Debido a su diseño Windows NT es un sistema que apuesta por la seguridad y que ha llegado a obtener el certificado de seguridad C2, sin embargo ningún administrador debe perder de vista que una vez acabada la instalación aun queda un buen trecho por recorrer para llegar a un grado respetable de seguridad, aquí tienes un pequeño croquis que te ayudará a no perderte. No obstante para conseguir un mayor grado de seguridad debes recurrir a manuales especializados en el tema y no perder de vista lo que vayamos publicando en estas paginas, para llegar al nivel de C2 existe una utilidad en el “Kit de Recursos de Windows NT 4.0” que nos permite chequear a fondo nuestro sistema. Y sobre todo no te duermas nunca en los laureles.
No recomiendo a nadie tener una sola unidad de disco duro en un servidor, es más aconsejable tener dos o tres dispositivos, si sólo tenemos un disco de gran capacidad os animo a crear varias particiones. Tener más de un dispositivo puede ayudarnos en el momento en que uno de ellos decida fallar, perderemos menos información y siempre podremos mover esta a otro disco antes de un desastre total, en sistemas críticos tendremos implementar el nivel adecuado de RAID. Por lo que respecta a las visitas indeseadas el tener varias unidades (físicas o lógicas) dificultará el movimiento del posible intruso, pues una vez que acceda a una unidad podrá moverse por esta con relativa facilidad, sin embargo el salto de una unidad a otra es algo más complicado. En principio recomiendo tres particiones/unidades distintas:
·
Unidad de sistema: será nuestra unidad de arranque (C:), contendrá el
directorio raíz de Windows, las aplicaciones de sistema y archivos críticos
para el administrador (registro de actividades, información de usuarios,
utilidades de diagnóstico...). Es muy importante restringir al máximo los
permisos en esta unidad, puedes leer una configuración idónea en la sección
compartir y permitir.
·
Unidad de usuarios: incluiría las carpetas personales, los datos comunes y los
archivos para instalar aplicaciones, aunque los contenidos son de naturaleza
dispar tienen una importante característica común: los usuarios habituales de
nuestro sistema necesitan acceder a ellas constantemente. Se darán los permisos
necesarios a nuestros usuarios y se denegarán al resto de los mortales.
· Unidad de uso público: contendría todos los archivos accesibles desde el exterior: ftp publico, paginas html de nuestro servidor web, etc. Todo el mundo tendrá acceso aquí pero es importante que los permisos sean de sólo lectura.
Si queremos seguridad no
podemos dudarlo, NTFS es nuestro sistema de archivos. Aunque lo más lógico es
elegirlo durante la instalación, no debemos olvidar que la conversión de FAT a
NTFS puede realizarse en cualquier momento usando el comando convert
convert
unidad: /fs:ntfs
NTFS implementa seguridad a nivel de archivo, cada archivo o directorio posee su lista de control de acceso (ACL) y "sabe" en todo momento quien tiene derechos sobre él, permitiéndonos hilar muy fino con los permisos. Por el contrario el sistema FAT carece totalmente de gestión de seguridad, una vez que un intruso entre en nuestro sistema todos los archivos estarían a su alcance, además nuestros propios usuarios podrían acceder o borrar con total impunidad cualquier archivo del sistema.
Existen tres cuentas de usuario que no podemos perder de vista:
·
Administrador, root, supervisor y otras sencillas variaciones: la cuenta
favorita de los piratas informáticos, garantiza acceso total al sistema, no se
bloquea al pasarle un diccionario de claves y existe forzosamente en el sistema.
Por razones obvias te aconsejo bloquear esta cuenta y crear uno o dos usuarios
con derechos de administrador y un nombre que pase desapercibido.
·
Invitado: esta cuenta también se crea por defecto durante la instalación y
suele asignársele una sencilla clave para uso y disfrute de filibusteros y
curiosos, el único consuelo es que suele tener pocos privilegios, aún así lo
mejor es bloquearla y crear otra del mismo estilo sólo si realmente la
necesitamos.
