La seguridad en Windows NT es una combinación de técnicas que aseguran un nivel de protección consistente contra los accesos no deseados.

Para implementar la seguridad, tendremos que proteger la red, el sistema operativo y los datos, mediante algun tipo de sistema, como por ejemplo firewalls(corta fuego). Para lo cual el administrador (de la parte informatica de la empresa) tendrá que sacrificar recursos para aumentar la seguridad.

De esta manera NT gestiona tanto a usuarios como máquinas y sus recursos, debe validar la autentificación de los usuarios y proveerlos de los recursos necesarios para acceder al sistema.

La herramienta básica para administrar los usuarios y grupos de un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios.

La auditoria es un tema a tratar y de primordial importancia en este documento, se ven los alcances de la auditoria, control de los recursos, administración de estos mediante check list, tratando de llevar algun control sobre si la seguridad esta realmente funcionando o no.

Es una combinación de técnicas que aseguran un nivel de protección consistente contra los accesos no deseados. Para implementar la seguridad, tendremos que proteger la red, el sistema operativo y los datos. Para eso, disponemos de la autentificación de acceso propia de Windows NT, seguridad a nivel de objeto y derechos de usuarios, proceso a cargo del administrador del sistema. Para sacar provecho de los más altos niveles de seguridad que permite Windows NT, el nivel de seguridad C2, necesitaremos tanto el hardware como el software adecuados.

NT dispone de herramientas de auditoría que nos permitirán conocer nuestros niveles de seguridad, pero hay que tener muy presentes los temas relativos a la seguridad cuando entran en juego las comunicaciones sobre la Internet. Para estar seguro que estamos protegidos en todos los frentes, es necesario conocer determinadas técnicas.

La seguridad puede ser clasificada en tres diferentes áreas funcionales: seguridad: - a nivel de red

- seguridad del sistema operativo

- y inscripción de datos.

Ofrece autentificación (verificando que el servidor de datos y que el receptor de los mismos son correctos) y verificando la integridad de la información (de forma que los datos enviados y los recibidos sean los mismos). Conseguir este nivel de seguridad a nivel de red significa haber implementado un protocolo de red, como NetBEUI o TCP/IP, ajustado a las necesidades de la red.

Esos protocolos ofrecen varios niveles de seguridad, rendimiento (conseguidos reduciendo al mínimo la carga derivada de la seguridad), flexibilidad, y disponibilidad sobre múltiples plataformas. Tras haber definido e instalado una determinada infraestructura de red, añadir y extender protocolos de seguridad es algo teóricamente muy simple.

De por si debe terner ya un mínimo nivel de seguridad. Si esas funciones básicas de seguridad no han sido implementadas al propio sistema operativo desde un principio, implementarlas con posterioridad será casi imposible. Por ejemplo, Microsoft no fue capaz de implementar una seguridad seria a sus versiones de 16 bits de Windows tras su fase de desarrollo. Fue necesario un nuevo sistema operativo de 32 bits, y un nuevo modelo de programación (la API Win32) para poder hacerlo. Windows NT dispone de unas robustas funciones de seguridad que controla el acceso de los usuarios a los objetos como archivos, directorios, registro de sistema e impresoras.

También incluye un sistema de auditoría que permite a los administradores rastrear los accesos a los archivos u a otros objetos, reintento de inicio de sesión, apagados y encendidos del sistema, etc… En cambio, Windows 95 dispone únicamente de un rudimentario sistema de seguridad en el inicio de sesión, y no dispone de seguridad a nivel de objetos.

Puede operar de distintas formas. Muchas aplicaciones disponen de encriptación por sí mismas. Algunos protocolos, como SSMTP (Secure Simple Mail Transfer Protocol) soportan encriptación automática. La encriptación ofrecida por terceras compañías, como PGP (Pretty Good Privacy) también está disponible. Incluso Microsoft ha añadido un sistema de encriptación básico, CAPI (Cryptography API) a la API Win32.

CAPI consiste en un juego de funciones que permiten a las aplicaciones y a los desarrolladores de sistemas de software acceder de forma independiente a los servicios de criptografía.

