Ilustrados comunidad mundial educativa
Inicio | Escribenos
User: Pass: Recordar ó (Registrate!)

| !Publicar Articulo¡

Introducción a Windows NT

Resumen: En un primer acercamiento a la arquitectura distinguimos un núcleo que se ejecuta en modo privilegiado, y se denomina Executive, y unos módulos que se ejecutan en modo no privilegiado, llamados subsistemas protegidos. Los subsistemas protegidos.Win32, que es el principal, y proporciona la interfaz para aplicaciones específicamente construidas para Windows NT. POSIX, que soporta aplicaciones UNIX. OS/2, que da el entorno a aplicaciones procedentes del s.o. del mismo nombre.
3,283 visitas
Rating: 0
Tell a Friend
Autor: Facundo Pellegrini

Introducción a Windows NT

 

Windows NT presenta una arquitectura del tipocliente-servidor. Los programas de aplicación son contemplados por el sistemaoperativo como si fueran clientes a los que hay que servir, y para lo cual vieneequipado con distintas entidades servidoras.

Uno de los objetivos fundamentales de diseño fue el tener unnúcleo tan pequeño como fuera posible, en el que estuvieran integrados módulosque dieran respuesta a aquellas llamadas al sistema que necesariamente setuvieran que ejecutar en modo privilegiado (también llamado modo kernel, modo núcleoy modo supervisor). El resto de las llamadas se expulsarían del núcleo haciaotras entidades que se ejecutarían en modo no privilegiado (modo usuario), y deesta manera el núcleo resultaría una base compacta, robusta y estable. Por esose dice que Windows NT es un sistema operativo basado en micro-kernel.

Por tanto en un primer acercamiento a la arquitecturadistinguimos un núcleo que se ejecuta en modo privilegiado, y se denominaExecutive, y unos módulos que se ejecutan en modo no privilegiado, llamadossubsistemas protegidos.

Los programas de usuario (también llamados programas deaplicación) interaccionan con cualquier sistema operativo (s.o. en adelante) através de un juego de llamadas al sistema propio de dicho sistema. En el mundoWindows en general, las llamadas al sistema se denominan API (ApplicationProgramming Interfaces, interfaces para la programación de aplicaciones). EnWindows NT y en Windows 95 se usa una versión del API llamada API Win32.

Los subsistemas protegidos.

Son una serie de procesos servidores que se ejecutan en modono privilegiado, al igual que los procesos de usuario, pero que tienen algunascaracterísticas propias que los hacen distintos.

Se inician al arrancar el s.o. y existen dos tipos:integrales y de entorno.

Un subsistema integral es aquel servidor que ejecuta unafunción crítica del s.o. (como por ejemplo el que gestiona la seguridad). Unsubsistema de entorno da soporte a aplicaciones procedentes de s.o. distintos,adaptándolas para su ejecución bajo Windows NT. Existen tres de este tipo:

     

  • Win32, que es el principal, y proporciona la interfaz para aplicaciones específicamente construidas para Windows NT.
  • POSIX, que soporta aplicaciones UNIX.
  • OS/2, que da el entorno a aplicaciones procedentes del s.o. del mismo nombre.

 

El subsistema Win32.

Es el más importante, ya que atiende no sólo a lasaplicaciones nativas de Windows NT, sino que para aquellos programas no Win32,reconoce su tipo y los lanza hacia el subsistema correspondiente. En el caso deque la aplicación sea MS-DOS o Windows de 16 bits (Windows 3.11 e inferiores),lo que hace es crear un nuevo subsistema protegido. Así, la aplicación DOS oWin16 se ejecutaría en el contexto de un proceso llamado VDM (Virtual DOSMachine, máquina virtual DOS), que no es más que un simulador de un ordenadorfuncionando bajo MS-DOS. Las llamadas al API Win16 serían correspondidas conlas homónimas en API Win32. Microsoft llama a esto WOW (Windows On Win32). Elsubsistema soporta una buena parte del API Win32. Así, se encarga de todo lorelacionado con la interfaz gráfica con el usuario (GUI), controlando lasentradas del usuario y salidas de la aplicación. Por ejemplo, un buen númerode funciones de las bibliotecas USER32 y GDI32 son atendidas por Win32, ayudándosedel Executive cuando es necesario. El

funcionamiento como servidor de Win32 lo veremos un poco másadelante, en el apartado de llamadas a procedimientos locales.

 

El subsistema POSIX.

La norma POSIX (Portable Operating System Interface for UNIX)fue elaborada por IEEE para conseguir la portabilidad de las aplicaciones entredistintos entornos UNIX. La norma se ha implementado no sólo en muchasversiones de UNIX, sino también en otros s.o. como Windows NT, VMS, etc. Setrata de un conjunto de 23 normas, identificadas como IEEE 1003.0 a IEEE1003.22, o también POSIX.0 a POSIX.22, de las cuales el subsistema POSIXsoporta la POSIX.1, que define un conjunto de llamadas al sistema en lenguaje C.El subsistema sirve las llamadas interaccionando con el Executive. Se encargatambién de definir aspectos específicos del s.o. UNIX, como pueden ser lasrelaciones jerárquicas entre procesos padres e hijos (las cuales no existen enel subsistema Win32, por ejemplo, y que por consiguiente no aparecenimplementadas directamente en el Executive).

El subsistema OS/2.

Igual que el subsistema POSIX proporciona un entorno paraaplicaciones UNIX, este subsistema da soporte a las aplicaciones del s.o. OS/2.Proporciona la interfaz gráfica y las llamadas al sistema; las llamadas sonservidas con ayuda del Executive.

El subsistema proceso de inicio.

El proceso de inicio (Logon Process) recibe las peticiones deconexión por parte de los usuarios. En realidad son dos procesos, cada unoencargándose de un tipo distinto de conexión: el proceso de inicio local, quegestiona la conexión de usuarios locales directamente a una máquina WindowsNT; y el proceso de inicio remoto, el cual gestiona la conexión de usuariosremotos a procesos servidores de NT.

 

El subsistema de seguridad.

Este subsistema interacciona con el proceso de inicio y elllamado monitor de referencias de seguridad (del que trataremos en elExecutive), de esta forma se construye el modelo de seguridad en Windows NT. Elsubsistema de seguridad interacciona con el proceso de inicio, atendiendo laspeticiones de acceso al sistema. Consta de dos subcomponentes: la autoridad deseguridad local y el administrador de cuentas.

El primero es el corazón del subsistema de seguridad, engeneral gestiona la política de seguridad local, así, se encarga de generarlos permisos de acceso, de comprobar que el usuario que solicita conexión tieneacceso al sistema, de verificar todos los accesos sobre los objetos (para locual se ayuda del monitor de referencias a seguridad) y de controlar la políticade auditorías, llevando la cuenta de los mensajes de auditoría generados porel monitor de referencias.

El administrador de cuentas mantiene una base de datos conlas cuentas de todos los usuarios (login, claves, identificaciones, etc.).Proporciona los servicios de validación de usuarios requeridos por elsubcomponente anterior.

BOOTEO DEL EQUIPO

Todos los archivos que definiremos a continuación debenestar en el directorio raíz de la partición del sistema y son para tecnologíaINTEL x86:

     

  • NTLDR (H,R,S)
  • BOOT.INI (R,S)
  • BOOTSECT.DOS (H,S)
  • NTDETECT.COM (H,R,S)
  • NTBOOTDD.SYS ( Solamente para los sistemas que butean de un SCSI, en donde el BIOS en el adaptador SCSI se encuentra deshabilitado ).

     

Los archivos que definiremos a continuación son necesariospara tecnologías RISC:

     

  • OSLOADER.EXE
  • *.PAL
  • NTOSKRNL.EXE
  • Pasos para el buteo en tecnologías INTEL x86:

     

  1. El archivo NTLDR cambia el procesador del modo real al modo 32-bits de la memoria plana. NTLDR como es el caso con código de 32-bits, requiere de este modo de memoria antes de que pueda llevar a cabo las funciones.

     

  2. NTLDR arranca el sistema de Drivers Minifile apropiado. Los sistemas de dispositivos Minifile se construyen en NTLDR para encontrar y cargar Windows NT de diferentes formatos de sistemas de archivos ( FAT o NTFS ).

     

  3. NTLDR lee el archivo BOOT.INI y muestra la selección del sistema operativo.

     

  4. NTLDR carga el sistema operativo cargado por el usuario. Uno de los dos siguientes eventos puede ocurrir:

- Si el Windows NT es seleccionado, NTLDR corre elNTDETECT.COM.

- Para otro sistema operativo, NTLDR carga y ejecuta elBOOTSECT.DOS y le pasa el control. Entonces el otro sistema operativo butea.

 

  • Pasos para el buteo en tecnologías RISC:

     

- Luego de la secuencia del prebuteo:

       

    1. OSLOADER.EXE carga el NTOSKRNL, HAL.DLL los archivos *.PAL y el sistema HIVE.
    2. OSLOADER.EX Escanea el sistema y carga los drivers de los dispositivos configurados para que arranque en el tiempo de buteo.

