Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Guía de eliminación de amenazas para Windows NT 4.0 y Windows 98

Capítulo 4: Configuración de seguridad de Microsoft Windows NT 4.0

Publicado: septiembre 13, aaaa

Microsoft® Windows NT® 4.0 no cuenta con algunas de las funciones de seguridad más avanzadas que incluyen otras versiones del sistema operativo Microsoft Windows®. Sin embargo, ofrece funciones y técnicas extremadamente útiles, capaces de incrementar significativamente la seguridad de sus sistemas. Este capítulo desarrolla estos temas en detalle y explica cómo utilizar estas funciones para que sus sistemas de Windows NT 4.0 gocen de mayor protección, tanto en estaciones de trabajo como en servidores.

Los temas incluyen información acerca de cómo realizar las siguientes operaciones:

Instalar el sistema operativo inicial y las revisiones básicas.

Reforzar la secuencia de inicio.

Instalar el complemento de cliente de servicios de directorio.

Utilizar las directivas del sistema y el administrador de configuración de seguridad.

Seleccionar el nivel de autenticación NTLM (Windows NT LAN Manager).

Definir directivas de contraseña eficaces.

Utilizar bloqueos de cuenta y contraseña.

Reforzar el sistema de archivos.

Reforzar los servicios.

Llevar a cabo otras medidas de seguridad.

En esta página
Diseño de seguridad para un host de Windows NTDiseño de seguridad para un host de Windows NT
ImplementaciónImplementación
Prueba de la soluciónPrueba de la solución
ResumenResumen

Diseño de seguridad para un host de Windows NT

La configuración de seguridad del sistema operativo Windows NT 4.0 requiere la consideración y comprensión de varios temas.

Instalación del sistema operativo inicial y las revisiones básicas

El primer paso crítico a la hora de configurar la seguridad de sistemas basados en Windows NT es instalar las revisiones de seguridad más recientes para el sistema operativo básico. Lo más conveniente es llevar a cabo este paso como parte del proceso normal de administración de revisiones, tal como se describe en el Capítulo 6, "Administración de revisiones". Este proceso debe comenzar con un inventario completo que permita determinar en qué nivel de revisión se encuentran los diferentes equipos. Puede utilizar Microsoft Baseline Security Analyzer (MBSA) o Microsoft Systems Management Server (SMS) para analizar los sistemas de Windows NT 4.0 de forma local o remota. Una vez completado el inventario, examine los resultados para asegurarse de que cada sistema de Windows NT tiene instaladas las actualizaciones básicas necesarias. Estas actualizaciones deberían incluir:

El Service Pack 6a (SP6a) de Windows NT 4.0, que es el Service Pack de Windows NT 4.0 más reciente y contiene una serie muy completa de correcciones que han pasado satisfactoriamente las pruebas de regresión y se diseñaron específicamente para instalarse en conjunto.

El Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP). Este paquete de seguridad resumido incluye varias revisiones que se publicaron después del lanzamiento al mercado del SP6a original y su instalación constituye un requisito previo para las revisiones subsiguientes desde Windows Update.

Una serie de revisiones de seguridad actualizadas. Microsoft no ha publicado un SRP o Service Pack integrado para Windows NT 4.0 después del lanzamiento del SRP pero han ido actualizándose componentes individuales como, por ejemplo, algunas partes del sistema operativo, Microsoft Internet Explorer y utilidades complementarias, como el Servicio de acceso remoto y enrutamiento (RRAS) y los Servicios de información de Internet (IIS). Puede obtener una lista actualizada de revisiones en Microsoft TechNet o llevar a cabo una revisión manual de la lista de versiones a través de Windows Update.

La versión más reciente de Internet Explorer. Internet Explorer 6.0 Service Pack 1 (SP1) es la versión actual e incluye una gran cantidad de mejoras y correcciones de seguridad posteriores a las versiones de Internet Explorer disponibles con las versiones publicadas de Windows NT. Según el entorno que se utilice, se puede descargar Internet Explorer directamente desde el sitio Web de Microsoft, solicitar una copia en CD-ROM o instalarlo en varios equipos por medio del Kit de administración de Internet Explorer.

Configuración de seguridad de la secuencia de inicio

Una vez que el sistema cuenta con una serie completa y correcta de revisiones básicas, el siguiente paso consiste en incrementar el grado de protección disponible para el sistema durante la secuencia de inicio. Este nivel de protección se consigue de dos formas: por medio de la puesta a cero del tiempo de espera del menú de inicio, con lo que le resultará más difícil a un atacante iniciar el equipo dentro de otro sistema operativo, y a través del uso de la utilidad Syskey integrada, que permite cifrar información almacenada en la base de datos del administrador de cuentas de seguridad (SAM).

Windows NT Server guarda información sobre cuentas de usuario, incluso un derivado de la contraseña de la cuenta en una parte segura del registro protegida por control de acceso y una función de ocultación. La información de la cuenta en el registro queda accesible únicamente para miembros del grupo de Administradores. Windows NT Server, al igual que otros sistemas operativos, concede a los administradores acceso a todos los recursos del sistema. Para instalaciones que requieren un nivel de seguridad avanzado, el cifrado seguro de derivados de contraseñas de cuentas proporciona seguridad adicional para evitar que los administradores puedan acceder a ellos, de forma intencional o involuntaria, por medio de interfaces de programación de registro. Syskey además protege los datos SAM contra varios tipos de ataques sin conexión llevados a cabo por medio del inicio dentro de un sistema operativo alternativo para acceder a los archivos SAM.

Syskey genera una clave aleatoria que se utiliza para cifrar los datos SAM. Una vez cifrados, la clave debe cargarse durante el inicio y utilizarse para descifrar la copia en memoria de los datos SAM. Syskey ofrece tres modos de funcionamiento, tal como se muestra en la Figura 4.1:

En el modo 1 (Almacenar la clave de inicio localmente), la clave está supercifrada y almacenada en el sistema local. En el inicio, la clave se descifra y carga, lo que permite reiniciar el equipo sin intervención del administrador.

En el modo 2 (el botón Inicio con contraseña y los campos de texto asociados), la clave está supercifrada por medio de una frase cifrada especificada por el usuario. Durante el inicio, el administrador debe introducir la frase cifrada en la consola para que se complete el proceso de inicio. El sistema no se iniciará a menos que se introduzca la frase cifrada.

En el modo 3 (el botón Almacenar la clave de inicio en un disco), la clave Syskey seleccionada aleatoriamente se guarda en un disco que debe introducirse en el equipo cuando se solicite durante el ciclo de inicio. Este disco debe guardarse y conservarse de forma segura.

nt980401.gif

Figura 4.1 Cuadro de diálogo de selección de modo Syskey

Trey decidió implementar protección Syskey en todos los equipos que ejecutan Windows NT. (Syskey está activado de forma predeterminada en Windows 2000, Microsoft Windows Server™ 2003 y Windows XP.) La mayoría de los servidores de Trey, así como todas sus estaciones de trabajo, están configurados para utilizar el modo 1 de funcionamiento de Syskey. Trey seleccionó este modo para el uso generalizado en sus instalaciones porque ofrece un equilibrio razonable de seguridad y comodidad. Para servidores de gran rendimiento, Trey utiliza el modo 2, aunque esto implica que un administrador debe acudir al equipo e introducir la contraseña cada vez que se inicia. Trey decidió no utilizar el modo 3 en ninguno de sus sistemas debido a que exige guardar y conservar de forma segura un disco por cada equipo protegido.

Instalación del complemento de cliente de servicios de directorio

Los sistemas con Windows NT 4.0 solamente pueden participar al 100% en dominios de Windows NT. Si hay dominios de servicios de directorio Microsoft Active Directory®, los sistemas con Windows 98 y Windows NT pueden participar en ellos de forma nativa solamente a través de la interfaz del sistema básico de entrada y salida de red (NetBIOS). Windows 2000 y Windows Server 2003 proporcionan compatibilidad con NetBIOS por medio de la emulación de un controlador de dominio principal (PDC) de Windows NT. Aunque Active Directory proporciona confianza bidireccional transitiva, los sistemas de Windows NT 4.0 sólo pueden aprovechar confianzas explícitas de una sola dirección, independientemente de que el sistema utilice un controlador de dominio de Active Directory o de Windows NT BDC.

En lugar de mantener dominios al estilo de Windows NT, los equipos que ejecutan Windows NT y Windows 98 pueden participar en dominios de Active Directory por medio del complemento de cliente de servicios de directorio (DSClient). DSClient permite a estos sistemas participar en dominios de Active Directory. Gracias a este software, estos sistemas pueden hacer uso de una amplia gama de funciones incluidas en Active Directory como, por ejemplo, la posibilidad de utilizar relaciones de confianza transitiva en el bosque. Dichas relaciones permiten a los usuarios autorizados acceder a los recursos apropiados en cualquier dominio del bosque. La actualización DSClient 2003 se ejecuta en Windows NT 4.0 con SP6a e Internet Explorer 6 SP1. La versión DSClient suministrada con Windows 2000 también requiere la instalación de SP6 pero puede utilizar Internet Explorer 4.01 o posterior. (Los requisitos para el uso de DSClient con Windows 98 se describen en el Capítulo 5, "Configuración de seguridad de Microsoft Windows 98.")

Una vez instalado, DSClient no ofrece compatibilidad con todas las funciones de Active Directory; específicamente, no es compatible con la autenticación Kerberos, la aplicación de directivas de grupo ni el uso de servicios o nombres principales de usuario (UPN) para la autenticación. Sin embargo, sí puede hacer uso de las siguientes funciones de Active Directory:

Interfaces de servicios de Active Directory (ADSI) ADSI proporciona una interfaz de programación de aplicaciones (API) común para programas y secuencias de comandos compatibles con Active Directory. Con ADSI se pueden crear archivos de comandos para una gran cantidad de operaciones de directorio, lo que resultaría imposible desde Windows NT.

Cliente de tolerancia a errores de sistema de archivos distribuidos (DFS) Los recursos compartidos de archivos DFS con tolerancia a errores y conmutación por error proporcionan recursos compartidos de archivos distribuidos integrados en Active Directory.