"NT dispone de un servicio básico de criptografía que nos permite codificar los datos facilitando así el almacenamiento seguro y una transmisión segura combinando claves públicas y privadas". El método de encriptación es similar al PGP.

NT ofrece seguridad en tres áreas fundamentales. Se trata de autentificación en el inicio de sesión, seguridad a nivel de objetos y derechos de los usuarios.

La "Local Security Authority" efectúa validaciones interactivas y remotas, inicios de sesión locales y globales (en dominios) verificándolo contra SAM (Security Account Manager), la base de datos donde se almacenan los nombres de los usuarios y sus contraseñas. La "Local Security Authority" también gestiona los mensajes de auditoría.

El "Security Reference Monitor" verifica si un usuario tiene derecho a acceder a un objeto y ejecutar la acción solicitada. Además, es el responsable de los mensajes de auditoría. Con el diálogo permisos del Administrador de archivos (si se encuentra en NT 3.51) o el Explorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de la mayoría de los objetos. Por ejemplo, la activación y el acceso al objeto servidor del DCOM (en Windows NT 4.0) están completamente integrados con el modelo de seguridad de Windows NT.

Aparte de la seguridad de los objetos, el NT permite controlar, y monitorizar funciones de sistema. Con el Administrador de usuarios podrá controlar qué cuenta de usuario o grupo puede, por ejemplo, añadir estaciones de trabajo a un dominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema, iniciar una sesión localmente, gestionar las registros de auditoría y seguridad y cerrar el sistema.

A un nivel general, un dominio NT es una colección de máquinas, a las cuales el controlador de dominio administra como si se tratase de una única máquina, compartiendo una misma base de datos de seguridad. Dicha base de datos mantiene información de todos los usuarios y grupos de ese dominio. Una cuenta de dominio, llamado de otra forma cuenta global, tiene el formato dominio\usuario. Si iniciamos una sesión en una máquina del dominio e intentamos conectarnos a una unidad de red, tendremos que introducir nuestros datos con ese formato.

Las cuentas de usuarios o grupos en esas máquinas locales tiene el formato maquina\usuario y serán exclusivas de esa máquina.

La herramienta básica para administrar los usuarios y grupos de un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios. Windows NT Workstation incluye una versión reducida de este programa y permite la gestión únicamente de esa máquina.

A diferencia del bien definido sistema de seguridad del NT, el modelo de seguridad de Microsoft respecto a Internet se encuentra sometido al continuo proceso de cambio al que a su vez se encuentra la misma Internet. El ISF (Internet Security Framework) es hoy por hoy más un compendio de protocolos que una definición de normas de seguridad.

ISF ofrece diversos protocolos de red especializados sobre el estándar de criptografía CAPI de Microsoft y sobre lo que Microsoft denomina Authenticode, un sistema de verificación por firma de objetos instalables, que garantizan que estos módulos u objetos no han sido manipulados y que tienen un autor determinado que de alguna forma,responde de la actuación de dicho objeto software. Los protocolos IFS incluyen:

• PPTP (Point to Point Tunneling Protocol), el cual permite establecer redes seguras sobre segmentos de redes inseguras, creando líneas seguras virtuales.

• SSL (Secure Sockets Layer) y su versión ampliada PTC (Private Communications Technology) que ofrecen autentificación de servidores, encriptación e integridad de datos.

• SET (Secure Electronic Transaction) que permite autentificación y confidencialidad de tarjetas de crédito, vendedores y clientes. SET dispone de un amplio soporte por parte de la industria (Microsoft, IBM, Netscape, etc…) y las últimas especificaciones están disponibles en los sitios web de VISA (http://www.visa.com) y Mastercard (http://www.mastercard.com)

• PFX (Personal Information Exchange) que transfiere información personal entre ordenadores y plataformas.

ISF encripta todos los paquetes de la red. De todas maneras, las aplicaciones pueden disponer de funciones de encriptación adicionales. Por ejemplo, con el código que Microsoft ha licenciado de Nortel (antes Northern Telecomm) y de RSA, Microsoft Exchange puede proteger el correo electrónico con firma/encriptación. La versión estadounidense de MS Exchange también puede utilizar encriptaciones de 56 bits o hasta encriptaciones de 64 bits. Otras versiones, como la española, únicamente pueden utilizar encriptación de 40 bits.