· Todos: el nombre de este grupo quiere decir todos, o sea, TODOS, CUALQUIERA, EL PRIMERO QUE LLEGUE. Es muy peligroso y para colmo al instalarse NT resulta que "todos" tienen permiso sobre todo, vamos un desastre absoluto. Elimina este grupo cuanto antes y si necesitas algo parecido crea un nuevo grupo con otro nombre.
Los usuarios con derechos de administrador deben tener dos cuentas distintas, una de uso administrativo y otra para tareas generales. Usa la cuenta con privilegios de administrador sólo cuando tengas que realizar en tu servidor trabajos que requieran dichos privilegios. Para tu trabajo cotidiano debes usar siempre una cuenta de usuario normal, de esta manera podrás minimizar el impacto causado por errores accidentales, infecciones de virus o ataques al sistema.
Tras el rimbombante nombre de "política de cuentas" se esconde un concepto que es de vital importancia para la seguridad del sistema, podemos resumir este concepto haciéndonos la siguiente pregunta: ¿qué voy a permitir a mis usuarios hacer con sus cuentas y sus claves?.
NT nos permite un amplio
abanico de posibilidades para no perder de vista las cuentas en nuestro sistema
aquí tienes algunas de las opciones más interesantes que puedes configurar
desde el administrador de usuarios, concretamente en el menú
“directivas/cuentas”:
·
Duración de contraseña: es recomendable que acostumbres a tus usuarios a
cambiar de clave periódicamente por si alguna cuenta es pirateada, suele
recomendarse una vez al mes pero esto dependerá del grado de seguridad
requerido o la frecuencia de intrusiones.
·
Longitud de contraseña: para evitar la captura de claves no es recomendable
usar palabras cotidianas ni siglas o cifras relacionadas con el usuario, el
sistema, la fecha actual, el lugar de trabajo, etc. Si usamos combinaciones
alfanuméricas de corta longitud quedamos expuestos a un ataque de fuerza bruta
que consiste en generar combinaciones hasta que coincidan con la nuestra,
recomiendo para empezar una clave de 9 caracteres que contenga cifras, letras y
signos de puntuación. Si necesitamos máxima seguridad es interesante saber que
una clave de 14 caracteres con cifras, letras, signos y caracteres extendidos
puede darle a un Pentium Pro 200 trabajo para unos veinte años.
· Bloqueo de cuentas: nos permite bloquear una cuenta después de cierto número de intentos incorrectos, con esto evitamos que puedan reventarnos una clave usando un diccionario o un generador de claves. Tenemos la opción de que la cuenta se restablezca pasado un tiempo o dejarla bloqueada hasta que intervenga el administrador.
Otras opciones para evitar el uso indebido de cuentas aparecen en las propiedades de la cuenta de cada usuario, son las siguientes: limitar el horario de uso de la cuenta, permitir al usuario iniciar sesión sólo desde ciertas máquinas y ponerle fecha de caducidad a las cuentas.
Durante la instalación de NT
se asignan por defecto permisos de control total a todos lo usuarios sobre todos
los ficheros, esta peligrosa situación debe ser modificada por el administrador
antes de que alguien cause un desastre en el sistema, aquí tienes el
procedimiento correcto para configurar los permisos de acceso en la unidad de
sistema.
Configura
la unidad completa, incluyendo subdirectorios y archivos, con los siguientes
permisos:
|
Administrador |
Control total |
|
Sistema |
Control total |
|
Usuarios |
Sólo lectura |
A
continuación modifica los permisos en el directorio
%systemroot%\system32\config , incluyendo de nuevo subdirectorios y archivos:
|
Administrador |
Control total |
|
Creador propietario |
Control total |
|
Sistema |
Control total |
|
Usuarios |
Adición |
El directorio donde se
almacenen los archivos temporales debería configurarse así:
|
Administrador |
Control total |
|
Creador propietario |
Control total |
|
Sistema |
Control total |
|
Usuarios |
Adición |
El resto de archivos y
directorios debe ser configurado por el administrador a tenor de las necesidades
de las aplicaciones y los usuarios, algunas aplicaciones necesitarán que los
usuarios tengan permiso de escritura en el directorio de la aplicación.
