Download Consideraciones de seguridad de alto nivel de software
Document related concepts
Transcript
Microsoft Windows NT Cómo asegurar la instalación de Windows NT 23 de octubre de 1997 Microsoft Corporation Indice Resumen Establecimiento de la seguridad e la computadora Niveles de seguridad Fuera de estante vs. software personalizado Seguridad mínima Seguridad estándar Seguridad de alto nivel Consideraciones de la seguridad de alto nivel de software Derechos de usuario Protección de archivos y directorios Protección del registro Visualización segura de la bitácora de eventos Instalación segura del controlador de impresión El servicio de programas (Comando AT) Archivos compartidos seguros Servicio FTP Acceso NetBios desde Internet Cómo esconder el último nombre de usuario Restricción del proceso de arranque Cómo permitir sólo a los usuarios conectados apagar la computadora Control del acceso a medios eliminables Cómo asegurar los objetos base del sistema Habilitación de la auditoría del sistema Protección mejorada para la base de datos del administrador de cuentas de seguridad Restricción del acceso anónimo a red para el registro Restricción del acceso anónimo a red para buscar nombres y grupos de cuentas, así como redes compartidas Refuerzo de contraseñas sólidas de usuarios Inhabilitación del soporte hash de contraseña del administrador de LAN Eliminación del archivo de páginas del sistema durante el apagado de limpieza del sistema Inhabilitación de la memoria caché de las credenciales de acceso durante el acceso interactivo Seguridad C2 Evaluación vs. certificación Instalación de un sistema que cumpla con C2 Resumen El sistema operativo Microsoft® Windows NT® proporciona un conjunto muy completo de funciones de seguridad. Sin embargo, la configuración predeterminada de fábrica es altamente flexible, especialmente en el producto Workstation. Esto se debe a que el sistema operativo se vende como un producto con todo integrado asumiendo que un usuario promedio no quiere un sistema altamente restringido en su escritorio, sino uno seguro. Esta suposición ha cambiado a través de los años a medida que Windows NT gana popularidad en gran parte debido a sus funciones de seguridad. Microsoft está investigando una configuración predeterminada con mejor seguridad para versiones futuras. Mientras tanto, este documento analiza varios aspectos de seguridad relacionados con la configuración de todos los productos de OS de Windows NT versión 4.0 para lograr un ambiente de cómputo altamente seguro. El documento es únicamente para fines informativos con algunas recomendaciones. Los requerimientos de una instalación en particular pueden diferir significativamente de otros. Por lo tanto, es necesario que los clientes evalúen su ambiente y requerimientos particulares antes de implementar una configuración de seguridad. Esto también se debe a que la implementación de configuraciones de seguridad puede tener un impacto en la configuración del sistema. Ciertas aplicaciones instaladas en Windows NT pueden requerir configuraciones más flexibles para funcionar adecuadamente que otras, debido a la naturaleza del producto. Por lo tanto, a los clientes se les recomienda evaluar cuidadosamente las sugerencias en el contexto de las configuraciones y usos de su sistema. Nota: La serie de documentos sobre el equipo de escritorio de Microsoft y la división de sistemas empresariales está diseñada para instruir a profesionales de tecnología de la información (IT) sobre Windows NT y la familia de productos Microsoft BackOffice. A pesar de que las tecnologías actuales que se utilizan en los productos Microsoft se cubren con frecuencia, el objetivo real de estos documentos es proporcionar a los lectores una idea sobre cómo las tecnologías principales están evolucionando, la forma en que Microsoft utiliza dichas tecnologías y cómo esta información afecta a los planeadores de tecnología. Para obtener la información más reciente sobre el Windows NT Server, consulte nuestro World Wide Web site en http://www.microsoft.com/backoffice/ o el foro del Windows NT en la red de Microsoft (IR A: MSNTS). Nota: La información que se incluye en este documento representa el punto de vista de Microsoft Corporation sobre los temas que se analizan a la fecha de publicación. Debido a que Microsoft debe responder a las condiciones cambiantes del mercado, no se deberá interpretar como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de cualquier información que se presente después de la fecha de publicación. Este documento sólo es para fines informativos. MICROSOFT NO REALIZA NINGUNA GARANTIA, EXPRESA O IMPLICITA, SOBRE ESTE DOCUMENTO. Establecimiento a la seguridad de la computadora Niveles de seguridad Windows NT le permite establecer una variedad completa de niveles de seguridad, desde ninguna hasta el nivel C2 de seguridad requerido por muchas dependencias gubernamentales. En este capítulo, describimos tres niveles de seguridad: mínimo, estándar y alto, así como las opciones que se utilizan para proporcionar cada nivel. Estos niveles son arbitrarios, y usted probablemente deseará crear su propio “nivel” al combinar las características de los que se presentan aquí. ¿Por qué no contar con máxima seguridad todo el tiempo? Una razón es que los límites que usted establece para accesar los recursos de una computadora hace que se les dificulte a las personas con los recursos protegidos. Otra es que es trabajo extra para instalar y mantener las protecciones que desea. Por ejemplo, si sólo los usuarios miembros del grupo de usuarios HR tienen permiso para accesar los registros de empleado, y una nueva persona es contratada para realizar ese trabajo, entonces alguien necesita instalar una cuenta para el empleado recién contratado y agregarla al grupo HR. Si la nueva cuenta es creada pero no se agrega al HR, el nuevo empleado no puede accesar los registros de empleados y, por lo tanto, no puede realizar su trabajo. Si la seguridad es demasiada, los usuarios tratarán de evitarla para poder hacer su trabajo. Por ejemplo, si usted establece la política de contraseñas para que estas sean difíciles de recordar, los usuarios las escribirán para evitar ser bloqueados. Si algunos usuarios no pueden accesar archivos que necesitan utilizar, sus colegas tal vez compartan sus propias contraseñas con el fin de promover el flujo de trabajo. El primer paso al establecer la seguridad es llevar a cabo una evaluación precisa de sus necesidades. Después, seleccione los elementos de seguridad que desea e impleméntelos. Asegúrese de que sus usuarios sepan lo que necesitan hacer para mantener la seguridad y porqué es importante. Finalmente, monitoree sus sistemas y realice los ajustes necesarios. Fuera de estante vs. Software personalizado Si está utilizando software creado especialmente para su instalación o si está utilizando recursos que no está seguro son confiables, y usted desea mantener una seguridad relativamente alta, se recomienda que consulte el apéndice B de la Guía de recursos de la Microsoft® Windows NT®, “seguridad en un ambiente de desarrollo de software” Este proporciona información sobre configuraciones y llamadas que pueden soportar o evitar las configuraciones de seguridad. Seguridad mínima Tal vez a usted no le interese la seguridad si una computadora no es utilizada para almacenar o accesar datos sensibles o si es un lugar muy seguro. Por ejemplo, si la computadora se encuentra en la oficina central de un propietario único de un negocio o si se utiliza como una máquina de prueba en el laboratorio restringido de una compañía de desarrollo de software, entonces las precauciones de seguridad podrían ser innecesarias. Windows NT le permite hacer que el sistema sea totalmente flexible, sin ninguna protección, si eso es lo que requiere su instalación. Consideraciones de seguridad física Tome las precauciones que considerará para proteger cualquier pieza de equipo valioso contra el robo casual. Este paso puede incluir cerrar el cuarto donde se encuentra la computadora cuando nadie está ahí para vigilarla o utilizar un cable con seguro para conectar la unidad a la pared. También, tal vez deba establecer procedimientos para trasladar o reparar la computadora, con el fin de que ésta o sus componentes no pueden ser trasladados bajo intenciones falsas. Utilice un protector de voltaje o un ajustador de alimentación para proteger la computadora y sus periféricos contra cables de corriente. Asimismo, realice inspecciones periódicas del disco y de fragmentación para aislar los sectores dañados y mantener el rendimiento más alto posible de disco. Consideraciones de seguridad mínima de software Para seguridad mínima, no se utiliza ninguna de las funciones de seguridad Windows NT. De hecho, usted puede permitir acceso automático a la cuenta del administrador (o a cualquier otra cuenta de usuario) siguiendo las instrucciones en el capítulo 25 “Administración de la configuración y el registro” en la Guía de recursos de la Windows NT Workstation. Esto permite que cualquiera con acceso físico a la computadora la encienda y tenga inmediatamente acceso total a los recursos de la máquina. En forma predeterminada, el acceso está limitado a ciertos archivos. Para seguridad mínima, otorgue al grupo Todos acceso total a los archivos. Sin embargo, todavía deberá tomar precauciones en contra de virus, por que pueden inhabilitar programas que necesite utilizar o usar la computadora de seguridad mínima como un vector para infectar otros sistemas computacionales. Seguridad estándar Con frecuencia, las computadoras se utilizan para almacenar datos sensibles y/o valiosos. Estos datos pueden ser desde finanzas o archivos de personal, hasta correspondencia personal. Asimismo, tal vez necesiten protegerse contra cambios accidentales o deliverados en la forma en que la computadora se instala. No obstante, los usuarios de las computadoras necesitan poder realizar su trabajo, con barreras mínimas a los recursos que le son necesarios. Consideraciones de seguridad física Con seguridad mínima la computadora debe protegerse como se haría con cualquier equipo valioso. Generalmente, esto implica conservar la computadora en un edificio que esté cerrado a usuarios no autorizados, como la mayoría de los hogares y oficinas. En algunos casos, tal vez deba utilizar un cable y asegurar la computadora a su lugar. Si