Estrategia de Seguridad

Examinar resultados/hacer simulación Examinar eficacia de directiva Ajustar directiva en consecuencia

AUDITORIA DE WINDOWS

Auditorías

El sistema de Auditoría de Windows NT permite rastrear sucesos que ocurren en una máquina NT, tanto servidor como estación de trabajo. Las auditorías son esenciales para mantener la seguridad de los servidores y redes. Además de permitir un seguimiento de las actividades realizadas por los usuarios.

La política de auditorías se establece en cada máquina NT. Se pueden realizar tres tipos de auditorías en NT

Auditoría de cuentas de usuario

Rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en Administrador de usuarios en dominios/ Directivas/Auditoría/Plan de auditorías.

Los sucesos que se pueden auditar son:

 

• Inicio y cierre de sesión.

   

   

• Acceso a ficheros, directorios o impresoras.

   

   

• Ejercicio de los derechos de un usuario.

   

   

• Seguimiento de procesos.

   

   

• Inicio, reinicio y apagado del sistema.

   

Auditoría del sistema de archivos

Rastrea sucesos del sistema de archivos. Esta opción se activa en Propiedades, tras pulsar con el botón derecho sobre el fichero o directorio que se desee auditar y luego seleccionando Seguridad/ Auditorías.

Los sucesos que se pueden auditar son: Lectura, Escritura, Ejecución, Eliminación, Cambio de permisos y Toma de posesión.

Auditoría de impresoras

Primero se establece la política de auditorías pinchando dos veces en la impresora en cuestión, dentro del menú Impresoras, y luego seleccionando Seguridad/Auditorías.

Algunos de los eventos que se pueden auditar son: Uso de la impresora, Cancelar trabajos de impresión, Control total, etc.

Se debe tener derechos de administrador para configurar propiedades de auditoría.

Una vez que se activa una auditoría se utiliza el Registro de seguridad del Visor de sucesos que se encuentra dentro del menú de Inicio Herramientas administrativas, para ver los eventos auditados.

Se debería tener cuidado y proteger los archivos de auditoría que están almacenados en el directorio %SystemRoot% system32 config, en los archivos:

APPEVENT.EVT: Registro de sucesos de aplicaciones. SECEVENT.EVT: Registro de sucesos de seguridad. SYSEVENT.EVT: Registro de sucesos del sistema.

Algo muy importante a la hora de mirar los registros es que la máquina tenga la hora correcta, ya que si tenemos que comparar sus registros con los de otras máquinas: si ambas no están sincronizadas será muy difícil. Para esto debería usar NTP (Network Time Protocol) que sirve para poner en hora ordenadores y mantenerlos sincronizados

Seguridad en Red

Protocolos de Red

Debemos instalar sólo los protocolos que vayamos a necesitar. En principio y salvo que tengamos necesidad de usar más protocolos, deberíamos usar uno de estos dos:

 

• NetBEUI

   

   

• TCP/IP

   

NetBEUI es un protocolo de red no enrutable, solamente útil para redes de pequeño tamaño. TCP/IP es el líder indiscutible en cualquier tipo de red. Con cualquiera de estos dos protocolos el servicio que estamos ofreciendo a la red es el llamado SMB (Bloques de Mensajes de Servidor), de Microsoft, también conocido como Cliente de redes Microsoft, y que básicamente proveen servicios de archivos y red. Estos servicios están instalados por defecto normalmente.

Los servicios TCP/IP de Internet como servidores Web y FTP, se pueden instalar de modo opcional en Windows NT.

Conviene tener abiertos el menor número de servicios posibles. Al ser estos opcionales, no vienen instalados por defecto y hay que instalarlos a posteriori. Salvo que se necesiten y que se sepa lo que se está haciendo, conviene no instalar ninguno.

