan seguridad mejorada, la codificación sólida de
la información derivada de contraseñas de cuentas proporciona un nivel adicional de
seguridad para evitar que los administradores accesen en forma intencional o no
intencionada las derivaciones de contraseñas utilizando interfaces de programación de
registro.

Para mayo información sobre la función SysKey y cómo puede implementarse en una
instalación Windows NT, por favor consulte el artículo Q143475 conocimientos básicos.

Restricción del acceso anónimo de red al registro

El Service Pack 3 Windows NT versión 4.0 incluye una mejora de seguridad que restringe
los accesos anónimos (sesiones nulas) cuando se conectan a líneas con nombres
específicos incluyendo la destinada al registro.

Existe un valor clave de registro que define la lista de líneas nombradas que son las
“excepción” de esta restricción. El valor clave es:



Hive:        HKEY_LOCAL_MACHINE\SYSTEM
Clave:       System\CurrentControlSet\Services\LanManServer\Parameters
Nombre:       NullSessionPipes
Tipo:         REG_MULTI_SZ
Valor:        Agregar o eliminar nombres de la lista según requiera la configuración.
Para mayor información, por favor consulte el artículo Q143138 Conocimientos básicos.

Restricción del acceso anónimo de red para buscar nombres y grupos de
cuentas, así como recursos compartidos de red

Windows NT tiene una función donde los usuarios de acceso anónimo pueden enumerar
los nombres de usuario de dominio y los nombres de recursos compartidos. Los clientes
que desean seguridad mejorada han solicitado la capacidad de restringir opcionalmente
esta funcionalidad. El Service Pack 3 de Windows NT 4.0 y un hotfix para Windows NT
3.51 proporcionan un mecanismo para que los administradores restrinjan la capacidad
de los usuarios de acceso anónimo (también conocidos como conexiones de sesión
NULA) de enumerar nombres de cuentas y nombres de recursos compartidos. El editor
ACL de Windows NT requiere la lista de nombres de cuentas de los controladores de
dominio, por ejemplo, para obtener la lista de usuarios y grupos y seleccionar de ahí la
persona a quien el usuario desea conceder derechos de acceso. La lista de nombres de
cuentas también es utilizada por el Windows NT Explorer para seleccionar usuarios y
grupos a los que se le concederá acceso a un recurso compartido.

El valor clave de registro que debe establecerse para habilitar esta función:



Hive:         HKEY_LOCAL_MACHINE\SYSTEM
Clave:        System\CurrentControlSet\Control\LSA
Nombre:       RestrictAnonymous
Tipo:         REG_DWORD
Valor:        1.
Esta mejora es parte del Service Pack 3 de Windows NT versión 4.0. También se
proporciona un hot fix versión Windows NT versión 3.51. Para mayor información sobre
lo anterior, por favor consulte el artículo Q143474 conocimientos básicos.

Refuerzo de contraseñas sólidas de usuario

 El Service Pack 2 Windows NT 4.0, y versiones posteriores, incluye un archivo DLL de
filtro de contraseña (Passfilt.dll) que le permite reforzar los requerimientos de
contraseñas más sólidas para los usuarios. Passfilt.dll proporciona seguridad mejorada
contra “adivinar contraseña” o “ataques de diccionario” por parte de invasores externos.

Passfilt.dll implementa la siguiente política de contraseñas:
   Las contraseñas deben tener por lo menos seis (6) caracteres de longitud. (La
      longitud mínima de contraseñas puede aumentarse al establecer un valor más alto
      en la política de contraseña para el dominio).

   Las contraseñas deben contener caracteres de por lo menos tres (3) de las
      siguientes cuatro (4) clases:

              Descripción                      Ejemplos:

              Letras mayúsculas en inglés                   A, B, C, ... Z

              Letras minúsculas en inglés                   a, b, c, ... z

              Números arábigos             0, 1, 2, ... 9

              Caracteres no alfa numéricos (“caracteres especiales”) como signos de
           puntuación

   Las contraseñas no pueden contener su nombre de usuario o cualquier parte de su
      nombre completo.

Estos requerimientos se codifican sólidamente en el archivo Passfilt.dll y no pueden
cambiarse a través de la interfaz del usuario o del registro. Si usted desea aumentar o
disminuir estos requerimientos, deberá escribir su propio punto dll e implementarlo en
la misma forma que la versión de Microsoft disponible con el Service Pack 2 Windows NT
4.0.