OSLOADER.EXE pasa el control a NTOSKRNL.EXE en el punto que el proceso de buteo termina y comienza las fases de carga.

 

ADMINISTRACION DEL SISTEMA, INTERPRETE DE COMANDOS Y PANEL DECONTROL

La mayoría de la información del sistema se encuentra en elpanel de control. A este se puede acceder haciendo click en inicio, configuracióny panel de control.

Fecha y hora

El cuadro de diálogo Fecha y hora permite modificar la fechay hora del sistema, así como la zona horaria en la que se haya el sistema. Encaso de ser necesario, una utilidad del kit de recursos permite modificar ycrear nuevas zonas horarias que complementen a las suministradas con el sistema.

Para cambiar la hora y/o la fecha y/o la zona horaria,simplemente cliquear en la barra deslizante y seleccionar la zona horariadeseada. Para cambiar la fecha u hora, posicionarse con el mouse en el lugardeseado, hacer un click y con el tecleado lo cambiamos.

Configuración regional

NT, al igual que Windows, está preparado para soportardiversos idiomas y trabajar en diferentes países, con diferentes esquemas deordenación alfabética, moneda y formas de escribir la fecha, hora y signos depuntuación en números y monedas. Se puede modificar:

Configuración regional: Permite seleccionar las característicasdel idioma de cada región.

Número. Selecciona el formato para números y el sistema demedida.

Moneda. Selecciona la representación de cantidadesmonetarias.

Hora: Selecciona el formato para representar las horas

Fecha: Selecciona el formato para representar las fechas.

Idioma. Permite seleccionar y añadir diferentes idiomas, consus correspondientes configuraciones de teclado. También permite habilitaratajos del teclado que intercambian las configuraciones del teclado.

También permite cambiar los seteos de inicio y apagado. Estoes en la parte de propiedades del sistema, hacemos un click donde dicestartup/shoutdown.

Impresoras

Normalmente la mayoría de las aplicaciones informáticasnecesitan una impresora predeterminada para funcionar.

Para instalar una nueva impresora al sistema NT dispone de unsencillo asistente que nos guía en el proceso de instalación. Para acceder aeste asistente se utiliza el icono Agregar impresora del Panel decontrol\Impresoras.

En NT la impresora puede estar instalada en el propio equipoo ser una impresora de red. El caso más sencillo consiste en que la impresoraesté conectada a un servidor NT, que la ha compartido. En este caso paraconectarnos a la impresora basta seleccionar en el asistente la opción Servidorde impresora de red. Al seleccionar esta opción aparece un cuadro de diálogocon las impresoras compartidas por los equipos. Las impresoras compartidas porlos NT aparecen aparte, como elementos separados del equipo que las comparte,haciendo más fácil su localización.

La opción instalar la impresora en el propio equipo conducea una serie de asistentes que nos permiten configurar y compartir la impresora.

Panel de Control, Impresoras, Asistente

El primer paso consiste en seleccionar el puerto al que estáconectada la impresora. Puede ser:

Un puerto paralelo LPT, normalmente el LPT1

Un puerto serie (los trazadores gráficos antiguos los suelenusar)

Un puerto de red (cuando hay conexiones a impresoras de red)

Un archivo. En este archivo se almacenarán los comandosnecesarios para imprimir el documento en la impresora. Se suele usar paragenerar archivos Postcript.

Un puerto nuevo, que quizás usa un hardware o softwareespecial. Un ejemplo de este tipo son los puertos Jetdirect de red usados porlas impresoras HP.

En este cuadro de diálogo se puede activar la cola deimpresión de NT (normalmente esta opción no se activa por defecto, sino que seimprime directamente en el puerto)

Luego hay que elegir el modelo de la Impresora. El cuadro dediálogo está organizado por Fabricantes y modelos, por lo que se encuentran rápidamentelos modelos adecuados. También se puede añadir una impresora no disponible enNT con los controladores proporcionados por el fabricante.

 

Tras elegir el modelo hay que ponerle un nombre en elsiguiente cuadro de diálogo. Normalmente NT elige un nombre adecuado, quecoincide con el modelo de la impresora.

 

El siguiente cuadro de diálogo permite compartir laimpresora. Si se comparte NT se debe elegir:

Un nombre para la impresora, que también sugiere elasistente.

Los controladores que se van a compartir. Se puede añadir elsoporte para otras plataformas NT y Windows, aunque hará falta tener los discoscorrespondientes. Esto permite que los clientes se conecten a

nuestra impresora sin necesidad de instalar ellos ningúncontrolador de impresora. Al conectarse a la impresora los controladores setransfieren al cliente de forma automática.

 

El proceso de instalación finaliza con la impresión de unapágina de prueba opcional, que permite verificar la correcta instalación de laimpresora.

 

Agregar o quitar programas

 

En este icono podemos acceder a un cuadro de diálogo que nospermite realizar varias labores:

-Instalar nuevas aplicaciones. El botón instalar lanza unasistente que busca en las unidades de disco y de CD-ROM ficheros con nombre típicode programas de instalación , como pueden ser instalar.exe y setup.exe y si losencuentra nos permite ejecutarlos.

-Eliminar los programas instalados. Muchos programas paraWindows 95 y NT traen sus propios programas de desinstalación automática.Estos programas saben como registrarse en el registro de NT, de manera quepulsando el botón de agregar o quitar se reinstalan o desinstalan automáticamente.

-Instalar o eliminar componentes adicionales de NT. Duranteel proceso de instalación, al elegir una de las posibles instalaciones (típica,portátil, a medida...) se seleccionan los componentes que se han de instalar.Con este cuadro de diálogo podemos añadir o eliminar componentes adicionalesdesde el CD-ROM de instalación.

Desinstalación manual de aplicaciones.

Ocurre a veces que el programa de instalación de unaaplicación no es capaz de desinstalarla. Esto puede ocurrir por un fallo delpropio programa o porque otra aplicación la ha alterado. En este caso se debeproceder manualmente. Para ello:

-.Se deben eliminar todos los ficheros de la aplicación.Normalmente hay que borrar el directorio de la aplicación y algunos directoriosde datos.

- Se deben borrar los accesos directos creados por laaplicación. Esto se puede hacer con el explorador de NT, en el escritorio y enel menú de inicio.

- Se deben borrar las librerías de haya dejado la aplicaciónen el sistema. En NT y 95 al instalar una librería se incrementa la clave delregistro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDlls

correspondiente a la librería

-.Se deben eliminar las claves del registro que ha añadidola aplicación, normalmente en:

HKEY_LOCAL_MACHINE\Software\Compañía\Aplicación y en otraspartes del registro. La clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall

Indica el nombre del programa de desinstalación para laaplicación.

Dispositivos

Este cuadro de diálogo permite ver el estado de losdispositivos instalados en el sistema. NT por defecto instala gran cantidad dedispositivos aunque no los utilice. En particular, el programa de instalaciónde NT carga los controladores SCSI y algunos controladores de dispositivos depantalla. Esto es necesario ya que durante el proceso de instalación le puedepedir a NT que busque estos dispositivos. Para ello NT carga cada controlador dedispositivos e intenta iniciarlo. Si el controlador de dispositivo arrancaquiere decir que el dispositivo está funcionando correctamente.

 

Cada dispositivo puede tener:

  • Un tipo de inicio.
  • Inicio. Se utiliza para controladores de dispositivos que se cargan en las primeras etapas de carga del sistema, como por ejemplo el controlador ATAPI y el DISK.
  • Sistema. Son los dispositivos que se cargan después de cargar el sistema. Por ejemplo el controlador del ratón y de la disquetera (floppy)
  • Automático. Estos dispositivos se cargan de la carga completa del sistema.
  • Manual. Estos dispositivos los carga el usuario u otros controladores de dispositivos. Por ejemplo el controlador de la tarjeta de red normalmente lo carga los servicios de red.
  • Deshabilitado. Son controladores de dispositivos que no se pueden cargar normalmente, como por ejemplo los controladores SCSI de adaptadores no instalados. Hay algunos dispositivos que aparecen como deshabilitados pero están iniciados. Estos dispositivos se cargan en la primera fase de arranque del sistema operativo. Por ejemplo los controladores de sistemas de ficheros FastFAT y NTFS son un ejemplo.
  • Un estado. El dispositivo puede estar iniciado o no iniciado.
  • Un perfil asociado. NT permite definir perfiles del sistema diferentes. Cada perfil tiene su propia configuración del sistema. Normalmente se usa para equipos portátiles con unidades de expansión de puertos (docking stations), que permiten añadir periféricos al portátil al insertar el portátil en la ranura de expansión.

Dispositivos de cinta

Este cuadro de diálogo permite agregar dispositivos decinta. El funcionamiento es análogo al de Adaptadores SCSI, aunque se haincluido un botón para detectar los dispositivos de cinta instalado.

