Novedades de seguridad de Windows XP Professional y Windows

Transcripción

Sistema operativo
Novedades de seguridad de Windows XP Professional y
Windows XP Home Edition
Microsoft Corporation
Resumen
En este artículo se ofrece una descripción general técnica de las novedades que presentan los
servicios de seguridad y confidencialidad de Windows® XP. Hay dos ediciones de Windows XP:
Windows XP Home Edition, para uso doméstico, y Windows XP Professional, para empresas de todos
los tamaños.
Si tiene la intención de utilizar Windows XP como sistema operativo en un equipo independiente o
integrado en un grupo de trabajo, encontrará particularmente interesante el cambio rápido de usuario
y el servidor de seguridad de conexión a Internet. Si utiliza o administra Windows XP Professional
como parte de un dominio, le interesará conocer las novedades en materia de control de acceso a la
red y de configuración de directivas de restricción de software.
Este documento es preliminar y, por tanto, puede experimentar modificaciones
importantes antes del lanzamiento comercial de la versión final del software que en
él se describe. La información que contiene este documento representa la visión
actual de Microsoft Corporation acerca de los temas tratados en el momento de su
publicación. Dado que Microsoft debe responder a las condiciones variables del
mercado, este documento no debe interpretarse como un compromiso por parte de
Microsoft, y Microsoft no puede garantizar la exactitud de la información presentada
con posterioridad a la fecha de publicación.
Estas notas del producto se proporcionan con propósito informativo únicamente.
MICROSOFT NO OTORGA GARANTÍAS EXPRESAS O IMPLÍCITAS DE ESTE
DOCUMENTO.
Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de
autor aplicables. Sin limitación alguna de los derechos de autor, ninguna parte de
este documento puede ser reproducida, almacenada, introducida en un sistema de
recuperación o transmitida de ninguna forma, ni por ningún medio (electrónico,
mecánico, mediante fotocopia, grabación, etc.), con ningún propósito, sin la previa
autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos
de autor y otros derechos de propiedad intelectual sobre los contenidos de este
documento. Este documento no le otorga ninguna licencia sobre estas patentes,
marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que
se establezca en un contrato por escrito de licencia de Microsoft.
© 2001 Microsoft Corporation. Reservados todos los derechos. Microsoft, ActiveX,
Active Directory, Authenticode, IntelliMirror, MSN, Visual Basic, Windows y
Windows NT son marcas registradas o marcas comerciales de Microsoft
Corporation en los Estados Unidos y/o en otros países.
Otros nombres de compañías y productos mencionados aquí pueden ser marcas
comerciales de sus respectivos propietarios.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • EE.UU.
Contenido
Contenido ............................................................................................................................................... 2
Agradecimientos..................................................................................................................................... 5
Introducción ........................................................................................................................................... 6
6
Windows XP Professional
6
Novedades de seguridad de Windows XP Home Edition ........................................................................ 8
Inicio de sesión personalizado
8
Cambio rápido de usuario para equipos con varios usuarios
8
Intimidad personal
9
Administración de cookies
10
Conexión compartida a Internet
11
Funcionamiento de ICS
11
Uso de protocolos de red
12
Funcionalidad de detección y control remotos
12
Servidor de seguridad de conexión a Internet
13
Una mayor necesidad de seguridad
14
Funcionamiento del Servidor de seguridad de conexión a Internet
14
La protección del servidor de seguridad se activa fácilmente
14
Asignación de puertos
15
Carpeta de documentos compartidos
15
Novedades de seguridad de Windows XP Professional ....................................................................... 17
Seguridad corporativa
17
Mejoras de seguridad
17
Acceso controlado a la red
18
Administración de la autenticación de red
18
Seguridad simple de recursos compartidos
18
Novedades de seguridad de Windows XP
2
Forzar el uso de la cuenta Invitado
18
Restricciones de contraseñas en blanco
19
Sistema de codificación de archivos
19
Arquitectura de EFS
19
EFS y NTFS
20
Mantener la confidencialidad de los archivos
20
Funcionamiento de EFS
21
Configuración de EFS para su entorno
21
Elementos que se pueden cifrar
22
Cifrado de archivos sin conexión
22
Cifrado de la base de datos de archivos sin conexión
22
Operaciones EFS remotas con archivos compartidos y carpetas Web
23
Operaciones EFS remotas en un entorno de carpetas Web
24
Servicios de Certificate Server
25
Almacenamiento de certificados y claves públicas
25
Almacenamiento de claves privadas
25
Inscripción automática de certificados de usuario
25
Administración de credenciales
26
Solicitud de credenciales
26
Nombres de usuario y contraseñas almacenados
27
Conjunto de claves
29
Cambio rápido de usuario
30
Intimidad personal
30
30
Directiva de grupo sensible a la ubicación de ICS
30
31
Directiva de grupo sensible a la ubicación del ICF
31
Funcionamiento del ICF
31
Configuración de directivas de grupo relacionadas con la seguridad
32
Directivas de restricción de software
32
Uso de directivas de restricción de software
32
Creación de una directiva de restricción de software
32
3
Dos tipos de directivas de restricción de software
33
Reglas de identificación de software
34
Control del software con firma digital
34
Seguridad del Protocolo Internet (IPSec)
35
Por qué es necesario IPSec
35
Métodos empleados por la seguridad IP para evitar los ataques a la red
36
Mecanismos basados en cifrado
37
Funcionamiento de IPSec
37
Soporte para tarjetas inteligentes
38
Un PIN en lugar de una contraseña
38
Estándares de tarjetas inteligentes
38
Iniciar una sesión con una tarjeta inteligente
39
Tarjetas inteligentes para uso administrativo
39
Protocolo de autenticación Kerberos versión 5
39
La base de Kerberos
40
Autenticador
40
Servicio Centro de distribución de claves de Kerberos
41
Resumen............................................................................................................................................... 42
Vínculos relacionados................................ ................................ ................................ .......................... 43
4
Agradecimientos
Michael Kessler, Editor técnico, Microsoft Corporation.
Parte de la información de este documento también figurará en el próximo Kit de recursos de Windows XP
Professional.
5
Introducción
Windows® XP es la versión más confiable de Windows hasta la fecha gracias a la incorporación de las
mejores características de seguridad y privacidad de toda la historia del sistema operativo. En términos
generales, la seguridad se ha mejorado en Windows XP para ayudarle a disfrutar de una experiencia
informática segura, confiable y privada. Hay dos ediciones de Windows XP: Windows XP Home Edition, para
uso doméstico, y Windows XP Professional, para empresas de todos los tamaños.
Las características de seguridad de Windows XP Home Edition hacen que sea aún más seguro para el
usuario realizar compras y explorar en Internet. Windows XP Home Edition incluye el software Servidor de
seguridad de conexión a Internet integrado, que proporciona una defensa sólida contra las amenazas de
seguridad durante las conexiones a Internet, particularmente si son de tipo permanente, como las basadas
en módems por cable o DSL.
Windows XP Professional incluye todas las capacidades de seguridad de Windows XP Home Edition,
además de otras características de administración de seguridad. Las nuevas e importantes características de
seguridad le permitirán reducir sus costos de tecnologías de la información y mejorar la seguridad de los
sistemas de su organización.
• Inicio de sesión personalizado
•
•
Intimidad personal
•
•
Windows XP Professional
• Seguridad corporativa
•
•
•
Restricciones de contraseña en blanco
•
•
•
•
•
Intimidad personal
•
6
•
•
•
Seguridad del Protocolo Internet
•
•
Kerberos
7
Novedades de seguridad de Windows XP Home Edition
Los servicios de seguridad de Windows XP Home Edition se han diseñado para ser flexibles y tienen en
cuenta una amplia variedad de situaciones de seguridad y confidencialidad a las que debe enfrentarse el
usuario doméstico. Si ya está familiarizado con el modelo de seguridad de Microsoft ® Windows NT®
versión 4.0 y Microsoft ® Windows ® 2000, reconocerá muchas de las características de seguridad de
Windows XP Home Edition. Al mismo tiempo, descubrirá varias características anteriores que han cambiado
significativamente y otras nuevas que mejorarán su capacidad para administrar la seguridad del sistema.
Por ejemplo, si utiliza Internet para conversar en línea o enviar y recibir correo electrónico, puede ser
vulnerable a los ataques de los piratas informáticos. Windows XP incorpora características de seguridad
avanzadas que le protegen de este tipo de amenazas para que su experiencia en línea sea aún más segura.
A continuación, examinaremos las importantes características de seguridad y confidencialidad de Windows
XP Home Edition, que mejoran su seguridad y la de su información al tiempo que le permiten disfrutar de la
experiencia más productiva en Windows.
Importante: cuando trabaje con Windows XP Home Edition, como parte de un grupo de trabajo o en un entorno aislado, y
disponga de derechos de administrador sobre el equipo, tendrá acceso a todas las características de seguridad del
sistema operativo. Si el equipo Windows XP Home Edition forma parte de una red, será el administrador de red quien
determine las opciones de seguridad.
Inicio de sesión personalizado
Con Windows XP, cada miembro de la familia puede utilizar su propia interfaz, con su inicio de sesión y
contraseña. Este nuevo nivel de seguridad garantiza que nadie pueda tener acceso a sus documentos
importantes, ni borrarlos accidentalmente.
Si tiene niños en casa, puede configurar perfiles con distintos límites de seguridad para filtrar los sitios de
Internet que puedan ser poco recomendables para ellos.
Cambio rápido de usuario para equipos con varios usuarios
El cambio rápido de usuario, característica diseñada para el uso doméstico, permite que todos los miembros
de la familia utilicen un mismo equipo como si se tratara del suyo propio. No es necesario cerrar la sesión de
otro usuario ni decidir si se guardan o no sus archivos. En lugar de ello, Windows XP aprovecha la tecnología
de servicios de Terminal Server y ejecuta sesiones de usuario únicas que permiten mantener totalmente
separados los datos de cada usuario. Si se utilizan contraseñas de usuario, las sesiones están protegidas
unas de otras.
El cambio rápido de usuario se habilita de manera predeterminado cuando Windows XP Home Edition o
Windows XP Professional se instala en un equipo independiente o conectado a un grupo de trabajo. Si se
une a un dominio con un equipo que ejecuta Windows XP Professional, no podrá utilizar esta característica.