La primera vez que instalé NT me armé un lío grandísimo con los permisos de los recursos compartidos y los permisos de fichero, siempre me las apañaba para colocar sin darme cuenta permisos contradictorios de manera que mis usuarios nunca podían acceder a lo que necesitaban y tenían control total sobre lo que no debían. Si eres un recién llegado ten cuidado, debes tener claro que cuando estos permisos entren en contradicción siempre se impondrá el más restrictivo y si quieres un buen consejo asigna los permisos sobre los recursos compartidos a grupos generales del sistema para luego afinar más con los permisos de archivos y directorios.
NT se caracteriza por ofrecer
una amplia variedad de protocolos y servicios de red que hacen de el un sistema
versátil y con capacidad de integración en diversos entornos de red, esta
profusión puede volverse contra nosotros. Planifica y decide que protocolos
necesitas en tu red y elimina desde el icono red del panel de control aquellos
que no vayas a usar.
Nota: los sistemas operativos de Microsoft utilizan para comunicarse entre si la interfaz NetBIOS, ésta a su vez debe ir sobre otro protocolo de inferior nivel que puede ser uno de los siguientes: NetBEUI, IPX/SPX, TCP/IP; es por ello que hablaremos de NetBIOS sobre TCP/IP o NetBIOS sobre NetBEUI. Otras aplicaciones y servicios acceden a la red utilizando directamente IPX/SPX o TCP/IP pero sin utilizar NetBIOS.
Aquí tienes algunas situaciones frecuentes:
· Pequeña red LAN sin acceso a Internet y sin intra o extranet: si tenemos clientes basados en DOS o algún equipo usando LAN Manager necesitamos forzosamente NetBIOS sobre NetBEUI, si además tenemos algún servidor Novell también necesitamos IPX/SPX aunque no necesitamos activar el enlace de NetBIOS sobre IPX/SPX. Si los clientes son todos NT, 95 o Windows 3.x lo más recomendable es NetBIOS sobre IPX/SPX y de paso tendríamos acceso a Novell.
· Redes LAN con Internet, intranet o extranet: necesitamos claramente TCP/IP, si queremos seguridad podemos usar NetBIOS sobre IPX/SPX y no activar el enlace NetBIOS-TCP/IP, si tenemos clientes DOS o LAN Manager vamos a necesitar NetBEUI en cuyo caso podríamos quitar IPX/SPX. Otra opción es usar NetBIOS sobre TCP/IP y filtrar en nuestro router los puertos 135 a 139 o usar un cortafuegos.
· Redes WAN: se hace necesario NetBIOS sobre TCP/IP, debemos eliminar el resto de los protocolos si no son estrictamente necesarios. Si queremos seguridad debemos implementar cortafuegos en nuestra red.
Con los servicios de red nos enfrentamos a la misma cuestión que con los protocolos, tenemos muchos disponibles pero sólo hemos de implementarlos si realmente los necesitamos, sabemos como funcionan y conocemos las repercusiones que puedan tener sobre la seguridad de nuestro servidor. Si queremos probar algún servicio que no dominemos debemos instalarlo en un entorno aislado y someterlo a todos los ataques que conozcamos y algún otro que se nos ocurra, cómo por ejemplo ver que carga de trabajo puede soportar sin dejar colgado el sistema.
No entraremos de momento en detalles pero no quiero dejar de advertir que en este sentido los servicios con los que tenemos que tomar más precauciones son todos los basados sobre TCP/IP: FTP, SMTP, POP, HTTP, etc.
Procura además que tus servicios no den al visitante información sobre el sistema operativo, el servicio que estamos usando o cualquier característica de nuestro sistema que no sea estrictamente necesaria para el usuario y pueda ser sabiamente explotada por un intruso.
Si en cualquier otro contexto hablamos de seguridad, el primer concepto que nos viene a la cabeza es el de vigilante. Por muchas medidas de seguridad mecánicas y electrónicas que se implanten la presencia humana siempre (ejem) es una garantía de respuesta ante lo imprevisto.
Este es el papel que juega en NT el concepto de auditoria. En ciertos lugares estratégicos colocamos un vigilante que nos va haciendo un informe de todos las incidencias que se produzcan, más tarde revisamos estas listas y tomamos las decisiones oportunas, la herramienta que nos ayudará a estar al tanto de todo lo que ocurre en nuestro sistema minuto a minuto es el visor de sucesos. Recomiendo a todos los administradores de red colocar un acceso directo a esta utilidad en el menú de inicio, de manera que al llegar cada mañana lo primero sea echar un vistazo a todo lo que ha ocurrido en nuestra ausencia.