Para utilizar el Passfilt.Dll, el administrador debe configurar el DLL de filtro de
contraseñas del registro del sistema de todos los controladores de dominio. Esto puede
hacerse en la siguiente forma:

   Establezca el siguiente valor de clave de registro:



   Hive:           HKEY_LOCAL_MACHINE\SYSTEM
   Clave:          System\CurrentControlSet\Control\LSA
   Nombre:         Notification Packages
   Tipo:           REG_MULTI_SZ
   Valor:          Agregar la cadena “PASSFILT” (no elimine las existentes).
Inhabilitar LanManager Password Hash SupportWindows NT da soporte a los siguientes
dos tipos de autenticación de reconocimiento/respuesta:

   Reconocimiento/respuesta LanManager (LM)
   Reconocimiento/respuesta Windows NT

Para permitir el acceso a servidores que sólo soportan la autenticación LM, los clientes
Windows NT actualmente envían ambos tipos de autenticación. Microsoft desarrolló un
parche que permite a los clientes configurarse para enviar sólo autenticación Windows
NT. Esto elimina el uso de los mensajes de reconocimiento/respuesta LM de la red.

Aplicar este hot fix, configura la siguiente clave de registro:



   Hive:         HKEY_LOCAL_MACHINE\SYSTEM
   Clave:        System\CurrentControlSet\Control\LSA
   Nombre:       LMCompatibilityLevel
   Tipo:         REG_DWORD
   Valor:        0,1,2 (Valor predeterminado 0)
Establecer el valor en:

   0 envía ambas formas de contraseña Windows NT y LM.

  1, envía las formas de contraseña Windows NT y LM sólo si el servidor lo solicita.

  2, nunca envía la forma de contraseña LM.

Si un cliente Windows NT selecciona el nivel 2, no puede conectarse a los servidores que
soportan la autenticación LM, como Windows 95 y Windows for Workgroups.

Para mayor información sobre este hot fix, por favor consulte el artículo Q147706
Conocimientos básicos.

Limpieza del archivo de búsqueda del sistema durante el apagado del
mismo

El soporte de memoria virtual de Windows NT utiliza un archivo de búsqueda del sistema
para transferir páginas de la memoria de procesos diferentes al disco cuando no se
utilizan activamente. En un sistema que se está ejecutando, este archivo de búsqueda
es abierto exclusivamente por el sistema operativo, y por ende, está bien protegido. Sin
embargo, los sistemas que están configurados para permitir el arranque de otros
sistemas operativos, tal vez deben asegurar que el archivo de búsqueda del sistema esté
limpio cuando Windows NT se apaga. Esto asegura que información sensible de la
memoria de procesos que puede encontrarse en el archivo de búsqueda no esté
disponible a un usuario indebido. Esto puede lograrse configurando la siguiente clave:
   Hive:        HKEY_LOCAL_MACHINE\SYSTEM
   Clave:       System\CurrentControlSet\Control\SessionManager\Memory
                Management
   Nombre:      ClearPageFileAtShutdown
   Tipo:        REG_DWORD
   Valor:       1
Tome en cuenta que esta protección funciona únicamente durante un apagado sin
problemas, por lo tanto es importante que los usuarios no confiables no tengan la
capacidad de apagar o restablecer el sistema manualmente.

Inhabilitación de memoria caché de las credenciales de acceso durante el
acceso interactivo

La configuración predeterminada de Windows NT graba en la memoria caché las últimas
credenciales de acceso para un usuario que se conectó interactivamente a un sistema.
Esta función se proporciona por razones de disponibilidad del sistema, como cuando la
máquina de un usuario se desconecta o ninguno de los controladores de dominio está en
línea.

Aún cuando la memoria caché de credenciales está bien protegida, en un ambiente de
alta seguridad los clientes tal vez deban inhabilitar esta función. Esto sólo puede
hacerse configurando la siguiente clave de registro:



   Hive:        HKEY_LOCAL_MACHINE
   Clave:       Software\Microsoft\Windows NT\CurrentVersion\Winlogon
   Nombre:      CachedLogonsCount
   Tipo:        REG_SZ
   Valor:       0



Seguridad C2
El National Computer Security Center (NCSC), (Centro nacional de seguridad
computacional) es la dependencia gubernamental de los Estados Unidos responsable de
realizar evaluaciones de seguridad de productos de software. Estas evaluaciones se
llevan a cabo con base en un conjunto de requerimientos descritos en la publicación del
NCSC Criterios de evaluación de sistemas computacionales confiables del Departamento
de defensa, que normalmente se conoce como el “Libro naranja”.

Windows NT ha sido evaluado satisfactoriamente por el NCSC a nivel de seguridad 2, tal
y como se define en el Libro naranja, que cubre al sistema operativo base.
Además, Windows NT actualmente se encuentra bajo evaluación en cuanto a su
componente de operación en red de un sistema seguro en cumplimiento con el “Libro
rojo” del NCSC. El Libro rojo es una interpretación del Libro naranja en la forma en que
aplica a la seguridad de red.