El cambio rápido de usuario permite que los miembros de una familia compartan fácilmente un mismo
equipo. Por ejemplo, si una madre utiliza el equipo para el control de las finanzas y tiene que ausentarse
durante un rato, su hijo puede cambiar a su propia cuenta y disfrutar de un juego. La aplicación fi nanciera
8
permanece activa y abierta en la cuenta de la madre. Todo ello se lleva a cabo sin necesidad de cerrar la
sesión. El cambio de usuarios es sencillo porque la nueva pantalla de bienvenida se puede personalizar
fácilmente con imágenes para cada usua rio que inicia una sesión en el equipo, tal como se muestra en la
Figura 1.
Figura 1. Pantalla de bienvenida de inicio de sesión personal y cambio rápido de usuario
Intimidad personal
Microsoft Internet Explorer versión 6.0 le ayuda a mantener el control de su información personal durante la
visita a los sitios Web. Para ello, ofrece soporte para el estándar Plataforma de preferencias de seguridad
(P3P, Platform for Privacy Preferences ) del Consorcio World Wide Web (W3C, World Wide Web Consortium).
Como miembro del W3C, Microsoft ha contribuido al desarrollo de un estándar para las directivas de
confidencialidad de los sitios Web que permite tomar decisiones fundadas relacionadas con la cantidad y el
tipo de información que se comparte en línea. Internet Explorer 6.0 determina si los sitios Web que se visitan
cumplen los estándares del W3C e informa de su estado antes proporcionar información privada.
Una vez haya definido sus preferencias de confidencialidad para revelar información personal en Internet
Explorer 6.0, el explorador determinará si los sitios que se visitan cumplen o no el estándar P3P. En el caso
de los sitios compatibles con P3P, el explorador compara las preferencias de confidencialidad del usuario
con las directivas definidas en los sitios. Internet Explorer utiliza HTTP para este intercambio de información
de directivas. Dependiendo de las preferencias de confidencialidad del usuario, el explorador determina si
revela la información personal a los sitios Web.
9
Administración de cookies
El estándar P3P también admite funciones de administración de cookies en Internet Explorer 6.0. Un cookie
es un pequeño archivo que almacena un sitio Web en el equipo del usuario para ofrecer funciones de
personalización. Por ejemplo, cuando introduce su configuración personalizada para MSN®, la información
se almacena en un archivo de cookie en su equipo. A continuación, MSN lee el cookie cada vez que se visita
el sitio y muestra las opciones seleccionadas.
Como parte de sus directivas de seguridad, los sitios Web compatibles con P3P pueden proporcionar
información sobre las directivas a sus cookies. Cuando defina sus preferencias de confidencialidad, podrá
configurar Internet Explorer para gestionar cookies de la siguiente manera:
•
Impedir que se almacene cualquier cookie en su equipo.
•
Rechazar los cookies de terceros (cookies que no proceden del mismo dominio que el sitio Web que se
visita y que, por tanto, escapan a sus directivas de confidencialidad), pero permitir que el resto de los
cookies se almacenen en el equipo.
•
Impedir que se almacene cualquier cookie en su equipo sin notificación previa.
Consulte las Figuras 2 y 3 para ver las opciones adicionales de administración de cookies.
Figura 2. Administración de cookies: Acciones de privacidad por sitio
10
Figura 3. Administración de cookies: Configuración avanzada de privacidad
Para obtener más información acerca de P3P, consulte el sitio Web de W3C en http://www.w3.org/.
Conexión compartida a Internet (ICS) conecta varios equipos a Internet a través de una sola conexión. Con
ICS, los usuarios pueden compartir de forma segura entre varios equipos las conexiones DSL, de módem por
cable o de línea telefónica.
Funcionamiento de ICS
Un equipo, denominado el host ICS, se conecta directamente a Internet y comparte su conexión con el resto
de los equipos de la red. Los equipos cliente se basan en el acceso a Internet que les proporciona el host
ICS. Con ICS habilitado, la seguridad mejora porque el host ICS es el único equipo visible para Internet.
Toda comunicación desde los equipos cliente a Internet debe pasar a través del host ICS, lo que permite
ocultar sus direcciones a Internet. Los equipos cliente están protegidos porque no pueden ser vistos desde el
exterior de la red. El equipo que ejecuta ICS es el único que puede ser visto desde el lado público de la
conexión. Además, el host ICS se encarga del direccionamiento de red. Se asigna a sí mismo una dirección
permanente y proporciona el Protocolo de configuración dinámica de host (DHCP) a los clientes ICS. El host
11
ICS asigna una dirección única a cada cliente y, de esta forma, permite que se comuniquen con otros
equipos de la red.
Windows XP permite compartir una sola conexión a Internet entre los equipos de una red doméstica o de
pequeña empresa a través de ICS. Esta característica, que se ha mejorado en Windows XP, apareció por
primera vez en Windows 2000 Professional y Windows 98 Second Edition.
Uso de protocolos de red
La característica ICS de Windows XP proporciona Traducción de direcciones de red (NAT), DHCP y Servicio
de nombres de dominio (DNS) a las redes domésticas, lo que elimina la necesidad de configuración de los
clientes por parte del usuario.
La funcionalidad DNS de Windows XP se ha mejorado e incluye un proceso de resolución DNS local que
ofrece resolución de nombres a todos los clientes de la red doméstica. Gracias a esta característica, los
dispositivos de las redes no Windows pueden resolver los nombres de los clientes de la red. Los nombres de
Internet que requieren resolución se siguen enviando a los servidores DNS del proveedor de servicios de
Internet.
Funcionalidad de detección y control remotos
ICS también incluye funcionalidad de detección y control remotos. Con Plug and Play universal, los clientes
de red detectan la presencia del host ICS, lo consultan y determinan el estado de su conexión a Internet.
Cuando desee explorar en Internet desde otro equipo de su casa, el equipo Windows XP se conectará
automáticamente a Internet (si todavía no está conectado) en nombre del otro. Asimismo, el usuario del otro
equipo cliente sabrá si hay una conexión a Internet activa y, si lo desea, podrá desconectarla para utilizar el
teléfono a fin de establecer una comunicación de voz normal. Esta característica resulta útil si la conexión de
acceso telefónico se factura por minutos o si prefiere desactivar la conexión a Internet durante los periodos
de inactividad.
Consulte en la Figura 4 las opciones de configuración de ICS.
12
Figura 4. Configuración de ICS
Windows® XP ofrece seguridad de Internet a través del nuevo Servidor de seguridad de conexión a Internet
(ICF). Hace años que las redes de las empresas utilizan servidores de seguridad como medida de protección
contra los ataques externos. Ahora, la característica de protección ICF de Windows XP ofrece la misma
seguridad a los consumidores. Como resultado, su información, sus equipos y los datos de la familia estarán
más seguros desde el momento en que empiece a utilizar Windows XP.
13
Una mayor necesidad de seguridad
A medida que aumenta el número de hogares y empresas que utilizan el acceso a Internet de banda ancha,
es mayor la necesidad de medidas de seguridad para proteger los equipos personales y otros dispositivos y
contenidos conectados a las redes domésticas. Ni siquiera los equipos que se conectan a Internet a través
de módems de acceso telefónico son inmunes a los ataques.
ICF, diseñado para el uso doméstico o en pequeñas empresas, ofrece protección al equipo personal
Windows XP conectado directamente a Internet o a los equipos personales y dispositivos conectados al host
de Conexión compartida a Internet que ejecuta ICF.
Funcionamiento del Servidor de seguridad de conexión a Internet
El ICF de Windows XP utiliza filtros de paquetes activos, lo que significa que los puertos del servidor de
seguridad se abren dinámicamente y permanecen abiertos sólo durante el tiempo necesario para permitir el
acceso a los servicios que se utilizan. Este tipo de tecnología de servidor de seguridad, que generalmente se
usa en servidores de empresa más sofisticados, impide a los piratas informáticos examinar los puertos y
recursos de su equipo, incluidos los archivos y las impresoras compartidas. Estas medidas reducen
significativamente la amenaza de ataques externos. El ICF se habilita a nivel de conexión.
El servidor de seguridad puede utilizarse en conexiones de red de área local (LAN), Protocolo punto a punto
en Ethernet (PPPoE), VPN o de acceso telefónico. PPPoE es un nuevo bo rrador de estándar IETF. Se utiliza
para que la conectividad de banda ancha a través de módems por cable o líneas de abonado digitales se
establezca de forma tan sencilla como las conexiones de módem de acceso telefónico. Windows XP es el
primer sistema operativo Windows que incluye soporte nativo para PPPoE.
Cuando esté de viaje con su equipo portátil y obtenga acceso a Internet a través de una conexión telefónica
u otro medio, la característica ICF se puede habilitar automáticamente para mejorar la seguridad.
La protección del servidor de seguridad se activa fácilmente
Cuando ejecute el Asistente para configuración de red, habilitará automáticamente ICF en todas las
conexiones activas a Internet que encuentre. Para comprobar si una conexión utiliza ICF:
•
Abra el Panel de control.
•
Haga clic en Conexiones de red e Internet.
•
Haga clic en Conexiones de red.
•
Haga clic con el botón secundario del mouse (ratón) en su conexión a Internet y, a continuación, haga
clic en Propiedades.
•
Haga clic en la ficha Avanzadas del cuadro de diálogo Propiedades de la conexión.
Consulte en la Figura 5 la manera de activar el ICF.
14
Figura 5. Activación del ICF
Asignación de puertos
De forma predeterminada, el ICF no permite la entrada de tráfico no solicitado. Si necesita permitir el acceso
de otras personas a su equipo a través de Internet (por ejemplo, si aloja un sitio Web o una sesión de
Internet de un juego), Windows XP le permite abrir pasos en el servidor de seguridad para permitir el tráfico
en puertos específicos. Esta técnica se denomina “asignación de puertos”.