 

MEMORIA

Windows NT y UNIX implementan un direccionamiento lineal de32 bits y memoria virtual paginada bajo demanda. El VMM se encarga de todo lorelacionado con la política de gestión de la memoria.

Determina los conjuntos de trabajo de cada proceso, mantieneun conjunto de páginas libres, elige páginas víctima, sube y baja páginasentre la memoria RAM y el archivo de intercambio en disco, etc.

El cuadro de diálogo de Memoria virtual nos permite ajustarlos archivos de paginación y de registro.

Este cuadro de diálogo permite ver todos los ficheros deintercambio creados. Para cada unidad de disco se puede establecer un fichero deintercambio, que tendrá un tamaño mínimo y máximo. Este cuadro de diálogonos indica el total de espacio de intercambio disponible para el sistema y lasaplicaciones.

También en este cuadro de diálogo se puede establecer eltamaño del registro máximo. Esto evita que el mal funcionamiento de unaaplicación pueda desbordar el registro. Normalmente no hace falta modificar eltamaño sugerido por el sistema.

El Windows NT utiliza un proceso llamado demanda de páginapara intercambiar datos entre la RAM y uno o más páginas memoria. Cuando elWindows NT es instalado crea una memoria virtual de estas páginas de memoriallamada PageFile.SYS.

Para acceder a este ítem se cliquea dentro del panel decontrol propiedades del sistema y luego en la barra memoria virtual.

Administrador de Procesos

Se encarga (en colaboración con el administrador de objetos)de crear, destruir y gestionar los procesos y subprocesos. Una de sus funcioneses la de repartir el tiempo de CPU entre los distintos subprocesos. Suministra sólolas relaciones más básicas entre procesos y subprocesos, dejando el resto delas interrelaciones entre ellos a cada subsistema protegido concreto. Porejemplo, en el entorno POSIX existe una relación filial entre los procesos queno existe en Win32, de manera que se constituye una jerarquía de procesos. Comoesto sólo es específico de ese subsistema, el administrador de objetos no seentromete en ese trabajo y lo deja en manos del subsistema.

El administrador de entrada/salida (I/O Manager).

Consta de varios subcomponentes: el administrador del sistemade ficheros, el servidor de red, el redirector de red, los drivers dedispositivo del sistema y el administrador de cachés.

Buena parte de su trabajo es la gestión de la comunicaciónentre los distintos drivers de dispositivo, para lo cual implementa una interfazbien definida que permite el tratamiento de todos los drivers de una manerahomogénea, sin preocuparse del funcionamiento específico de cada uno. Trabajaen conjunción con otros componentes del Executive, sobre todo con el VMM. Leproporciona la E/S síncrona y asíncrona, la E/S a archivos asignados enmemoria y las caches de los ficheros. El administrador de caches no se limita agestionar unos cuantos buffers de tamaño fijo para cada fichero abierto, sinoque es capaz de estudiar las estadísticas sobre la carga del sistema y variardinámicamente esos tamaños de acuerdo con la carga. El VMM realiza algoparecido en su trabajo.

 

Administración de discos

Para llegar al administrador de discos, debemos cliquear eninicio, luego señalamos programas y luego el menú herramientas administrativas(común). Allí encontraremos el administrador de discos el cual nos permiteadministrar los recursos del disco, realizar cambios a mi disco duro, o paracrear particiones en un disco duro adicional.

Para la administración de usuarios también en lasherramientas administrativas se encuentra un administrador de usuarios paradominio. Este nos permite establecer, eliminar o desactivar cuentas de usuariosdel dominio. También puede establecer directivas de seguridad y agregar cuentasde usuarios a grupos.

El Windows NT permite al administrador y el cliente manejarlas aplicaciones bajo este sistema operativo.

Command Prompt. Se encuentra en inicio y programas. Desde elCommand Prompt un usuario puede hacer entre otras cosas:

Ejecutar cualquier archivo batch, ya sea .Bat o Cmd

Comenzar cualquier Windows NT (32-bit), Windows 3.x (16-bit),Ms-Dos, OS/2 1.x.

Administrar o usar los recursos de la red.

Copia y pegar información entre las aplicaciones, aun cuando las aplicaciones corran bajo distintos subsistemas.

También nos permite configurar el Command Prompt, mediantelas propiedades de la consola de la ventana.

Windows NT prioriza las aplicaciones y distribuye el tiempode proceso entre las mismas. La base de la prioridad puede ser ajustada paraaumentar o disminuir la performance.

Los niveles de las prioridades van desde 0 a 31.

 

Prioridad

0-15 aplicaciones dinámicas

16-31 aplicaciones de tiempo real.

 

Comenzar una aplicación con una prioridad específica:

Para cambiar la base de la prioridad de una aplicación.

Usar el comando Start y alguna de estas opciones.

 

/realtime (establecer la base de la prioridad a 24)

/high (establecer la base de la prioridad a 13)

/normal (establecer la base de la prioridad a 7)

/low (establecer la base de la prioridad a 4).

Para dar un ejemplo. Si se quiere comenzar el Notepad con unaprioridad alta, en el Command Prompt

Star/High Notepad.

 

MANEJO DE ARCHIVOS, DIRECTORIOS, ETC

Para el manejo de directorios, archivos, creación, eliminación,etcétera existen varias formas:

 

     

  • Para crear una carpeta o directorio:

     

a) Hacer doble click en mi PC y luego hacer doble click en launidad o carpeta en la que se quiere colocar la nueva carpeta.

b) En el menú archivo señalar nuevo y hacer click encarpeta.

c) Escribir el nombre de la carpeta y presionar enter.

     

  • Para mover o copiar un archivo o carpetas:

     

a) Hacer doble click en mi pc. Buscar el archivo o carpetaque se quiere mover o copiar y hacer click en el mismo.

b) Hacer click en edición. Para mover el archivo, hacerclick en cortar para hacer una copia del archivo, hacer click en copiar.

c) Abrir la carpeta donde se quiere colocar el archivo, hacerclick en edicion y luego hacer click en pegar.

     

  • Para eliminar un archivo una carpeta.

     

a) Hacer doble click en Mi pc. Buscar la carpeta o el archivoque se quiera eliminar y cliquearlo.

b) En el menú archivo hacer click en eliminar.

     

  • Para copiar un archivo a un disquete.

a) Hacer doble click en Mi Pc. Buque el archivo o la carpetala que se quiere copiar y hacer doble click en el.

b) En el menú archivo, señalar a enviar y hacer click en launidad en la que se desea el archivo o la carpeta.

* Forma alternativa

Otra forma de mover, copiar o eliminar la informacióndeseada es arrastrarla de un lugar a otro usando el mouse.

     

  1. En el Explorador de Windows NT, abra la Carpeta que contiene el archivo o la Carpeta que se quiera mover o copiar.
  2. Presionar el botón del mouse y mantenerlo presionado mientras arrastramos el icono a la carpeta donde se quiere moverlo o copiarlo. Luego soltar el botón del mouse.
  3. Hacer click en mover aquí o copiar aquí.

* Forma Alternativa II

Otra de las formas es utilizando el explorador de Windows,que es idéntico al de Windows 95.

Copias de Resguardo

  1. Hacer clic en el botón inicio, señalar a programas y luego a herramientas administrativas ( común )
  2. Hacer clic en copias de seguridad.

Desde esa ventana se puede seleccionar los archivos de losque desea hacer copias de seguridad, comprobar el estado de la copia deseguridad y establecer diversas opciones.

 

El Administrador de usuarios

En NT hay dos tipos de usuarios, aquellos que pertenecen auna máquina que corre NT WK o Server y aquellos que pertenecen a un dominio NT.Para cada uno de estos tipos de usuarios existe una herramienta de administración:el administrador de usuarios incluido en NT Workstation y el administrador deusuarios para dominios incluido en NT Server. El funcionamiento de ambos es muysimilar, pero el administrador de usuarios para dominios dispone de másopciones. Por ello, se describirá el administrador de usuarios para dominios.

Las tareas que se pueden realizar con el administrador deusuarios:

- Añadir, modificar y eliminar usuarios del dominio.

- Añadir, modificar y eliminar grupos locales y globales deldominio.

- Fijar el plan de cuentas y contraseñas en el dominio.

- Fijar la política de derechos de usuario en el dominio.

- Establecer el sistema de auditoria en el dominio.

- Establecer relaciones de confianza entre dominios.

 

Creación y modificación de usuarios en el dominio.

Para crear un usuario se pulsa Usuarios\Nuevo y se completael cuadro de diálogo.

Usuario nuevo

En este cuadro hay que rellenar una serie de campos:

Nombre de usuario: Es el identificador que representa al usuario en el dominio. Debe ser una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres [verificar]. este identificador debe ser único en el dominio. Se le suele conocer también como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con la contraseña, para iniciar sesión en un dominio NT.