la máquina tiene un candado físico, puede asegurarla y conservar la llave en un lugar seguro para lograr seguridad adicional. Sin embargo, si la llave se pierde o no se puede tener acceso a ella, un usuario autorizado no podrá trabajar en la computadora. Consideraciones de seguridad estándar de software Un sistema seguro requiere esfuerzo por parte de los administradores del sistema, quienes mantienen ciertas configuraciones de software, y de los usuarios diarios que deben cultivar hábitos como desconectarse al final del día y memorizar (en lugar de escribir) sus contraseñas. Advertencia legal en pantalla antes de conectarse Windows NT puede mostrar en pantalla un cuadro de mensajes con las notas y textos de su elección antes de que un usuario se conecte. Muchas organizaciones utilizan este cuadro de mensajes para mostrar en pantalla una advertencia que notifique a los usuarios potenciales que pueden ser procesados legalmente si intentan utilizar la computadora sin contar con la autorización adecuada. La ausencia de dicha advertencia podría ser considerada como una invitación, sin restricción, a entrar y buscar en el sistema. Asimismo, el mensaje al momento de conectarse puede ser utilizado en configuraciones (como un kiosco de información) donde los usuarios requieren instrucciones sobre cómo proporcionar un nombre y contraseña de usuario para la cuenta adecuada. Para mostrar en pantalla una advertencia legal, utilice el editor de registro para crear o asignar los siguientes valores clave de registro en la estación de trabajo que va a protegerse: Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: \Microsoft\Windows NT\Current Version\Winlogon Nombre: LegalNoticeCaption Tipo: REG_SZ Valor: Lo que desee escribir como texto del mensaje Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: Microsoft\Windows NT\Current Version\Winlogon Nombre: LegalNoticeText Tipo: REG_SZ Valor: Lo que desee escribir como texto del mensaje Los cambios toman lugar la próxima vez que se inicia la computadora. Es posible que desee actualizar el disco de reparación de emergencia para mostrar estos cambios. Ejemplos Bienvenido al kiosco de información YXZ Conéctese utilizando el nombre de cuenta y contraseña de la XYZ Corp.. Sólo usuarios autorizados Sólo los individuos que actualmente tienen asignada una cuenta en esta computadora por parte de XYZ Corp. pueden accesar datos en la misma. Toda la información almacenada en esta computadora es propiedad de XYZ Corp. Y está sujeta a todo tipo de protección de acuerdo con la propiedad intelectual. Cuentas y grupos de usuarios Con la seguridad estándar, una cuenta y contraseña de usuario (nombre de usuario) puede ser necesaria para utilizar la computadora. Usted puede establecer, eliminar o inhabilitar cuentas de usuarios con el administrador de usuarios, que se encuentra en el grupo de programas de herramientas administrativas. El administrador de usuarios también le permite establecer políticas de contraseña y organizar las cuentas de usuarios en grupos. Nota: Los cambios a la política de derechos de usuarios de computadoras Windows NT toman lugar cuando el usuario se conecta la próxima vez.. Cuentas administrativas vs. cuentas de usuarios Utilice cuentas separadas para las actividades administrativas y las actividades generales de usuario. Los individuos que realizan trabajo administrativo en las computadoras deberán notar con dos cuentas de usuario en el sistema: una para tareas administrativas y otra para actividades generales. Con el fin de evitar cambios accidentales a los recursos protegidos, deberá utilizarse la cuenta con menos privilegios que pueda realizar la tarea. Por ejemplo, los virus pueden causar mayor daño si se activan desde una cuenta con privilegios de administrador. Es buena idea renombrar la cuenta integrada de administrador con un nombre que sea menos obvio. Esta cuenta poderosa nunca puede ser bloqueada aún cuando se realicen varios intentos fallidos de acceso, y por lo tanto es atractiva a piratas que intentan introducirse adivinando repetidamente contraseñas. Al renombrar la cuenta, usted fuerza a los piratas a adivinar el nombre de la cuenta y la contraseña. La cuenta de huésped Acceso limitado puede permitirse a usuarios casuales a través de la cuenta integrada de huésped. Si la computadora es para uso único, la cuenta de huésped puede ser utilizada para accesos públicos. Prohiba al huésped escribir o borrar cualquier archivo, directorio o claves de registros (con la posible excepción de un directorio donde se pueda dejar información). En una configuración de seguridad estándar, una computadora que permite el acceso a huéspedes también puede ser utilizada por otros usuarios para accesar archivos que no se desean estén disponibles para el público general. Estos usuarios pueden conectarse con sus propios nombres de usuarios y accesar archivos en directorios sobre los cuales tienen los permisos adecuados. Deberán ser especialmente cuidadosos al desconectarse o al bloquear la estación de trabajo antes de dejar de utilizarla. La cuenta de huésped se analiza en el Capítulo 2 “Cómo trabajar con cuentas de usuarios y grupos” en Conceptos y planeación del Microsoft Windows NT Server. Para información de procedimiento, ver Ayuda. Acceso inicial Todos los usuarios deben siempre oprimir las teclas CTRL+ALT+DEL antes de conectarse. Los programas diseñados para solicitar contraseñas de cuentas pueden aparecer cómo una pantalla de conexión que espera por usted. Al presionar CTRL+ALT+DEL usted puede activar estos programas y obtener la pantalla de acceso seguro proporcionada por Windows NT. Desconexión o bloqueo de la estación de trabajo Los usuarios deben conectarse o bloquear la estación de trabajo si van a alejarse de la computadora por algún tiempo. Desconectarse permite a otros usuarios volver a conectarse (si saben la contraseña de una cuenta); bloquear la estación de trabajo no permite lo anterior. La estación de trabajo puede establecerse para bloquearse automáticamente si no es supervisada durante algún tiempo usando cualquier protector de pantalla de 32 bits con la opción de protección con contraseña. Para mayor información sobre cómo instalar los protectores de pantalla, ver Ayuda. Contraseñas Cualquiera que sepa el nombre de un usuario y la contraseña asociada puede conectarse como ese usuario. Los usuarios deben tener cuidado de no revelar sus contraseñas. A continuación, se proporcionan algunos consejos: • Cambie las contraseñas frecuentemente y evite volver a utilizarlas. • Evite utilizar palabras que se adivinen fácilmente que aparezcan en el diccionario. Una frase o combinación de letras y números funciona bien. • No escriba la contraseña; elija una que le sea fácil recordar. Protección de archivos y directorios El sistema de archivos NTFS proporciona más funciones de seguridad que el sistema FAT y debe utilizarse si la seguridad es un aspecto importante. La única razón para utilizar el FAT es para la partición de arranque de un sistema RISC que cumpla con ARC. Una partición de sistema que utiliza el FAT, puede asegurarse, totalmente utilizando el comando Secure System Partition (partición de sistema seguro) en el menú Partition de la utilidad del administrador de disco. Con el NTFS, usted puede asignar una variedad de protecciones a archivos y directorios, especificando qué grupos o cuentas individuales pueden tener acceso a estos recursos y en qué formas. Al utilizar la función de permisos heredados y al asignar permisos a grupos en lugar de a cuentas individuales, usted puede simplificar la tarea de mantener protecciones apropiadas. Para mayor información, consulte el Capítulo 4, “Administración de recursos compartidos y seguridad de recursos” en Conceptos y planeación del Microsoft Windows NT Server. Para información de procedimiento, ver Ayuda. Por ejemplo, un usuario puede copiar un documento sensible a un directorio que está disponible a personas que no deberían tener permiso para leer el documento, pensando que las protecciones asignadas al documento en su ubicación anterior todavía podría aplicar. En este caso, las protecciones deben aplicarse al documento tan pronto como se copia o debe transferirse primero al nuevo directorio y después copiarse de nuevo en el directorio original. Por otro lado, si un archivo que fue creado en un directorio protegido se está colocando en un directorio compartido para que otros usuarios puedan leerlo, debe copiarse al nuevo directorio; si se transfiere al nuevo directorio, las protecciones del archivo deben cambiarse rápidamente para que otros usuarios puedan leerlo. Cuando se cambien permisos para un archivo o directorio, los nuevos permisos aplican cada vez que el archivo o directorio se abre subsecuentemente. Los usuarios que ya tienen el archivo o directorio abierto cuando usted cambia los permisos, todavía tienen acceso permitido de acuerdo con los permisos que estaban vigentes cuando abrieron el archivo o directorio. Respaldos Los respaldos regulares protegen sus datos contra fallas de hardware y errores no deliverados, así como contra virus y otros riesgos peligrosos. La utilidad de respaldo Windows NT se describe en el Capítulo 6, “Respaldo y restablecimiento de archivos de red” en Conceptos y planeación del Microsoft Windows NT Server. Para información de procedimiento, ver Ayuda. Obviamente, los archivos deben leerse para ser respaldados y escribirse para ser restablecidos. Los privilegios de respaldo deberán limitarse a los administradores y operadores de respaldo: personas a las que usted se siente seguro de otorgar acceso de lectura y escritura a todos los archivos. Protección del registro Toda la información de inicialización y configuración utilizada por Windows NT está almacenada en el registro. Normalmente, las claves en el registro se cambian indirectamente a través de las herramientas administrativas como el panel de control. Se recomienda este método. El registro también puede ser alterado directamente, con el editor de registro; algunas claves sólo pueden alterarse en esta forma. El editor de registro soporta el acceso remoto al registro Windows NT. Para restringir el acceso de red al registro, utilice el editor de registro para crear la siguiente clave de registro: Hive: HKEY_LOCAL_MACHINE Clave: \CurrentcontrolSet\Control\SecurePipeServers Nombre: \winreg Los permisos de seguridad