Las carpetas compartidas corresponden a las carpetas personales: Mis documentos, Mis imágenes y Mi
música. Documentos compartidos, Imágenes compartidas y Música compartida proporcionan un espacio
para almacenar archivos, imágenes y música que pueden compartir todos los usuarios de su equipo. Por
ejemplo, Javi puede guardar sus deberes en Documentos compartidos para que Mamá pueda revisar su
trabajo. Papá puede situar las imágenes digitales de las vacaciones en Imágenes compartidas para que toda
la familia pueda verlas.
15
Dado que los equipos domésticos suelen ser entornos de confianza, los usuarios domésticos de Windows XP
obtienen almacenamiento de archivos separado aunque accesible de forma predeterminada, con protección
opcional por contraseña. De esta forma la familia puede compartir fácilmente documentos, imágenes, música
y vídeos en un solo equipo o en todos los equipos de la red doméstica.
No obstante, cuando cree su propia contraseña, Windows le ofrecerá la oportunidad de bloquear su carpeta
“Mis Documentos” o cualquier otra subcarpeta. Por tanto, si tiene una contraseña y desea mantener su
intimidad, estará protegido de los usuarios que no sean administradores del equipo.
Nota Para utilizar esta característica, el formato del disco duro debe ser NTFS, ya que no funciona si se
utiliza el formato de tabla de asignación de archivos (FAT) o FAT32.
16
Novedades de seguridad de Windows XP Professional
Windows XP Professional es el sistema operativo idóneo para las empresas de todos los tamaños y ofrece
los servicios de seguridad más confiables para la informática empresarial. Windows XP Professional incluye
todas las características de seguridad necesarias para las redes y la seguridad empresariales, características
que ofrecen nuevas capacidades de administración que reducirán los costos de tecnologías de la información
y permitirán dedicar más tiempo a crear servicios y soluciones de empresa.
Si ya está familiarizado con el modelo de seguridad de Microsoft ® Windows NT® 4.0 y Microsoft ®
Windows ® 2000, reconocerá muchas de las características de Windows XP Professional. Al mismo tiempo,
descubrirá varias características conocidas que han cambiado significativamente y otras nuevas que
mejorarán su capacidad para administrar la seguridad del sistema.
Recuerde: cuando trabaje con Windows XP Professional, como parte de un grupo de trabajo o en un entorno aislado, y
disponga de derechos de administrador sobre el equipo, tendrá acceso a todas las características de seguridad del
sistema operativo. Si el equipo Windows XP Professional forma parte de un dominio, las opciones disponibles
dependerán de las directivas configuradas por el administrador de TI.
Seguridad corporativa
Windows XP Professional ofrece potentes características de seguridad que ayudan a las empresas a
proteger sus datos confidenciales y proporcionan soporte para administrar los usuarios de la red. Una de las
características más importantes de Windows XP Professional es el uso de objetos de directiva de grupo
(GPO). Con los GPO, los administradores del sistema pueden aplicar un mismo perfil de seguridad a varios
equipos y utilizar opcionalmente la tecnología de tarjetas inteligentes para autenticar a los usuarios con la
información almacenada en sus tarjetas.
Mejoras de seguridad
Windows XP Professional incluye distintas características con las que las empresas pueden proteger
archivos, aplicaciones y otros recursos seleccionados. Estas características incluyen listas de control de
acceso (ACL), grupos de seguridad y directiva de grupo, y también las herramientas necesarias para que las
empresas las configuren y administren. En su conjunto, ofrecen una infraestructura de control de acceso
potente y flexible para las redes empresariales.
Windows XP dispone de miles de opciones relacionadas con la seguridad que se pueden implementar
individualmente. El sistema operativo Windows XP también incluye plantillas de seguridad predefinidas que
las empresas pueden implementar sin modificaciones o utilizar como base para una configuración de
seguridad más personalizada. Las empresas pueden aplicar las plantillas de seguridad en los siguientes
casos:
•
Cuando crean un recurso, como una carpeta o archivo compartido, y aceptan la configuración
predeterminada de la lista de control de acceso o implementan una configuración predeterminada.
•
Cuando sitúan usuarios en los grupos de seguridad estándar, como Usuarios, Usuarios avanzados y
Administradores, y aceptan la configuración predeterminada de la ACL que se aplica a dichos grupos de
seguridad.
17
•
Cuando utilizan las plantillas de directiva de grupo básica, compatible, segura o de alta seguridad que se
incluyen en el sistema operativo.
Todas las características de seguridad de Windows XP (ACLS, grupos de seguridad y directiva de grupo)
tienen configuraciones predeterminadas que pueden modificarse y adaptarse a las necesidades de cada
organización. Las empresas también pueden utilizar herramientas adecuadas para implementar y modificar
el control de acceso. Muchas de ellas, como los complementos de Microsoft Management Console, son
componentes de Windows XP Professional. Otras forman parte del Kit de recursos de Windows XP
Professional.
Windows XP proporciona seguridad integrada para mantener alejados a los intrusos. Para ello, limita a todo
el que intente tener acceso a su equipo desde una red otorgándole privilegios de “invitado”. Si un intruso
prueba distintas contraseñas para entrar en su equipo y obtener privilegios no autorizados, sus intentos
resultarán fallidos, o sólo conseguirá un acceso limitado a nivel de invitado.
Administración de la autenticación de red
Cada vez son más los equipos Windows XP Professional que se conectan directamente a Internet en lugar
de a un dominio. Esta circunstancia hace que la administración adecuada del control de acceso (incluidas las
contraseñas seguras y los permisos asociados a cada cuenta) sea más importante que nunca. Para
garantizar la seguridad, es preciso restringir la configuración de control de acceso relativamente anónima que
caracteriza a los entornos de Internet abiertos.
Como resultado, la configuración predeterminada de Windows XP Professional exige que todos los usuarios
que inician una sesión a través de la red utilicen la cuenta Invitado. Este cambio evita que los piratas
informáticos intenten tener acceso a un sistema a través de Internet mediante el uso de la cuenta de un
administrador local sin contraseña para iniciar la sesión.
De forma predeterminada, quienes intenten iniciar una sesión a través de la red en un sistema Windows XP
Professional que no esté conectado a un dominio estarán obligados a utilizar la cuenta Invitado. Además, en
los equipos que utilizan el modelo de seguridad simple de recursos compartidos, el cuadro de diálogo
Propiedades de seguridad se sustituye por un cuadro de diálogo Propiedades de los documentos
simplificado.
Forzar el uso de la cuenta Invitado
El modelo de recursos compartidos y seguridad de las cuentas locales permite elegir entre los modelos de
seguridad Sólo invitado y Clásico. En el modelo Sólo invitado, quienes intenten iniciar una sesión en el
equipo local a través de la red se verán obligados a utilizar la cuenta Invitado. En el modelo de seguridad
Clásico, los usuarios que intenten iniciar una sesión en el equipo local a través de la red se autenticarán con
sus propios datos. Esta directiva no afecta a los equipos que participan en un dominio. En los demás casos,
se habilita el modo Sólo invitado de forma predeterminada.
Si se habilita una cuenta de invitado con la contraseña en blanco, podrá iniciar una sesión y tener acceso a
todos los recursos para los que tenga autorización la cuenta Invitado.
18
Si se habilita directiva “forzar a los inicios de red que utilizan cuentas locales a autenticarse como Invitado”,
las cuentas locales deben autenticarse como Invitado. Esta directiva determina si una cuenta local que se
conecta directamente a un equipo de la red debe autenticarse como un usuario Invitado. Puede utilizar esta
directiva para limitar los permisos de una cuenta local que intenta tener acceso a los recursos del sistema del
equipo de destino. Si habilita esta directiva, todas las cuentas locales que intenten conectarse directamente
obtendrán únicamente los permisos de Invitado, que suelen ser sumamente restringidos.
Restricciones de contraseñas en blanco
Las cuentas de Windows XP Professional sin contraseña sólo se pueden utilizar para iniciar una sesión en la
consola física del equipo. Esta medida protege a los usuarios que no protegen sus cuentas con contraseñas.
De forma predeterminada, las cuentas con contraseñas en blanco ya no se pueden usar para iniciar una
sesión en el equipo de forma remota a través de la red, ni para ninguna otra actividad de inicio de sesión,
salvo en la pantalla de la consola física. Por ejemplo, no se puede utilizar el servicio de inicio de sesión
secundario (RunAs) para iniciar un programa como usuario local con una contraseña en blanco.
La asignación de una contraseña a una cuenta local elimina la restricción de inicio de sesión a través de la
red. También permite que la cuenta tenga acceso a cualquier recurso para el que cuente con autorización,
incluso a través de una conexión de red.
Precaución Si su equipo no está situado en un lugar seguro, es recomendable asignar contraseñas a todas
las cuentas de usuario local. Si no lo hace, todo el que tenga acceso físico al equipo podrá iniciar una sesión
con una cuenta sin contraseña. Esta medida es especialmente importante en los equipos portátiles, cuyas
cuentas de usuario local siempre deberían estar protegidas por contraseñas seguras.
Nota Esta restricción no se aplica a las cuentas de dominio ni a la cuenta local de invitado. Si habilita la cuenta de
invitado con la contraseña en blanco, podrá iniciar una sesión y tener acceso a todos los recursos para los que tenga
autorización la cuenta Invitado.
Si desea deshabilitar la restricción de inicio de sesiones en la red sin contraseña, puede utilizar para ello la
Directiva de seguridad local.
La nueva funcionalidad del Sistema de codificación de archivos (EFS) ha mejorado significativamente la
potencia de Windows® XP Professional gracias a la mayor flexibilidad para los usuarios corporativos a la
hora de distribuir soluciones de seguridad basadas en archivos de datos cifrados.
Arquitectura de EFS
EFS se basa en el cifrado de clave pública y aprovecha la arquitectura CryptoAPI de Windows XP. La
configuración predeterminada de EFS no exige ningún esfuerzo administrativo: puede comenzar a cifrar los
archivos inmediatamente. EFS genera automáticamente un par de claves de cifrado y un certificado para un
usuario, si todavía no existe uno.
EFS puede utilizar el Estándar de cifrado de datos expandido (DESX) o Triple-DES (3DES) como algoritmo
de cifrado. Tanto el software RSA Base como RSA Enhanced, ambos incluidos en el sistema operativo por
19
los proveedores de servicios de cifrado (CSP), se pueden utilizar para los certificados EFS y para el cifrado
de las claves de cifrado simétrico.