Nombre completo: Es el nombre completo del usuario. Si este usuario es una persona se suele escribir el nombre u apellidos.

Descripción. Conviene añadir una descripción de la labor,grupo de personas o

departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el dominio es grande. Contraseña. Aquí se debe escribir la contraseña para el usuario. Puede incluir espacios, mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres. Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece una línea de asteriscos, siempre de la misma longitud.

Repetir contraseña. Hay que introducir de nuevo la contraseña, para comprobar que se ha escrito correctamente.

 

 

Tras estos campos aparecen una serie de botones activables:

El usuario debe cambiar su contraseña. La primera vez queinicia sesión en NT se va a solicitar que introduzca una nueva contraseña.Habitualmente los administradores crean los usuarios nuevos con contraseñas deltipo "cámbiame", que obligan al nuevo usuario a cambiar su contraseñaal iniciar sesión por primera vez.

El usuario no puede cambiar su contraseña. Se utiliza entareas administrativas especiales,

y bloquea el cambio de contraseña por parte del usuario.

La contraseña nunca caduca. Desactiva la caducidad decontraseñas para esta usuario. Se utiliza normalmente sólo para algunosusuarios que lo necesitan.

Cuenta desactivada. Permite bloquear la cuenta fácilmentesin borrarla. Se suele utilizar cuando el usuario no va a iniciar sesióndurante un periodo de tiempo o cuando se va a cambiar la configuración oentorno del usuario y se necesita que no pueda acceder temporalmente al sistema.

 

Administrador de Usuarios, Usuario nuevo, Grupos

Al final del cuadro de diálogo aparecen varios botones:

Grupos. Permite establecer los grupos a los que pertenece unusuario. En NT hay dos tipos de grupos:

     

  • Grupos globales. Válidos para dominios en los que se confían. Aparecen marcados con el icono de grupo global.
  • Grupos locales. Son grupos locales al servidor o estación de trabajo.

     

Además se puede asignar un grupo primario para el usuario[Este grupo es utilizado en entornos Macintosh]

Administrador de Usuarios, Usuario nuevo, Perfiles

Perfil. Permite controlar las características del entorno deun usuario.

Se puede establecer:

Perfil. Nombre del fichero que representa el perfil delusuario para NT. Hay que escribir un fichero en formato UNC (Univer nameconvention), es decir: \\servidor\recurso\directorio\fichero.bat.

Archivo de inicio. Asigna un archivo que se ejecutará aliniciar la sesión de red en el dominio. El archivo debe residir en el servidorque valida el inicio de sesión. Este fichero se debe hallar en la carpetaNETLOGON del servidor que valida el inicio de sesión.

Directorio de trabajo. Admite dos modalidades de uso.

Ruta de acceso local. Utilizar una ruta local al ordenador enque se inicia la sesión.

Conectar una letra de unidad a una unidad de red del tipo\\servidor\recurso.

A. El directorio de trabajo es el que aparece por defecto enlos cuadros de diálogo de guardar un fichero en una aplicación Windows.

Horas. En el botón Horas podemos acceder al cuadro de diálogode Horas de inicio de sesión.

Administrador de Usuarios, Usuario nuevo, Horas de inicio

 

En este cuadro de diálogo se pueden fijar las horas deinicio de sesión en los servidores del dominio, en intervalos de 1 hora, paracada día de la semana. En principio una vez iniciada la sesión el usuariopuede seguir trabajando en los servidores, aunque se puede modificar esto paraque los servidores cierren la sesión del usuario al terminar las horaspermitidas, mediante el cuadro de diálogo Plan de cuentas en el menú deDirectivas del Administrador de Usuarios.

Iniciar desde. Este cuadro de diálogo permite seleccionarlos ordenadores desde los cuales un usuario puede iniciar sesión. Se puedenespecificar hasta 8 ordenadores que ejecuten NT, o permitir el inicio en todoslos ordenadores del dominio.

 

Administrador de Usuarios, Usuario nuevo, Cuenta

Cuenta. El cuadro de diálogo Información de cuenta permiteespecificar el tipo de cuenta y su duración. Se puede elegir que la cuentacaduque en una fecha determinada o que no tenga caducidad. También se puedeespecificar si es una cuenta global o local.

Administrador de Usuarios, Usuario nuevo, Marcado

Marcado. El cuadro de diálogo de Marcado permite especificarlas propiedades de marcado para el usuario.

 

Modificar un usuario.

Utilizando el menú Usuario\Propiedades o haciendo doble clicsobre un usuario o grupo se puede modificar el mismo.

Al modificar un usuario se acceden a los mismos cuadros de diálogoempleados al crearlo salvo que ahora aparece una casilla para cuentasbloqueadas. Si el bloqueo de cuentas está activado en el dominio y el usuarioha fallado el número de veces limitado para ese dominio, esta casilla apareceactivada. Al desactivarla, la cuenta del usuario es desbloqueada.

 

Nota importante: existe una ligera demora al cambiar laspropiedades de un usuario o grupo del dominio, debido a que la base de datos deusuarios del dominio tarda unos minutos en actualizarse en los controladoressecundarios. Se puede forzar la actualización inmediata mediante lasincronización manual de los servidores.

 

Creación de Grupos

Para un NT Workstation (o Server configurado como servidor)el administrador de usuarios permite crear grupos locales, que sólo tienenvalidez en el propio ordenador. El administrador de usuarios para dominiospermite crear dos tipos de grupos: globales y locales.

Los grupos locales pueden obtener permisos en los servidoresdel dominio propio. Pueden ser miembros de los grupos locales los miembros deldominio, los grupos globales del dominio y los grupos globales de otros dominiosen los que se confía. Los grupos globales tienen como miembros a los usuariosdel dominio y se pueden utilizar tanto en los servidores del dominio como en lasestaciones de trabajo del dominio. También se pueden usar en otros dominios enlos que se confía.

Creación de un Grupo Global nuevo.

Para añadir un grupo global nuevo se selecciona el menúUsuario\Grupo Global nuevo y se proporcionan en el cuadro de diálogo el nombredel grupo y una descripción opcional. Podemos además añadir usuarios algrupo.

 

Creación de un Grupo Local nuevo

Para añadir un grupo local nuevo se selecciona el menúUsuario\Grupo Local nuevo y se proporcionan en el cuadro de diálogo el nombredel grupo y una descripción opcional. Podemos además añadir usuarios algrupo.

Usos de grupos locales y globales.

Cuando se crea un dominio el programa de instalación de NTcrea una serie de grupos globales y locales del dominio. También se crea lacuenta del administrador del dominio, y se añade al grupo administradores deldominio.

El grupo administradores que se ha creado permite administrartodos los servidores del dominio. NT añade al grupo local administradores elgrupo administradores del dominio. De igual manera ocurre con el grupo deusuarios e invitados.

Cuando una estación de trabajo es añadida al dominio, NT añadeautomáticamente los tres grupos globales del dominio (administradores, usuarioe invitados del dominio) a los grupos locales correspondientes de la estaciónde trabajo.

Los grupos locales se utilizan para asignar tareas especialesen las estaciones de trabajo o servidores del dominio. Por ejemplo se puedencrear los grupos especiales para trabajar con el recurso como una impresora láseren color, cuyo acceso queremos restringir. Uno lo podemos llamar"Administradores de láser color" y otro "Usuarios de lásercolor". Ahora basta dar permisos de impresión al grupo "Usuarios de lásercolor" y control total al grupo "Administradores de lásercolor".

Para añadir usuarios a estos grupos bastaría añadir algrupo "Administradores de láser color" el grupo "Administradoresdel dominio" y al grupo "Usuarios de láser color" los miembrosdel dominio autorizados a imprimir en ella. Este último paso lo podemos hacerde un medio más eficiente si creamos un grupo global "Usuarios deimpresora láser color" y añadimos este grupo al grupo local"Usuarios de láser color". Para dar permisos de impresión a losusuarios y grupos utilizaremos elAdministrador de Impresión de dicha impresora,accesible desde el menú de inicio Configuración\Impresoras.

Cada usuario en NT debe pertenecer a uno o varios gruposglobales o locales, indistintamente. Los grupos locales se definen en cadaestación de trabajo NT o en cada servidor. Para los servidores hay dos posiblesconfiguraciones : si el servidor está configurado como controlador de dominio,primario o secundario, los grupos locales son los que se definen para todos losservidores controladores del dominio. Es decir, todos los controladores deldominio comparten la misma lista de grupos locales. Para los servidoresconfigurados como servidor, los grupos locales se definen en el propio servidor,del mismo modo en que se hacen con las estaciones de trabajo.

 

La siguiente tabla muestra los grupos de que se pueden crearen NT y los usuarios y grupos que les pueden añadir.

 

Usuarios que se pueden crear en NT Work-

Station y Server ( no controlador de dominio).

Usuarios y grupos que se pueden añadir a los grupos.