Debemos activar las auditorias
de todos aquellos recursos susceptibles de ser manipulados indebidamente o de
generar errores críticos, normalmente podremos hacerlo desde cada recurso,
editando sus propiedades y eligiendo la solapilla de auditoria. Aquí tienes los
que considero más importantes:
· Accesos al sistema (correctos o erróneos)
· Accesos erróneos a archivos.
· Cambios en el plan de seguridad.
· Problemas de impresión.
·
Entradas a través de RAS (correctas o erróneas).
En general cualquier servicio es susceptible de ser auditado (mail, ftp, web y todos los mencionados arriba) sin embargo siempre habremos de buscar un equilibrio entre la cantidad de sucesos auditados y los recursos del sistema, esto ya queda a discreción del administrador.
Si sigues los consejos
anteriores vas a poder dormir plácidamente durante un tiempo, sin embargo cada
día se descubren nuevos agujeros de seguridad incluso en los sistemas más
fiables, es importante mantenerse al día sobre este tipo de noticias,
plantearnos los riesgos que implica la instalación de nuevos servicios en
nuestra red y revisar que todas las puertas estén cerradas tan a menudo como
nos sea posible. Valor y .... al loro.
La información recopilada en este artículo proviene de la ayuda en línea de Windows NT, hemos pensado que sería interesante reunirla en un solo texto, debido a la utilidad y versatilidad que presentan estos comandos.
Muchos comandos de red de
Windows NT empiezan por la palabra net. Estos comandos net tienen algunas
propiedades en común:
·
Puede ver una lista de todos los comandos net disponibles si escribe net/?
·
Puede obtener ayuda sobre la sintaxis en la línea de comandos para un comando
net si escribe net help [comando]. Por ejemplo, si desea ayuda sobre el comando
net accounts, escriba net help accounts.
· Todos los comandos net aceptan las opciones /yes y /no (se pueden abreviar a /y y /n). La opción /y responde automáticamente `sí’ a cualquier mensaje interactivo que genere el comando, mientas que /n responde `no’. Por ejemplo, net stop server suele pedirle que confirme que desea detener todos los servicios que dependen del servicio Servidor; net stop server /y responde automáticamente `sí’ al mensaje y se cierra el servicio Servidor.
Actualiza la base de datos de
cuentas de usuario y modifica los requisitos de contraseña e inicio de sesión
para todas las cuentas. El servicio Inicio de sesión de red debe estar en
ejecución en el equipo para el que desee cambiar los parámetros de cuenta.
net
accounts [/forcelogoff:{minutos | no}] [/minpwlen:longitud] [/maxpwage:{días |
unlimited}] [/minpwage:días] [/uniquepw:número] [/domain]
net
accounts [/sync] [/domain]
Escriba net accounts sin parámetros
para presentar en pantalla las configuraciones actuales de contraseña,
limitaciones de inicio de sesión e información de dominio.
Establece el número de minutos
que transcurrirán antes de que se dé por finalizada una sesión de usuario en
un servidor tras el vencimiento de la cuenta de usuario o el tiempo válido de
inicio de sesión. Con la opción no se impide que se produzca un cierre de sesión
forzado. El valor predeterminado es no.
Cuando se especifica la opción
/forcelogoff:minutos, Windows NT envía una advertencia minutos antes de forzar
la salida del usuario de la red. Si hay algún archivo abierto, Windows NT
advierte al usuario. Si minutos es menor que dos, Windows NT indica al usuario
que cierre la sesión de red inmediatamente.
Establece el número mínimo de
caracteres para la contraseña de una cuenta de usuario. Los valores válidos
oscilan entre 0 y 14 caracteres; el valor predeterminado es de 6 caracteres.
Establece el número máximo de
días de validez de la contraseña de una cuenta de usuario. El valor unlimited
establece un tiempo ilimitado. La opción /maxpwage debe ser mayor que
/minpwage. Los valores válidos oscilan entre 1 y 49710 días (unlimited); el
valor predeterminado es de 90 días.