Si cifra una carpeta, todos los archivos y subcarpetas que se creen o agreguen a ella se cifrarán
automáticamente. Se recomienda cifrar a nivel de carpeta para evitar la creación de archivos temporales de
texto sin formato en el disco duro durante la conversión de archivos.
EFS y NTFS
El Sistema de codificación de archivos (EFS) protege los datos confidenciales de los archivos que se
almacenan en los discos que utilizan el sistema de archivos NTFS. EFS es la tecnología básica de cifrado y
descifrado de archivos almacenados en volúmenes NTFS. El usuario que cifra un archivo protegido es el
único que puede abrirlo y trabajar con él. Esta característica resulta especialmente útil para los usuarios de
equipos móviles, porque si alguien tiene acceso a un portátil extraviado o robado, no podrá ver ninguno de
los archivos del disco. En Windows XP, EFS funciona con Archivos y carpetas sin conexión.
EFS permite cifrar archivos y carpetas individuales. Los archivos cifrados siguen siendo confidenciales
aunque un intruso consiga superar la seguridad del sistema, por ejemplo, mediante la instalación de un
nuevo sistema operativo. EFS utiliza algoritmos estándar de cifrado seguro y, gracias a su estrecha
integración con NTFS, es muy fácil de utilizar. EFS para Windows ® XP Professional ofrece nuevas opciones
para compartir carpetas cifradas o deshabilitar agentes de recuperación de datos. También facilita la
administración a través de la directiva de grupo y de utilidades de línea de comandos.
Mantener la confidencialidad de los archivos
Las características de seguridad tales como la autenticación para iniciar una sesión o los permisos de
archivo protegen los recursos de red contra el acceso no autorizado. No obstante, todo el que tenga acceso
físico a un equipo puede instalar un nuevo sistema operativo y omitir la seguridad del sistema operativo
actual. De esta forma, los datos confidenciales pueden quedar expuestos . El cifrado de los archivos
confidenciales a través de EFS ofrece un nivel de seguridad adicional. Cuando los archivos están cifrados,
sus datos se protegen aunque un intruso tenga acceso total a los datos almacenados en el equipo.
Los usuarios autorizados y los agentes de recuperación de datos designados son los únicos que pueden
descifrar los archivos cifrados. Las demás cuentas del sistema con permisos de acceso a un archivo, incluido
el permiso Tomar posesión, no pueden abrir el archivo sin autorización. Ni siquiera la cuenta del
administrador puede abrir el archivo si no ha sido designada como agente de recuperación de datos. Si un
usuario no autorizado intenta abrir un archivo cifrado, el sistema le denegará el acceso.
La Figura 6 muestra el lugar en que se crea la configuración de EFS.
20
Figura 6. Configuración de seguridad local EFS
Funcionamiento de EFS
EFS permite almacenar información confidencial acerca de un equipo cuando existe el riesgo de que las
personas con acceso físico al equipo puedan poner en peligro la información, ya sea intencional o
accidentalmente. EFS es especialmente útil para proteger los datos confidenciales de los equipos portátiles o
compartidos por distintos usuarios. Ambos tipos de sistemas pueden ser objeto de ataques mediante
técnicas capaces de burlar las restricciones de las ACL.
En un sistema compartido, un intruso puede iniciar el equipo utilizando otro sistema operativo para obtener
acceso. También podría robar el equipo, extraer las unidades de disco duro, instalarlas en otro sistema y
obtener acceso a los archivos almacenados. Sin embargo, los archivos cifrados con EFS sólo presentan
caracteres ininteligibles si el intruso no dispone de la clave de descifrado.
Dado que EFS está estrechamente integrado con NTFS, el cifrado y descifrado de los archivos se realizan de
forma transparente. Cuando se abre un archivo, EFS lo descifra a medida que lee los datos del disco.
Cuando se guarda el archivo, EFS cifra los datos a medida que los escribe en el disco. Un usuario autorizado
podría no darse cuenta de que los archivos están cifrados, ya que trabajará con ellos como si no lo
estuvieran.
La configuración predeterminada de EFS permite iniciar el cifrado de los archivos desde el Explorador de
Windows sin ningún esfuerz o administrativo. Desde el punto de vista del usuario, el cifrado de un archivo se
limita a configurar un atributo de archivo. También es posible configurar el atributo de cifrado en una carpeta
de archivos para que cualquier archivo creado o agregado a la carpeta se cifre automáticamente.
Configuración de EFS para su entorno
EFS está habilitado de forma predeterminada. Puede cifrar cualquier archivo para el que tenga permiso de
modificación. Dado que EFS se basa en una clave pública para cifrar los archivos, el cifrado requiere un par
de claves pública y privada y un certificado de clave pública. EFS puede utilizar certificados con firma
automática, por lo que no requiere ningún esfuerzo administrativo antes de utilizarlo.
21
Si EFS no es adecuado para su ent orno o si no desea cifrar los archivos, puede deshabilitar EFS de distintas
maneras. También existen varias formas de configurar EFS para adaptarlo a las necesidades concretas de
su organización.
Para utilizar EFS, todos los usuarios deben tener certificados EFS. Si actualmente no dispone de una
Infraestructura de claves públicas (PKI), puede utilizar los certificados con firma automática generados
automáticamente por el sistema operativo. No obstante, si dispone de servicios de emisión de certificados,
puede que desee configurarlos para que emitan certificados EFS. También deberá tener en cuenta un plan
de recuperación de desastres si utiliza EFS en el sistema.
Elementos que se pueden cifrar
Los archivos y las carpetas individuales (o subcarpetas) de los volúmenes NTFS se pueden configurar con el
atributo de cifrado. Aunque se suele decir que las carpetas de archivos cuyo atributo de cifrado está activado
son carpetas “cifradas”, la propia carpeta no está cifrada, y no se necesita un par de claves pública y privada
para activar el atributo de cifrado de una carpeta. Cuando se activa el cifrado de una carpeta, EFS cifra
automáticamente los siguientes elementos:
•
Todos los archivos nuevos que se crean en la carpeta.
•
Todos los archivos de texto sin formato que se copian o mueven a la carpeta.
•
Opcionalmente, todos los archivos y las subcarpetas existentes.
EFS también puede cifrar los archivos sin conexión, que en Windows 2000 reciben el nombre de caché en el
lado cliente.
Cifrado de archivos sin conexión
Windows 2000 presentó la funcionalidad de caché en el lado cliente, que ahora recibe el nombre de archivos
sin conexión. Se trata de una tecnología de administración Microsoft IntelliMirror® que permite el acceso de
los usuarios a los archivos compartidos de la red aunque el equipo cliente esté desconectado. Cuando están
desconectados de la red, los usuarios móviles pueden seguir explorando, leyendo y editando los archivos
porque se han guardado en la caché del equipo cliente. Cuando el usuario se vuelve a conectar al servidor,
el sistema reconcilia los cambios con el servidor.
El cliente Windows XP Professional puede utilizar EFS para cifrar los archivos y carpetas sin conexión. Esta
característica es particularmente atractiva para los profesionales que viajan y necesitan trabajar
periódicamente sin conexión sin renunciar a la seguridad de los datos.
Cifrado de la base de datos de archivos sin conexión
Ahora existe la posibilidad de cifrar la base de datos de archivos sin conexión. Se trata de una mejora con
respecto a Windows 2000, que no permitía cifrar los archivos guardados en la caché. Windows XP ofrece la
posibilidad de cifrar la base de datos de archivos sin conexión para proteger todos los documentos
guardados en la caché local contra el robo y, al mismo tiempo, dotarlos de mayor seguridad.
Por ejemplo, puede utilizar los archivos sin conexión y mantener al mismo tiempo la seguridad de sus datos
confidenciales. Asimismo, los administradores pueden utilizar esta característica para proteger todos los
22
documentos guardados en la caché local. Los archivos sin conexión son un medio de protección excelente
en caso de robo de un equipo móvil con datos confidenciales almacenados en la caché.
Esta característica permite cifrar y descifrar la totalidad de la base de datos de archivos sin conexión. La
configuración del cifrado de este tipo de archivos requiere privilegios administrativos. Para cifrar los archivos
sin conexión, vaya a Opciones de carpeta en el menú Herramientas de Mi PC y marque la opción Cifrar
los archivos sin conexión para proteger los datos de la ficha Archivos sin conexión.
Consulte en la Figura 7 las opciones de cifrado de la base de datos de archivos sin conexión.
Figura 7. Cifrado de la base de datos de archivos sin conexión
Operaciones EFS remotas con archivos compartidos y carpetas Web
Puede cifrar y descifrar los archivos almacenados en recursos compartidos de archivos de red o en carpetas
Web WebDAV (Web Distributed Authoring and Versioning). Las carpetas Web ofrecen muchas ventajas en
comparación con los recursos compartidos de archivos; Microsoft recomienda su uso siempre que sea
posible para el almacenamiento remoto de archivos cifrados.
23
Las carpetas Web requieren un menor esfuerzo administrativo y son más seguras que los recursos
compartidos de archivos. También pueden guardar y distribuir con seguridad archivos cifrados a través de
Internet por medio de transferencias estándar HTTP. El uso de recursos compartidos de archivos para las
operaciones EFS remotas requiere un entorno de dominios de Windows 2000 o posterior, ya que EFS debe
suplantar al usuario por medio de la delegación del protocolo Kerberos para cifrar y descifrar los archivos.
Diferencia principal
La principal diferencia entre las operaciones EFS remotas con archivos almacenados en recursos
compartidos y en carpetas Web es el lugar en que se producen las operaciones.
Cuando los archivos residen en recursos compartidos, todas las operaciones EFS tienen lugar en el equipo
en que están almacenados los archivos. Por ejemplo, si se conecta a un recurso compartido de archivos de
red y elige abrir un archivo previamente cifrado, el archivo se descifra en el equipo en que reside y después
se transmite como texto sin formato a través de la red hasta su equipo.
Cuando los archivos están almacenados en carpetas Web, todas las operaciones EFS se llevan a cabo en el
equipo local. Por ejemplo, si se conecta a una carpeta Web y opta por abrir un archivo previamente cifrado,
el archivo se transmite cifrado hasta su equipo, donde EFS lo descifra.