Grupos Locales

     

  • Usuarios Locales.

     

     

  • Usuarios del Dominio.

     

     

  • Grupos Globales del Dominio.

     

     

  • Grupos Globales y Usuarios Globales de otros dominios en los que se confia.

Usuarios Locales.

 

 

Usuarios que se pueden crear en NT Server controlador de dominio.

Usuarios y grupos que se pueden añadir a los grupos.

Grupos Locales

 

 

     

  • Usuarios Locales.

     

     

  • Usuarios del Dominio.

     

     

  • Grupos Globales del Dominio.

     

     

  • Grupos Globales y Usuarios Globales de otros dominios en los que se confia.

Usuarios Locales.

 

Grupos Globales.

Usuarios del dominio.

Usuarios del dominio.

 

Administración del plan de seguridad.

En NT se pueden fijar una serie de directivas comunes paratodo el dominio. Entre estas se puede fijar el plan de cuentas para el dominio,que fija propiedades de las cuentas tales como la política de contraseñas, elplan de derechos de usuarios, que permite asignar determinados permisos genéricosa usuarios o grupos del dominio, o el plan de auditoria, que permite activar loselementos del sistema de auditoria en el dominio.

 

Administración del plan de cuentas.

Desde el menú Directivas\Cuentas podemos acceder al cuadrode diálogo "Plan de cuentas".

En este cuadro podemos fijar las limitaciones de las contraseñasy el sistema de bloque de cuentas.

Cuando se ha seleccionado caducidad para la contraseña de unusuario, la contraseña utilizará las opciones elegidas en este cuadro de diálogo.Se puede elegir:

     

  • Duración máxima de la contraseña, en días.

     

     

  • Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseña
  • y vuelva a usar la contraseña antigua.
  • Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres son
  • difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerza bruta". Esto es útil en redes conectadas a Internet.
  • Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.
  • Bloqueo de Cuentas

El sistema de bloqueo de cuentas permite a los controladoresde dominio reaccionar frente a los intentos fallidos de iniciar sesión en eldominio. Si se activa el bloque de cuentas entonces al alcanzarse el numero deintentos especificado la cuenta es bloqueada. Su el número de intentos fallidosno alcanza al especificado, el usuario puede esperar el tiempo fijado en"restablecer cuenta" para poder volver a intentarlo. Fijando porejemplo estos parámetros a 4 intentos y 10 minutos suele bastar para disuadirde accesos no autorizados. Una vez bloqueada la cuenta se puede elegir entredesbloqueo automático o manual, con intervención del administrador deldominio.

También en este cuadro de diálogo se puede seleccionar silos usuarios remotos serán

desconectados de los servidores al acabar su tiempo de conexióny si un usuario debe iniciar sesión en una estación de trabajo para podercambiar su contraseña.

Administración del plan de derechos de usuarios.

Los derechos de usuarios son una serie de permisos que no seaplican sobre un objeto concreto, como un fichero, impresora o directorio, sinoque se aplican al sistema completo. Estos permisos tienen prioridad sobre lospermisos asignados sobre los objetos del sistema. Se pueden asignar a cada tipode derecho de usuario los usuarios o grupos de usuarios a los que se necesiteotorgar ese derecho.

Los derechos de usuarios pueden ser modificados desde elcuadro de diálogo "Plan de derechos de usuarios" accesible desde elmenú Directivas\Derechos de usuarios.

Si se activa la casilla "Mostrar derechos de usuarioavanzados" se pueden ver algunos derechos de usuarios más específicos.Normalmente los derechos de usuario asignados por NT asignan derechossuficientes a los grupos de usuarios creados por NT. Cuando se instalan algunosservicios, como servidores de correo, de Web y similares suele ser necesariocambiar algunos de estos derechos. Los más frecuentes suelen ser:

     

  • Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuario en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También lo usa el servicio de duplicación de directorios.

     

  • Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios que atienden las peticiones de usuarios en forma de transacciones, como por ejemplo servidores POP3 y otros. Actualmente no está implementado en el sistema operativo, pero algunos servicios verifican que el usuario posea este derecho antes de atender su petición.

 

Seguridad

La seguridad en Windows NT es una combinación de técnicasque aseguran un nivel de protección consistente contra los accesos no deseados.Para implementar la seguridad, tendremos que proteger la red, el sistemaoperativo y los datos. Para eso, disponemos de la autentificación de accesopropia de Windows NT, seguridad a nivel de objeto y derechos de usuarios. Parasacar provecho de los más altos niveles de seguridad que permite Windows NT, elnivel de seguridad C2, necesitaremos tanto el hardware como el softwareadecuados. NT dispone de herramientas de auditoría que nos permitirán conocernuestros niveles de seguridad, pero tendremos que tener muy presentes los temasrelativos a la seguridad cuando entran en juego las comunicaciones sobre laInternet. Para estar seguro que estamos protegidos en todos los frentes, nos esnecesario conocer determinadas técnicas.

La seguridad

La seguridad puede ser clasificada en tres diferentes áreasfuncionales: seguridad a nivel de red, seguridad del sistema operativo yencriptación de datos.

-La Seguridad de red ofrece autentificación (verificando queel servidor de datos y que el receptor de los mismos son correctos) yverificando la integridad de la información (de forma que los datos enviados ylos recibidos sean los mismos). Conseguir este nivel de seguridad a nivel de redsignifica haber implementado un protocolo de red, como NetBEUI o TCP/IP,ajustado a las necesidades de la red.

Esos protocolos ofrecen varios niveles de seguridad,rendimiento (conseguidos reduciendo al mínimo la carga derivada de laseguridad), flexibilidad, y disponibilidad sobre múltiples plataformas.

Tras haber definido e instalado una determinadainfraestructura de red, añadir y extender protocolos de seguridad es algo teóricamentemuy simple. Todo lo que necesita es un llegar a un consenso entre los miembrosde su equipo.

-La seguridad a nivel de sistema operativo debe estarintegrada con el mismo desde un buen principio. Si esas funciones básicas deseguridad no han sido implementadas al propio sistema operativo desde unprincipio, implementarlas con posterioridad será casi imposible. Por ejemplo,Microsoft no fue capaz de implementar una seguridad seria a sus versiones de 16bits de Windows tras su fase de desarrollo. Fue necesario un nuevo sistemaoperativo de 32 bits, y un nuevo modelo de programación (la API Win32) parapoder hacerlo. Windows NT dispone de unas robustas funciones de seguridad quecontrola el acceso de los usuarios a los objetos como archivos, directorios,registro de sistema e impresoras.

También incluye un sistema de auditoría que permite a losadministradores rastrear los accesos a los archivos u a otros objetos,reintentos de inicio de sesión, apagados y encendidos del sistema, etc… Encambio, Windows 95 dispone únicamente de un rudimentario sistema de seguridaden el inicio de sesión, y no dispone de seguridad a nivel de objetos.

-Encriptación de datos. Puede operar de distintas formas.Muchas aplicaciones disponen de encriptación por sí mismas. Algunosprotocolos, como SSMTP (Secure Simple Mail Transfer Protocol) soportanencriptación automática. La encriptación ofrecida por terceras compañías,como PGP (Pretty Good Privacy) también está disponible. Incluso Microsoft ha añadidoun sistema de encriptación básico, CAPI (Cryptography API) a la API Win32.

CAPI consiste en un juego de funciones que permiten a lasaplicaciones y a los desarrolladores de sistemas de software acceder de formaindependiente a los servicios de criptografía. NT dispone de un servicio básicode criptografía que nos permite codificar los datos facilitando así elalmacenamiento seguro y una transmisión segura combinando claves públicas yprivadas. El método de encriptación es similar al PGP.

 

Aspectos de la seguridad NT

NT ofrece seguridad en tres áreas fundamentales. Se trata deautentificación en el inicio de sesión, seguridad a nivel de objetos yderechos de los usuarios.

La "Local Security Authority" efectúa validacionesinteractivas y remotas (a través del RAS), inicios de sesión locales yglobales (en dominios) verificándolo contra SAM (Security Account Manager), labase de datos donde se almacenan los nombres de los usuarios y sus contraseñas.La "Local Security Authority" también gestiona los mensajes deauditoría.

El "Security Reference Monitor" verifica si unusuario tiene derecho a acceder a un objeto y ejecutar la acción solicitada.Además, es el responsable de los mensajes de auditoría. Con el diálogopermisos del Administrador de archivos (si se encuentra en NT 3.51) o elExplorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de lamayoría de los objetos. Por ejemplo, la activación y el acceso al objetoservidor del DCOM (en Windows NT 4.0) están completamente integrados con elmodelo de seguridad de Windows NT.

Aparte de la seguridad de los objetos, el NT permitecontrolar, y monitorizar funciones de sistema.

Con el Administrador de usuarios podrá controlar qué cuentade usuario o grupo puede, por ejemplo, añadir estaciones de trabajo a undominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema,iniciar una sesión localmente, gestionar las registros de auditoría yseguridad y cerrar el sistema. La Local Security Authority mantiene laPlanificación de cuentas de usuario.