establecidos en esta clave definen qué usuarios o grupos pueden conectarse al sistema para obtener acceso remoto al registro. La instalación predeterminada de la Windows NT Workstation no define esta clave y no restringe el acceso remoto al registro. Windows NT Server sólo permite a los administradores el acceso remoto al registro. La utilidad de respaldo que se incluye con Windows NT le permite respaldar el registro, así como los archivos y directorios. Nota: El editor de registro debe ser utilizado únicamente por individuos que entienden a fondo la herramienta, el registro en sí y los efectos de los cambios a varias claves en el registro. Los errores que se cometan en el editor de registro podrían dejar inservible todo el sistema o parte del mismo. Auditoría La auditoría puede informarle acciones que representan un riesgo de seguridad y también identificar las cuentas de usuarios desde las cuales se emprendieron acciones de auditoría. Considere que la auditoría sólo le indica qué cuentas de usuarios fueron utilizadas para los eventos auditados. Si las contraseñas se protegen adecuadamente, esto a su vez indica qué usuario intentó realizar los eventos de auditoría. Sin embargo, si una contraseña ha sido robada o si se tomaron acciones mientras un usuario estaba conectado, pero lejos de la computadora, la acción pudo haber sido iniciada por alguien que no fuera la persona a la que está asignada la cuenta de usuario. Cuando establezca una política de auditoría, necesitará evaluar el costo (en espacio en disco y ciclos de la CPU) de las varias opciones de auditoría con base en las ventajas de las mismas. Por lo menos, deberá auditar los intentos fallidos de acceso, los intentos para accesar datos sensibles y los cambios a las configuraciones de seguridad. A continuación, se mencionan amenazas comunes de seguridad y el tipo de auditoría que podría ayudar a monitorearlas: Amenaza Acción Entrada al sistema por parte de un pirata utilizando contraseñas aleatorias Habilitar auditoría de fallas para eventos acceso y desconexión. Entrada utilizando contraseñas robadas Habilitar auditoría de éxito para eventos de acceso y desconexión. Las entradas de registro no distinguirán entre los usuarios reales y los falsos. Lo que se busca aquí son actividades inusuales en las cuentas de los usuarios, como conexiones en horas anormales o en días cuando no se espera ninguna actividad. Uso indebido de los privilegios administrativos por parte de los usuarios autorizados Habilitar auditoría satisfactoria para uso de derechos de usuario; para administración de usuario y grupos, para cambios de política de seguridad y para reiniciar, apagar y eventos del sistema. Nota: Debido al gran volumen de eventos que se registraría, Windows NT normalmente no audita el uso de archivos de respaldo y directorios, así como los archivos de restablecimiento y derechos de directorio. El Apéndice B, “Seguridad en un ambiente de desarrollo de software”, explica cómo habilitar la auditoría del uso de estos derechos). Virus Habilitar la auditoría de logros y fallas de acceso escrito para archivos de programa, como archivos con extensiones .exe y .dll. Habilitar la auditoría de monitoreo de proceso de logros y fallas. Ejecutar programas sospechosos y examinar la bitácora de seguridad en busca de intentos inesperados para modificar archivos de programa o creación de procesos inesperados. Considerar que estas configuraciones de auditoría generan un gran número de registros de eventos durante el uso de rutina del sistema. Deberá utilizarlos únicamente cuando esté monitoreando activamente la bitácora del sistema. Acceso indebido a archivos sensibles Habilitar auditoría de logros y fallas para eventos de acceso a archivos y objetos, y después utilizar el administrador de archivos para habilitar la auditoría de logros y fallas de acceso de escritura y lectura por parte de usuarios o grupos sospechosos a archivos sensibles. Acceso indebido a impresoras Habilitar auditoría de logros y fallas para eventos de acceso a archivos y objetos, y después utilizar el administrador de impresión para habilitar la auditoría de logros y fallas de acceso a impresión por parte de usuarios o grupos sospechosos a impresoras. Seguridad de alto nivel Las precauciones de seguridad estándar son suficientes para la mayoría de las instalaciones. Sin embargo, precauciones adicionales se encuentran disponibles para computadoras que contienen datos sensibles o que tienen alto riesgo de robo de datos o de interrupción accidental o maliciosa del sistema. Consideraciones de seguridad física Las consideraciones de seguridad física descritas para las configuraciones de seguridad mínima y estándar también aplican aquí. Además, tal vez deba examinar el enlace físico proporcionado por la red de su computadora, y en algunos casos utilizar los controles integrados para ciertas plataformas de hardware, con el fin de restringir quien puede encender la computadora. Redes y seguridad Cuando usted instala una computadora en una red, agrega una ruta de acceso a la misma y, por tanto, desea que esa ruta sea segura. La validación de usuarios y protecciones de archivos y otros objetos son suficientes para la seguridad de nivel estándar, pero para la seguridad de alto nivel necesitará asegurarse que la red en sí sea segura o en algunos casos, aislar completamente la computadora. Los dos riesgos de las conexiones de red son otros usuarios de red y los accesos indebidos a la misma. Si todos en la red necesitan accesar su computadora segura, probablemente prefiera incluirla en la red para facilitar el acceso a aquellas personas a los datos en la máquina. Si toda la red se encuentra en un edificio seguro, el riesgo de accesos no autorizados es mínimo o inexistente. Si el cableado deba pasar a través de áreas no seguras, utilice enlaces de fibra óptica en lugar de un par trenzado para evitar intentos de hacer conexiones con los cables y tener acceso a los datos transmitidos. Si su instalación necesita acceso a Internet, conozca los aspectos de seguridad relacionados con proporcionar acceso a y desde la comunidad de Internet. El Capítulo 2, “Seguridad del servidor en Internet”, en la Guía de Internet del Windows NT Server contiene información sobre cómo utilizar la topología de red para proporcionar seguridad. Control del acceso a la computadora Ninguna computadora estará totalmente segura si personas que no sean el usuario autorizado pueden accesarla físicamente. Para lograr máxima seguridad en una computadora que no es físicamente segura (guardada en un lugar seguro), siga todas o algunas de las siguientes medidas de seguridad: • Inhabilite el arranque basado en disco flexible, si el hardware de la computadora proporciona esa opción. Si la computadora no requiere una unidad de disco flexible, elimínela. • La CPU deberá tener una cubierta que no puede ser abierta sin la llave. La llave debe guardarse en un lugar seguro. • Todo del disco duro deberá ser NTFS. • Si la computadora no requiere acceso a red, elimine la tarjeta de red. Control de acceso al interruptor de encendido Usted puede elegir mantener alejados a los usuarios no autorizados de los interruptores de encendido o reniniciar los interruptores de la computadora, particularmente si la política de derechos de su máquina le niega el derecho a apagar la computadora. Las computadoras más seguras (aquellas que no se encuentran en cuartos cerrados y vigilados) tienen únicamente a disposición de los usuarios el tablero, monitor, mouse e impresora (cuando sea necesario). La CPU y unidades de medios retirables pueden guardarse donde sólo personal específicamente autorizado puedan accesarlo. En muchas plataformas de hardware, el sistema puede protegerse utilizando una contraseña de encendido. Una contraseña de encendido evita que personal no autorizado inicie un sistema operativo que no sea Windows NT, lo que podría comprometer la seguridad del sistema. Las contraseñas de encendido es una función del hardware de la computadora, y no del software del sistema operativo. Por lo tanto, el procedimiento para configura la contraseña de encendido depende del tipo de computadora y está disponible en la documentación del distribuidor que se incluye con el sistema. Consideraciones de seguridad de alto nivel de software Algunas opciones de alta seguridad pueden implementarse utilizando únicamente el editor de registro. El editor de registro deberá ser utilizado únicamente por los administradores que están familiarizados con el material en la parte V de la Guía de recursos de la Windows NT Workstation. Derechos del Usuario Existen varios derechos de usuarios que los administradores de instalaciones de alta seguridad deben conocer y posiblemente auditar. De estos, tal vez deba cambiar los permisos predeterminados de tres derechos, de la siguiente forma: Derechos del usuario Los grupos reciben este derecho en forma predeterminada en la estación de trabajo y en el servidor autónomo Cambio recomendado para la estación de trabajo del servidor autónomo Los grupos reciben este derecho en forma predeterminada en el controlador de dominio Cambio recomendado para el controlador de dominio Acceso local. Permite que un usuario accese la computadora desde el teclado de la misma. Administradores, todos, huéspedes, usuarios avanzados y usuarios Elimine este derecho para todos y los huéspedes. Operadores de cuentas, administradores, operadores de respaldo, operadores de servidor, operadores de impresión Sin cambio Apague el sistema. (Ver privilegio de apagado) permite a un usuario apagar Windows NT. Administradores, todos, huéspedes, usuarios avanzados y usuarios Elimine este derecho para todos huéspedes y usuarios. Operadores de cuentas, administradores, operadores de respaldo, operadores de servidor, operadores de impresión Sin cambio Acceso a esta computadora desde la red Administradores, todos y usuarios avanzados Administradores, usuarios avanzados y usuarios Administradores, todos Administradore s, operadores de respaldo, operadores de servidor, operadores de impresión, usuarios y huéspedes si están habilitados Permite a un usuario conectarse a la computadora a través de la red Los derechos en la siguiente tabla generalmente no requieren cambios a las configuraciones predeterminadas, incluso en las instalaciones con más alta seguridad. Sin embargo, se recomienda analizar la