Páginas de propiedades de la Libreta de direcciones de Windows (WAB) en Active Directory Las páginas de objetos de usuario, a las que puede accederse a través del menú Buscar, permiten a los usuarios autorizados actualizar propiedades (como direcciones y números de teléfono) de objetos de usuario.

Autenticación con NTLM versión 2 NTLM ofrece funciones de autenticación mejoradas y el mejor nivel de seguridad de autenticación (aparte de Kerberos).

Reconocimiento de sitios Los sistemas que utilizan DSClient reconocen sitios de Active Directory y utilizarán un controlador de dominios en su sitio local, incluso para operaciones de cambio de contraseña, siempre y cuando el Sistema de nombres de dominio (DNS) esté configurado correctamente y los sitios estén registrados de forma adecuada en Active Directory. Consulte el artículo 249841 de Microsoft Knowledge Base (KB), "How Windows 98 Active Directory Client Extension uses Active Directory site information" (Uso de la información de sitio en Active Directory por parte de la extensión de cliente Active Directory en Windows 98), en http://support.microsoft.com/?kbid=249841, para obtener más detalles sobre cómo DSClient afecta el comportamiento de las operaciones de cambio de nombre de usuario y contraseña.

Búsqueda de objetos en Active Directory Pueden localizarse impresoras y usuarios en Active Directory por medio del menú Buscar.

Dependencia reducida en el PDC Los clientes pueden conectarse con cualquier controlador en el dominio para realizar cambios de contraseña.

Utilización de las directivas del sistema y del administrador de configuración de seguridad.

Las directivas del sistema constituyen una medida específica de administración de la configuración que Microsoft utilizó por primera vez con Windows 95 y Windows NT 4.0. Por sí solas no sirven para incrementar la seguridad del sistema. Sin embargo, permiten restringir el acceso a recursos específicos, de modo que mejoran el resto de las medidas de seguridad implementadas, con lo que a los usuarios les resultará más difícil eludir directivas o restricciones, intencionadamente o de forma involuntaria. Siempre que estas directivas se diseñen y apliquen correctamente, constituyen una parte esencial de la garantía de integridad de sistemas anteriores. De hecho resultan tan útiles que Microsoft las amplió exhaustivamente para la función de Directiva de grupo (GPO) en Windows 2000 y versiones posteriores.

Una directiva de sistema se compone de una o más restricciones que se aplican a los subárboles de los registros HKEY_CURRENT_USER y HKEY_LOCAL_MACHINE. Cuando el usuario inicia la sesión en un equipo, se comprueba una serie sucesiva de directivas y, si se encuentran, se procede a su aplicación según el nombre de usuario, pertenencias a grupos globales en el dominio y directivas específicas del equipo. Las directivas del sistema están diseñadas para utilizarse en implementaciones de dominio de Windows NT y sirven de complemento a otras funciones compatibles con dominios, tales como los perfiles de usuario.

Es importante entender la diferencia entre las directivas de sistema y los perfiles de usuario. Los perfiles de usuario son el conjunto de subárboles de registro, accesos directos, archivos y directorios de configuración específicos del usuario cargados en HKEY_CURRENT_USER (Ntuser.dat en Windows NT; User.dat en Windows 98). Se encargan de la apariencia del escritorio, los favoritos y marcadores del explorador y otras opciones que los usuarios pueden configurar a su gusto en el sistema operativo y cualquier aplicación. De forma contraria, las directivas del sistema constituyen un conjunto extra de entradas de registro que se aplican al equipo una vez que el perfil de usuario activo se ha ubicado y cargado. Especifican funciones específicas del sistema operativo a las que el usuario actual no debería tener acceso.

Aplicación de las directivas del sistema

Microsoft ofrece un documento detallado, "GUIDE to Microsoft Windows NT 4.0 Profiles and Policies", sobre perfiles de usuario y directivas de sistema, cómo se usan y cómo pueden utilizarse conjuntamente. (Si desea averiguar dónde puede encontrar este documento, consulte la sección "Más información".)

Las directivas del sistema ofrecen una gran cantidad de controles para versiones anteriores de escritorio e interfaz de usuario. Si está familiarizado con las directivas de grupo de Windows 2000, seguramente ya conoce la funcionalidad básica de las directivas del sistema. En líneas generales, permiten:

Especificar un aviso o renuncia que aparecerá en pantalla antes de que el usuario pueda iniciar la sesión, por ejemplo, una advertencia sobre directivas de uso legal aplicables.

Evitar que el cuadro de diálogo de inicio de sesión muestre información importante, como el nombre del usuario anterior o el botón de cierre de sesión.

Especificar el comportamiento de secuencias de comandos de inicio de sesión, perfiles itinerantes almacenados, detección de lentitud en la conexión, el aviso de inicio y las sugerencias de bienvenida.

Especificar la ubicación de varias carpetas compartidas en el menú Inicio, incluida la carpeta Inicio, lo que permite garantizar que determinadas aplicaciones se ejecutarán siempre con el inicio de sesión.

Restringir la apariencia del escritorio: fondos, iconos, colores y comandos disponibles en el menú Inicio.

Especificar el comportamiento de varias funciones de archivo relacionadas con el sistema, como extensiones del shell, actualizaciones del tiempo de acceso a archivos de sólo lectura y nombres largos de archivo.

Restringir el acceso a recursos de red, letras de unidad disponibles y la capacidad de asignar unidades en el Explorador de Windows. Consulte los artículos KB 156698, "Disabling Access to Network Resources Using System Policies", en http://support.microsoft.com/?kbid=156698, y 220955, "Using System Policies to Hide Specific Drive Letters", en http://support.microsoft.com/?kbid=220955, para obtener más información.

Restringir la creación de recursos compartidos de archivos ocultos.

Especificar y restringir la configuración de las impresoras, el Protocolo simple de administración de redes (SNMP) y las Herramientas de servicio de acceso remoto y enrutamiento (RRAS).

Restringir la capacidad del shell para iniciar determinados componentes ejecutables.

Restringir la capacidad del shell para iniciar editores de registro y el símbolo del sistema.

Las directivas del sistema se parecen mucho a las directivas de grupo pero hay algunas limitaciones y diferencias que deben tenerse en cuenta:

Las directivas del sistema no son jerárquicas. Dada la naturaleza plana del modelo de dominio de Windows NT, no resulta posible beneficiarse de la flexibilidad que ofrecen las directivas de grupo con Active Directory en cuanto a la definición de directivas complementarias y superpuestas. Es posible definir directivas para usuarios individuales, usuarios predeterminados, grupos, equipos individuales y equipos predeterminados. El método que se utiliza para aplicarlas se describe en otra sección incluida más adelante en este capítulo.

Las directivas del sistema realizan cambios directamente en el subárbol del registro apropiado. Permanecen en vigor hasta que sucede algo que provoca su modificación, como una directiva alternativa. Las directivas de grupo en Active Directory realizan sus cambios en una parte especial del registro que Windows utiliza posteriormente para reemplazar las entradas de registro normales. La práctica de las directivas del sistema de realizar cambios directamente en el registro se conoce como "tatuar el registro" e implica que las directivas del sistema no pueden realizar suposiciones acerca del estado de ninguna configuración.

Las directivas del sistema se crean por medio del Editor de directivas del sistema (SPE) y los archivos de plantilla administrativa (.adm). Éstos proporcionan las categorías y subcategorías, valores y claves de registro del SPE que controlan los valores de configuración específicos, así como opciones, restricciones y valores predeterminados que puedan aplicarse. Puede crear sus propias plantillas personalizadas e incluir en ellas valores de configuración específicos para el registro que no se incluyen en las plantillas predeterminadas suministradas con el SPE.

Una vez que haya ejecutado el SPE y haya creado un grupo de valores de configuración que posteriormente puedan asociarse a un usuario, grupo, equipo o usuario o equipo predeterminado, tendrá un archivo de directiva llamado Ntconfig.pol. De forma predeterminada, los equipos que ejecutan Windows NT están configurados para descargar archivos de directivas apropiados desde el recurso compartido NETLOGON en los controladores de dominio. Los archivos de directivas deben colocarse en este recurso compartido en el controlador de dominio principal (PDC). A continuación, el contenido de este recurso se copia en los controladores de dominio de reserva (BDC) a través del servicio de replicación de directorios. Los equipos que ejecutan Windows NT pueden descargar todas las directivas aplicables desde el controlador de dominio que utilizan para iniciar la sesión. Estos patrones de comportamiento serán siempre los mismos, independientemente de que los controladores de dominio sean Windows NT, Windows 2000 o Windows Server 2003, ya que los clientes que ejecutan Windows 2000, Windows XP y Windows Server 2003 omitirán los archivos de directivas en el recurso compartido NETLOGON en preferencia de los GPO integrados en Active Directory.

Las directivas del sistema se cargan y aplican en Windows NT del siguiente modo:

1.

Si existe una directiva específica del usuario, se carga, se modifica el registro y el procesamiento de directivas avanza al paso 4.

2.

Si existe una directiva de usuario predeterminado, se carga y se aplica.

3.

Si existen directivas de grupo, se cargan y aplican en orden de prioridad ascendente, según corresponda. Si una directiva de grupo genera un conflicto con la directiva del usuario predeterminado, se le dará preferencia, a menos que la directiva de grupo esté configurada para "omitir".

4.

Si existe una directiva específica del equipo, se carga, se modifica el registro y el procesamiento de directivas avanza al paso 6.

5.

Si existe una directiva de equipo predeterminado, se carga y se modifica el registro.

6.

De este modo, se completa la aplicación de directivas.

De forma predeterminada, Windows NT está configurado para descargar y aplicar directivas del sistema. Este comportamiento se describe en el artículo KB 168231, "System Policies Are Not Applied in Windows NT", en http://support.microsoft.com/?kbid=168231, y está bajo el control del siguiente valor de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Control\Update\UpdateMode (REG_DWORD)

El valor de 0 desactiva la aplicación de directivas del sistema.

El valor predeterminado de 1 activa el modo Automático. Windows buscará el archivo de directiva del sistema Ntconfig.pol en el controlador de dominio de autenticación como se describió anteriormente.

Un valor de 2 activa el modo Manual. Windows examinará el valor NetworkPath (REG_SZ), en la misma clave, e intentará encontrar el archivo de directiva ubicado allí.