La diferencia del equipo en que se llevan a cabo las operaciones de EFS también explica la razón por la que
los recursos compartidos de archivos requieren una configuración administrativa mayor que las carpetas
Web.
Operaciones EFS remotas en un entorno de carpetas Web
Cuando se abren archivos cifrados almacenados en carpetas Web, permanecen cifrados durante la
transferencia y EFS los descifra localmente. Tanto la carga como la descarga hacia y desde las carpetas
Web son transferencias de datos sin procesar, por lo que aunque un intruso lograra tener acceso a los datos
durante la transmisión de un archivo cifrado, los datos capturados carecerían de utilidad.
El uso de EFS con carpetas Web hace innecesario utilizar software especializado para compartir con
seguridad archivos cifrados entre usuarios, empresas u organizaciones. Los archivos se pueden almacenar
en servidores de archivos comunes de la intranet o en comunidades de Internet para obtener un acceso fácil
y mantener la seguridad con EFS.
Redirector WebDAV
El Redirector WebDAV es un minirredirector compatible con el protocolo WebDAV, una extensión de la
versión 1.1 del estándar HTTP, que permite compartir documentos remotos mediante HTTP. El Redirector
WebDAV es compatible con las aplicaciones existentes y permite que los servidores HTTP compartan
archivos a través de Internet (por ejemplo, a través de servidores de seguridad o enrutadores). Los Servicios
de Internet Information Server (IIS) versión 5.0 (Windows 2000) admiten el uso de carpetas Web.
El acceso a las carpetas Web se realiza del mismo modo que el acceso a los recursos compartidos de
archivos. Puede asignar una unidad de red a una carpeta Web con el comando Net Use o con el Explorador
de Windows. Una vez conectado a la carpeta Web, puede copiar, cifrar o descifrar archivos tal y como lo
haría con los archivos almacenados en recursos compartidos.
24
Los Servicios de Certificate Server son la parte del sistema operativo que permite a una empresa actuar
como su propio emisor de certificados (CA) para emitir y administrar certificados digitales. Windows XP
Professional tiene soporte para varios niveles jerárquicos de CA y una red de confianza con certificación
cruzada que incluye emisores de certificados sin conexión y en línea.
Almacenamiento de certificados y claves públicas
Windows XP Professional guarda los certificados de clave pública en el almacén de certificados personales.
Los certificados se almacenan en texto sin formato porque su información es pública, e incluyen la firma
digital de los emisores de certificados para evitar su falsificación.
Los certificados de usuario residen en la carpeta Documents and Settings \nombreusuario\ApplicationData\
Microsoft\SystemCertificates\My\Certificates correspondiente a cada perfil de usuario. Los certificados se
escriben en el almacén personal del registro del sistema cada vez que el usuario inicia una sesión en el
equipo. En el caso de los perfiles móviles, los certificados se pueden almacenar en cualquier carpeta y
acompañarán al usuario cuando inicie una sesión en otro equipo del dominio.
Almacenamiento de claves privadas
Las claves privadas para los proveedores de servicios de cifrado (CSP) basados en Microsoft, incluidos Base
CSP y Enhanced CSP, residen en el perfil de usuario, en la carpeta RootDirectory\Documents and
Settings\nombreusuario\Application Data\Microsoft\Crypto\RSA.
En el caso de los perfiles móviles de usuario, la clave privada se guarda en la carpeta RSA del controlador
de dominio y se descarga al equipo, donde permanece hasta que se cierra la sesión o se reinicia el equipo.
Dado que es necesario proteger las claves privadas, todos los archivos de la carpeta RSA se cifran
automáticamente con una clave simétrica aleatoria denominada clave de sesión del usuario. La clave de
sesión del usuario tiene una longitud de 64 bytes y se obtiene con un generador de números aleatorios
seguro. Las claves 3DES se derivan a partir de la clave de sesión y se utilizan para proteger las claves
privadas. La clave de sesión se genera de forma automática y se renueva periódicamente.
Cuando se almacena en el disco, la clave de sesión se protege con el algoritmo Triple-DES mediante una
clave basada en una parte de la contraseña del usuario. Se utiliza para cifrar automáticamente todos los
archivos de la carpeta RSA a medida que se crean.
Inscripción automática de certificados de usuario
En Windows 2000 se presentó la inscripción automática de certificados de usuario. La inscripción automática
de certificados de equipo o controlador de dominio se realiza a través de la directiva de grupo y de Microsoft
Active Directory™. Esta característica resulta útil para establecer una conexión a una VPN IPSec o
L2TP/IPSec con servidores Windows XP de Enrutamiento y acceso remoto y otros dispositivos similares.
La inscripción automática de certificados reduce el costo total de propiedad y simplifica el ciclo de vida de la
administración de certificados, tanto para los usuarios como para los administradores. Las características de
inscripción automática y registro automático de tarjetas inteligentes mejoran la seguridad de los usuarios de
la empresa y simplifican los procesos de seguridad de las organizaciones preocupadas por la seguridad.
25
Petición y renovación de certificados pendientes
La inscripción automática de usuarios de Windows XP Professional admite funciones de petición y
renovación de certificados pendientes. Puede solicitar manual o automáticamente un certificado a un CA
Windows .NET Server. La petición se mantiene hasta que se recibe la aprobación administrativa o se
completa el proceso de verificación. Una vez aprobado o emitido el certificado, se completa el proceso de
inscripción automática y los certificados se instalan automáticamente.
El proceso de renovación de certificados de usuario caducados también aprovecha el mecanismo de
inscripción automática. Los certificados se renuevan automáticamente en nombre del usuario dependiendo
de las especificaciones de la plantilla de certificado de Active Directory.
Los certificados y las claves están protegidos de forma predeterminada. Además, puede implementar
medidas adicionales de seguridad para mejorar la protección. Si necesita aumentar la seguridad de sus
certificados y claves, puede exportar las claves privadas y almacenarlas en una ubicación segura.
La Figura 8 muestra algunas de las opciones disponibles para la configuración de la inscripción automática
de certificados.
Figura 8. Propiedades de configuración de inscripción automática
La administración de credenciales de Windows XP consta de tres componentes: la interfaz de usuario (UI) de
solicitud de credenciales, los nombres de usuario y contraseñas almacenados y el conjunto de claves.
Juntos, los tres componentes configuran una solución de inicio de sesión único.
Solicitud de credenciales
Una aplicación muestra la UI de solicitud de credenciales cuando el paquete de autenticación devuelve un
error de autenticación (sólo si la UI está implementada en la aplicación).
26
El cuadro de diálogo permite introducir un nombre de usuario y una contraseña o seleccionar un certificado
X.509 del objeto Mi almacén. La aplicación también puede mostrar la casilla de verificación Recordar
contraseña, que permite introducir y guardar la credencial para utilizarla más adelante.
Los paquetes de autenticación integrados (por ejemplo, el protocolo Kerberos, NTLM, SSL, etc.) son los
únicos que permiten guardar las credenciales. Si utiliza la autenticación básica, seguirá apareciendo la UI de
solicitud de credenciales, pero no tendrá la opción de guardar su credencial. Consulte en la Figura 9 un
ejemplo de la UI de solicitud de credenciales.
Figura 9. Interfaz de usuario de solicitud de credenciales
Nombres de usuario y contraseñas almacenados
Nombres de usuario y contraseñas almacenados es un almacén seguro y móvil en el que se guardan las
credenciales. El acceso a las credenciales está controlado por la Configuración de seguridad local (LSA). Las
credenciales que se almacenan se basan en la información de destino que devuelve el recurso.
Cuando se marca la casilla de verificación Recordar contraseña de la UI de solicitud de credenciales para
guardar la credencial, ésta se almacena de la forma más general posible. Por ejemplo, si obtiene acceso a
un servidor específico de un dominio, la credencial se podría guardar como *.domain.com. Al guardar otra
credencial para otro servidor del mismo dominio, el sistema no sobrescribiría la primera credencial, sino que
la guardaría con una información de destino más específica.
Cuando se obtiene acceso a un recurso a través de un paquete de autenticación integrado, éste examina los
nombres de usuario y contraseñas almacenados para encontrar la credencial más específica que coincida
con la información de destino devuelta por el recurso. Si la encuentra, el paquete de autenticación la utiliza
sin ninguna interacción con el usuario. En caso contrario, se devuelve un error de autenticación a la
aplicación que intenta tener acceso al recurso.
Nota La aplicación que obtiene acceso al recurso no necesita implementar la UI de solicitud de credenciales
para utilizar esta autenticación directa. Si la aplicación utiliza un paquete de autenticación integrado, éste
intentará recuperar la credencial. De hecho, si introdujo la credencial, sólo la podrá recuperar el paquete de
autenticación.
27
Consulte en las Figuras 10, 11a y 11b distintos ejemplos de UI de administración de contraseñas.
Figura 10. UI de administración de contraseñas clásica (Windows XP Professional en un dominio)
Figura 11a. UI de administración de contraseñas detallada (Windows XP Home Edition y Windows XP Professional en un
grupo de trabajo)
28
Figura 11b. UI de administración de contraseñas detallada (Windows XP Home Edition y Windows XP Professional en un
grupo de trabajo)
Conjunto de claves
El conjunto de claves permite administrar manualmente las credenciales que residen en los nombres de
usuario y contraseñas almacenados. El acceso al conjunto de claves se obtiene con la aplicación Panel de
control de cuentas de usuario.
El conjunto de claves contiene la lista de todas las credenciales almacenadas en los nombres de usuario y
contraseñas. Al resaltar una credencial, aparece una breve descripción de la misma en un campo situado en
la parte inferior de la lista. Desde allí puede agregar una nueva credencial y modificar o eliminar una
credencial existente.
•
Agregar una credencial. Para agregar una credencial utilizará una UI similar a la de solicitud de
credenciales en la que deberá escribir la información de destino. Recuerde que la información de destino
puede contener comodines en forma de “*”.
•
Modificar una credencial. La modificación de una credencial permite cambiar tanto la información de
destino como las propias credenciales. Si se trata de una credencial de nombre de usuario y/o
contraseña, puede cambiar desde aquí la contraseña del servidor. No podrá utilizar la UI de solicitud de
credenciales para modificar credenciales creadas específicamente por una aplicación. Por ejemplo, no
puede modificar credenciales de Passport.