También se pueden configurar las opciones de seguridad TCP/IP para permitir o bloquear la dirección del o los puerto (s) que se necesiten según los servicios que se quieran utilizar. Para hacer esto, sde deben seguir los siguientes pasos:

  1) Panel de Control/Red/Protocolos/Protocolo TCP/IP/Propiedades/ Avanzadas 2)Marque Activar seguridad 3)Pulse el botón Configurar

4)Seleccione el adaptador correspondiente y marque el número de puerto/s del servicio/s que quiera permitir.

Service Pack's

Los Service Pack (SP) no son más que un conjunto de parches que Microsoft saca de vez en cuando para solucionar fallos, dar nuevas funcionalidades, etc. Lo bueno de estos parches es que de una sola vez se aplican todos (a veces más de 100) rápida y fácilmente. El sistema es muy similar a los clusters de parches recomendados de Sun.

Todo NT debería tener instalado al menos el penúltimo SP. En el momento de escribir este trabajo para auditoria y seguridad de sistema, el último Service Pack que es el 6a. Microsoft se ha comprometido a sacar un Service Pack 7 que resuelva aún más fallos.

Los Service Pack's son independientes del tipo de NT 4.0 que haya instalado, por lo que son los mismos para Workstation, Server, Server Enterprise, etc.

Si después de instalar un Service Pack instala algún servicio, controlador o programa que altere de forma significativa Windows NT (Microsoft Office, sistemas de bases de datos, etc.), es muy recomendable que reinstale el Service Pack para asegurarse de que la aplicación no ha sobreescrito ningún fichero con una versión anterior.

Nunca instale un SP en otro idioma que no sea el de la instalación del sistema operativo. Tendrá que reinstalar el sistema.

Cortafuegos (FIREWALL)

Cuando se conecta un sistema Windows a Internet existe el peligro potencial de los protocolos SMB. Si hay carpetas compartidas SMB en la red que conecta a Internet, potencialmente cualquiera de los usuarios de Internet puede acceder a las carpetas o secuestrar sesiones. Además, hay problemas de seguridad intrínsecos a los protocolos. A continuación se describe como desactivar estos servicios apropiadamente: 1)Panel de Control/Red/Enlaces. 2)Seleccione Todos los servicios en la caja de texto correspondiente a Mostrar enlaces. 3)Expanda las opciones TCP/IP bajo las cabeceras: NetBIOS, Server y Workstation. 4)Seleccione el adaptador a desactivar y pulsar el botón Desactivar.

Consideraciones generales

No conviene que NT esté instalado en una máquina con arranque dual, ya que esto haría que muchas de sus garantías de seguridad perdieran efectividad.

Es casi obligado que la partición del sistema sea NTFS. No hay ningún motivo por el que NT haya de instalarse en una partición FAT.

Conviene dar a cada uno de los usuarios del sistema unas ciertas normas sobre el uso de la máquina que podría empezar con la frase de "Todo lo que no esté explícitamente permitido, está prohibido" y continuar explicando todo lo que está permitido. Si se dejan las cosas claras desde un principio, nos ahorraremos muchos quebraderos de cabeza.

Administrador no hay más que uno. Aunque NT permite que haya varios administradores para tareas determinadas, es muy importante delimitar estas tareas al máximo si más de una persona administrará la máquina o dominio NT. A medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.

Los usuarios solo deben tener los privilegios necesarios para ser usuarios. En un exceso de celo, podemos cometer el error de limitar demasiado los privilegios de los usuarios. Esto hace que el usuario no pueda usar la máquina normalmente y perdamos de vista el objetivo por el que hacemos todo esto. Por otro lado, si los usuarios tienen excesivos privilegios (algunos administradores irresponsables lo permiten para no tener que hacer las cosas ellos y que las hagan los usuarios) nos podemos encontrar que por desconocimiento, experimentación o maldad se cause daño al sistema

El auditor profesional tiene claro lo que necesita saber a partir de las politicas de la empresa, y el por qué. Sus cuestionarios son vitales para el trabajo de análisis y síntesis posterior, el auditor conversará y hará preguntas "normales", que en realidad servirán para la completación sistemática de sus Cuestionarios, de sus Checklists, los cuales serviran para tomar medidas si fuesen necesarias o para aplicar plnes de contingencias.