Es importante verificar el funcionamiento correcto de las directivas del sistema. El artículo KB 154120, "Debugging User Profiles and System Policies in Windows NT 4.0", en http://support.microsoft.com/?kbid=154120, describe el proceso de reemplazar userenv.dll con la versión de generación de comprobación, lo que permite crear un archivo de registro que puede utilizarse para depurar la aplicación de directivas. Este procedimiento es compatible con todas las versiones y niveles de Service Pack de Windows NT 4.0, incluso Terminal Server Edition.

Aunque el comportamiento de la directiva del sistema predeterminada depende de una infraestructura de dominios de Windows NT funcional, los equipos que ejecutan Windows 2000, los equipos independientes que ejecutan Windows NT y los usuarios de la base de datos de cuentas local pueden beneficiarse de las directivas del sistema. El artículo KB 168579, "How to Set Up Locally-Based System Policies", en http://support.microsoft.com/?kbid=168579, proporciona instrucciones específicas relativas a dos formas de configurar un sistema de Windows NT de modo que proporcione directivas de sistema para los usuarios de la base datos de cuentas local. Si utiliza equipos que ejecutan Windows 2000, Windows XP o Windows Server 2003 en un dominio de Windows NT, el artículo KB 274478, "Group Policies for Windows 2000 Professional Clients in Windows NT 4.0 Domain or Workgroups", en http://support.microsoft.com/?kbid=274478, se ocupa del proceso necesario para que los controladores de dominio de Windows NT puedan distribuir las directivas compatibles con Windows 2000.

Consideraciones de planeamiento para la aplicación de directivas del sistema

Para asegurarse de contar siempre con un nivel de seguridad óptimo, según avanza en el desarrollo y aplicación de sus directivas, es aconsejable que tenga en cuenta las complicaciones que podrían presentarse con el uso de directivas del sistema:

Debido a varios errores en las implementaciones de directivas del sistema en Windows NT 4.0, debe tener al menos SP3 para garantizar que sus sistemas tienen instaladas todas las revisiones importantes relacionadas con dichas directivas. Normalmente, esto no constituye un problema (a menos que alguna aplicación particular tenga alguna necesidad divergente específica), ya que otros requisitos de seguridad prácticamente exigen que tenga SP6a en todos los sistemas de Windows NT.

Las directivas del sistema requieren hasta dos operaciones de inicio y cierre de sesión para asegurar que las directivas se encuentran, descargan y aplican.

Ya que las directivas no se eliminan automáticamente de un equipo, es aconsejable crear una directiva específica de grupo para las cuentas de administradores. Esta directiva debe configurarse para eliminar, como mínimo, las restricciones necesarias para que los administradores puedan volver a otorgarse el acceso a las funciones que pudieran necesitar; una directiva de grupo de administradores muy común consiste simplemente en restaurar todas las funciones restringidas.

Examine cuidadosamente los valores de configuración individuales de sus directivas y asegúrese de analizar correctamente toda doble negación que se presente. Es posible que algunos valores de configuración tengan que activarse para poder anular un comportamiento específico.

Vuelva a comprobar la ubicación de sus archivos de directivas del sistema. Deberían encontrarse en el recurso compartido NETLOGON, cuya ubicación varía dependiendo de si el PDC ejecuta Windows NT 4.0, Windows 2000 o Windows Server 2003.

Es importante comprobar que el servicio de replicación de directorios funciona correctamente y el contenido del recurso compartido NETLOGON del PDC se copia de forma adecuada en todos los BDC.

Asegúrese de que el tiempo de modificación de los archivos de directivas se actualiza cada vez que cambia e implementa una directiva nueva. Los clientes con Service Pack anteriores suelen almacenar los archivos de directivas, y utilizan el tiempo de modificación como indicador para actualizar el archivo. Mejor aun; asegúrese de que todos los sistemas que ejecutan Windows NT cuentan al menos con SP3, preferiblemente con SP6a.

Si tiene un combinación de controladores de dominio de Windows NT 4.0 y Windows 2000 o Windows Server 2003, se puede establecer un proceso de replicación que actúe de puente entre el servicio de replicación de directorios de Windows NT y el servicio de replicación de archivos de Windows 2000. Lea el artículo KB 317368, "HOW TO: Use Lbridge.cmd to Replicate System Policies Between Windows 2000 and Windows NT 4.0 Domain Controllers", en http://support.microsoft.com/?kbid=317368, para obtener más detalles sobre este proceso.

Windows NT 4.0 Terminal Server Edition presenta una interesante serie de complicaciones a la hora de usar directivas del sistema. Si desea más información al respecto, consulte el artículo KB 192794, "How to apply System Policy settings to Terminal Server", en http://support.microsoft.com/?kbid=192794.

Es importante destacar que las directivas del sistema no constituyen un sustituto adecuado para la aplicación correcta de listas de control de acceso (ACL) del sistema de archivos y registro. Tampoco le permitirán omitir otras medidas de configuración de seguridad del sistema. A modo de ejemplo, imagine un sistema con una directiva de sistema que limita las opciones del usuario a ejecutar únicamente los binarios de la aplicación de Microsoft Office. El usuario podría hacer uso del menú Archivo estándar de Office para crear carpetas nuevas, copiar ejecutables como cmd.exe o cualquiera de los editores de registro en ubicaciones que admiten escritura y volver a nombrarlos con nombres ejecutables permitidos por la directiva del sistema, con lo que se elude por completo la directiva implementada.

Hay algunos puntos débiles específicos que deberá tener en cuenta a la hora de implementar directivas del sistema, de modo que pueda complementarlas con otras medidas de seguridad:

Los ejecutables restringidos en las directivas del sistema deben especificarse con las rutas de acceso completas; no confíe en el uso de la ruta de búsqueda predeterminada.

Considere la limitación del uso de los menús Herramientas y Ver en el Explorador de Windows. Estos menús contienen muchas opciones que pueden utilizarse para eludir restricciones de directivas.

Por lo general, los archivos de registro (.reg) pueden ejecutarse incluso si se ha eliminado el acceso a RegEdt32 y RegEdit, ya que  la asociación predeterminada con la extensión del nombre de archivo aún se encuentra vigente.

Los directorios en los que el usuario puede escribir como, por ejemplo, el directorio temporal y el de perfiles, no deben nunca formar parte de la ruta de búsqueda predeterminada.

El identificador de seguridad (SID) del registro cuenta con más acceso del que debería. Es muy conveniente restringirlo a los permisos de Consultar/Enumerar/Leer. Sin embargo, es posible que esto genere conflictos con aplicaciones anteriores y requiera la aplicación de pruebas exhaustivas para determinar los permisos específicos que deben aplicarse y poder así preservar la funcionalidad.

Deben inspeccionarse cuidadosamente todos los ejecutables ubicados en directorios del sistema. Aunque elimine el permiso Ejecutar, basta con que un usuario cuente con el permiso de Leer, para que pueda copiarlos en una ubicación que admite escritura e intente ejecutarlos desde allí.

Administrador de configuración de seguridad

Inicialmente, el Administrador de configuración de seguridad (SCM) se diseñó para Windows 2000 pero, posteriormente, Microsoft lo facilitó también para Windows NT 4.0 SP4 y versiones posteriores. SCM está incluido en el CD-ROM de SP6a. Alternativamente, puede descargarlo del sitio FTP de Microsoft. La herramienta principal de SCM es el Editor de configuración de seguridad (SCE), que sirve para crear y administrar plantillas de seguridad y directivas del sistema.

Puede también utilizar el SCE para llevar a cabo una gran variedad de tareas útiles. Por ejemplo, puede:

Construir plantillas de seguridad que especifiquen la configuración de seguridad, derechos de usuario y auditoría para equipos que ejecutan Windows NT.

Aplicar plantillas automáticamente a uno o varios equipos en un dominio.

Explorar uno o varios equipos para evaluar su nivel de compatibilidad con una plantilla determinada.

De forma predeterminada, la instalación del SCE agrega una serie de plantillas en la carpeta %winnt%\security\templates. Cada plantilla está diseñada para un entorno de seguridad y un tipo de equipo específicos:

Las plantillas básicas (Basic*4.inf) implementan un nivel de seguridad estándar en los equipos de destino, incluida una vigencia mínima de la contraseña de seis semanas y un conjunto básico de permisos de clave de registro, sistema de archivos y derechos de usuario.

Las plantillas compatibles (Comp*4.inf) implementan un nivel de seguridad mayor que las plantillas básicas. Sin embargo, los valores de configuración de seguridad que pudieran interferir con clientes o aplicaciones anteriores permanecen desactivados; el objetivo de este conjunto de plantillas es incrementar la seguridad sin producir problemas de compatibilidad con aplicaciones.

Las plantillas de alta seguridad (HiSec*.inf) implementan algunas directivas de seguridad adicionales, entre las que se incluyen el incremento de la longitud mínima de contraseña de siete a ocho caracteres, y la utilización de una serie más restringida de permisos de registro y sistema de archivos. Estas plantillas pueden ocasionar problemas con aplicaciones anteriores que dependen de permisos de registro o sistema de archivos, o de asignaciones de derechos de usuario.

Las plantillas seguras (Secur*.inf) constituyen el tipo de plantilla estándar más protegido pero activan funciones, como la firma del Bloque de mensajes del servidor (SMB), que limitan la interoperatividad entre equipos seguros y clientes Windows 95/98 que presentan configuraciones diferentes.