lista y hacer cualquier cambio con base en las necesidades de una instalación particular. Derechos del usuario Los grupos reciben este derecho en forma predeterminada en la estación de trabajo Los grupos reciben este derecho en forma predeterminada en el servidor Actúa como parte del sistema operativo (Ninguno) (Ninguno) (SetTcbprivilege) Permite un proceso que desempeñe como una parte segura y confiable del sistema operativo. Algunos subsistemas reciben este derecho. Derechos del usuario Agregar estaciones de trabajo al dominio (SeMachineAccountPrivileges) Los grupos reciben este derecho en forma predeterminada en la estación de trabajo Los grupos reciben este derecho en forma predeterminada en el servidor (Ninguno) (Ninguno) Administradores, operadores de respaldo, operadores de servidor Administradores, operadores de respaldo, operadores de servidor Todos: Todos: Administradores, usuarios avanzados Administradores, operadores de servidor Administradores Administradores (Ninguno) (Ninguno) (Ninguno) (Ninguno) Administradores Administradores Permite que los usuarios agreguen estaciones de trabajo al dominio en particular. Este derecho es importante sólo en los controladores de dominio. Archivos de respaldo y directorios (SeBackupPrivilege) Permite a un usuario respaldar archivos y directorios. Este derecho anula los permisos de archivos y directorios. Verificación inversa de desviación (SeChangeNotifyPrivilege) Permite a un usuario cambiar directorio, así como archivos y subdirectorios de acceso aún cuando el usuario no tenga permiso para accesar directorios principales. Cambiar la hora del sistema (SeSystemTimePrivilege) Permite a un usuario establecer la hora en el reloj interno de la computadora. Crear un archivo de búsqueda (SeCreatePagefilePrivilege) Permite al usuario crear nuevos archivos de búsqueda para el swapping de memoria virtual. Crear un objeto token (SeCreateTokenPrivilege) Permite un proceso para crear tokens de acceso. Sólo la autoridad de seguridad local puede hacer esto. Crear objetos compartidos permanentes (Ver el privilegio de objetos permanentes) Permite a un usuario crear objetos permanentes especiales, como \\Dispositivo, que son utilizados con Windows NT. Programas de depuración (SeDebugPrivilege) Permite a un usuario depurar varios objetos de nivel bajo, como las cadenas. Forzar apagado desde un sistema remoto (SeRemoteShutdownPrivilege) Administradores, usuarios avanzados Administradores, operadores de servidor (Ninguno) (Ninguno) Administradores Administradores Permite al usuario apagar el sistema Windows NT en forma remota a través de una red. Generará auditorías de seguridad (SeauditPrivilege) Permite el proceso para generar entradas de bitácora de auditoría de seguridad. Aumentar cuotas (SeincreaseQuotaPrivilege) Ninguno. Este derecho no tiene efecto en versiones actuales de Windows NT. Derechos del usuario Aumentar prioridad de programación (SeIncreaseBasePriorityPrivilege) Los grupos reciben este derecho en forma predeterminada en la estación de trabajo Los grupos reciben este derecho en forma predeterminada en el servidor Administradores Administradores Administradores Administradores (Ninguno) (Ninguno) (Ninguno) (Ninguno) (Ninguno) (Ninguno) Administradores Administradores Permite a un usuario arrancar la prioridad de ejecución de un proceso. Cargar y descargar controladores de dispositivo (SeLoadDriverPrivilege) Permite a un usuario instalar y retirar controladores de dispositivos. Bloqueo de páginas en la memoria (SeLockMemoryPrivilege) Permite a un usuario bloquear páginas en la memoria para que no puedan ser transferidas fuera de la página a un almacenamiento de respaldo como el Pagefile.sys. Accesar como un trabajo de lote Ninguno. Este derecho no tiene efecto en versiones actuales de Windows NT. Accesar como un servicio Permite a un proceso registrarse con el sistema como un servicio. Administrar auditoría y bitácora de seguridad (SeSecurityPrivilege) Permite a un usuario especificar qué tipos de acceso a recursos (como un acceso a archivos) se auditarán, así como ver y borrar la bitácora de seguridad. Considere que este derecho no permite que un usuario establezca una política del sistema utilizando el comando auditoría en el menú de política del administrador de usuarios. Asimismo, los miembros de grupos de administradores siempre tienen la capacidad de visualizar y depurar la bitácora de seguridad. Modificar las variables de ambiente de firmware (Ver privilegio de ambiente del sistema) Administradores Administradores Administradores Administradores Administradores Administradores (Ninguno) (Ninguno) Permite a un usuario modificar las variables de ambiente del sistema almacenadas en RAM no volátil de sistemas que soportan este tipo de configuración. Perfil de un solo proceso (SeProfSingleProcess) Permite a un usuario realizar el perfil (muestreo de rendimiento) de un proceso. Perfil del rendimiento del sistema (SeSystemProfilePrivilege) Permite a un usuario realizar un perfil (muestreo de rendimiento) del sistema. Reemplazar un token de nivel de proceso (SeAssignPrimaryTokenPrivilege) Permite que un usuario modifique un token de acceso de seguridad de proceso. Este es un derecho poderoso utilizado únicamente por el sistema. Los grupos reciben este derecho en forma predeterminada en la estación de trabajo Derechos del usuario Restablecer archivos y directorios (SeRestorePrivilege) Permite a un usuario restablecer los archivos y directorios respaldados. Este derecho anula los permisos de archivos y directorios. Apropiarse de archivos u otros objetos (SeTakeOwnershipPrivilege) Los grupos reciben este derecho en forma predeterminada en el servidor Administradores, operadores de respaldo Administradores, operadores de servidor, operadores de respaldo Administradores Administradores Permite a un usuario apropiarse de archivos, directorios, impresores y otros objetos de la computadora. Este derecho anula los permisos que protegen a los objetos. Protección de archivos y directorios Entre los archivos y directorios que deben protegerse se encuentran aquellos que conforman al software del sistema operativo en sí. El grupo estándar de permisos sobre archivos y directorios del sistema proporciona un grado razonable de seguridad sin interferir con el uso de la computadora. Sin embargo, para las instalaciones de seguridad de alto nivel, tal vez deba establecer adicionalmente permisos de directorios a todos los subdirectorios y archivos existentes, como se muestra en la siguiente lista, inmediatamente después de que se instala Windows NT. Asegúrese de aplicar permisos a directorios principales antes de aplicar permisos a los subdirectorios. Primero aplique lo siguiente utilizando el editor ACL: Directorio Permisos \WINNT y todos los subdirectorios bajo el mismo. Administradores: Control total PROPIETARIO CREADOR: Control total Todos: Lectura SISTEMA: Control total Ahora, dentro del árbol \WINNT aplique las siguientes excepciones a la seguridad general: Directorio Permisos \WINNT\REPAIR Administradores: Control total \WINNT\SYSTEM32\CONFIG Administradores: Control total PROPIETARIO CREADOR: Control total Todos: Lista SISTEMA: Control total \WINNT\SYSTEM32\SPOOL Administradores: Control total PROPIETARIO CREADOR: Control total Todos: Lectura Power Users: Cambio SISTEMA: Control total \WINNT\COOKIES Administradores: Control total \WINNT\FORMS PROPIETARIO CREADOR: Control total \WINNT\HISTORY Todos: Acceso a directorio especial lectura, escritura y ejecución, acceso a archivo especial - ninguno \WINNT\OCCACHE \WINNT\PROFILES \WINNT\SENDTO Sistema Control total \WINNT\Archivos de Internet temporales Varios archivos de sistemas operativos críticos existen en el directorio principal de la partición de sistema en los sistemas basados en Intel 80486 y Pentium. En las instalaciones de alta seguridad tal vez deba asignar los siguientes permisos a estos archivos: Archivo Permisos de nivel C2 \Boot.ini, \Ntdetect.com, \Ntldr Administradores: Control total SISTEMA: Control total \Autoexec.bat, \Config.sys Todos: Lectura Administradores: Control total SISTEMA: Control total Directorio \TEMP Administradores: Control total SISTEMA: Control total PROPIETARIO CREADOR: Cotorra total Todos: Acceso a directorio especial – lectura, escritura y ejecución, acceso a archivo especial –ninguno Para visualizar estos archivos en el administrador de archivos, seleccione el comando By File Type (por tipo de archivos) en el menú View (ver ) y después seleccione el cuadro de verificación Show Hidden/System Files (mostrar archivos escondidos/del sistema) en la pantalla de diálogo By File Type (según el tipo de archivo). Considere que las protecciones mencionadas aquí están sobre y son superiores a las que se mencionaron anteriormente en la sección de nivel de seguridad estándar, que incluía tener únicamente particiones NTFS (con excepción de la partición de arranque en caso de máquinas RISC). La partición de arranque FAT para sistemas RISC puede configurarse utilizando el comando Secure System Partition (partición segura de sistemas) en el menú Partition (partición) de la utilidad de administrador de disco. También se recomienda ampliamente que los administradores exploren manualmente los permisos en varias particiones del sistema y verifiquen que estén aseguradas adecuadamente para varios accesos de usuarios en su ambiente. Protección del registro Además de las consideraciones para la seguridad estándar, los administradores de una instalación de alta seguridad tal vez deban establecer protecciones sobre ciertas claves en el registro. En forma predeterminada, las protecciones se establecen en varios componentes del registro que permiten que se realice el trabajo al tiempo que se proporciona una seguridad de nivel estándar. Para seguridad de alto nivel, tal vez deba asignar derechos de acceso a claves específicas de registro. Esto debe hacerse con precaución, porque los programas que los usuarios requieren para realizar sus trabajos a menudo necesitan acceso a ciertas claves a nombre de los usuarios. Para mayor información, consulte el Capítulo 24, “Editor de registro y administración del registro”. Para cada una de las claves enumeradas a continuación, haga el siguiente cambio: Acceso permitido Grupo de todos Consultar valor, enumerar subclaves, notificar y leer control En la HKEY_LOCAL_MACHINE en la