Establece el número mínimo de
días que han de transcurrir antes de que un usuario pueda cambiar una contraseña
nueva. Un valor 0 significa que no hay tiempo mínimo. Los valores válidos
oscilan entre 0 y 49710 días; el valor predeterminado es de 0 días.
Impide que el usuario repita la
misma contraseña durante número cambios de contraseña. Los valores válidos
oscilan entre 0 y 8 cambios de contraseña; el valor predeterminado es de 5
cambios.
Realiza la operación sobre el
controlador principal del dominio actual. Si no se especifica este parámetro,
la operación se realizará en el equipo local.
Este parámetro se aplica únicamente
a equipos con Windows NT Workstation que son miembros de un dominio de Windows
NT Server. De manera predeterminada, los equipos con Windows NT Server realizan
las operaciones sobre el controlador principal del dominio.
Cuando se utiliza en el
controlador principal de dominio, causa la sincronización de todos los
controladores de reserva de dicho dominio. Cuando se utiliza en un controlador
de reserva, causa la sincronización de ese controlador de reserva con el
controlador principal de dominio únicamente. Este comando sólo se aplica a los
equipos que son miembros de un dominio de Windows NT Server.
Para mostrar la configuración
actual para el cierre forzado de sesión, los requisitos de contraseña y la
función de un servidor determinado, escriba:
net accounts
Para establecer un mínimo de
siete caracteres para las contraseñas de la cuenta de usuario, escriba:
net accounts /minpwlen:7
Para especificar que una
contraseña no pueda repetirse hasta pasados cinco cambios, escriba:
net accounts /uniquepw:5
Para evitar que los usuarios
cambien la contraseña con una frecuencia mayor que cada 7 días, para forzar el
cambio de contraseña cada 30 días y para forzar el cierre de sesión tras el
vencimiento del tiempo de inicio de sesión y emitir una advertencia 5 minutos
antes del cierre forzado, escriba:
net accounts /minpwage:7
/maxpwage:30 /forcelogoff:5
Para realizar la tarea anterior
en un equipo con Windows NT Workstation y asegurarse de que la configuración es
efectiva en el dominio de Windows NT Server en el que el equipo ha iniciado la
sesión, escriba:
net accounts /minpwage:7
/maxpwage:30 /domain
Para actualizar la base de
datos de cuentas de usuario de todos los servidores miembros, escriba:
net accounts /sync
Agrega o elimina equipos de una
base de datos de dominios. Este comando está disponible sólo en los equipos
con Windows NT Server.
net computer \\equipo {/add |
/del}
Especifica el equipo que se
agrega o elimina del dominio.
Agrega el equipo especificado
al dominio.
Quita el equipo especificado
del dominio.
Este comando está disponible sólo
en los equipos con Windows NT Server.
Todas las adiciones y
eliminaciones de equipos se redirigen al controlador principal de dominio.
Para agregar el equipo ARCOIRIS
al dominio, escriba:
net computer \\arcoiris /add
Muestra los servicios
configurables que están en ejecución, o muestra y modifica la configuración
de un servicio.
net config [servicio
[opciones]]
Escriba net config sin parámetros
para ver una lista de los servicios configurables.
Es un servicio (server o
workstation) que puede configurarse con el comando net config.
Son específicas del servicio.
Vea net config server o net config workstation para obtener la sintaxis
completa.
Use el comando net config
servicio para cambiar parámetros configurables de servicio Servidor o Estación
de trabajo. Los cambios entran en vigor inmediatamente y son permanentes.
Muestra o cambia la configuración
para el servicio Servidor mientras dicho servicio está en ejecución.
net config server
[/autodisconnect:tiempo] [/srvcomment:"texto "] [/hidden:{yes | no}]
Escriba net config server para
ver la configuración actual del servicio Servidor.
Establece el número máximo de
minutos que una sesión de usuario puede permanecer inactiva antes de que se
desconecte. Puede especificar -1 para que nunca se produzca dicha desconexión.
Los valores válidos oscilan entre -1 y 65535 minutos; el valor predeterminado
es 15.