Tabla 4.1: Plantillas predefinidas que se suministran con las herramientas del SCE de Windows NT

Si deseaproteger,utilice

seguridad básica

Controladores de dominio principal / de reserva

BasicDC4.inf

Servidores miembro

BasicSv4.inf

Estaciones de trabajo

BasicWk4.inf

Seguridad mejorada con buena compatibilidad con aplicaciones

Controladores de dominio principal / de reserva

CompDC4.inf

Servidores miembro

CompDC4.inf

Estaciones de trabajo

CompWS4.inf

Alta seguridad con compatibilidad reducida con aplicaciones

Servidor miembro o controlador de dominio

HiSecDC4.inf

Estación de trabajo

HiSecWS4.inf

Alta seguridad con conectividad reducida en Windows 98

Servidor miembro o controlador de dominio

SecurDC4.inf

SCM se diseñó, en un principio, para Windows 2000, de modo que la interfaz resultará familiar para los administradores que utilicen directivas de grupo. Incluye la actualización del editor integrado ACL de Windows NT al editor ACL utilizado en Windows 2000. Esta acción conlleva consecuencias importantes en comportamiento de ACL en todo el sistema, ya que SCM requiere el modelo de herencia ACL de Windows 2000, que aplica ACL heredadas de forma dinámica. En lugar de copiar entradas de control de acceso (ACE) del objeto principal al objeto secundario, el nuevo subsistema hace referencia a la directiva Permitir permisos heredables para ver si está activada. El sistema de herencia actualizado será utilizado por los editores ACL normales en el Explorador de Windows y por las directivas aplicadas por el SCM. Sin embargo, el editor de registros (regedt32.exe) no accederá a él directamente, así que las directivas aplicadas por el SCM que cambian ACL en el registro pueden crear ACLs que el editor de registro puede manipular. Para obtener más información acerca del nuevo editor ACL y las consecuencias de su uso, incluidas las instrucciones para desactivarlo (lo que, al mismo tiempo, desactiva SCM), consulte el artículo KB 195509, "Installing Security Configuration Manager from SP4 Changes Windows NT 4.0 ACL Editor", en http://support.microsoft.com/?kbid=195509.

El SCM permite configurar los siguientes elementos:

Directivas de cuenta, incluso opciones de directivas de contraseña y bloqueo de cuentas

Directivas locales, que incluyen opciones de directivas de auditoría, asignación de derechos de usuario y seguridad

Directivas de registro de eventos

Grupos restringidos, que permiten bloquear la pertenencia de grupos específicos

Servicios del sistema, que proporcionan opciones para configurar varios servicios y transportes

Permisos de registro

Permisos del sistema de archivos

La interfaz gráfica del usuario (GUI) de SCM proporciona una lista de varias directivas que se han definido y que están almacenadas en %winnt%\security\templates. La GUI permite definir, editar y mantener múltiples directivas apropiadas para diferentes sistemas anteriores, además de analizar el sistema y comprobar su compatibilidad con una plantilla de directiva seleccionada.

La diferencia principal entre el SCM y las directivas de Active Directory es que Windows NT no ofrece un modo automático para implementar plantillas de directiva en un grupo relacionado de equipos, por lo que usted tendrá que proporcionar alguna forma de distribuir las plantillas de configuración a los equipos apropiados. La distribución requerirá cierta intervención manual o la creación de secuencias de comandos, en combinación con algún mecanismo que garantice que las directivas se aplican automáticamente de forma periódica.

Utilice el SCM para asistir en la creación e implementación de las siguientes modificaciones básicas de directivas de cuenta en todos los sistemas:

Cambie el nombre de la cuenta de invitado (además de desactivarla) por medio del SCM (a través de Directivas locales | Opciones de seguridad | Cambiar nombre de la cuenta de invitado a). Aunque esté desactivada, asegúrese de que está protegida por una contraseña eficaz. Lleve a cabo auditorías regularmente para asegurarse de que no está incluida en ningún grupo además de Invitados de dominio, que no debería contar con ningún otro miembro.

Cambie el nombre de la cuenta de administrador a algo que no resulte obvio (a través de Directivas locales | Opciones de seguridad | Cambiar nombre de la cuenta de administrador a) y, a continuación, cree una cuenta señuelo llamada "Administrador" sin privilegios ni permisos asociados. Trate esta cuenta señuelo del mismo modo que la cuenta de invitado: protéjala con una contraseña eficaz y desactívela. No cometa el común error de referirse a esta cuenta como "señuelo" en los comentarios, ya que esto iría en contra de lo que se pretende lograr. Además, tendrá que realizar una auditoría periódica que le permita asegurarse de que la cuenta señuelo no está incluida en ningún grupo. Vigile los intentos de autenticación que se produzcan en esta cuenta. Aunque esta medida no evitará que los atacantes de la red utilicen el SID conocido para averiguar el verdadero nombre de la cuenta de administrador, resulta útil a la hora de frenar a los atacantes más descuidados, así como los intentos de ataque que se produzcan desde redes externas, con lo que usted recibirá avisos con antelación sobre intenciones hostiles.

Prohíba la enumeración de nombres de cuenta y recursos compartidos de archivos para usuarios anónimos (la sesión nula). De forma predeterminada, Windows permite a un sistema remoto conectarse sin credenciales y registrar esta información. Esta técnica constituye una ruta frecuente de ataque. Utilice la opción Impedir la enumeración de los nombres de cuentas y de recursos compartidos en el objeto de directivas de seguridad del nodo de directivas locales.

Selección del nivel de autenticación NTLM

Los clientes Windows NT 4.0 anteriores a SP4 utilizan autenticación NTLMv1, que contiene errores de diseño que la hacen vulnerable a interceptaciones y descodificación por parte de los atacantes. La autenticación NTLM se creó como sucesora del protocolo de autenticación LAN Manager (LM), que es aun más débil y requiere el almacenamiento de toda la información sobre contraseñas en un hash no seguro conocido como "hash de LM" (descrito en más detalle en la sección siguiente). El hash de LM puede descifrarse fácilmente, lo que pone en peligro la seguridad de la contraseña.

LM, NTLM y NTLMv2 se usan para autenticar operaciones como:

Unión a un dominio

Autenticación entre bosques de Active Directory

Autenticación en dominios de Windows NT 4.0

Autenticación en equipos con Windows NT 4.0 o Windows 98 que funcionan como servidores de impresión o archivo

Autenticación en servidores que no son miembros del dominio

Trey cuenta con una mezcla de equipos que ejecutan Windows Server 2003 (para controladores de dominio), Windows 98 y Windows NT 4.0, por lo que necesita elegir un nivel de autenticación NTLM que proporcione la mayor seguridad posible a la vez que permita conservar la capacidad de operación de los clientes existentes. Windows NT, Windows 2000 y Windows Server 2003 admiten seis niveles de compatibilidad con LM, controlados a través de la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\LSA\LMCompatibilityLevel:

0 (Enviar respuestas de LM y NTLM) Esta opción ofrece el máximo nivel de interoperatividad, ya que los clientes pueden usar LM o cualquier versión de NTLM para llevar a cabo la autenticación. Sin embargo, permite el paso de tráfico de LM no seguro en la red.

1 (Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia). Esta opción ofrece más seguridad pero requiere el software de DSClient para Windows 98. Si se selecciona esta opción, NTLMv2 puede negociarse si ambos equipos son compatibles. Éste es el valor que mejor resulta durante la implementación; todos los equipos con DSClient utilizarán NTLMv2, mientras que los clientes con versiones anteriores de Windows aún podrán llevar a cabo la autenticación.

2 (Enviar sólo respuesta NTLM). Esta opción restringe el uso de clientes Windows 98 que no tengan instalado DSClient, ya que los servidores no responderán a solicitudes de LM desde equipos sin modificar que ejecuten Windows 98.

3 (Enviar sólo respuesta NTLMv2). Use este valor únicamente si todos los clientes con versiones de Windows anteriores a Windows NT 4.0 SP4 tienen DSClient instalado.

4 (Enviar sólo respuesta NTLMv2\rechazar LM) Igual que la opción anterior, excepto que si se solicita la autenticación LM, no se envía respuesta NTLMv2.

5 (Enviar sólo respuesta NTLMv2\rechazar LM y NTLM) Igual que la opción anterior, excepto que también se hace caso omiso de las solicitudes de NTLM. Este valor sólo es apropiado para redes en las que todos los equipos ejecutan Windows 2000 (o posterior) o Windows 98 con DSClient instalado.

Actualización de la autenticación NTLM para Windows 98

La extensión DSClient permite utilizar NTLMv2 a sistemas con Windows 98 para la autenticación. De forma predeterminada, el cifrado de seguridad de sesión NTLMv2 usa una longitud de clave máxima de 56 bits. Para conseguir que NTLMv2 admita 128 bits, asegúrese de tener instalado Internet Explorer 4, o una versión más reciente, y de que la función de compatibilidad con 128 bits está instalada y configurada. Esta operación debe llevarse a cabo antes de instalar DSClient.

Una vez finalizada la distribución de DSClient a los equipos, puede restringir las versiones de la serie de protocolos LM que puedan utilizarse para autenticación. Debe configurar estas restricciones en todos los controladores de dominio y los servidores que proporcionen cuentas utilizadas para autenticación remota.

Actualización de NTLM en Windows NT 4.0

Windows NT 4.0 SP4 y las versiones posteriores incluyen la capacidad de usar y responder selectivamente a solicitudes de autenticación de LM, NTLM y NTLMv2. Esta modificación requiere el uso de una clave de registro (y se describe en la sección de implementación que sigue a continuación). Trey decidió adoptar el nivel 5 de compatibilidad (permitir sólo NTLMv2) para sus sistemas con Windows NT pero esperó hasta que la extensión DSClient estuvo instalada en todos los sistemas con Windows 98 para realizar el cambio.

Actualización de la autenticación NTLM en Windows 2000 y Windows Server 2003

Los administradores de Trey crearon un GPO nuevo en los controladores de dominio de la compañía para establecer el nivel de autenticación NTLM de los equipos y controladores de dominio, y lo asociaron a la unidad organizativa (OU) de estos últimos. Esto se logró por medio de la modificación de la opción Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Nivel de autenticación de LAN Manager. Asegúrese de utilizar la directiva de controladores de dominio, la directiva de dominio para miembros de Active Directory y la directiva local para equipos independientes o miembros de dominios de Windows NT.

En cuanto DSClient esté totalmente implementado en todos los sistemas con Windows 98, puede cambiarse el nivel de autenticación LM a 3, 4 o 5, con lo que se desactiva el uso de la autenticación LM. Hasta entonces, los sistemas que ejecutan versiones anteriores de Windows sin DSClient perderán el acceso a todos los datos de la red.

El entorno de Trey incluye clientes de Windows 98, todos ellos con la extensión DSClient, por lo que se seleccionó el nivel 5 para equipos basados en Windows NT (Windows NT, Windows 2000 y Windows XP) y el 3 para equipos que ejecutan Windows 98. Un nivel superior a 3 en equipos que no ejecutan Windows 98 impediría la autenticación en equipos sin la extensión DSClient.