 

Administración de cuentas: Autentificación de inicio desesión

El NT gestiona tanto a usuarios como máquinas. De forma quedeberá validar a los usuarios autorizados y proveerlos de lo necesario paraacceder al sistema.

A un nivel general, un dominio NT es una colección de máquinas,a las cuales el controlador de dominio administra como si se tratase de una únicamáquina, compartiendo una misma base de datos de seguridad. Dicha base de datosmantiene información de todos los usuarios y grupos de ese dominio. Una cuentade dominio, llamado de otra forma cuenta global, tiene el formatodominio\usuario. Si iniciamos una sesión en una máquina del dominio eintentamos conectarnos a una unidad de red, tendremos que introducir nuestrosdatos con ese formato.

Además de las cuentas de usuarios, cada máquina puededisponer de una base de datos de seguridad local que contendrá la informaciónde los usuarios y grupos de usuarios exclusivos de ese sistema. De hecho, las máquinaslocales funcionan como dominios independientes. Las cuentas de usuarios o gruposen esas máquinas locales tiene el formato maquina\usuario y serán exclusivasde esa máquina.

La herramienta básica para administrar los usuarios y gruposde un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuariospara dominios. Windows NT Workstation incluye una versión reducida de esteprograma y permite la gestión únicamente de esa máquina. En la figura 1podemos ver la pantalla resultante de la ejecución de USRMGR.EXE, la cual puedevisualizar información local y del dominio, dependiendo de si añadimos parámetroso no al ejecutar el programa. Ejecutar USRMGR sin parámetros, gestionará eldominio al cual es usuario esté conectado en ese momento. Si ejecutamos USRMGRnombre_dominio como parámetro, se gestionará ese dominio en concreto, y si seejecuta USRMGR \\nombre_máquina, se gestionarán los usuarios de esa máquinaen concreto.

Cargar los dominios puede ser cuestión de minutos si setrata de organizaciones con muchos dominios, por lo que se agradece a la largala posibilidad de parametrizar y gestionar un dominio o máquina en concreto. Elprograma también permite a los administradores gestionar las relaciones deconfianza de los dominios, de forma que el usuarios del dominio A puedan accedera los recursos del dominio B como si fueran usuarios del segundo.

Un valor único y permanente, el SID (Security Identifier)identifica usuarios individuales y grupos de usuarios. Después de que elsistema asigne un SID, no lo volverá a utilizar, por lo que si por lo que seaborramos un usuario o grupo y más tarde nos vemos en la necesidad de volverlo acrear, se le asignará un nuevo SID. Será necesario volver a reestablecer denuevo los derechos de acceso sobre los objetos para ese nuevo SID.

 

Acceso a través de APIs: Seguridad de objectos

NT asegura la seguridad a nivel de objetos verificando todaslas peticiones sobre los objetos a través de un mecanismo de seguridadintegrado. Muchas de las funciones de la API Win32 disponen de parámetros deseguridad opcionales, y todos los programas que se ejecuten deben utilizar esasAPIs para acceder a los objetos. Si pudiésemos ejecutar el interfaz de mandatosy desde allí copiar, renombrar o borrar archivos sin utilizar esas funciones,la seguridad en Windows NT quedaría más que en entredicho. De hecho, lacapacidad de manipular el hardware directamente desde Windows 16 bits o desde elDOS era el escollo más importante para ofrecer un sistema de seguridad en esosentornos.

Los parámetros de seguridad en las funciones de la API Win32son opcionales, pero normalmente el NT echa mano de ellas cuando un programaaccede a un recurso general de sistema, como por ejemplo, cambiar la hora delsistema. Algunas aplicaciones pueden implementar niveles de seguridad sitrabajan con archivos de usuario o directorios (el impacto sobre el rendimientoes insignificante) pero muchas de las APIs no especifican información deseguridad.

En cambio Windows 95 no tiene en cuenta temas relativos a laseguridad e ignora todos los parámetros de seguridad posibles existentes en laAPI Win32. Esta "ceguera" de Windows 95 frente a Windows NT puedecomportar una sutil diferencia a la hora de programar para un sistema operativou otro. Precisamente, es esta una de las razones por las cuales es convenienteverificar el adecuado funcionamiento de las aplicaciones en ambas plataformas.

Pero implementar seguridad a nivel de APIs también comportaotra sutileza. En aplicaciones Cliente/Servidor, la aplicación servidoracostumbra a controlar el acceso a los objetos. Puesto que la aplicacióncliente, normalmente, no gestiona la seguridad directamente, la aplicaciónservidor se ve a menudo obligado a trabajar como proxy de la parte cliente.También podría despersonalizar al cliente utilizando APIs del tipoImpersonate…() o iniciar una sesión como cliente (si la aplicación servidorconoce el nombre del usuario y su contraseña.

Asegurar los objetos

Además de archivos y directorios, Windows NT controla laseguridad de otros objetos. La API Win32 implementa cinco grupos de funcionesque operan con cinco tipos de objetos distintos.

1. Objetos de archivos y directorios: NT almacena lainformación relativa a la seguridad. Sólo está disponible en volúmenesformateados NTFS.

2. Objetos de usuario (objetos de gestión de ventanas):Estos objetos incluyen los objetos del escritorio y las ventanas. Estos objetosde usuario residen siempre en memoria y nunca son salvados a disco (no sonpersistentes).

3. Objetos del Kernel: El kernel del Windows utiliza estosobjetos, entre los que se incluyen procesos, hebras, semáforos y"mutes". Al igual que los objetos de usuario, tampoco sonpersistentes.

4. Objetos de servicio: Estos objetos, entre los que seincluyen todos los servicios que podamos encontrar en el icono Servicios delPanel de Control, se encuentran bajo el control del SMC (Service ControlManager) y tampoco son persistentes.

5. Objetos privados: Los programas de las aplicaciones puedenimplementar y deben mantener su propia seguridad, siendo los objetos privadoslos encargados de interactuar con el sistema de seguridad de la API Win32. Porejemplo, un sistema de base de datos, como SQL Server, puede necesitar almacenarinformación de seguridad internamente y utilizar la validación de usuarios pordominios del NT. El Registro es una implementación Win32 de esos objetosprivados. La información relativa a la seguridad está almacenada en elRegistro del Sistema.

Un SD (Security Descriptor) describe los atributos deseguridad de cada objeto susceptible de ser protegido. Estos atributosidentifican el propietario del objeto y dos ACL (Access Control List), una parael acceso al objeto propiamente dicho y otro para las funciones de auditoría.La ACL para el acceso a los objetos se llama DACL

(Discretionary Access Control List) e incluye varias entradasde control de acceso (ACE,

Access-Control Entries). Cada ACE identifica un SID y si esaccesible o no. La otra ACL es la SACL (System Access Control List) la cualcontrola la auditoría de eventos.

Los derechos de los usuarios

Además de los derechos de acceso, los cuales estánasociados con los objetos, Windows NT implementa también privilegios. Paraasignar derecho a objetos, utilizaremos el Administrador de archivos o elExplorador, dependiendo de la versión de Windows NT. Para asignar privilegios,utilizaremos el Administrador de Usuarios. Los privilegios forman parte delidentificador que se asigna al usuario cuando inicia una sesión en el sistema.Es el Sistema Operativo quien determina los privilegios de los usuarios, y nolas aplicaciones. En la Tabla 1 podemos ver los privilegios que son reconocidospor NT 4.0.

Los privilegios son siempre fuente de frustración. ¿Se haencontrado alguna vez que tras crear una cuenta de usuario, al intentar iniciaruna sesión local con ese perfil, ha recibido el mensaje "las directivaslocales de este sistema no le permiten iniciar una sesión interactiva"?Por defecto, NT asigna los nuevos usuarios al grupo de Usuarios, pero estegrupo, también por defecto, no dispone de permisos para iniciar una sesiónlocal.

Con Microsoft Internet Information Server (IIS), nos podemosencontrar con un problema similar.

La cuenta de usuario predefinida IUSR_maquina, es una cuentalocal con unos pocos privilegios, de forma que no puede ser utilizada de iniciode sesión anónimo si se especifica autentificación básica HTTP.

Si echa un vistazo con detenimiento a USRMGR.EXE, verá elgrupo "Todos" bajo la opción "Acceder a este ordenador desde lared", aunque este grupo no aparezca después como tal. NT define un grupode SID, como Todos o Interactivo para ayudar así al administrador de la red conlos más frecuentes derechos de acceso.

En general, los privilegios sobreescriben la seguridadindividual de los objetos. Un ejemplo de esta sobreescritura se da cuando unadministrador de copias de seguridad cambia el indicador (o "flag") atodos los archivos de un volumen. Sin los correspondientes privilegios, eladministrador tendría que añadir otro ACE a cada archivo para que el programade copias de seguridad pudiera modificar sus indicadores. Si añadimos un nuevoSID al grupo Todos, la seguridad del NT no tendrá que verificar si tienederechos o no, por lo que determinadas operaciones se ejecutarán más rápido.