Los Checklists deben o pueden ser contestadas oralmente, o solo seran un control no verbal de solo ticks, verificando en "terreno" si secumplen las normativas.

El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado para mas tranquilidad de él, lo que genera un clima mas relajado, pero dependiendo de la política de la empresa podría darse que un cuestionario conste de cruces ,marcas, cuestionarios en su presencia.

No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios adaptación correspondientes en las preguntas a realizar.

En nuestro caso podríamos aplicar el siguiente checklist, por ejemplo:

Políticas de Passwords :

El Administrador puede forzar a los usuarios a cumplir ciertas reglas en la configuración de sus cuentas.

Algunas de las medidas más utilizadas son:

Longitud máxima y mínima de la contraseña.(cumple el largo dterminado)

Duración máxima de la contraseña.(por ejemplo 6 meses)

Histórico de la contraseña.(se guardan las contraseñas en desuso?)

Bloqueo tras sucesivos fallos de login.

Combinación de caracteres en la contraseña.

Otros objetivos del checklist podrian ser:

1. Auditoría de cuentas de usuario:

• Inicio y cierre de sesión.
• Acceso a ficheros, directorios o impresoras.
• Ejercicio de los derechos de un usuario.
• Seguimiento de procesos.
• Inicio, reinicio y apagado del sistema.

1. Auditoría del sistema de archivos:

• Rastrea sucesos del sistema de archivos
• Los sucesos que se pueden auditar
• Cambio de permisos y Toma de posesión.

1. Auditoría de impresoras:

• Registro de sucesos de aplicaciones.
• Registro de sucesos de seguridad.
• Registro de sucesos del sistema

1. Seguridad en Red

• Tipo de protocolos:
  • NetBEUI
  • TCP/IP

1. Y los mas basico es:

• Cuenta por lo menos con la penúltima versión de Service Pack's

1. Cortafuegos

• Tipo y características del cortafuego

La auditoria de Windows tanto NT como las otras versiones nos permiten descubrir intentos de acceso no autorizados. Tendrá que buscar un equilibrio ente los costos y beneficios derivados de la utilización de la auditoria, la cual oued estar a cargo de un auditor o encargado del area en cuestion, para salvaguardar los activos de la empresa. Los costos incluyen el impacto en el rendimiento(por ejemplo: a medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.) del sistema y en el espacio del disco. La herramienta básica de la auditoria de Windows NT es el visor de eventos. permite auditar eventos tanto fallidos como efectuados, como además de lo eventos relativos a los derechos de los usuarios.

Con el programa USRMGR.EXE podemos activar o desactivar la auditoria sobre los inicios y fin de sesión, acceso a objetos y archivos y uso de los permisos de los usuarios, gestión e usuarios y grupos, cambios de la directiva de seguridad , reinicializacion y apagado de sistema y rastreo de los procesos del mismo. Obviamente si no se asigna los derechos para "administrar los registros de auditoria de seguridad", no se podrán realizar ningún cambio.

Todo esto con el fin de, en caso de errores, filtracion de inflormacion, manipulacion incorrecta de datos, poder poner en marcha los planes de contingencia, tomar contramedidas ya preestablecidas, poniendose en el caso ¿qué pasaria si…?, lo cual estara a cargo de la gerencia y por supuesto, del encargado del departamento de informatica.

En fin, también podemos concluir que por muy seguro que sea Windows NT, a pesar de que podria eventualmente tener fallas, por esa razon mencionamos los Service Pack's, la seguridad depende del encargado del sistema, de la buena administrcion que pueda hacer la persona que este a cargo (que de permisos adecuados a la informacion , que verifique las claves, etc, cosa que se debe verificar con la auditoria), que por lo demas debe ser una persona calificada. De esta manera la auditoria se realizaria con mayor facilidad, eficacia y eficiencia, y con ello ver si los objetivos de control se cumplen o no, para asi determinar que recomendacion plantear a la gerencia y al departamento en cuestión.

vitorino00@hotmail.com