•
Eliminar una credencial. Puede eliminar cualquier credencial.
29
La posibilidad de guardar credenciales en nombres de usuario y contraseñas almacenados se puede activar
y desactivar a través de la directiva de grupo.
Para permitir que otros desarrolladores de software utilicen este mecanismo, la API de solicitud de
credenciales y la API de credenciales subordinada se documentan en el kit de desarrollo de software de la
plataforma (SDK).
Windows XP Professional ofrece todas las características de cambio rápido de usuario disponibles en
Windows® XP Home Edition. (Consulte Cambio rápido de usuario en la sección Windows XP Home Edition
de este documento para obtener más información.)
En los equipos que ejecutan Windows XP Professional sin estar conectados a un dominio, puede cambiar de
una cuenta de usuario a otra sin necesidad de cerrar la sesión ni salir de las aplicaciones.
Nota Sólo se puede utilizar el cambio rápido de usuario del sistema operativo Windows XP Professional cuando el equipo
forma parte de un grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las
opciones de inicio de sesión dependerán de las directivas configuradas por el administrador de TI.
Intimidad personal
Los aspectos relativos a la intimidad que afectan a los usuarios de Windows XP Home Edition son también
válidos para los usuarios de Windows XP Professional. (Consulte Intimidad personal en la sección Windows
XP Home Edition de este documento para obtener más información.)
Nota: si utiliza Windows XP Professional como parte de un grupo de trabajo o en una configuración independiente, las
características de confidencialidad disponibles serán distintas de las que podría utilizar si el equipo formara parte de un
dominio. Cuando el equipo forma parte de un dominio, prevalecen las directivas definidas por el administrador del
sistema.
Windows XP Professional ofrece todas las características ICS disponibles en Windows XP Home Edition.
(Consulte Conexión compartida a Internet en la sección Windows XP Home Edition de este documento para
obtener más información.)
Directiva de grupo sensible a la ubicación de ICS
Una de las características únicas de ICS en Windows XP Professional es su directiva de grupo sensible a la
ubicación, de gran ayuda para los usuarios móvi les. Cuando un equipo Windows XP Professional es
miembro de un dominio, el administrador del dominio puede crear una directiva de grupo que impida el uso
de Conexión compartida a Internet en la red corporativa. Si lleva su equipo a casa, podrá utilizar Conexión
compartida a Internet porque la directiva no está relacionada con su red doméstica.
30
Nota: la Conexión compartida a Internet del sistema operativo Windows XP Professional sólo se puede utilizar cuando el
equipo forma parte de un grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las
opciones de conexión a Internet dependerán de las directivas configuradas por el administrador de TI.
Windows XP Professional ofrece todas las características del servidor de seguridad de conexión a Internet
disponibles en Windows® XP Home Edition. El Servidor de seguridad de conexión a Internet (ICF) de
Windows XP Professional protege de las amenazas de seguridad a los equipos de escritorio y móviles que
utilizan conexiones DSL, de módem por cable o de módem de acceso telefónico a un proveedor de servicios
de Internet (ISP).
Directiva de grupo sensible a la ubicación del ICF
Una de las características únicas del ICF de Windows XP Professional es su directiva de grupo sensible a la
ubicación. Es de ayuda para los usuarios móviles que desean proteger sus equipos móviles de trabajo
cuando están en casa o en lugares tales como hoteles, aeropuert os u otras zonas activas de conexión a
Internet.
Cuando un equipo Windows XP Professional es miembro de un dominio, el administrador del dominio puede
crear una directiva de grupo que impida el uso del ICF mientras el equipo está conectado a la red
corporativa. De esta forma, el portátil puede utilizar los recursos de la red empresarial sin ninguna
complejidad adicional para el usuario ni el administrador de la red. Cuando trabaje con el equipo en casa o
en una zona activa de conexión pública a Internet, podrá utilizar el ICF, ya que la directiva no se aplica fuera
de la red de la empresa.
Funcionamiento del ICF
El ICF funciona como un filtro de paquetes de inspección de estado que comparte tecnología con ICS.
Aunque la característica ICF es independiente, también puede ejecutarla en el adaptador compartido para
proteger su red doméstica.
Cuando está habilitado, el filtro de inspección de estado bloquea todas las conexiones no solicitadas que
procedan de la interfaz de red pública. Para ello, el ICF utiliza la tabla de flujo de traducción de direcciones
de red (NAT) para validar todos los flujos entrantes. Sólo se permite la entrada de los flujos de datos si existe
una asignación en la tabla de flujo NAT que proceda del sistema del servidor de seguridad o de la red interna
protegida. En otras palabras, los datos entrantes se eliminan si la comunicación de red no procede de la red
protegida.
Cuando utilice el ICF de Windows XP Professional, podrá estar seguro de que los piratas informáticos no
serán capaces de examinar sus sistemas ni de conectarse a sus recursos. Sin embargo, existe un
inconveniente. El servidor de seguridad hará que sea más difícil configurar el sistema para funcionar como
servidor de otros equipos a través de Internet.
Nota El ICF del sistema operativo Windows XP Professional sólo se puede utilizar cuando el equipo forma parte de un
grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las características y
posibilidades del servidor de seguridad dependerán de las directivas configuradas por el administrador de TI.
31
Configuración de directivas de grupo relacionadas con la seguridad
Windows XP incluye plantillas de seguridad, colecciones preconfiguradas de directivas relacionadas con la
seguridad que permiten garantizar el nivel de seguridad adecuado en las estaciones de trabajo. Las plantillas
representan configuraciones estándar de seguridad baja, media y alta y se pueden adaptar a distintas
necesidades.
También puede establecer directivas de seguridad para la administración de contraseñas; por ejemplo:
•
Determinar la longitud mínima de las contraseñas.
•
Definir el intervalo de cambio de las contraseñas.
•
Controlar el acceso a los recursos y los datos.
Las directivas de restricción de software proporcionan a los administradores un mecanismo impulsado por
directivas para identificar el software que se encuentra en ejecución en su dominio y controlar su capacidad
de ejecución. El administrador puede utilizar una directiva de restricción de software para impedir la
ejecución de aplicaciones no deseadas, como virus, caballos de Troya u otros programas cuya instalación
provoque conflictos.
Uso de directivas de restricción de software
Si es un administrador, puede utilizar una directiva de restricción de software para limitar la ejecución a un
conjunto de aplicaciones en las que confía. Para dar a conocer las aplicaciones a la directiva, se puede
utilizar la ruta del archivo, el hash del archivo, el certificado firmante de Microsoft® Authenticode® o la zona
Internet. Una vez identificada, el sistema aplica las directivas definidas por el administrador.
Las directivas de restricción de software también se pueden usar como protección contra virus basados en
secuencias de comandos y caballos de Troya. Un administrador puede configurar una directiva de restricción
de software para impedir la ejecución de cualquier secuencia de comandos que no esté firmada por un
miembro de la organización de TI. Esta medida evita cualquier virus basado en una secuencia de comandos,
como ILOVEYOU.VBS. Las directivas de restricción de software también permiten regular las aplicaciones
que pueden instalar los usuarios en sus equipos.
Para utilizar este tipo de directivas en un equipo independiente, es preciso configurar la directiva de
seguridad local. Las directivas de restricción de software también se integran con la directiva de grupo y
Active Directory. Es posible personalizar distintas directivas para distintos conjuntos de usuarios o equipos.
También se puede utilizar un equipo Windows XP para crear una directiva de restricción de software en un
entorno Windows 2000. Los equipos Windows 2000 del dominio ignorarán la directiva de restricción de
software, mientras que los equipos Windows XP la aplicarán.
Creación de una directiva de restricción de software
Las directivas de restricción de software se crean con el complemento Directiva de grupo de Microsoft
Management Console (MMC). Una directiva se compone de una regla predeterminada que define si se
permite la ejecución de los programas y cuáles son las excepciones a la regla. La regla predeterminada
32
puede configurarse como irrestricto o no permitido, es decir, “ejecutar” o “no ejecutar”. Al configurar la regla
como "irrestricto", el administrador puede definir en las excepciones el conjunto de programas que no se
pueden ejecutar. Otro método más seguro consiste en configurar la regla predeterminada como “no
permitido” y especificar únicamente los programas que se conocen y en los que se confía.
Dos tipos de directivas de restricción de software
Existen dos formas de utilizar las directivas de restricción de software. Si los administradores han identificado
todo el software que se puede ejecutar, pueden utilizar una directiva de restricción de software para limitar la
ejecución a la lista de aplicaciones de confianza. En cambio, si los administradores no conocen todas las
aplicaciones que ejecutarán los usuarios, tendrán que reaccionar sobre la marcha y restringir las aplicaciones
inadecuadas a medida que las identifiquen.
Las directivas de restricción de software se pueden aplicar en las siguientes situaciones:
•
Permitir únicamente la ejecución de código en el que se confía. Si se puede identificar todo el código
en el que se confía, el administrador puede bloquear eficazmente el sistema. Los siguientes ejemplos
indican dónde se puede aplicar una directiva de tipo “permitir únicamente la ejecución de código en el
que se confía”:
−
Estación de aplicaciones
−
Estación de tareas
−
Quiosco
En estos casos, la regla predeterminada sería “no permitir”. Las excepciones a la regla permitirían ejecutar
solamente las aplicaciones en las que se confía. Un ejemplo de esta directiva sería un equipo en el que sólo
se deben ejecutar determinadas aplicaciones y en el que los usuarios no deben poder instalar otro software.
Un administrador puede crear una directiva que sólo permita ejecutar Microsoft Word y Microsoft Excel en el
equipo. Si el usuario descarga un programa o intenta ejecutarlo desde un disquete, la directiva lo impedirá
porque no figura en la lista definida de programas de confianza.