Acceso a travez de RAS ( remote access sevice )

 

El Windows NT RAS ( remote access service ) o servicio deacceso remoto implementa un número de medidas de seguridad para validar accesoremoto de un cliente a la red.

En algunas ocasiones conectarse a la red a través de un RASes más seguro que acceder a través de una colección local.

El Windows NT Server provee para empresas un método deseguridad usando un dominio confiable. Este método elimina la necesidad deduplicar las cuentas de usuario trabajando en redes de múltiple server. ElSingle-Network modelo de logearse se extiende para usuarios de RAS.

El servidor de usuarios RAS utiliza la misma base de datospara las cuentas de usuario que el Windows NT. Esto permite una administraciónmás fácil, porque los clientes se pueden logear con la misma cuenta de usuarioque usan en la oficina esta característica asegura que los clientes tengan losmismos privilegios y permisos que normalmente tienen en la oficina.

Para conectarse a un servidor RAS, el cliente debe tener unacuenta de usuario válida, así como un permiso de discado RAS.

Los clientes deben ser auténtificados por el RAS antes deque ellos intenten logearse al Windows NT.

Encriptado automático y proceso de logeo.

Todas las autentificaciones e información de logeo, sonencriptadas cuando se transmiten a través del RAS. De todas formas comocomplemento, es posible configurar el discado de la red (Dial-up-Networking ) yel RAS, para que todos los datos que pasan entre un cliente y un servidor seanencriptados.

 

Hosts de seguridad intermedia

 

Es posible agregar otro nivel de seguridad a la configuraciónde un RAS mediante la conexión de una tercer pared intermediaria de seguridadde un Host, entre el cliente/s de un RAS y el RAS del servidor/es. Cuando unHost de intermediario de seguridad es usado, los clientes deben tipear una claveo un código para pasar el dispositivo de seguridad, antes de que una conexiónse establezca con el servidor RAS.

 

Seguridad C2

De acuerdo con la TCSEC (Trusted Computer System EvaluationCriteria) publicado por la NCSC (National Computer Security Center), laseguridad C2 requiere una específica combinación y configuración de softwarey hardware. NT no es "per se" un sistema operativo que cumpla con elnivel C2 de seguridad, pero podemos hacer que lo sea. Microsoft diseñó estaposibilidad dentro del modelo de seguridad del NT desde los primeros momentos.El nivel C2 de seguridad requiere lo siguiente:

• Cada recurso tiene un propietario que debe controlar elacceso al recurso.

• Cada usuario debe iniciar la sesión con un identificador y contraseña exclusivos antes de poder acceder al sistema.

• El sistema monitoriza toda actividad de los usuarios.

• Los administradores de sistema deben auditar los eventos relativos a la seguridad del sistema, y el acceso a los datos de auditoría deben ser seguros.

• El sistema debe poder protegerse a sí mismo deinterferencias externas.

El Resource Kit de Windows NT incluye el programa C2CONFIG.EXE (C2 Configuration Manager), que verifica que el sistema cumpla con los requisitos C2, de la forma en que podemos verlo en las figuras 2 y 3.

Auditoría de eventos

La auditoría nos puede descubrir intentos de acceso noautorizados. Tendría que buscar un equilibrio entre los costes y los beneficiosderivados de la utilización de la auditoría. Los costes incluyen el impacto enel rendimiento del sistema y en el espacio del disco, además de los esfuerzosque significan escarbar entre grandes cantidades de transacciones, intentandoencontrar información interesante.

La herramienta básica de auditoría de Windows NT es elVisor de Eventos. Nos permite auditar accesos a objetos tanto fallidos comoefectuados, además de los eventos relativos a los derechos de los usuarios. Eldiálogo Auditoría en el Explorador del NT, por ejemplo, permite controlareventos de lectura, escritura, ejecución, borrado, cambio de permisos yadjudicación de propiedad del objeto y del directorio. En la figura 4 podemosver la información que ofrece el registro de eventos.

Con el programa USRMGR.EXE podemos activar o desactivar laauditoría sobre inicios y fin de sesión, acceso a objetos y archivos, uso delos permisos de los usuarios, gestión de usuarios y grupos, cambios en ladirectivas de seguridad, reinicialización y apagado del sistema y rastreo delos procesos del mismo. Obviamente, si no asigna a ningún usuario derechos para"Administrar los registros de auditoría y seguridad" (vea la tabla 1para la lista de derechos), no podrá cambiar nada.

Seguridad e Internet

A diferencia del bien definido sistema de seguridad del NT,el modelo de seguridad de Microsoft respecto a Internet se encuentra sometido alcontinuo proceso de cambio al que a su vez se encuentra la misma Internet. ElISF (Internet Security Framework) es hoy por hoy más un compendio de protocolosque una definición de normas de seguridad.

ISF ofrece diversos protocolos de red especializados sobre elestándar de criptografía CAPI de Microsoft y sobre lo que Microsoft denominaAuthenticode, un sistema de verificación por firma de objetos instalables, quegarantizan que estos módulos u objetos no han sido manipulados y que tienen unautor determinado que de alguna forma, responde de la actuación de dicho objetosoftware. Para más información acerca de Authenticode, veahttp://www.microsoft.com/intdev/signcode.

Los protocolos IFS incluyen:

• PPTP (Point to Point Tunneling Protocol), el cual permiteestablecer redes seguras sobre segmentos de redes inseguras, creando líneasseguras virtuales.

• SSL (Secure Sockets Layer) y su versión ampliada PTC(Private Communications Technology) que ofrecen autentificación de servidores,encriptación e integridad de datos.

• SET (Secure Electronic Transaction) que permiteautentificación y confidencialidad de tarjetas de crédito, vendedores yclientes. SET dispone de un amplio soporte por parte de la industria (Microsoft,IBM, Netscape, etc…) y las últimas especificaciones están disponibles en lossitios web de VISA (http://www.visa.com) y Mastercard(http://www.mastercard.com)

• PFX (Personal Information Exchange) que transfiereinformación personal entre ordenadores y plataformas.

ISF encripta todos los paquetes de la red. De todas maneras,las aplicaciones pueden disponer de funciones de encriptación adicionales. Porejemplo, con el código que Microsoft ha licenciado de Nortel (antes NorthernTelecomm) y de RSA, Microsoft Exchange puede proteger el correo electrónico confirma/encriptación. La versión estadounidense de MS Exchange también puedeutilizar encriptaciones de 56 bits o hasta encriptaciones de 64 bits. Otrasversiones, como la española, únicamente pueden utilizar encriptación de 40bits.

Accidentes

NT emplea una variedad de tecnologías para mantener laseguridad. La naturaleza de las aplicaciones actuales, cada vez másdistribuidas, además del crecimiento de las comunicaciones externas fuera de laempresa (el método más frecuente, la Internet), complican sobremaneradeterminar qué es seguro y qué no. Aunque cada situación en concreto disponede el método más adecuado, es necesario conocer qué soluciones estándisponibles en el mercado en cada momento, de forma que podamos proteger nuestrosistema antes de que nos pase.

 

Microsoft Exchange

La principal característica del cliente de Exchange es quecombina una interfaz única de usuario para correo electrónico, comparticiónde información, acceso a Internet, proceso de textos, fax, etc.y éste espersonalizable y extensible.

Exchange define dos tipos de carpetas de información:Personal Folders y Public Folders.

Los Personal Folders o carpetas personales se usan paraalmacenar mensajes y documentos que el usuario no desea compartir con los demásmiembros de la organización. Las carpetas personales pueden residir tanto en elservidor de Exchange como en el disco duro local de la máquina del usuario o encualquier otro servidor de ficheros de la red.

Los Public Folders o carpetas públicas son almacenados en elservidor de Exchange y proporcionan la capacidad de que todos o determinadosmiembros de la organización puedan compartir todo tipo de información:mensajes, documentos o aplicaciones. Una carpeta pública es una aplicación deltipo de una BBS (Bulletin Board Service) a la cual varios usuarios puedenacceder e interactuar con la información.

Este tipo de aplicaciones pueden ser diseñadas en Exchangesin necesidad de programar; los usuarios simplemente seleccionan opciones desdeventanas de diálogo que describirán el tipo de información y como ésta va aestar organizada.

Además del sistema de organización por carpetas, el Clientede Exchange proporciona nuevas características que facilitan tanto el acceso,como la visualización y organización de la información.

Cuando instala Microsoft Exchange Server 5.0, el soporte dePOP3 (Post Office Protocol 3) esta activado de forma predeterminada, permitiendoa los clientes POP3 recuperar su correo electrónico tan pronto como seconfigura el servidor.