pantalla de diálogo de máquina local: \\Software Se recomienda este cambio. Bloquea al sistema en términos de quién puede instalar el software. Considere que no se recomienda que todo el sub-árbol se bloquee utilizando esta configuración porque puede provocar que el software quede inservible. \Software\Microsoft\RPC (y sus subclaves) Esto bloquea los servicios RPC. \Software\Microsoft\Windows NT\ CurrentVersion \Software\Microsoft\Windows NT\ CurrentVersion\Profile List \Software\Microsoft\Windows NT\ CurrentVersion\AeDebug \Software\Microsoft\Windows NT\ CurrentVersion\Compatibility \Software\Microsoft\Windows NT\ CurrentVersion\Drivers \Software\Microsoft\Windows NT\ CurrentVersion\Embedding \Software\Microsoft\Windows NT\ CurrentVersion\Fonts \Software\Microsoft\Windows NT\ CurrentVersion\FontSubstitutes \Software\Microsoft\Windows NT\ CurrentVersion\Font Drivers \Software\Microsoft\Windows NT\ CurrentVersion\Font Mapper \Software\Microsoft\Windows NT\ CurrentVersion\Font Cache \Software\Microsoft\Windows NT\ CurrentVersion\GRE_Initialize \Software\Microsoft\Windows NT\ CurrentVersion\MCI \Software\Microsoft\Windows NT\ CurrentVersion\MCI Extensions \Software\Microsoft\Windows NT\ CurrentVersion\PerfLib Considere eliminar en esta clave Everyone Read access. Esto permite a los usuarios remotos ver los datos de rendimiento en la máquina. En lugar de ello, usted puede otorgar Read Access que permitirá únicamente acceso INTERACTIVO al conectarse el usuario a esta clave, además de administradores y el sistema. \Software\Microsoft\Windows NT\ CurrentVersion\Port (y todas las subclaves) \Software\Microsoft\Windows NT\ CurrentVersion\Type1 Installer \Software\Microsoft\Windows NT\ CurrentVersion\WOW (y todas las subclaves) \Software\Microsoft\Windows NT\ CurrentVersion\Windows3.1MigrationStatus (y todas las subclaves) \System\CurrentControlSet\Services\LanmanServer\Shares \System\CurrentControlSet\Services\UPS Considere que aparte de configurar la seguridad en esta clave, también se requiere que el archivo de comandos (si es que hay alguno) asociado con el servicio UPS esté asegurado adecuadamente, permitiendo a los administradores: Control total, sistema: Sólo control total. \Software\Microsoft\Windows\CurrentVersion\Run \Software\Microsoft\Windows\CurrentVersion\RunOnce \Software\Microsoft\Windows\CurrentVersion\Uninstall En la HKEY_CLASSES_ROOT en el diálogo de la máquina local: \HKEY_CLASSES_ROOT (y todas las subclaves) En los HKEY_USERS en la pantalla de diálogo máquina local: \.DEFAULT El editor de registro soporta el acceso remoto al registro Windows NT. Para restringir el acceso de red al registro, utilice el editor de registro para crear la siguiente clave de registros: Hive: HKEY_LOCAL_MACHINE Clave: System\CurrentcontrolSet\Control\SecurePipeServers Nombre: \winreg Los permisos de seguridad establecidos en esta clave definen qué usuarios o grupos pueden conectarse al sistema para lograr acceso remoto al registro. La instalación predeterminada de la Windows NT Workstation no define esta clave y no restringe el acceso remoto al registro. Windows NT Server permite únicamente a los administradores acceso remoto a la mayor parte del registro. Algunas trayectorias que necesitan ser accesibles a los no administradores se especifican en la clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers\winreg\Allowed Paths key. En los ambientes donde los miembros de los operadores de servidor no son lo suficientemente confiables, se recomienda que la seguridad en la siguientes claves se cambie como se indica a continuación: Clave del registro Permisos recomendados HKEY_LOCAL_MACHINE\Software\Mic rosoft\Windows NT\CurrentVersion\Winlogon PROPIETARIO CREADOR: Control total Administradores: Control total SISTEMA: Full Control Todos: Lectura Visualización segura de EventLog La configuración predeterminada permite a los huéspedes y a los propietarios sin acceso la capacidad de visualizar las bitácoras de eventos (sistema y bitácoras de aplicaciones). En forma predeterminada, la bitácora de seguridad está protegida contra acceso de huéspedes y puede ser visualizada por usuarios que tienen derecho de usuario “administrar bitácoras de auditoría”. Los servicios de bitácora de eventos utilizan la siguiente clave para restringir el acceso de huéspedes a estas bitácoras: Hive: HKEY_LOCAL_MACHINE Clave: \System\CurrentControlSet\Services\EventLog\[LogName] Nombre: RestrictGuestAccess Tipo REG_DWORD Valor: 1 Establezca 1 como el valor para cada una de las bitácoras. El cambio toma lugar en el siguiente rearranque. No es necesario decirle que tendrá que cambiar la seguridad de esta clave para evitar que alguien que no sea administrador y sistema pueda accesar porque de otra forma usuario malintencionados pueden restablecer estos valores. Instalación segura de controlador de impresión La clave de registro AddPrinter Drivers bajo HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\Print\Providers\LanMan Print Services\Servers, Key value AddPrinterDrivers (REG_DWORD) se utiliza para controlar quien pueda agregar controladores de impresoras utilizando el archivo de impresión. Este valor de clave debe establecerse en uno para permitir que el spooler del sistema restrinja esta operación a los administradores y a los operadores de impresión (en el servidor), así como a los usuarios avanzados (en la estación de trabajo). Hive: HKEY_LOCAL_MACHINE Clave: System\CurrentcontrolSet\Control\Print\Providers\LanMan Print Services\Servers Nombre: AddPrintDrivers Tipo REG_DWORD Valor: 1 El servicio de programación (comando AT) El servicio de programación (también conocido como comando AT) se utiliza para programar tareas con el fin de que se ejecuten automáticamente en un tiempo predeterminado. Debido a que la tarea programada se ejecuta en el contexto ejecutado por el servicio de programación (normalmente el contexto del sistema operativo), este servicio deberá utilizarse en un ambiente de alta seguridad. En forma predeterminada, sólo los administradores pueden utilizar comandos AT. A fin de permitir también a los operadores del sistema utilizar comandos AT, utilice el editor de registro para crear o asignar el siguiente valor de clave de registros: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: \CurrentControlSet\Control\Lsa Nombre: Submit Control Tipo: REG_DWORD Valor: 1 No hay forma de permitir a alguien más utilizar comandos AT. Proteger el registro como se explicó anteriormente restringe la modificación directa de la clave del registro utilizando el editor de registro. El acceso a la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\Schedule también deberá restringirse sólo a aquellos usuarios/grupos (de preferencia sólo administradores) que tienen permiso para presentar trabajos al servicio de programación. Clave de registro Permisos recomendados HKEY_LOCAL_MACHINE\System\Curre ntControlSet\ Services\Schedule PROPIETARIO CREADOR: Control total Administradores: Control total SISTEMA: Control total Todos: Lectura Los cambios tomarán lugar la próxima vez que se inicia la computadora. Es posible que desee actualizar el Emergency Repair Disk para mostrar estos cambios. Archivos compartidos seguros El servicio nativo de archivos compartidos Windows NT se proporciona utilizando el servidor basado en SMB y los servicios de redirector. Aún cuando sólo los administradores pueden crear recursos compartidos, la seguridad predeterminada colocada en los recursos compartidos permiten que todos tengan acceso de control total. Estos permisos controlan el acceso a los archivos en sistemas de archivo de nivel inferior como el FAT que no tienen mecanismos integrados de seguridad. Los recursos compartidos en el NTFS refuerzan la seguridad en el directorio fundamental al que se correlaciona y se recomienda establecer seguridad adecuada a través del NTFS y no del servicio de archivos compartidos. Asimismo, considere que la información compartida reside en el registro, que a su vez necesita ser protegido como se explicó en la sección anterior. El Service Pack 3 para Windows NT versión 4.0 incluye varias mejoras al protocolo de archivos compartidos basado en SMB. Estas son: soporta autenticación mutua para contrarrestar ataques de intermediarios. Soporta autenticación de mensajes para evitar ataques de mensajes activos. Estas se proporcionan al incorporar firmas de mensajes en los paquetes SMB que son verificados por los extremos del servidor y del cliente. Estas son configuraciones de clave de registro para habilitar las firmas SMB en ambos lados. Para asegurar que un servidor SMB responda a los clientes con sólo firma de mensaje, configure los siguientes dos valores de clave: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Services\LanManServer\Parameters Nombre: RequireSecuritySignature Tipo: REG_DWORD Valor: 1 Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Services\LanManServer\Parameters Nombre: EnableSecuritySignature Tipo: REG_DWORD Valor: 1 Establecer estos valores asegura que el servidor se comunica sólo con aquellos clientes que están enterados de la firma de mensajes. Considere que esto significa que las instalaciones que tienen versiones múltiples de software de cliente, versiones anteriores, fallarán al conectarse a servidores que tienen este valor de clave configurado. Asimismo, recuerde que es extremadamente importante que ambas claves se cambien; configurar que RequireSecuritySignature sin configurar EnableSecuritySignature evitará el acceso a los recursos compartidos SMB de la máquina. En forma similar, los clientes conscientes de la seguridad también pueden decidir comunicarse con servidores que soportan la firma de mensajes y nada más. Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Services\Rdr\Parameters Nombre: RequireSecuritySignature Tipo: REG_DWORD Valor: 1 Recuerde que configurar este valor de clave implica que el cliente no podrá conectarse a servidores que no cuenten con el soporte de firma de mensajes. Para mayor información sobre las mejoras de firmas de mensajes SMB, por favor consulte Q161372 conocimientos básicos. Asimismo, el Service Pack 3 de Windows NT versión 4.0 incluye otra mejora al protocolo de archivos compartidos SMB: en forma predeterminada usted no puede conectarse a los servidores SMB (como el Samba o el LM/X de Hewlett-Packard (HP), o el Administrador de LAN para UNIX) con una contraseña no decodificada (texto plano). Esto protege contra el envío de formas de texto claro de contraseñas a través del cable. Si tiene alguna razón para permitir a los clientes enviar contraseñas sin codificar a través del cable, por favor consulte el artículo Q166730 conocimientos básicos. Además, los clientes tal vez deseen eliminar los recursos compartidos administrativos (recursos compartidos $) si no son necesarios en una instalación. Esto puede lograrse utilizando el comando “net share”. Por ejemplo: C:\> net share admin$ /d Servicio FTP Windows NT también incluye otro servicio estándar de Internet denominado protocolo de transferencia de archivos (FTP). Un uso común del FTP es permitir el acceso público a archivos vía acceso anónimo. Al configurar el servidor FTP, el administrador asigna al servidor una cuenta de usuario para accesos anónimos y un directorio central predeterminado. La cuenta de usuario anónimo predeterminada para FTP es GUEST (huésped). Esta debe cambiarse a una cuenta de usuario diferente y debe tener una contraseña. Asimismo, esta cuenta no debe ser miembro de algún grupo privilegiado, para que el único grupo predeterminado que aparezca en el token de seguridad durante el acceso sea Todos. A la cuenta no debe permitírsele el derecho de usuario “acceso local”, con el fin de restringir los “ataques internos”. El parámetro de directorio central debe configurase cuidadosamente. El servidor FTP exporta todas las particiones de disco. El administrador sólo puede configurar qué particiones son accesibles a través del FTP, pero no qué directorios en esa partición. Por lo tanto, un usuario que accese a través del FTP puede moverse a directorios “arriba” del directorio central. Debido a lo anterior, en general se recomienda que si el servicio FTP necesita ejecutarse en un sistema, lo mejor es asignar una partición completa de disco como el almacenamiento FTP y hacer que esa partición solo se accesible a través del FTP. Acceso NetBios desde el Internet Para los sistemas Windows NT con conectividad directa a Internet y que tienen NetBios, existen dos opciones de configuración: • • Configure el sistema NT en Internet fuera del firewall corporativo. Asimismo, usted puede logra lo anterior al bloquear los puertos 135, 137 y 138 en los protocolos TCP y UDP en el firewall. Esto asegura que el tráfico NetBIOS no traspase firewall corporativo. Configure las conexiones de protocolo entre el TCP/IP, NetBIOS, el servidor y los servicios de estación de trabajo utilizando el panel de control de la red. Al eliminar las conexiones entre el NetBios y el TCP/IP, los servicios nativos de archivos compartidos (que utilizan los servicios del servidor y estación de trabajo) no podrán accesarse a través del TCP/IP y, por ende de Internet. Estos y otros servicios NetBios todavía podrán accesarse a través de un protocolo local no enrutable específico de LAN (por ejemplo: NetBEUI), si es que hay alguno. Para lograr esto, utilice la aplicación del panel de control de red. Seleccione la opción Bindings (conexiones) e inhabilite las conexiones NetBios con la pila del protocolo TCP/IP. Un sistema Windows NT con conectividad directa a Internet necesita asegurarse en relación a otros servicios a parte del acceso NetBios, específicamente el Internet Information Server. Para mayor información sobre esta área, por favor consulte el documento “Microsoft Internet Information Server: Descripción general de seguridad”. Cómo esconder el último nombre de usuario En forma predeterminada, Windows NT coloca el nombre del último usuario que accesó la computadora en el cuadro de texto de nombre de usuario de la pantalla de diálogo Logon (conexión de acceso). Esto hace que conectarse sea más conveniente para los usuarios más frecuentes. Con el propósito de conservar los nombres de usuarios en secreto, usted puede evitar que Windows NT muestre en pantalla el nombre del usuario que se conectó por última vez. Este es especialmente importante si una computadora que normalmente es accesible, se está utilizando para la cuenta de administrador integrada (renombrada). Para evitar que el nombre de un usuario aparezca en la pantalla de diálogo Longon, utilice el editor de servicio para crear o asignar el siguiente valor clave de registro: Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: \Microsoft\Windows NT\Current Version\Winlogon Nombre: DontDisplayLastUserName Tipo: REG_SZ Valor: 1 Restricción del proceso de arranque En la actualidad la mayoría de las computadoras personales pueden iniciar un número de diferentes sistemas operativos. Por ejemplo, aún cuando usted normalmente inicia Windows NT desde la unidad de disco C: alguien podría seleccionar otra versión de Windows en otra unidad, incluyendo una unidad de disco flexible o de CD-ROM. Si esto pasa, las precauciones de seguridad que usted ha tomado dentro de su versión normal de Windows NT podrían ser evitadas. En general, usted debería instalar sólo aquellos sistemas operativos que desea que se utilicen en la computadora que está configurando. Para un sistema altamente seguro, esto probablemente implicará instalar una versión de Windows NT. Sin embargo, usted deberá todavía proteger físicamente la CPU para asegurar que no se cargue otro sistema operativo. Dependiendo de las circunstancias, tal vez deba seleccionar retirar la unidad o unidades de disco flexible. En algunas computadoras, usted puede inhabilitar el arranque desde una unidad de disco flexible al conectar interruptores o puentes dentro de la CPU. Si usted utiliza configuraciones de hardware para inhabilitar el arranque desde la unidad de disco flexible, tal vez deba asegurar la cubierta de la computadora (si es posible) o guardar la máquina en un gabinete con una apertura al frente para proporcionar acceso a la unidad de disco flexible. Si la CPU se encuentra en un área restringida lejos del teclado y del monitor, no se pueden agregar unidades de disco o cambiar las configuraciones de hardware con el fin de iniciar desde otro sistema operativo. Otra configuración simple es evitar el archivo boot.ini para que el tiempo límite de arranque sea de cero segundos; esto hará que para un usuario sea difícil arrancar otro sistema si es que existe alguno. Otras configuraciones de hardware, como la instalación firmware, contraseña de arranque, contraseña de encendido, también están disponibles en el hardware más reciente para controlar el proceso de arranque y es conveniente investigar adecuadamente al respecto y utilizarlo. Cómo permitir que únicamente los usuarios conectados apaguen la computadora Normalmente, usted puede apagar una computadora que ejecuta la Windows NT Workstation sin accesarla al seleccionar Shutdown (apagar) en la pantalla de diálogo Logon. Esto es adecuado cuando los usuarios pueden accesar los interruptores operacionales de la computadora; de otra forma, pueden entender apagarla o restablecerla sin apagar adecuadamente la Windows NT Workstation. Sin embargo, usted puede eliminar esta función si guarda la CPU en otro lugar. (Este paso no se requiere para el Windows NT Server, porque está configurado así en forma predeterminada). Para solicitar a los usuarios que se conecten antes de apagar la computadora, utilice el editor de registro para crear o asignar el siguiente valor clave de registro: Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: \Microsoft\Windows NT\Current Version\Winlogon Nombr e: ShutdownWithoutLogon Tipo: REG_SZ Valor: 0 Los cambios tomarán lugar la próxima vez que se inicie la computadora. Es posible que desee actualizar el disco de reparación de emergencia para mostrar estos cambios. Control del acceso a los medios removibles En forma predeterminada, Windows NT permite a cualquier programa accesar los archivos en discos flexibles y CD. En un ambiente de usuarios múltiples y de alta seguridad, tal vez deba permitir que sólo la persona conectada interactivamente accese esos dispositivos. Esto permite al usuario interactivo escribir información sensible en esas unidades, teniendo la certeza que ningún otro usuario o programa puede ver o modificar esos datos. Cuando se opera en este modo, los discos flexibles y/o CD en su sistema están asignados a un usuario, como parte del proceso de conexión interactivo. Estos dispositivos se liberan automáticamente para ser usados en forma general o para reasignarlos cuando el usuario se desconecta. Debido a lo anterior, es importante eliminar datos sensibles de las unidades de disco flexible o de CD ROM antes de desconectarse. Nota: Windows NT permite que todos los usuarios tengan acceso a la unidad de cinta, y por ende, cualquier usuario puede leer y escribir el contenido de cualquier cinta en la unidad. En general, esto no es una preocupación porque sólo un usuario se conecta interactivamente a la vez. Sin embargo, raras veces un programa iniciado por un usuario puede continuar ejecutándose después de que este se desconecta. Cuando otro usuario se conecta y coloca una cinta en la unidad de cinta, este programa puede transferir secretamente datos sensibles desde la cinta. Si esto es una inquietud, reinicie la computadora antes de utilizar la unidad de cinta. Cómo asignar unidades de disco flexible durante la conexión y acceso Utilice el editor de registro para crear o asignar el siguiente valor de clave de registro: Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: \Microsoft\WindowsNT\CurrentVersion\Winlogon Nombre: AllocateFloppies Tipo: REG_SZ Valor: 1 Si el valor no existe u otro valor está establecido, entonces los dispositivos de disco flexible estarán disponibles para uso compartido por parte de todos los procesos del sistema. Este valor tomará lugar en la siguiente conexión de acceso. Si un usuario ya está conectado cuando este valor se establece, no tendrá lugar para esta sesión de conexión. El usuario debe desconectarse y conectarse otra vez para hacer que los dispositivos se asignen. Cómo asignar los CD-ROM durante la conexión de entrada Utilice el editor de registro para crear o asignar el siguiente valor clave de registro: Hive: HKEY_LOCAL_MACHINE\SOFTWARE Clave: \Microsoft\WindowsNT\CurrentVersion\Winlogon Nombre: AllocateCDRoms Tipo: REG_SZ Valor: 1 Si el valor no existe o cualquier otro valor está establecido, entonces los dispositivos de CD-ROM estarán disponibles para uso compartido por parte de todos los procesos del sistema. Este valor tomará lugar en la siguiente conexión de entrada. Si un usuario ya está conectado cuando este valor se establece, no tendrá lugar para esa sesión de conexión. El usuario debe desconectarse y conectarse otra vez para hacer que los dispositivos se asignen. Cómo asegurar los objetos base de sistema Con el fin de permitir una protección más sólida de los objetos base, agregue el siguiente valor a la clave de registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager: Nombre: Modelo de protección Tipo: REG_DWORD Valor: 1 Esta configuración de registro informan al administrador de sesión de Windows NT que la seguridad en los objetos base del sistema debe ser el nivel de seguridad C2. Para conocer el impacto de esta configuración, por favor consulte el Apéndice D del Windows NT Resource Kit, versión 4.0, Guía de actualización. Habilitación de la auditoría del sistema Habilitar la auditoría del sistema puede informarle las acciones que representan riesgos de seguridad y detectar las posibles violaciones de seguridad. Para activar el registro de eventos de seguridad, por favor siga estos pasos: 1. Conéctese como el administrador de la estación de trabajo local. 