Consulte el artículo KB 305379, "Authentication Problems in Windows 2000 with NTLM 2 Levels Above 2 in a Windows NT 4.0 Domain", en http://support.microsoft.com/?kbid=305379, para obtener información sobre una revisión que garantiza el funcionamiento de esta opción en redes con una combinación de sistemas que ejecutan Windows 2000 y Windows NT 4.0.

Los sistemas de Windows crean canales de comunicación, llamados "canales de seguridad", que se utilizan para autenticar cuentas de equipo y de usuario en dominios de confianza. Los canales de seguridad sirven de protección frente a ataques de intermediarios y permiten a los clientes acceder a bases de datos de cuentas en dominios de confianza. Estos canales pueden cifrarse o firmarse digitalmente pero, para ello, se requiere que todos los controladores de dominio ejecuten Windows NT 4.0 SP6a o posterior. Considere cuidadosamente la conveniencia de activar esta función, ya que la firma de canales seguros afecta a todos los clientes del dominio, así como a los clientes de dominios de confianza.

Definición de directivas de contraseña y bloqueo eficaces

Uno de los principios fundamentales de seguridad es evitar la transmisión o el almacenamiento de contraseñas sin formato. Una contraseña almacenada como texto sin formato puede descubrirse fácilmente a través de un examen de SAM o por medio del rastreo de sesiones de red. Los protocolos modernos de autenticación de Windows usan algoritmos de cifrado (hashes) para proteger la transmisión de credenciales de autenticación, así como la contraseña desde el momento en que el usuario la especifica. Sin embargo, es necesario definir directivas que controlen la longitud y la seguridad de la contraseña, y el número de intentos de inicio de sesión sin éxito que se permitirán antes de que se bloquee la cuenta.

El Kit de guía de seguridad (SGK) de Microsoft (disponible en http://www.microsoft.com/security/guidance/order/default.mspx) incluye varios documentos de referencia que pueden ayudarlo a seleccionar e implementar una directiva de bloqueo de cuenta y una contraseña segura. Puede encontrar asistencia adicional en el documento "Account Passwords and Policies", en http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
technologies/security/bpactlck.mspx
.

Configuración de seguridad del sistema de archivos

Además de reforzar la seguridad de la secuencia de inicio, necesitará incrementar la seguridad de los sistemas de archivos y dispositivos de almacenamiento en cada equipo que ejecute Windows NT 4.0 en la organización.

El primer paso crítico es asegurarse de que todos los equipos que ejecutan Windows NT 4.0 utilizan el sistema de archivos NTFS. NTFS proporciona permisos de archivo y carpeta, además de los permisos a nivel de recursos compartidos que ofrecen Windows NT, Windows 98 y aplicaciones posteriores a éstas. NTFS permite limitar la capacidad de los usuarios de un equipo para leer los archivos que pertenecen a otros usuarios y dificulta la tarea de atacantes que consiguen acceso físico a la consola para robar o modificar datos sin iniciar dentro de un sistema operativo alternativo. Windows NT incluye un comando que, de forma no destructiva, convierte volúmenes de la tabla de asignación de archivos (FAT) o FAT32 a NTFS, aunque requiere acceso exclusivo al volumen.

Cuando se convierte un volumen a NTFS por medio de la utilidad de conversión, el permiso predeterminado que se aplica es Todos (Control total). Debe cambiarlo, ya que es innecesariamente permisivo. Es posible que los sistemas NTFS existentes también cuenten con permisos que no son demasiado rígidos.

La NSA (National Security Agency) ha desarrollado una serie de permisos recomendados para servidores y estaciones de trabajo con Windows NT y los ha publicado en Guide to Securing Microsoft Windows NT Networks. Puede aplicar estas recomendaciones manualmente con secuencias de comandos que usan la herramienta xcacls (descrita en el artículo KB 318754, "HOW TO: Use Xcacls.exe to Modify NTFS Permissions" en http://support.microsoft.com/?kbid=318754) o por medio de plantillas SCM predefinidas. Las recomendaciones incluidas en los capítulos 11 y 13 de la guía son bastante extensas, de modo que es necesario que consulte la publicación mencionada para obtener instrucciones detalladas sobre cómo implementarlas.

Configuración de seguridad de los servicios

Existen varias modificaciones de configuración con el cometido de garantizar la seguridad de servicios y cuentas que normalmente resultan apropiadas para todos los entornos Windows NT.

Una de las muchas mejoras proporcionadas por Windows NT 4.0 SP3 es la creación del grupo de seguridad de usuarios autenticados. La intención de este grupo es reemplazar la entidad de seguridad principal Todos en todas las áreas donde quiera prohibir el acceso a archivos y servicios a cualquier proceso o usuario, independientemente del estado de autenticación. Este grupo debe reemplazarse en cada archivo ACL que cree y administre, a menos que verdaderamente tenga que permitir conexiones anónimas. Para la mayoría de los servicios, esto no debería ser necesario. IIS, por ejemplo, asigna todas las solicitudes anónimas a una cuenta específica. Sin embargo, las aplicaciones de terceros deben comprobarse cuidadosamente, pues es posible que dependan de su inclusión en el grupo Todos.

Además del grupo de usuarios autenticados, necesita desactivar las conexiones anónimas al registro y restringir la capacidad de los usuarios anónimos para enumerar la lista de cuenta de usuario de dominio y compartir listas en servidores a través de las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

RestrictAnonymous (REG_DWORD)

El valor 0 desactiva esta restricción y permite a usuarios anónimos (sesiones nulas) enumerar la lista de usuarios y de recursos compartidos.

El 1 activa esta restricción; las sesiones nulas no podrán enumerar la lista de usuarios ni de recursos compartidos.

RestrictNullSessAccess (REG_DWORD)

El valor 0 desactiva esta restricción y permite a usuarios anónimos (sesiones nulas) conectarse con el registro.

El 1 activa esta restricción; las sesiones nulas no podrán conectarse con el registro.

El artículo KB 143474, "Restricting information available to anonymous users", en http://support.microsoft.com/?kbid=143474, demuestra cómo puede utilizar el grupo de usuarios autenticados junto con cambios manuales en el registro para restringir por completo las conexiones anónimas al registro y las enumeraciones de usuarios y los recursos compartidos. El artículo KB 153183, "How to Restrict Access to the Registry from a Remote Computer", en http://support.microsoft.com/?kbid=153183, proporciona información adicional sobre la restricción del acceso remoto al registro para usuarios autenticados.

Otro cambio importante que debe realizar, especialmente en controladores de dominio, es asegurar adecuadamente el servicio de replicación de directorios (DRS). Este servicio permite que el contenido de determinados directorios se copie en servidores múltiples y resulta importante a la hora de asegurar que las directivas del sistema y otros archivos críticos se propagan a todos los controladores de dominio. Puede resultar muy útil en el mantenimiento del equilibrio de carga de servicios de archivos para aplicaciones críticas.

Las conexiones de replicación se configuran en el administrador de servidores para dominios; basta con hacer clic en el botón Replicación. En cada relación de replicación hay un exportador (el origen) y un importador (el destino). Los detalles de cada relación deben configurarse por separado en cada extremo de la conexión (de forma similar al modo en que se crean las relaciones de confianza entre dominios).

De forma predeterminada, el DRS utiliza la cuenta del sistema local, algo que debe cambiarse inmediatamente. Cree una cuenta de usuario de dominio aparte y específica para el uso del DRS, de modo que la misma cuenta se utilice en todos los equipos. No haga uso de cuentas locales. Una vez que haya creado las cuentas, puede utilizar el administrador de servicios para asegurarse de que el DRS está ejecutándose como esta cuenta y no como la cuenta del sistema local.

Hay muchos servicios activados de forma predeterminada que pueden desactivarse para reducir el nivel de amenaza contra los equipos que ejecutan Windows NT, y es posible configurar otros para que se ejecuten como cuentas sin privilegios, en lugar de como cuenta de sistema local. Si desea obtener más información sobre la seguridad de DRS y la desactivación de servicios innecesarios, incluida una serie completa de recomendaciones para cada servicio basada en la función del equipo, consulte el Capítulo 10 de Microsoft NT 4.0 Security, Audit, and Control Technical Reference. Puede obtener una vista preliminar de esta publicación en Microsoft TechNet en http://www.microsoft.com/technet/prodtechnol/winntas
/maintain/nt4sac/sacch10.mspx
.

Otras medidas de seguridad

Existen otras medidas de seguridad que pueden resultar apropiadas para varios entornos.

Desactivación de la generación automática de nombres de archivo 8.3

Windows NT admite el formato de nombres de archivo 8.3 para mantener la compatibilidad con aplicaciones de 16 bits anteriores. La convención del nombre de archivo 8.3 es un formato de nombre que admite nombres de archivo con una longitud máxima de ocho caracteres. Esto significa que un atacante sólo necesita ocho caracteres para hacer referencia a un archivo que puede tener 20 caracteres de longitud. Por ejemplo, se puede hacer referencia a un archivo denominado EsteEsUnNombreDeArchivoLargo.doc con su nombre de archivo 8.3 EsteEs~1.doc. Si evita utilizar aplicaciones de 16 bits, puede desactivar esta función. Al deshabilitar la generación de nombres cortos en una partición del sistema de archivos NTFS, también se incrementa el rendimiento de enumeración del directorio.

Los atacantes pueden utilizar nombres de archivo cortos para tener acceso a los archivos de datos y aplicaciones con nombres de archivo largos que normalmente resultarían difíciles de localizar. Un atacante que haya conseguido acceso al sistema de archivos puede tener acceso a los datos o ejecutar aplicaciones.

Utilice la siguiente entrada de registro para evitar que esto suceda: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation

Las aplicaciones de 16 bits de la organización no podrán acceder a archivos con nombres más largos que los que permite el formato 8.3, si dichos archivos están almacenados en equipos en los que se ha realizado este cambio. Si aplica este valor de configuración a un servidor existente que ya tenga archivos con nombres de archivo 8.3 generados automáticamente, éstos no se quitarán. Para quitar nombres de archivo 8.3 existentes, debe copiar los archivos en el servidor, eliminarlos de su ubicación original y copiarlos de nuevo en sus ubicaciones originales.