•
Impedir la ejecución de código no deseado. En algunos casos, un administrador no puede predecir la
lista completa del software que necesitarán los usuarios, por lo que sólo podrá reaccionar e identificar el
código no deseado a medida que lo descubra. Las empresas que administran sus clientes de forma poco
estricta entrarían en esta categoría. Las siguientes situaciones son ejemplos de este caso:
−
Equipos personales con escasa administración
−
Equipos personales con un nivel moderado de administración
Por ejemplo, si el administrador descubre que muchos usuarios ejecutan una aplicación de archivos
compartidos que consume gran parte del ancho de banda, puede definir una regla que identifique e impida la
ejecución del programa. Si los usuarios instalan un programa que provoca conflictos con el software
existente, el administrador puede crear una regla que identifique el programa de instalación de dicho
software para impedir su ejecución.
Consulte en la Figura 12 un ejemplo de configuración de directiva de restricción de software.
33
Figura 12. Directivas de restricción de software: Configuración de seguridad local
Reglas de identificación de software
Para identificar el software, un administrador puede utilizar una de las siguientes reglas:
•
Regla de hash . El complemento MMC de una directiva de restricción de software permite al
administrador buscar un archivo e identificar el programa calculando su valor hash. Un hash es una
huella digital que identifica de manera única un programa o archivo. El archivo mantiene siempre el
mismo hash aunque cambie de nombre o se mueva a otro equipo.
•
Regla de ruta. Una regla de ruta permite identificar software mediante un nombre completo de ruta,
como C:\Archivos de programa\Microsoft Office\Office\excel.exe, o mediante el nombre de la ruta que
conduce hasta la carpeta que contiene el programa, como C:\Windows\System32. (En este caso, se
identificarían todos los programas del directorio y de sus subdirectorios.) Las reglas de ruta también
pueden utilizar variables de entorno, como %userprofile%\Local Settings\Temp.
•
Regla de certificado. Una regla de certificado identifica el software a través del certificado del editor que
contiene la firma digital del programa. Por ejemplo, un administrador puede configurar una regla de
certificado que sólo permita instalar software firmado por Microsoft o su organización de TI.
•
Regla de zona. Una regla de zona identifica el software que procede de Internet, la intranet local, sitios
de confianza o zonas de sitios restringidos.
Control del software con firma digital
Las directivas de restricción de software mejoran la capacidad del administrador para controlar el software
con firma digital de las siguientes formas:
•
Limitación de los controles Microsoft ActiveX®. Un administrador puede especificar los controles
ActiveX que podrán ejecutarse desde un dominio en Internet Explorer por medio de una directiva de
restricción de software que enumere los certificados de editor de software en los que se confía. Si el
editor de un control ActiveX figura en la lista de editores de confianza, su software se ejecutará
automáticamente cuando se descargue. Una directiva de restricción de software también puede contener
la lista de editores no permitidos para evitar automáticamente la ejecución de sus controles ActiveX.
34
También es posible controlar quién puede tomar la decisión de confiar en un editor desconocido en el
que no se confíe ni desconfíe explícitamente. Las directivas de restricción de software se pueden
configurar para permitir que los administradores locales o los administradores de dominio sean los únicos
que puedan decidir en qué editores se confía y evitar que los usuarios tomen estas decisiones.
•
Uso de Windows Installer. Los programas que se instalan con Windows Installer pueden incluir una
firma digital. Con una directiva de restricción de software, un administrador puede determinar que sólo se
instale el software con firma digital de determinados editores de software. Windows Installer comprobará
la presencia de una firma aprobada antes de instalar el software en el equipo.
•
Uso de Microsoft Visual Basic® Script. Los archivos de Visual Basic Script pueden incorporar una
firma digital. Un administrador puede configurar una directiva de restricción de software para que sólo se
puedan ejecutar los archivos de Visual Basic Script (.vbs) que incluyan la firma digital de un editor de
software autorizado.
Seguridad del Protocolo Internet (IPSec)
La seguridad de red basada en IP es casi una necesidad universal en el mundo empresarial actual,
conectado a través de Internet, intranets, sucursales y acceso remoto. El tráfico de información confidencial
en las redes es constante, lo que plantea a los administradores de red y demás profesionales de los servicios
de información el reto de garantizar los siguientes aspectos:
•
Protección contra la modificación de datos durante el tránsito.
•
Protección contra la interceptación, la visualización o la copia.
•
Protección contra la suplantación por terceros no autenticados.
•
Protección contra la captura y la posterior reproducción del tráfico para obtener acceso a recursos
confidenciales; ésta es una práctica habitual de uso ilícito de contraseñas cifradas.
Estos servicios de seguridad se denominan integridad de los datos, confidencialidad de los datos,
autenticación de los datos y protección contra la reproducción.
Por qué es necesario IPSec
IP carece de un mecanismo predeterminado de seguridad, y los paquetes IP se pueden leer, modificar,
reproducir y falsificar fácilmente. Sin seguridad, tanto las redes públicas como privadas pueden ser objeto de
vigilancia y acceso no autorizados. Los ataques internos pueden ser el resultado de una seguridad mínima o
inexistente en la intranet. En cambio, los riesgos que proceden del exterior de la red privada tienen su origen
en las conexiones a Internet y a las extranets. En sí mismos, los controles de acceso de los usuarios
basados en contraseña no protegen los datos que se transmiten a través de la red.
Como resultado, la organización Internet Engineering Task Force (IETF) diseñó IPSec para ofrecer seguridad
a nivel de red mediante la autenticación, integridad y confidencialidad de los datos y la protección contra la
reproducción de los mismos. IPSec se integra en la seguridad de Windows 2000 y Windows XP Professional
para crear la plataforma idónea para proteger las comunicaciones de la intranet y de Internet. Utiliza
algoritmos estándar y un completo enfoque de administración de seguridad que protege todas las
comunicaciones TCP/IP a ambos lados del servidor de seguridad de una organización. El resultado es la
35
estrategia de seguridad de extremo a extremo de Windows 2000 y Windows XP Professional, que protege de
los ataques tanto externos como internos.
La seguridad IP se implanta por debajo del nivel de transporte, lo que ahorra a los administradores de la red
la dificultad y el gasto de implementar y coordinar la seguridad a nivel de aplicación. Con la implantación de
IPSec de Windows XP Professional y Windows 2000, los administradores de la red ofrecen un nivel de
protección segura a la totalidad de la red, y las aplicaciones obtienen automáticamente la protección de los
servidores y clientes compatibles con IPSec.
Consulte en la Figura 13 un ejemplo de configuración IPSec.
Figura 13. IPSec: Configuración de seguridad local
Métodos empleados por la seguridad IP para evitar los ataques a la red
Sin medidas de seguridad, los datos pueden ser objeto de ataque. Algunos ataques son pasivos: la
información sólo se supervisa. Otros son activos: la información se altera en un intento de dañar o destruir
los datos o la propia red.
La Tabla 1 muestra algunos de los riesgos de seguridad más frecuentes de las redes actuales y explica
cómo utilizar IPSec para evitarlos.
Tabla 1 Tipos de ataques de red y prevención de los mismos con IPSec
Tipo de ataque
Descripción
Medida de prevención de IPSec
Interceptación
(también
denominada
husmear o fisgar)
Supervisión de paquetes de texto sin
formato o sin cifrar.
Los datos se cifran antes de la transmisión,
lo que impide el acceso aunque el paquete
se supervise o intercepte. Los
interlocutores son los únicos que conocen
la clave de cifrado.
Modificación de
datos
Alteración y transmisión de paquetes
modificados.
Cada paquete va acompañado de una
suma de comprobación de cifrado que se
calcula procesando los datos con
algoritmos hash. El equipo receptor
comprueba la suma para detectar cualquier
modificación.
36
Tipo de ataque
Descripción
Medida de prevención de IPSec
Falsificación de
identidad
Uso de paquetes generados o
capturados para suplantar la
identidad de una dirección válida.
Se utiliza el protocolo Kerberos versión 5,
los certificados de clave pública o las
claves previamente compartidas para
autenticar a los interlocutores antes de
iniciar una comunicación segura.
Denegación de
servicio
Impedir el acceso a la red a los
usuarios válidos; por ejemplo, saturar
la red con tráfico de paquetes.
Posibilidad de bloquear los puertos y los
protocolos.
Intermediario
Desvío de los paquetes IP hacia un
tercero para examinarlos y alterarlos.
Autenti cación de los interlocutores.
Clave conocida
Se utiliza para descifrar o modificar
los datos.
En Windows XP Professional, las claves
criptográficas se actualizan
periódicamente, lo que reduce la
posibilidad de que una clave capturada
permita obtener acceso a la información
protegida.
Ataque a nivel de
aplicación
Este tipo de ataque va dirigido
principalmente a los servidores de
aplicaciones y se utiliza para provocar
un error en el sistema operativo o las
aplicaciones de la red o para
introducir virus en la red.
Dado que IPSec se implementa a nivel de
red, los paquetes que no superan los filtros
de seguridad a dicho nivel no llegan a las
aplicaciones, lo que protege tanto a éstas
como al sistema operativo.
Mecanismos basados en cifrado
IPSec evita los ataques mediante el uso de mecanismos basados en cifrado. Dichos mecanismos procesan
la información con algoritmos hash y la cifran, lo que permite transmitirla de forma segura.
La información se protege mediante la combinación de un algoritmo y una clave:
•
El algoritmo es el proceso matemático mediante el cual se protege la información.
•
Una clave es el código o número secreto necesario para leer, modificar o verificar los datos
protegidos.
IPSec utiliza un mecanismo basado en directivas para determinar el nivel de seguridad que requiere una
sesión de comunicación. Las directivas se pueden distribuir en una red a través de los controladores de
dominio de Windows® 2000. También se pueden crear y almacenar localmente en el registro de un equipo
Windows XP Profes sional.
Funcionamiento de IPSec
Antes de transmitir ningún dato, un equipo habilitado para IPSec negocia el nivel de seguridad que se debe
mantener durante la sesión de comunicaciones. Durante la negociación, se determina el método de
autenticación, un método de hash, un método de túnel (opcional) y un método de cifrado (también opcional).
Cada equipo determina localmente las claves secretas de autenticación a partir de la información
intercambiada durante la negociación. Las claves reales nunca se transmiten. Una vez generada la clave, las
identidades se autentican y puede empezar el intercambio de datos seguro.