La administración del POP3 se encuentra completamenteintegrada con la del Exchange Server, proporcionando una única e intuitivainterfaz de administración centralizada. El servicio de Internet Mail puedeservir de guía para los administradores principiantes para configurara elprotocolo SMTP.

Las actividades de monitoreo se realizaran integradas con losmensajes de Exchange, el Visor de Eventos y el Monitor de rendimiento queWindows NT Server 4.0 provee.

La característica Key Manager Server de Exchange 4.0 hapermitido que los usuarios de una empresa puedan intercambiar mensajes firmadosy encriptados para proteger su seguridad, confidencialidad y autenticidad.

Sin embargo, la transferencia de correo electrónico a travésde Internet ha resultado mucho menos segura, pero con Exchange Server 5.0, esposible intercambiar individualmente claves y certificados de seguridad, inclusoentre empresas diferentes, lo que permite intercambiar mensajes firmados yencriptados en forma segura a través de Internet.

Microsoft diseño Exchange Server 5.0 para la satisfacciónde las necesidades de correo electrónico de los clientes internacionales alincluir los juegos de caracteres para los lenguajes:

Swedish IA5

Norwegian IA5

Latin-1 (ISO ((%)-1)

Japan-JIS (ISO -2022-JP) per RCF 1468

Japan EUC

Japan Shift-JIS

Korean (RCF 1557)

Chinese GB 2312 (RFC 1842)

Taiwanese (BIG5) (RFC 1842)

 

Exchange Server 5.0 amplia más estas opciones incluyendo masde 30 juegos de caracteres configurados durante la instalación. Además losadministradores podrán seleccionar una fuente de tamaño proporcional o fijo encada uno de los mensajes entrantes.

El soporte de RFC 1521 permite agregar a los mensajes unaetiqueta de juego de caracteres y con RFC 1522 se puede especificar la informacióndel encabezado, como por ejemplo las direcciones de correo electrónico yasuntos.

 

FTP

La mayoría de las veces cuando pensamos en Internet pensamosen el Word Wide Web, pero uno de los servicios más interesantes para unaaplicación es el File Transfer. Por medio de este servicio podemos construir unsistema de actualización automática de nuestro software, recepción de pedidosde nuestros clientes o recogida de informes desde oficinas remotas. Lasposibilidades son muchas y no es muy complicado.

 

Servidores y Clientes FTP

Como la mayoría de los protocolos de Internet el FTPrequiere la existencia de un servidor que nos permita recoger (y en algunoscasos enviar) ficheros desde un cliente. También, como la mayoría deprotocolos de Internet, el servidor FTP sólo actúa bajo las peticiones delcliente y no es posible enviar un fichero si este no ha sido solicitado.

Para nuestro sistema necesitaremos utilizar un servidor FTP.La mayoría de los servidores FTP públicos de Internet sólo permitenconexiones anónimas para extraer ficheros y no permiten recibirlos. Si queremosaprovechar todas las posibilidades deberemos hacernos con un servidor FTP.

Windows NT trae dos servidores FTP, el incorporado dentro desus servicios TCP/IP y el incluido con el servidor Microsoft InternetInformation Server. Existe una buena colección de servidores FTP para WindowsNT.

En el mundo de los programas comerciales, shareware yfreeware existen algunos servidores FTP para Windows 95 excelentes. Deberemospensar en alguno de ellos si queremos utilizar Windows 95 como un servidor FTP másallá de unas pocas peticiones.

Windows NT y Windows 95 disponen de un cliente FTP por mediode órdenes de comando. Este cliente es muy similar al que se dispone en lamayoría de los sistemas UNIX, pero bastante pobre para los usuariosacostumbrados a la interface gráfica, que preferirán hacer uso del Browser deWWW como cliente FTP. Otra posibilidad es utilizar algún programa FTP gráficoshareware y freeware como CuteFTP o WsFTP, programas muy difundidos entre losusuarios de Internet.

 

Usuario y Password

En FTP, a diferencia de otros protocolos, entre el servidor yel cliente se establece una sesión en la que se permite al cliente, dependiendode su usuario y password, acceder a unos determinados ficheros y/o directorios,en sólo lectura o en escritura y lectura. No es posible realizar una sesiónFTP sin una identificación de usuario. La mayoría de los servidores deInternet permiten el acceso de un usuario llamado anonymous cuya password essimplemente la dirección de correo del que se conecta (en la práctica puedeser cualquier cosa) que permite acceder a la parte pública del servidor.

Deberemos tener clara una cierta política de usuarios sitenemos intención de recibir ficheros en un servidor FTP, pues no sería buenaidea dar al usuario anonymous estos privilegios. Si sólo va a servir ficheroses posible utilizar únicamente este usuario genérico.

 

La orden FTP

Como hemos dicho, Windows 95 y Windows NT disponen de unaorden FTP en modo comando que nos permite realizar todas las operaciones delcliente FTP. Para arrancarlo debemos abrir una ventana de Interfaz de Comando(DOS) y escribir simplemente FTP. Nos aparecerá una especie de símbolo delsistema con el texto ftp>. Una vez en este punto podemos escribir ordenesFTP.

ftp> open ftp.server1.es

Connected to ftp.server1.es.

220 server1 Microsoft FTP Service

User (ftp.server1.es:(none)): anonymous

331 Anonymous access allowed, send identity (e-mail name) aspassword.

Password:

230-Windows NT FTP Service.

230 Anonymous user logged in as anonymous.

ftp> binary

200 Type set to I.

ftp> get parche.exe

200 PORT command successful.

150 Opening BINARY mode data connection for parche.exe(48790bytes).

226 Transfer complete.

48790 bytes received in 1,43 seconds (34,12 Kbytes/sec)

ftp> quit

221 Bye.

Se pueden observar algunas de las ordenes comprensibles porel cliente FTP para conectarse (OPEN), configurar (BINARY) o recibir losficheros (GET). Es importante fijarse en la necesidad de configurar latrasferencia como binaria si vamos a trasmitir un fichero que no sea sólotexto.

Desde un programa como FoxPro 2.x o Visual FoxPro podemosutilizar este sistema con un fichero en el que pasamos las operaciones quedeseamos realizar y uno de los parámetros que este programa admite en Windows95 y en Windows NT.

RUN FTP -s:fichero.ftp >resultado.txt

Aquí se puede ver un programa FoxPro que baja el fichero conel índice de la Knowledge Base de FoxPro del servidor FTP de Microsoft:

*** Construir el fichero para ftp

SET ALTERNATE TO indexkb.ftp

SET ALTERNATE ON

SET CONSOLE OFF

? "open ftp.microsoft.com"

? "anonymous"

? "usuario@servidor.es"

? "cd /developr/fox/kb"

? "get index.txt"

? "quit"

SET CONSOLE ON

SET ALTERNATE OFF

SET ALTERNATE TO

*** Llamar al comando ftp

RUN ftp -s:indexkb.ftp >resultado.txt

Al ejecutar este programa se muestra una ventana dondeaparecen las distintas órdenes que hemos pasado. Desde luego no es un sistemamuy elegante, pero funciona. Podríamos mejorarlo haciendo que la ventana decomandos no se visualizara, leyendo de un fichero el resultado de la orden, etc.De todas formas está es la forma más sencilla, y posiblemente más formativa,de utilizar el FTP.

Cada cliente FTP permite incluir más o menos órdenes, perolas principales están en todos los programas. Para saber más sobre la ordenFTP y sus posibilidades se puede consultar el comando por medio del parámetro/? o desde su prompt por medio de la orden HELP.

 

Trabajo enviado por:

Facundo Pellegrini

fpellegrini@logitron.com.ar

Articulos relacionados:
Sistemas Operativos
Resumen:
Sistema Operativo (SO). MS-DOS. Windows NT Server. Windows 98. Windows XP. Windows 95. Un sistema operativo es un programa que actúa como intermediario entre el usuario y...
Modelamiento matemático y diseño de un neurocontrolador DBP para un reactor CSTR (pdf)
Resumen:
Esta investigación tiene por objetivo el modelamiento matemático de un reactor químico continuo CSTR en el cual se desarrolla una reacción exotérmica (saponificación de a...
MS Windows y MS-DOS
Resumen:
Hace aproximadamente un mes la empresa Microsoft lanzó al mercado su última versión del sistema operativo que es utilizado en más de 100 millones de computadoras del mund...
Administración de procesos - Sistemas operativos
Resumen:
Procesos. Implantación de los procesos. Comunicación entre procesos. Instrucción TSL. Planificación de procesos. Colas múltiples. Procesos ligeros. Señales. El siguiente ...
Propuesta del proyecto consola de radio/tv en linux debian etch
Resumen:
Históricamente las computadoras nacieron con propósitos científicos y posteriormente se utilizaron también para el comercio. Pero en la actualidad las cosas han cambiado,...
Copyright © 2011 ilustrados.com, Monografias, tesis, bibliografias, educacion. Tofos los temas y publicaciones son propiedad de sus respectivos autores ©