Deshabilitación de la ejecución automática

La ejecución automática inicia la lectura de una unidad del equipo tan pronto como se insertan los medios. Como resultado, el archivo de configuración de programas y el sonido en medios de audio se inicia inmediatamente. Para evitar que se inicie un programa malicioso al insertar un CD o DVD, la directiva de grupo deshabilita la ejecución automática en todas las unidades.

Un atacante que consiga acceso físico al sistema podría insertar un medio habilitado para ejecución automática en el equipo, con lo que iniciaría un código malicioso automáticamente que se ejecutaría en el contexto del usuario que haya iniciado la sesión.

Utilice la siguiente entrada de registro para evitar que esto suceda: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\CDROM\Autorun

Una vez realizado este cambio, la ejecución automática ya no funcionará al insertar discos habilitados para ejecución automática en el equipo.

Eliminación de subsistemas OS/2 y POSIX

OS/2 es una familia de sistemas operativos multitarea, en modo protegido y con memoria virtual para equipos personales basada en procesadores Intel 80286 y 80386. POSIX (Portable Operating System Interface for UNIX) es una norma del IEEE (Instituto de ingenieros eléctricos y electrónicos) que define un conjunto de servicios de sistemas operativos. El subsistema OS/2 es esencial si el servidor necesita interactuar significativamente con clientes OS/2. El subsistema POSIX se requiere para ejecutar aplicaciones que utilizan servicios POSIX.

Estos subsistemas conllevan cierto riesgo de seguridad relacionado con los procesos que pueden persistir a lo largo de los inicios de sesión. Es decir, si un usuario inicia un proceso y luego cierra la sesión, existe un riesgo potencial de que el siguiente usuario que inicie sesión en el sistema tenga acceso al proceso del usuario anterior. Es posible que el proceso iniciado por el primer usuario retenga sus privilegios del sistema.

Para desactivar estos subsistemas, pueden eliminarse los archivos binarios y las entradas de registro siguientes que estos subsistemas requieren:

La clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\OS/2 Subsystem for NT y subclaves de registro.

La clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Session Manager\Environment\OS2LibPath.

Las subclaves POSIX y OS/2 de la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SessionManager\Environment\Subsystems.

El directorio \winnt\system32\os2 y subdirectorios.

Las aplicaciones que dependen de los subsistemas OS/2 o POSIX dejarán de funcionar.

Aumento de los niveles de protección de objetos

Es posible que el núcleo de Windows NT permita a los llamadores cambiar atributos de objetos de núcleo en determinadas circunstancias. En algunos casos, esto permitiría a llamadores maliciosos incrementar sus privilegios.

Utilice la entrada de registro siguiente para evitar que esto suceda:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Session Manager\EnhancedSecurityLevel

Este cambio sólo permite al código en modo de núcleo cambiar atributos de objeto de núcleo para el proceso actual.

No existe ningún impacto posible para las aplicaciones en modo de usuario.

Cómo impedir que los usuarios instalen controladores de impresora

Los permisos predeterminados de Windows NT permiten a los usuarios instalar controladores de impresora adicionales. En algunos casos, esto permitiría incrementar los privilegios de controladores maliciosos o escritos deficientemente.

Utilice la siguiente entrada de registro para evitar que esto suceda:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Print\Providers\LanMan Print Services
\Servers\AddPrinterDrivers

Tras realizar esta modificación, solamente los operadores de impresora y los grupos de administrador podrán agregar controladores de impresora nuevos.

No existe ningún impacto posible para las aplicaciones en modo de usuario.

Confirmación de que el inicio de sesión administrativo automático está desactivado

Windows NT puede configurarse para permitir el inicio de sesión automático de la cuenta de administrador al reiniciar el equipo. Esto deja a la consola totalmente expuesta y crea una clave de registro nueva que contiene la contraseña del administrador como texto sin formato. El artículo KB 97597, "How to Enable Automatic Logon in Windows NT 3.x and 4.0", en http://support.microsoft.com/?kbid=97597, explica esta opción en más detalle.

Utilice las entradas de registro siguientes para evitar que esto suceda:

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT
\CurrentVersion\Winlogon\AutoAdminLogon

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT
\CurrentVersion\Winlogon\DefaultPassword

No existe ningún impacto posible para las aplicaciones en modo de usuario.

Desactivación de notificaciones para el cliente Novell

De forma predeterminada, Windows NT está configurado para notificar al cliente de red Novell (FPNWCLNT.DLL) cuando se cambian las contraseñas; sin embargo, a menos que el cliente esté instalado, no existirá en el equipo una copia de esta biblioteca de vínculos dinámicos (DLL). Esto permite a un atacante crear una DLL alternativa y secuestrar todos los eventos de cambio de contraseña de usuario.

Para desactivar este comportamiento, asegúrese de que el valor "FPNWCLNT" no está incluido en la entrada de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\LSA\Notification Packages.

La sincronización de contraseñas entre Windows y Netware está desactivada en entornos que usan Netware.

Implementación

Requisitos previos para la implementación

Para que la implementación se lleve a cabo correctamente, debe tener una infraestructura básica de Trey Research aplicada del modo indicado en el Capítulo 2, "Aplicación de la disciplina de administración de riesgos de seguridad al ejemplo de Trey Research".

Información general sobre la implementación

Para implementar esta solución, debe realizar los siguientes pasos:

Establezca una referencia e instale las revisiones necesarias en el sistema operativo.

Active Syskey.

Reduzca el tiempo de espera de la secuencia de inicio.

Instale el SCM.

Cargue el complemento de SCM.

Aplique la plantilla de directiva de Trey.

Prohíba el almacenamiento de hashes de contraseña de LM.

Seleccione el nivel de autenticación NTLM.

Convierta los volúmenes de servidor a NTFS.

Lleve a cabo otras medidas de seguridad.

Establecimiento de una referencia para el sistema operativo.

Cuando se crea un equipo nuevo o se reinstala el sistema operativo en un equipo existente, es necesario instalar la serie correcta de revisiones de seguridad para garantizar que el equipo esté protegido adecuadamente. La administración de revisiones es un tema complejo que se trata en más detalle en el Capítulo 6, "Administración de revisiones". Sin embargo, el proceso de crear una referencia para los sistemas nuevos forma parte necesaria de la configuración de seguridad de equipos que ejecutan Windows NT. Cada equipo que ejecuta Windows NT en su organización debería contar con las siguientes revisiones:

El Service Pack 6a (SP6a) de Windows NT 4.0, que es el Service Pack de Windows NT 4.0 más reciente. Contiene una serie muy completa de correcciones que han pasado satisfactoriamente la prueba de regresión y que se diseñaron específicamente para instalarse en conjunto. Desde la publicación de SP6a de Windows NT 4.0, la ley estadounidense sobre la exportación de software criptográfico ha cambiado. Quizás pueda incrementar la seguridad del cifrado disponible para los equipos que ejecutan Windows NT 4.0 en su organización por medio de la actualización a la versión de alto cifrado de SP6a. La instalación de la versión de alto cifrado de SP6a en una versión de cifrado estándar actualizará el sistema operativo automáticamente. El Service Pack 6a de Windows NT 4.0 está disponible en http://www.microsoft.com/ntserver/nts/downloads
/recommended/sp6/128bitx86/
.

Para comprobar la versión de cifrado de Windows NT 4.0:

1.

Como administrador, inicie la sesión en el equipo de destino que ejecuta Windows NT 4.0.

2.

Utilice el Explorador de Windows para abrir la carpeta \winnt\system32.

3.

Busque el archivo schannel.dll, selecciónelo y, a continuación, haga clic en Archivo y Propiedades.

4.

Haga clic en la ficha Versiones.

5.

Revise el contenido del campo Descripción.

Si muestra "Export Version", el equipo cuenta con la versión de cifrado estándar; si muestra "U.S. domestic version", tiene la versión de alto cifrado.

Este paquete de seguridad resumido del Service Pack 6a de Windows NT 4.0 incluye varias revisiones que se publicaron después del lanzamiento al mercado del SP6a original y su instalación constituye un requisito previo para revisiones posteriores desde Windows Update. Puede encontrar información al respecto en el artículo KB 299444, "Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP)", en http://support.microsoft.com/?kbid=299444. El SRP puede descargarse desde http://download.microsoft.com/download
/winntsp/Patch/q299444/NT4/
EN-US/Q299444i.exe
.

Microsoft no ha publicado un SRP o Service Pack integrado para Windows NT 4.0 después del lanzamiento del SRP, pero han ido actualizándose componentes individuales como, por ejemplo, algunas partes del sistema operativo, Microsoft Internet Explorer y utilidades complementarias, como el Servicio de acceso remoto y enrutamiento (RRAS) y los Servicios de información de Internet (IIS). Puede obtener una lista actualizada de revisiones en Microsoft TechNet o llevar a cabo una revisión manual de la lista de versiones a través de Windows Update.

Internet Explorer 6.0 Service Pack 1 (SP1) es la versión actual, disponible en http://www.microsoft.com/windows/ie/, e incluye multitud de mejoras y correcciones de seguridad. Según el entorno que se utilice, se puede descargar Internet Explorer directamente desde el sitio Web de Microsoft, solicitar una copia en CD-ROM o instalarlo en varios equipos por medio del Kit de administración de Internet Explorer, disponible en http://www.microsoft.com/windows/ieak/.

Como la publicación de Windows NT se llevó a cabo hace bastante tiempo, el equipo de TI de Trey ya había instalado SP6a y el SRP en todos los equipos que ejecutan Windows NT. Sin embargo, faltaba una directiva de seguridad coherente para garantizar que otras revisiones necesarias de Microsoft estaban instaladas, por lo que la compañía decidió adoptar la metodología de administración de revisiones que se describe en el Capítulo 6, "Administración de revisiones".

Activación de Syskey

Debe activarse Syskey para permitir la protección cifrada del SAM del equipo. Trey decidió aplicar esta protección en todos los equipos, servidores y estaciones de trabajo de la compañía que ejecutan Windows NT.

Para activar Syskey:

1.

Como administrador, inicie la sesión en el equipo de destino que ejecuta Windows NT 4.0.

2.

Inicie la utilidad Rdisk.exe desde una ventana de símbolo del sistema o por medio del comando Ejecutar.

3.

Cuando se inicie Rdisk, haga clic en el botón Actualizar información de reparación y, cuando se indique, haga clic en .