Algunos de los requerimientos más importantes del nivel de seguridad C2 son los
siguientes:

  •   El propietario de un recurso (como un archivo) debe ser capaz de controlar el
      acceso a ese recurso.

  •   El sistema operativo debe proteger objetos para que otros procesos no los utilicen
      aleatoriamente. Por ejemplo, el sistema protege la memoria para que su
      contenido no pueda ser leído después de que el proceso lo libera. Además, cuando
      un archivo se borra, los usuarios no deben poder accesar los datos de ese archivo.

  •   Cada usuario debe indentificarse tecleando un nombre y contraseña de accesos
      únicos antes de obtener el acceso al sistema. El sistema debe poder utilizar esta
      identificación única para monitorear las actividades del usuario.

  •   Los administradores del sistema deben ser capaces de auditar los eventos
      relacionados con la seguridad. El acceso a estos datos de auditoría deben limitarse
      a los administradores autorizados.

  •   El sistema debe protegerse de interferencias o violaciones externas, como la
      modificación del sistema en ejecución o de archivos del sistema almacenados en
      un disco.



Evaluación vs. certificación

El proceso de evaluación del NCSC realiza un buen trabajo al asegurarse que
Windows NT puede reforzar adecuadamente su política de seguridad, pero no indica
cuál debe ser su política de seguridad. Existen muchas funciones de Windows NT que
necesitan considerarse cuando se determina cómo utilizar la computadora dentro de su
ambiente específico. ¿Qué nivel de auditoría requerirá? ¿Cómo deben protegerse sus
archivos para asegurar que solo la gente adecuada tenga acceso a ellos? ¿Qué
aplicaciones debe permitir que la gente ejecute? ¿Debe usted utilizar una red? Si es así,
¿qué nivel de aislamiento físico del cable de red real se necesita?
Para atender los aspectos ambientales de un entorno computacional, el NCSC ha
producido un documento denominado Introducción a la certificación y acreditación. En
este documento “certificación” se describe como un plan para utilizar los sistemas de
cómputo en un entorno específico, y “acreditación” es la evaluación de ese plan por
parte de las autoridades administrativas. Es este plan de certificación, y el procedimiento
subsecuente de acreditación, lo que equilibra la sensibilidad de los datos que se están
protegiendo contra riesgos del ambiente que existen en la forma en que se utilizan los
sistemas de cómputo. Por ejemplo, un plan de certificación para un laboratorio de
computación de una universidad puede requerir que las computadoras se configuren
para evitar el inicio desde un disco flexible, con el fin de minimizar el riesgo de infección
por virus o programas de caballos de Troya. En un laboratorio de desarrollo ultra secreto
del departamento de defensa, tal vez sea necesario contar con un LAN de fibra óptica
para evitar la generación de emisiones electrónicas. Un buen plan de certificación cubre
todos los aspectos de seguridad, desde los mecanismos de respaldo/recuperación hasta
los guardias que vigilan la entrada de su edificio.

Información adicional sobre la evaluación C2

Si necesita establecer un sistema certificable C2, consulte el Capítulo 2 “Reporte de
Microsoft sobre la evaluación C2 de Windows NT.” Este capítulo enumera las
configuraciones de hardware en las que Windows NT ha sido evaluado. El Capítulo 2
también especifica el conjunto de funciones que fueron implementadas para la
evaluación C2, para que usted pueda duplicarla si es necesario para su propio sistema
certificable C2. Estas funciones son esencialmente aquellas que se recomiendan para la
seguridad de alto nivel de este capítulo.

Para su certificación C2, necesitará seleccionar la combinación de funciones de seguridad
descritas en este capítulo, en el capítulo 2 de la Guía de operación en red del
Windows NT Server, y en la documentación de Windows NT que se ajusten a su
combinación particular de recursos, personal, flujo de trabajo y riesgos potenciales. Así
mismo, tal vez deba estudiar el apéndice B, “Seguridad en un ambiente de desarrollo de
software”, especialmente si está utilizando software personalizado o interno. Este
apéndice también proporciona información sobre la administración e interpretación de
la bitácora de seguridad y detalles técnicos de la auditoría de casos especiales (por
ejemplo, auditoría de objetos base).



Configuración de un sistema que cumpla con C2

Para facilitar la instalación de un sistema que cumpla con C2, se ha creado la aplicación
C2Config y se ha incluido en el Windows NT 4.0 Resource Kit. C2config.exe le permite
seleccionar a partir de las configuraciones que se utilizan al evaluar la seguridad C2 de
Windows NT e implementar aquellas que usted desea utilizar en su instalación. Para
mayor información, consulte la Ayuda en línea que se incluye con la aplicación.

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:13
posted:5/19/2012
language:
pages:43