Agrega un comentario para el
servidor que se muestra en las pantallas de Windows NT y con el comando net
view. El comentario puede tener un máximo de 48 caracteres. Escriba el texto
entre comillas.
Especifica si el nombre de
equipo del servidor debe aparecer al presentar la lista de servidores. Tenga en
cuenta que el hecho de ocultar un servidor no modifica los permisos definidos en
él. El valor predeterminado es no.
Para mostrar información
acerca del servidor local e impedir que la pantalla se desplace, escriba:
net config server | more
Para ocultar el nombre de
equipo del servidor en la lista de servidores disponibles, escriba:
net config server /hidden:yes
Para desconectar a un usuario
después de 15 minutos de inactividad, escriba:
net config server
/autodisconnect:15
Utilice el comando net config
server para cambiar parámetros configurables del servicio Servidor. Los cambios
entran en vigor inmediatamente y son permanentes.
No todos los parámetros del
servicio Servidor pueden cambiarse utilizando el comando net config server, pero
el comando presenta información adicional. El comando presenta la siguiente
información acerca del servidor:
·
El nombre de equipo del servidor, un comentario descriptivo y la versión del
software.
·
La descripción de la red.
·
La configuración de ocultar el servidor.
·
El número máximo de usuarios que pueden utilizar los recursos compartidos del
servidor.
·
El número máximo de archivos del servidor que pueden estar abiertos.
·
La configuración del tiempo de inactividad de la sesión.
Muestra o cambia la configuración
del servicio Estación de trabajo mientras está en ejecución.
net config workstation
[/charcount:bytes] [/chartime:ms] [/charwait:s]
Escriba net config workstation
para mostrar la configuración actual del equipo local.
Especifica la cantidad de datos
que recopila Windows NT antes de enviarlos a un dispositivo de comunicaciones.
Si se establece también /chartime:ms, Windows NT actúa según la condición
que se satisfaga primero. Los valores válidos oscilan entre 0 y 65.535 bytes;
el valor predeterminado es de 16 bytes.
Establece el número de
milisegundos durante los cuales Windows NT recopila datos antes de enviarlos a
un dispositivo de comunicaciones. Si se establece también /charcount:bytes,
Windows NT actúa según la condición que se satisfaga primero. Los valores válidos
oscilan entre 0 y 65.535.000 milisegundos; el valor predeterminado es de 250
milisegundos.
Establece el número de
segundos que esperará Windows NT a que un dispositivo de comunicaciones esté
disponible. Los valores válidos oscilan entre 0 y 65.535 segundos; el valor
predeterminado es de 3.600 segundos.
Para presentar en pantalla la
configuración actual del servicio Estación de trabajo, escriba:
net config workstation
Para establecer el número de
milisegundos que Windows NT espera antes de enviar los datos a un dispositivo de
comunicación a 500 milisegundos, escriba:
net config workstation
/chartime:500
Use el comando net config
workstation para cambiar parámetros configurables del servicio Estación de
trabajo. Los cambios entran en vigor inmediatamente y son permanentes.
No todos los parámetros del
servicio Estación de trabajo pueden cambiarse con el comando net config
workstation. Otros parámetros pueden cambiarse en el registro de configuración.
Vuelve a activar un servicio
interrumpido.
net continue servicio
Los servicios que pueden
reanudarse son los siguientes: servidor de archivos para macintosh (sólo para
Windows NT Server), servicio de publicación de FTP, lpdsvc, inicio de sesión
de red, dde de red, dsdm dde de red, proveedor de seguridad nt lm, inicio remoto
(sólo para Windows NT Server), servidor de acceso remoto, schedule, servidor,
servicios simples de tcp/ip y estación de trabajo.
Use el comando net continue
para volver a activar un servicio interrumpido. Interrumpa el servicio antes de
detenerlo para permitir que los usuarios finalicen sus trabajos o se desconecten
de los recursos. Para efectuar una corrección poco importante en un recurso,
quizá sea suficiente con efectuar una pausa en el servicio o la impresora. Use
después el comando net continue para activar de nuevo dicho servicio o
impresora, sin necesidad de cancelar las conexiones de los usuarios.
Use los comandos net pause y
net continue para pasar de las impresoras de la red a la impresora conectada a
su equipo.