4.

Una vez completada la actualización de la información, inserte un disquete en blanco en la unidad de disco y, a continuación, en el cuadro de diálogo Utilidad de disco de reparación, haga clic en .

5.

5. Haga clic en Aceptar para confirmar que desea crear el disco de reparación.

6.

Cuando haya finalizado la creación del disco, haga clic en Aceptar para confirmar el aviso y, a continuación, haga clic en Salir para cerrar la utilidad Rdisk.

7.

Inicie la utilidad Syskey.exe.

8.

Aparecerá la ventana de configuración de seguridad de la base de datos de cuentas de Windows NT. Pulse el botón Cifrado habilitado y haga clic en Aceptar.

9.

Haga clic en Aceptar en el cuadro de diálogo de confirmación.

10.

En el cuadro de diálogo Clave de la base de datos de cuentas, haga clic en Almacenar la clave de inicio localmente (consulte la Figura 4.1) y haga clic en Aceptar.

11.

Cuando se abra el cuadro de diálogo Correcto, haga clic en Aceptar.

12.

Reinicie el equipo.

Nota: en controladores de dominio, es probable que los datos de recuperación recopilados por Rdisk ocupen más espacio que el disponible en un disquete, pero también se guardan en el directorio %systemroot%\repair. Un ERD actualizado permite llevar a cabo una recuperación rápida en caso de producirse problemas con Syskey. El comando Rdisk /s se describe más detalladamente en el artículo KB 122857, "RDISK /S and RDISK /S- Options in Windows NT", en http://support.microsoft.com/?kbid=122857.

Nota: si desea obtener más información sobre el modo en que Syskey protege los datos SAM, consulte el artículo KB 143475, "Windows NT System Key Permits Strong Encryption of the SAM", en http://support.microsoft.com/?kbid=143475.

Reducción del tiempo de espera de la secuencia de inicio

Este procedimiento describe cómo cambiar el valor de tiempo de espera de la secuencia de inicio.

Para reducir el tiempo de espera de la secuencia de inicio:

1.

Como administrador, abra un símbolo del sistema.

2.

Cambie al directorio raíz del volumen del sistema (normalmente C:\).

3.

Restablezca los atributos de sólo lectura, de sistema y oculto en el archivo Boot.ini por medio del comando attrib:

attrib –s –h –r boot.ini

4.

Abra el archivo Boot.ini en un editor de textos como el Bloc de notas.

5.

Busque la línea que dice timeout=30 y cambie el valor de tiempo de espera a 0.

6.

Guarde el archivo y cierre el editor de texto.

7.

Restablezca los atributos de sólo lectura, de sistema y oculto en el archivo Boot.ini por medio del comando attrib.

attrib +s +h +r boot.ini

Instalación de SCM

Este procedimiento describe cómo instalar las herramientas del SCM. El SCM puede ejecutarse en cualquier equipo con Windows NT 4.0 SP4 o posterior, en ediciones para servidor y para estaciones de trabajo. Por mayor comodidad, los miembros del equipo de IT de Trey instalaron el SCM en sus estaciones de trabajo personales, desde donde puede ejecutarse en cualquiera de los equipos con Windows NT 4.0 en el dominio.

Para instalar el SCM:

1.

Como administrador, abra el Explorador de Windows.

2.

Cree el directorio c:\temp (si aún no existe).

3.

Descargue el instalador del SCM desde http://www.microsoft.com/ntserver/nts
/downloads/recommended/scm/default.asp
y guarde el archivo descargado en C:\Temp.

4.

Abra C:\Temp y haga doble clic en la aplicación Scesp4i.exe.

5.

Cuando se lo indique la utilidad de instalación, especifique la ruta de archivo temporal C:\Temp\scminstall para descomprimir los archivos auxiliares y haga clic en Aceptar.

6.

Utilice el Explorador para abrir C:\Temp\scminstall.

7.

Haga doble clic en la utilidad Mssce para instalar el SCE y la herramienta Microsoft Management Console (MMC) requerida por la versión GUI del SCE. El instalador colocará los componentes SCM automáticamente en la ubicación correcta del equipo donde está realizando la instalación.

Carga del complemento de SCM.

Una vez finalizada la instalación del SCM en una estación de trabajo o servidor, puede ejecutarlo. Este procedimiento describe cómo cargar el complemento de SCM en el MMC.

Para cargar el complemento de SCM:

1.

Como administrador, inicie la sesión en un equipo donde haya instalado SCM.

2.

Inicie el MMC.

3.

Seleccione Consola y, a continuación, seleccione Agregar o quitar complemento.

4.

Haga clic en Agregar.

5.

Seleccione Administrador de configuración de seguridad.

6.

Haga clic en Aceptar y, a continuación, otra vez en Aceptar.

Aplicación de la plantilla de directiva de Trey.

Este procedimiento explica cómo utilizar las herramientas de la interfaz de línea de comandos (CLI) y la GUI del SCE para aplicar la plantilla de directiva de Trey. Trey decidió utilizar las plantillas Comp* porque proporcionan el mejor equilibrio entre compatibilidad con el producto anterior y seguridad.

Para personalizar la plantilla de directiva desde la GUI del SCE:

1.

Inicie la sesión en una estación de trabajo de prueba que ejecute Windows NT 4.0.

2.

Realice copias de seguridad de %systemroot%\security\templates\compws4.inf y %systemroot%\security\templates\compdc4.inf.

3.

Utilice el Bloc de notas para abrir %systemroot%\security\templates\compws4.inf.

4.

Busque la línea que contiene MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableSecuritySignature.

5.

Modifique la línea de modo que el valor de EnableSecuritySignature sea 1.

6.

Guarde el archivo y cierre el Bloc de notas.

7.

Utilice el Bloc de notas para abrir %systemroot%\security\templates\compdc4.inf.

8.

Repita los pasos del 4 al 6 con el archivo nuevo.

Para aplicar la plantilla de directiva desde la GUI del SCE:

1.

Como administrador, inicie el administrador de configuración de seguridad.

2.

Seleccione el nodo Administrador de configuración de seguridad.

3.

Seleccione el nodo Configuraciones.

4.

Seleccione el directorio del archivo de configuración predeterminado (%systemroot%\security\templates) para mostrar las plantillas de configuración.

5.

Seleccione el archivo de configuración apropiado (compws4.inf o compdc4.inf).

6.

Familiarícese con los objetos y las opciones de la plantilla de directiva.

7.

Seleccione el nodo Administrador de configuración de seguridad.

8.

Haga clic con el botón secundario en el nodo Base de datos y seleccione Importar configuración.

9.

Elija la plantilla de directiva correspondiente y haga clic en Aceptar.

10.

Haga clic con el botón secundario en el nodo Base de datos y seleccione Configurar el sistema ahora.

11.

Haga clic en Aceptar para aceptar la ruta del archivo de registro predeterminada.

12.

Espere a que se aplique la directiva y, a continuación, revise los resultados del archivo de registro.

13.

Cierre el archivo de registro.

14.

Cierre el MMC.

Para aplicar la plantilla de directiva desde la línea de comandos:

1.

Inicie sesión en el equipo de destino.

2.

Abra un símbolo del sistema.

3.

Ejecute el siguiente comando:

secedit /configure /cfg c:\winnt\security\templates\treysec.inf /overwrite

4.

Examine los resultados.

5.

Cierre el símbolo del sistema.

Prohibición de almacenamiento de hashes de contraseña de LM.

Este procedimiento explica cómo configurar los controladores de dominio para evitar el almacenamiento de hashes de contraseña de LM por medio de directivas o de la edición directa del registro.

Para prohibir el almacenamiento de hashes de LM a través de directivas de grupo o directivas locales en Windows 2000 SP2 (o posterior), Windows XP o Windows Server 2003:

1.

Abra el editor de directivas de grupo.

2.

Abra Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.

3.

En la lista de directivas disponibles, haga doble clic en Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña.

4.

Haga clic en Activado y, a continuación, en Aceptar.

5.

Reinicie el equipo y cambie la contraseña.

Selección del nivel de autenticación NTLM.

Este procedimiento explica cómo configurar el nivel de autenticación NTLM utilizado en los controladores de dominio.

Para establecer el nivel NTLM a través de directivas de grupo en Windows 2000, Windows XP o Windows Server 2003:

1.

Inicie la sesión en un controlador de dominio como administrador.

2.

Abra Usuarios y equipos de Active Directory.

3.

Abra el editor de directivas de grupo.

4.

Haga clic con el botón secundario del mouse en el dominio en el que desea aplicar la configuración del nivel de autenticación NTLM y, a continuación, seleccione Propiedades.

5.

En el cuadro de diálogo Propiedades, haga clic en la ficha Directiva de grupo.

6.

Haga clic en el botón Nuevo para crear un Objeto de directiva de grupo (GPO) nuevo.

7.

Escriba Nivel de autenticación NTLM y presione Entrar.

8.

Haga clic en el botón Modificar.

9.

Abra Configuración del equipo, Configuración de Windows, Configuración de seguridad, Directivas locales y, a continuación, haga clic en Opciones de seguridad.

10.

En la lista de directivas disponibles, haga doble clic en Seguridad de red: nivel de autenticación de LAN Manager.

11.

Seleccione Enviar sólo respuesta NTLMv2\rechazar LM. Esta es la opción que proporciona el mejor equilibrio entre seguridad y compatibilidad para redes mixtas que incluyen equipos que ejecutan Windows 98 y Windows NT.

12.

Haga clic en Aceptar.

13.

Cierre el Editor de objetos de directiva de grupo.

14.

En el cuadro de diálogo Propiedades del dominio, haga clic con el botón secundario en el GPO de nivel de autenticación NTLM y, a continuación, seleccione el comando No reemplazar.

15.

Haga clic en Cerrar.

Para establecer el nivel NTLM por medio de entradas de registro en Windows NT 4.0 SP3 o posterior:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Lsa

3.

En el menú Edición, haga clic en Agregar valor.

4.

Para el Tipo de datos, seleccione Valor DWORD.

5.

En Nombre del valor, escriba LMCompatibilityLevel y, a continuación, haga clic en Aceptar.

6.

Para Datos, escriba 3 (o el nivel que desee) como valor Decimal.