37
El nivel de seguridad resultante puede ser bajo o alto, dependiendo de la directiva de seguridad IP del equipo
emisor o receptor. Por ejemplo, una sesión de comunicación entre un equipo Windows XP Professional y un
host no compatible con IPSec puede no requerir un canal de transmisión seguro. En cambio, una sesión de
comunicación entre un servidor Windows 2000 que contiene información confidencial y un host de la intranet
puede requerir alta seguridad.
Una tarjeta inteligente es una tarjeta de circuitos integrados (ICC) de tamaño similar al de una tarjeta de
crédito. La puede utilizar para almacenar certificados y claves privadas y para realizar operaciones de cifrado
de clave pública, como la autenticación, la firma digital o el intercambio de claves.
La tarjeta inteligente mejora la seguridad de las siguientes formas:
•
Proporciona un almacenamiento a prueba de falsificaciones para las claves privadas y otras formas de
identificación personal.
•
Aísla los cálculos de seguridad críticos relacionados con la autenticación, las firmas digitales y el
intercambio de claves de las partes del sistema que no necesitan estos dat os.
•
Permite trasladar las credenciales y otra información privada de un equipo a otro (por ejemplo, desde el
trabajo a casa o a un equipo remoto).
Un PIN en lugar de una contraseña
Las tarjetas inteligentes utilizan un número de identificación personal (PIN) en lugar de una contraseña. La
tarjeta dispone de un PIN seleccionado por su propietario que la protege contra el riesgo de uso indebido.
Para utilizarla, se introduce en un lector de tarjetas inteligentes conectado a un equipo y se introduce el PIN.
La protección que ofrece un PIN es superior a la de una contraseña de red estándar. Las contraseñas (o sus
derivaciones, por ejemplo, hash) viajan por la red y están sujetas a la interceptación. La seguridad de la
contraseña depende de su longitud, de la calidad de su protección y de la dificultad que tenga un intruso para
intentar adivinarla. En cambio, el PIN nunca viaja por la red. Además, las tarjetas inteligentes sólo admiten un
número limitado de intentos (generalmente, entre tres y cinco) de introducción del PIN correcto antes de
quedar automáticamente bloqueadas. Una vez alcanzado el límite, la introducción del PIN correcto no tiene
ningún efecto y el usuario debe ponerse en contacto con un administrador del sistema para desbloquear la
tarjeta.
Estándares de tarjetas inteligentes
Windows 2000 admite el uso de las tarjetas inteligentes estándar compatibles con Personal Computer/Smart
Card (PC/SC) y los lectores Plug and Play que cumplen las especificaciones desarrolladas por la
organización PC/SC Workgroup. Para funcionar con Windows 2000 Server y Windows XP Professional, una
tarjeta inteligente debe ajustarse física y electrónicamente a los estándares ISO 7816-1, 7816-2 y 7816-3.
Los lectores de tarjetas inteligentes se conectan a las interfaces de periféricos estándar de un PC, como RS 232, PC Card y bus serie universal (USB). Algunos lectores RS -232 incorporan un cable de alimentación
adicional que se conecta al puerto PS/2. No obstante, el lector no se comunica a través de dicho puerto.
38
Los lectores son dispositivos estándar de Windows y disponen de un descriptor de seguridad y un
identificador Plug and Play. Los lectores de tarjetas inteligentes se controlan con controladores de
dispositivos estándar de Windows que se pueden instalar y eliminar con el Asistente para hardware.
Windows 2000 Server y Windows XP Professional incluyen controladores para distintos lectores comerciales
de tarjetas inteligentes Plug and Play certificados para exhibir el logotipo de compatibilidad con Windows.
Algunos fabricantes pueden proporcionar controladores para lectores no certificados que funcionan con el
sistema operativo Windows. Sin embargo, para garantizar el soporte continuo de Microsoft, se recomienda
adquirir únicamente lectores de tarjetas inteligentes que exhiban el logotipo de compatibilidad con Windows.
Iniciar una sesión con una tarjeta inteligente
Las tarjetas inteligentes sólo permiten iniciar sesiones con cuentas de dominio, no con cuentas locales. Si
utiliza una contraseña para iniciar una sesión de forma interactiva con una cuenta de dominio, Windows 2000
Server y Windows XP Professional utilizan el protocolo Kerberos V5 para la autenticación. Si utiliza una
tarjeta inteligente, el sistema operativo utiliza la autenticación Kerberos versión 5 con cert ificados X.509 v3 a
menos que el controlador del dominio no ejecute Windows 2000 Server.
•
Para iniciar una sesión con el método habitual, debe demostrar su identidad al servicio Centro de
distribución de claves (KDC) de Kerberos proporcionando información que sólo usted y el KDC conocen.
La información secreta es una clave compartida de cifrado que se calcula a partir de su contraseña. Una
clave secreta compartida es simétrica, es decir, que se utiliza la misma clave para el cifrado y el
descifrado.
•
Para el inicio de sesión con una tarjeta inteligente, Windows 2000 Server implementa una extensión
de clave pública de la petición de autenticación inicial del protocolo Kerberos. A diferencia del cifrado de
clave secreta compartida, el cifrado de clave pública es asimétrico, es decir, que utiliza dos claves
distintas: una para cifrar y otra para descifrar. Las dos claves necesarias para realizar ambas
operaciones forman un par de claves privada y pública.
Cuando se utiliza una tarjeta inteligente en lugar de una contraseña, se sustituye un par de claves privada y
pública almacenadas en la tarjeta con la clave secreta compartida calculada a partir de la contraseña. La
clave privada sólo se almacena en la tarjeta inteligente, y la pública sólo se proporciona a los usuarios con
los que se desea intercambiar información confidencial.
Tarjetas inteligentes para uso administrativo
Los administradores necesitan herramientas y utilidades que les permitan utilizar credenciales alternativas a
fin de desarrollar su actividad normal (con privilegios de usuario normales) y sus funciones especiales
administrativas. Las utilidades como Net.exe y Runas.exe cumplen esta función. En Windows XP
Professional, estas herramientas admiten las credenciales de tarjeta inteligente.
Protocolo de autenticación Kerberos versión 5
En Windows 2000 y Windows XP Professional, las credenciales pueden proceder de una contraseña, un
tíquet Kerberos o, si el equipo dispone de un lector, una tarjeta inteligente.
39
El protocolo Kerberos V5 proporciona un medio de autenticación mutua entre un cliente, como un usuario,
equipo o servicio, y un servidor. Es más eficaz para los servidores que autentican clientes, incluso en los
entornos de red de mayor tamaño y complejidad.
La base de Kerberos
El protocolo Kerberos parte de la base de que las transacciones iniciales entre clientes y servidores tienen
lugar en una red abierta, un entorno en el que un usuario no autorizado puede hacerse pasar por un cliente o
un servidor e interceptar o falsificar la comunicación entre los clientes y servidores autorizados. La
autenticación Kerberos V5 también ofrece seguridad y eficacia en redes complejas de clientes y recursos.
El protocolo Kerberos versión 5 utiliza cifrado de clave secreta para proteger las credenciales de inicio de
sesión que viajan por la red. El equipo receptor puede utilizar la misma clave para descifrar las credenciales.
El descifrado y los pasos posteriores los realiza el Centro de distribución de claves de Kerberos , que se
ejecuta en todos los controladores de dominio como parte de Active Directory.
Autenticador
Las credenciales cifradas de inicio de sesión incluyen un autenticador (un elemento de información, como
una marca de hora, que varía cada vez que se genera) para verificar que no se vuelvan a usar credenciales
de autenticación anteriores. La respuesta cifrada del KDC al cliente incorpora un nuevo autenticador para
confirmar la recepción y aceptación del mensaje original. Si se aceptan las credenciales y el autenticador del
primer inicio de sesión, el KDC emite un tíquet (TGT) y la LSA lo utiliza para obtener tíquets de acceso al
servicio que se pueden utilizar para obtener acceso a los recursos de red sin necesidad de volver a
autenticar el cliente, ya que mantienen su validez. Los tíquets contienen datos cifrados que confirman la
identidad del usuario al servicio solicitado. Exceptuando la primera introducción de una contraseña y las
credenciales de tarjeta inteligente, el proceso de autenticación es transparente.
Consulte en la Figura 14 un ejemplo de propiedades de regla de autenticación.
40
Figura 14. Propiedades de regla de autenticación
Servicio Centro de distribución de claves de Kerberos
Este servicio se utiliza con el protocolo de autenticación Kerberos para autenticar las peticiones de inicio de
sesión en Active Directory.
Aunque Windows 2000 Server y Windows XP Professional utilizan el protocolo de autenticación
Kerberos versión 5 de forma predeterminada, tanto los controladores de dominio como los equipos cliente
deben ejecutar Windows 2000 o Windows XP Professional para poder utilizar la autenticación Kerberos. El
protocolo NTLM es la alternativa de autenticación que se utiliza cuando no se cumplen las condiciones
anteriores.
41
Resumen
Hay dos ediciones de Windows XP: Windows XP Home Edition, para uso doméstico, y Windows XP
Professional, para empresas de todos los tamaños. En términos generales, la seguridad se ha mejorado en
Windows XP para ayudar al usuario a disfrutar de una experiencia informática segura, confiable y privada.
Si utiliza Windows XP Home Edition, disfrutará de servicios de seguridad que han sido diseñados para ser
flexibles y tienen en cuenta una amplia variedad de situaciones de seguridad y confidencialidad a las que
debe enfrentarse el usuario doméstico. Si instala Windows XP Professional en su equipo, dispondrá de las
características de seguridad necesarias para las redes y la seguridad empresariales, características que
ofrecen nuevas capacidades de administración que reducirán los costos de tecnologías de la información y le
permitirán dedicar más tiempo a crear servicios y soluciones para la empresa.
42
Vínculos relacionados
•
Consulte el artículo referente a las características y mejoras para redes de Windows XP en
http://www.microsoft.com/windowsxp/pro/techinfo/howitworks/networking/default.asp
•
Para obtener más información acerca de la seguridad de Windows, visite la sección de seguridad del
sitio Web de Windows 2000 en http://www.microsoft.com/windows2000/technologies/security/default.asp.
43

Novedades de seguridad de Windows XP Professional y Windows

Transcripción

Documentos relacionados

Seguridad en Windows Vista