2. Dé un clic en el botón Start (inicio), indique Programs (programas), indique Administrative Tools (herramientas administrativas) y después dé un clic en el administrador de usuarios. 3. En el menú Policies (políticas), dé un clic en Audit (auditoría). 4. Dé un clic en la opción Audit These Events (auditar estos eventos). 5. Habilite las opciones que desee utilizar. La siguientes opciones se encuentran disponibles: • Log on/Log off: Registra los accesos locales y remotos a recursos. • Acceso al Archivo y objeto: acceso a archivos, directorios e impresoras. • Nota: Los archivos y carpetas deben residir en una partición NTFS para poder habilitar el registro de seguridad. Una vez que se ha habilitado la auditoria del acceso a archivos y objetos, utilice el Windows NT Explorer para seleccionar la auditoría de archivos y carpetas individuales. • Administración de un usuario y grupo: cualquier cuenta o grupo de usuarios creado, modificado o eliminado. Cualquier cuenta de usuario renombrada, inhabilitada o habilitada. Cualquier contraseña establecida o cambiada. • Security Policy Changes: cualquier cambio a los derechos de usuario o a las políticas de auditoría. 6. • Restart, Shutdown, And System: registra los apagados y encendidos de la estación de trabajo local. • Process Tracking: monitorea la activación de programas, el acceso indirecto a objetos, maneja la duplicación y procesa las salidas. Dé un clic en el cuadro de verificación Success (operaciones satisfactorias) para habilitar el registro de las operaciones satisfactorias y en el cuadro de verificación Failure (insatisfactorias) para permitir el registro de operaciones insatisfactorias. 7. Haga clic en OK. Tome en cuenta que la auditoría es una capacidad de “detección” y no de “prevención”. Le ayudará a descubrir violaciones de seguridad después de que ocurren y, por lo tanto, siempre deben considerarse medidas preventivas adicionales. Auditoría de objetos base Para permitir la auditoría de objetos base del sistema, agregue el siguiente valor clave a la clave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa: Nombre: AuditBaseObjects Tipo: REG_DWORD Valor: 1 Considere que la configuración de esta clave no da inicio a la generación de auditorías. El administrador necesitará activar las auditorías para la categoría de “acceso a objetos” utilizando el administrador de usuarios. Esta configuración de clave de registro indica a la autoridad de seguridad local que los objetos base deben crearse con una lista predeterminada de control de auditoría del sistema. Auditoría de privilegios Ciertos privilegios en el sistema no se auditan en forma predeterminada aún cuando esté activada la auditoría de privilegios. Esto se hace para controlar el crecimiento de bitácoras de auditoría. Los privilegios son: 1. Verificación inversa de desviación (se otorga a todos). 2. Depuración de programas (se otorga únicamente a administradores) 3. Crear un objeto de token (no se otorga a nadie) 4. Reemplazar token de nivel de proceso (no se otorga a nadie) 5. Generar auditorías de seguridad (no se otorga a nadie) 6. Respaldar archivos y directorios (se otorga a administradores y operadores de respaldo) 7. Restablecer archivos y directorios (se otorga administradores y operadores de respaldo) 1 se otorga a todos, así que no tiene significado desde la perspectiva de auditoría. 2 no se utiliza en un sistema de trabajo y puede eliminarse del grupo de administradores. 3, 4 y 5 no se otorgan a ningún usuario o grupo y son privilegios altamente sensibles, por lo que no deben concederse a nadie. Sin embargo, 6 y 7 se utilizan durante operaciones normales del sistema y se espera que se usen. Para habilitar la auditoría de estos privilegios, agregue el siguiente valor clave a la clave del registro HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\Lsa: Nombre: FullPrivilegeAuditing Tipo: REG_BINARY Valor: 1 Tome en cuenta que estos privilegios no se auditan en forma predeterminada porque el respaldo y el restablecimiento son operaciones frecuentes y este privilegio se verifica para cada archivo y directorio respaldado o restablecido, lo que puede llevar a miles de auditorías que pueden saturar la bitácora de auditoría en segundos. Considere con cuidado la activación de la auditoría de estos usos con privilegios. Opción de apagado en la bitácora de auditoría total En un sistema configurado C2, el sistema de auditoría de Windows NT proporciona una opción al administrador para apagar el sistema cuando la bitácora de auditoría de seguridad está saturada. Para habilitar esto, utilice el siguiente valor clave en la clave del registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa: Nombre: CrashOnAuditFail Tipo: REG_DWORD Valor: 1 Con esta configuración, el sistema se apagará automáticamente cuando se detecte la bitácora de auditoría saturada. El valor en el registro se restablece en 2. Cuando el sistema se reinicia, sólo permite que los administradores se conecten a la máquina (en forma local o remota). Se le solicitará que limpien la bitácora de auditoría (o la archiven), restablezcan el valor en uno y rearranquen el sistema antes de que cualquier otro usuario obtenga permiso para conectarse. Base de datos del administrador de cuentas de seguridad El hotfix clave del sistema del Windows NT Server 4.0 (incluido en el Service Pack 3) proporciona la capacidad de utilizar técnicas firmes de codificación para aumentar la protección de contraseñas de cuentas almacenadas en el registro por el administrador de cuentas de seguridad (SAM). Windows NT Server almacena información de cuentas de usuarios, incluyendo una derivación de la contraseña de cuenta de usuario, en un parte segura del registro protegida por control de acceso y una función de confusión. La información de cuentas en el registro sólo puede ser accesada por miembros del grupo de administradores. Windows NT Server, como otros sistemas operativos, permite que los usuarios privilegiados, que son los administradores, accesen todos los recursos del sistema. Para instalaciones que necesitan seguridad mejorada, la codificación sólida de la información derivada de contraseñas de cuentas proporciona un nivel adicional de seguridad para evitar que los administradores accesen en forma intencional o no intencionada las derivaciones de contraseñas utilizando interfaces de programación de registro. Para mayo información sobre la función SysKey y cómo puede implementarse en una instalación Windows NT, por favor consulte el artículo Q143475 conocimientos básicos. Restricción del acceso anónimo de red al registro El Service Pack 3 Windows NT versión 4.0 incluye una mejora de seguridad que restringe los accesos anónimos (sesiones nulas) cuando se conectan a líneas con nombres específicos incluyendo la destinada al registro. Existe un valor clave de registro que define la lista de líneas nombradas que son las “excepción” de esta restricción. El valor clave es: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Services\LanManServer\Parameters Nombre: NullSessionPipes Tipo: REG_MULTI_SZ Valor: Agregar o eliminar nombres de la lista según requiera la configuración. Para mayor información, por favor consulte el artículo Q143138 Conocimientos básicos. Restricción del acceso anónimo de red para buscar nombres y grupos de cuentas, así como recursos compartidos de red Windows NT tiene una función donde los usuarios de acceso anónimo pueden enumerar los nombres de usuario de dominio y los nombres de recursos compartidos. Los clientes que desean seguridad mejorada han solicitado la capacidad de restringir opcionalmente esta funcionalidad. El Service Pack 3 de Windows NT 4.0 y un hotfix para Windows NT 3.51 proporcionan un mecanismo para que los administradores restrinjan la capacidad de los usuarios de acceso anónimo (también conocidos como conexiones de sesión NULA) de enumerar nombres de cuentas y nombres de recursos compartidos. El editor ACL de Windows NT requiere la lista de nombres de cuentas de los controladores de dominio, por ejemplo, para obtener la lista de usuarios y grupos y seleccionar de ahí la persona a quien el usuario desea conceder derechos de acceso. La lista de nombres de cuentas también es utilizada por el Windows NT Explorer para seleccionar usuarios y grupos a los que se le concederá acceso a un recurso compartido. El valor clave de registro que debe establecerse para habilitar esta función: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Control\LSA Nombre: RestrictAnonymous Tipo: REG_DWORD Valor: 1. Esta mejora es parte del Service Pack 3 de Windows NT versión 4.0. También se proporciona un hot fix versión Windows NT versión 3.51. Para mayor información sobre lo anterior, por favor consulte el artículo Q143474 conocimientos básicos. Refuerzo de contraseñas sólidas de usuario El Service Pack 2 Windows NT 4.0, y versiones posteriores, incluye un archivo DLL de filtro de contraseña (Passfilt.dll) que le permite reforzar los requerimientos de contraseñas más sólidas para los usuarios. Passfilt.dll proporciona seguridad mejorada contra “adivinar contraseña” o “ataques de diccionario” por parte de invasores externos. Passfilt.dll implementa la siguiente política de contraseñas: Las contraseñas deben tener por lo menos seis (6) caracteres de longitud. (La longitud mínima de contraseñas puede aumentarse al establecer un valor más alto en la política de contraseña para el dominio). Las contraseñas deben contener caracteres de por lo menos tres (3) de las siguientes cuatro (4) clases: Descripción Ejemplos: Letras mayúsculas en inglés A, B, C, ... Z Letras minúsculas en inglés a, b, c, ... z Números arábigos 0, 1, 2, ... 9 Caracteres no alfa numéricos (“caracteres especiales”) como signos de puntuación Las contraseñas no pueden contener su nombre de usuario o cualquier parte de su nombre completo. Estos requerimientos se codifican sólidamente en el archivo Passfilt.dll y no pueden cambiarse a través de la interfaz del usuario o del registro. Si usted desea aumentar o disminuir estos requerimientos, deberá escribir su propio punto dll e implementarlo en la misma forma que la versión de Microsoft disponible con el Service Pack 2 Windows NT 4.0. Para utilizar el Passfilt.Dll, el administrador debe configurar el DLL de filtro de contraseñas del registro del sistema de todos los controladores de dominio. Esto puede hacerse en la siguiente forma: Establezca el siguiente valor de clave de registro: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Control\LSA Nombre: Notification Packages Tipo: REG_MULTI_SZ Valor: Agregar la cadena “PASSFILT” (no elimine las existentes). Inhabilitar LanManager Password Hash SupportWindows NT da soporte a los siguientes dos tipos de autenticación de reconocimiento/respuesta: Reconocimiento/respuesta LanManager (LM) Reconocimiento/respuesta Windows NT Para permitir el acceso a servidores que sólo soportan la autenticación LM, los clientes Windows NT actualmente envían ambos tipos de autenticación. Microsoft desarrolló un parche que permite a los clientes configurarse para enviar sólo autenticación Windows NT. Esto elimina el uso de los mensajes de reconocimiento/respuesta LM de la red. Aplicar este hot fix, configura la siguiente clave de registro: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Control\LSA Nombre: LMCompatibilityLevel Tipo: REG_DWORD Valor: 0,1,2 (Valor predeterminado 0) Establecer el valor en: 0 envía ambas formas de contraseña Windows NT y LM. 1, envía las formas de contraseña Windows NT y LM sólo si el servidor lo solicita. 2, nunca envía la forma de contraseña LM. Si un cliente Windows NT selecciona el nivel 2, no puede conectarse a los servidores que soportan la autenticación LM, como Windows 95 y Windows for Workgroups. Para mayor información sobre este hot fix, por favor consulte el artículo Q147706 Conocimientos básicos. Limpieza del archivo de búsqueda del sistema durante el apagado del mismo El soporte de memoria virtual de Windows NT utiliza un archivo de búsqueda del sistema para transferir páginas de la memoria de procesos diferentes al disco cuando no se utilizan activamente. En un sistema que se está ejecutando, este archivo de búsqueda es abierto exclusivamente por el sistema operativo, y por ende, está bien protegido. Sin embargo, los sistemas que están configurados para permitir el arranque de otros sistemas operativos, tal vez deben asegurar que el archivo de búsqueda del sistema esté limpio cuando Windows NT se apaga. Esto asegura que información sensible de la memoria de procesos que puede encontrarse en el archivo de búsqueda no esté disponible a un usuario indebido. Esto puede lograrse configurando la siguiente clave: Hive: HKEY_LOCAL_MACHINE\SYSTEM Clave: System\CurrentControlSet\Control\SessionManager\Memory Management Nombre: ClearPageFileAtShutdown Tipo: REG_DWORD Valor: 1 Tome en cuenta que esta protección funciona únicamente durante un apagado sin problemas, por lo tanto es importante que los usuarios no confiables no tengan la capacidad de apagar o restablecer el sistema manualmente. Inhabilitación de memoria caché de las credenciales de acceso durante el acceso interactivo La configuración predeterminada de Windows NT graba en la memoria caché las últimas credenciales de acceso para un usuario que se conectó interactivamente a un sistema. Esta función se proporciona por razones de disponibilidad del sistema, como cuando la máquina de un usuario se desconecta o ninguno de los controladores de dominio está en línea. Aún cuando la memoria caché de credenciales está bien protegida, en un ambiente de alta seguridad los clientes tal vez deban inhabilitar esta función. Esto sólo puede hacerse configurando la siguiente clave de registro: Hive: HKEY_LOCAL_MACHINE Clave: Software\Microsoft\Windows NT\CurrentVersion\Winlogon Nombre: CachedLogonsCount Tipo: REG_SZ Valor: 0 Seguridad C2 El National Computer Security Center (NCSC), (Centro nacional de seguridad computacional) es la dependencia gubernamental de los Estados Unidos responsable de realizar evaluaciones de seguridad de productos de software. Estas evaluaciones se llevan a cabo con base en un conjunto de requerimientos descritos en la publicación del NCSC Criterios de evaluación de sistemas computacionales confiables del Departamento de defensa, que normalmente se conoce como el “Libro naranja”. Windows NT ha sido evaluado satisfactoriamente por el NCSC a nivel de seguridad 2, tal y como se define en el Libro naranja, que cubre al sistema operativo base. Además, Windows NT actualmente se encuentra bajo evaluación en cuanto a su componente de operación en red de un sistema seguro en cumplimiento con el “Libro rojo” del NCSC. El Libro rojo es una interpretación del Libro naranja en la forma en que aplica a la seguridad de red. Algunos de los requerimientos más importantes del nivel de seguridad C2 son los siguientes: • El propietario de un recurso (como un archivo) debe ser capaz de controlar el acceso a ese recurso. • El sistema operativo debe proteger objetos para que otros procesos no los utilicen aleatoriamente. Por ejemplo, el sistema protege la memoria para que su contenido no pueda ser leído después de que el proceso lo libera. Además, cuando un archivo se borra, los usuarios no deben poder accesar los datos de ese archivo. • Cada usuario debe indentificarse tecleando un nombre y contraseña de accesos únicos antes de obtener el acceso al sistema. El sistema debe poder utilizar esta identificación única para monitorear las actividades del usuario. • Los administradores del sistema deben ser capaces de auditar los eventos relacionados con la seguridad. El acceso a estos datos de auditoría deben limitarse a los administradores autorizados. • El sistema debe protegerse de interferencias o violaciones externas, como la modificación del sistema en ejecución o de archivos del sistema almacenados en un disco. Evaluación vs. certificación El proceso de evaluación del NCSC realiza un buen trabajo al asegurarse que Windows NT puede reforzar adecuadamente su política de seguridad, pero no indica cuál debe ser su política de seguridad. Existen muchas funciones de Windows NT que necesitan considerarse cuando se determina cómo utilizar la computadora dentro de su ambiente específico. ¿Qué nivel de auditoría requerirá? ¿Cómo deben protegerse sus archivos para asegurar que solo la gente adecuada tenga acceso a ellos? ¿Qué aplicaciones debe permitir que la gente ejecute? ¿Debe usted utilizar una red? Si es así, ¿qué nivel de aislamiento físico del cable de red real se necesita? Para atender los aspectos ambientales de un entorno computacional, el NCSC ha producido un documento denominado Introducción a la certificación y acreditación. En este documento “certificación” se describe como un plan para utilizar los sistemas de cómputo en un entorno específico, y “acreditación” es la evaluación de ese plan por parte de las autoridades administrativas. Es este plan de certificación, y el procedimiento subsecuente de acreditación, lo que equilibra la sensibilidad de los datos que se están protegiendo contra riesgos del ambiente que existen en la forma en que se utilizan los sistemas de cómputo. Por ejemplo, un plan de certificación para un laboratorio de computación de una universidad puede requerir que las computadoras se configuren para evitar el inicio desde un disco flexible, con el fin de minimizar el riesgo de infección por virus o programas de caballos de Troya. En un laboratorio de desarrollo ultra secreto del departamento de defensa, tal vez sea necesario contar con un LAN de fibra óptica para evitar la generación de emisiones electrónicas. Un buen plan de certificación cubre todos los aspectos de seguridad, desde los mecanismos de respaldo/recuperación hasta los guardias que vigilan la entrada de su edificio. Información adicional sobre la evaluación C2 Si necesita establecer un sistema certificable C2, consulte el Capítulo 2 “Reporte de Microsoft sobre la evaluación C2 de Windows NT.” Este capítulo enumera las configuraciones de hardware en las que Windows NT ha sido evaluado. El Capítulo 2 también especifica el conjunto de funciones que fueron implementadas para la evaluación C2, para que usted pueda duplicarla si es necesario para su propio sistema certificable C2. Estas funciones son esencialmente aquellas que se recomiendan para la seguridad de alto nivel de este capítulo. Para su certificación C2, necesitará seleccionar la combinación de funciones de seguridad descritas en este capítulo, en el capítulo 2 de la Guía de operación en red del Windows NT Server, y en la documentación de Windows NT que se ajusten a su combinación particular de recursos, personal, flujo de trabajo y riesgos potenciales. Así mismo, tal vez deba estudiar el apéndice B, “Seguridad en un ambiente de desarrollo de software”, especialmente si está utilizando software personalizado o interno. Este apéndice también proporciona información sobre la administración e interpretación de la bitácora de seguridad y detalles técnicos de la auditoría de casos especiales (por ejemplo, auditoría de objetos base). Configuración de un sistema que cumpla con C2 Para facilitar la instalación de un sistema que cumpla con C2, se ha creado la aplicación C2Config y se ha incluido en el Windows NT 4.0 Resource Kit. C2config.exe le permite seleccionar a partir de las configuraciones que se utilizan al evaluar la seguridad C2 de Windows NT e implementar aquellas que usted desea utilizar en su instalación. Para mayor información, consulte la Ayuda en línea que se incluye con la aplicación.