7.

Cierre el Editor del Registro.

8.

Reinicie el equipo.

Para establecer el nivel NTLM por medio de entradas de registro en Windows 98:

1.

Inicie el Editor del Registro (Regedit.exe).

2.

Localice y seleccione la siguiente subclave en el registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control.

3.

En el menú Edición, elija Nuevo y, a continuación, haga clic en Clave.

4.

Escriba Lsa y, a continuación, presione Entrar.

5.

En el menú Edición, elija Nuevo y, a continuación, haga clic en Valor DWORD.

6.

Escriba LMCompatibilityLevel y, a continuación, presione Entrar.

7.

En el menú Edición, haga clic en Agregar valor y agregue el siguiente valor de registro:

Nombre de valor: LMCompatibility

Tipo de datos: REG_DWORD

Valor: 3

8.

Cierre el Editor del Registro.

9.

Reinicie el equipo.

Conversión de un volumen a NTFS

Este procedimiento explica cómo convertir un volumen FAT a NTFS.

Para convertir un volumen FAT a NTFS.

1.

Como administrador, abra un símbolo del sistema.

2.

Utilice el comando convert para especificar la unidad que se va a convertir:

convert d: /fs:ntfs

3.

Si se le indica, reinicie el equipo para permitir que la utilidad de conversión obtenga acceso exclusivo a la unidad seleccionada.

El reinicio será necesario si convierte la partición del sistema, el volumen que contiene el directorio de trabajo actual para el interpretador del comando o un volumen en el que haya aplicaciones con archivos abiertos.

Nota: el artículo KB 214579, "How to Use Convert.exe to Convert a Partition to the NTFS File System", en http://support.microsoft.com/?kbid=214579, describe el comando convert y su funcionamiento en más detalle.

Cómo llevar a cabo otras medidas de seguridad

Estos procedimientos detallan los pasos necesarios para implementar medidas de seguridad adicionales.

Desactivación de la generación automática de nombres de archivo 8.3

Este procedimiento desactiva la generación automática de los nombres de archivo en formato 8.3 para aplicaciones de 16 bits.

Para desactivar la generación de nombres de archivo 8.3:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\System\CurrentControlSet
\Control\FileSystem

3.

Si no existe el valor NtfsDisable8dot3NameCreation, en el menú Edición, haga clic en Agregar valor. Escriba NtfsDisable8dot3NameCreation y asegúrese de que se trata de un tipo REG_DWORD. A continuación, pulse Entrar.

4.

Seleccione el valor NtfsDisable8dot3NameCreation.

5.

En el menú Edición, haga clic en Modificar.

6.

Escriba 1 (o el nivel que desee) y haga clic en Aceptar.

7.

Cierre el Editor del Registro.

Nota: Trey cuenta con varias aplicaciones de 16 bits que deben continuar funcionando normalmente. Sin embargo, estas aplicaciones se ejecutan en un subconjunto de equipos en el dominio. El cambio se ha aplicado a todos los servidores de impresión y archivo y, de forma selectiva, se ha aplicado a servidores miembro y estaciones de trabajo que no ejecutan aplicaciones de 16 bits.

Deshabilitación de la ejecución automática

Este procedimiento sirve para deshabilitar la función de ejecución automática en unidades de CD-ROM.

Para deshabilitar la ejecución automática:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\CDROM

3.

En el menú Edición, haga clic en Agregar valor.

4.

Escriba Autorun y asegúrese de que es un tipo REG_DWORD. A continuación, pulse Entrar.

5.

En el menú Edición, haga clic en Modificar.

6.

Escriba 0 (o el nivel que desee) y haga clic en Aceptar.

7.

Cierre el Editor del Registro.

Eliminación de subsistemas OS/2 y POSIX

Este procedimiento indica cómo desactivar los subsistemas de compatibilidad OS/2 y POSIX.

Para deshabilitar OS/2 y POSIX:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\SessionManager\Environment\OS2LibPath

3.

Si existe la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Session Manager\Subsystems, localice y elimine las subclaves OS/2 y POSIX.

4.

Si existe la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Session Manager\Environment\Subsystems, localice y elimine las subclaves OS/2 y POSIX.

5.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\OS/2 Subsystem for NT

6.

Cierre el Editor del Registro.

7.

Abra el Explorador de Windows.

8.

Elimine el directorio \winnt\system32\os2 y todos los subdirectorios.

9.

Reinicie el equipo.

Aumento de los niveles de protección de objetos

Este procedimiento sirve para incrementar los niveles de protección de objetos de núcleo.

Para aumentar los niveles de protección de objetos:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Control\Session Manager

3.

En el menú Edición, haga clic en Agregar valor.

4.

Escriba EnhancedSecurityLevel y asegúrese de que es un tipo REG_DWORD. A continuación, pulse Entrar.

5.

En el menú Edición, haga clic en Modificar.

6.

Escriba 1 (o el nivel que desee) y haga clic en Aceptar.

7.

Cierre el Editor del Registro.

Cómo impedir que los usuarios instalen controladores de impresora

Este valor desactiva la capacidad de los usuarios para agregar controladores de impresora.

Para impedir que los usuarios puedan agregar controladores de impresora:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers

3.

En el menú Edición, haga clic en Agregar valor.

4.

Escriba AddPrinterDrivers y asegúrese de que es un tipo REG_DWORD. A continuación, pulse Entrar.

5.

En el menú Edición, haga clic en Modificar.

6.

Escriba 1 (o el nivel que desee) y haga clic en Aceptar.

7.

Cierre el Editor del Registro.

Confirmación de que el inicio de sesión administrativo automático está desactivado

Este procedimiento sirve para desactivar el inicio de sesión administrativo automático.

Para desactivar el inicio de sesión administrativo automático (que no está activo de forma predeterminada).

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

3.

Localice y haga clic en el siguiente valor (si existe): AutoAdminLogon.

4.

En el menú Edición, haga clic en Modificar.

5.

Escriba 0 (o el nivel que desee) y haga clic en Aceptar.

6.

Elimine el valor DefaultPassword (si existe).

7.

Cierre el Editor del Registro.

Desactivación de notificaciones para el cliente Novell

Este procedimiento sirve para desactivar la notificación automática de cambios de contraseña del cliente de red Novell.

Para desactivar la notificación predeterminada de cambio de contraseña del cliente Novell:

1.

Inicie el Editor del Registro (Regedt32.exe).

2.

Localice y haga clic en la clave siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3.

Localice y haga clic en el siguiente valor: Notification Packages.

4.

En el menú Edición, haga clic en Modificar.

5.

Asegúrese de que el valor FPNWCLNT no está en la lista y, a continuación, haga clic en Aceptar.

6.

Cierre el Editor del Registro.

Prueba de la solución

Una vez finalizada la implementación del escenario Trey, estará listo para validarla y asegurarse de que cumple todos los requisitos.

Validación

Puede utilizar la información de la tabla siguiente para poner a prueba el escenario de Trey y convalidar la implementación de esta guía.

Tabla 4.2: Métodos de validación

DescripciónPasos de comprobaciónResultado previsto

Valide la instalación de Internet Explorer 6 SP1.

Abra Internet Explorer. En el menú Ayuda, haga clic en Acerca de Internet Explorer.

La información sobre la versión debe mostrar 6.0.2800.xxxx.

Valide la instalación de Windows NT Server 4.0 (SP6).

Ejecute el subprograma de diagnóstico de Windows NT en el grupo Herramientas administrativas y seleccione la ficha Versión.

La información sobre la versión debe mostrar SP6a.

Valide la secuencia de inicio.

En el modo 1 (almacenar la clave de inicio localmente para la mayoría de los servidores y todas las estaciones de trabajo de Trey).

En el inicio, la clave se descifra y carga, lo que permite reiniciar el equipo sin intervención del administrador.

En el modo 2 (el botón Inicio con contraseña y los campos de texto asociados; para servidores de gran importancia).

Durante el inicio, el administrador debe introducir la frase cifrada en la consola para que se complete el proceso de inicio.

El cliente puede iniciar la sesión con éxito.

Valide la instalación correcta de DSClient.

Haga clic en Inicio, luego en Buscar y, por último, en Personas.

La capacidad de realizar búsquedas en Active Directory indica que la instalación de DSClient se llevó a cabo satisfactoriamente.

Valide las directivas del sistema.

Intente acceder a recursos restringidos por las directivas del sistema.

Compruebe su ubicación; normalmente se encuentran en la carpeta C:\Winnt\system32\repl\import\scripts.

No puede acceder a recursos prohibidos.

Las directivas del sistema deberían estar disponibles en la ubicación especificada.

Valide la autenticación de NTLMv2.

Configure el controlador de dominio de modo que requiera autenticación NTLMv2.

El cliente puede iniciar la sesión con éxito.

Valide el administrador de configuración de seguridad.

Cree y aplique las plantillas de seguridad automáticamente a uno o varios equipos de un dominio.

Examine las plantillas de la carpeta %winnt%\security\templates.

Puede reforzar la seguridad de estaciones de trabajo y servidores miembros del dominio.

Las plantillas deberían estar disponibles en la ubicación especificada.

Compruebe la creación de nombres largos de archivo.

Cree un archivo nuevo con un nombre más largo que el formato 8.3.

No puede acceder al archivo con formato 8.3.

Valide la función de ejecución automática.

Inserte discos habilitados para ejecución automática en las unidades del equipo.

La ejecución automática ya no funcionará al insertar discos habilitados para ejecución automática en el equipo.

Valide la inactividad de los subsistemas OS/2 o POSIX.

Si un usuario inicia un proceso y luego cierra la sesión, existe un riesgo potencial de que el siguiente usuario que inicie sesión en el sistema tenga acceso al proceso del usuario anterior.

Las aplicaciones que dependen de los subsistemas OS/2 o POSIX dejarán de funcionar.

Valide los niveles de protección de objetos.

Es posible que usuarios maliciosos intenten cambiar los atributos de objetos de núcleo en determinadas circunstancias.

El sistema no debería permitir a estos usuarios incrementar sus privilegios.

Evite que los usuarios agreguen controladores de impresora.

Es posible que usuarios maliciosos intenten incrementar sus privilegios por medio de la instalación de controladores de impresora.

Los operadores de impresora y los grupos de administrador pueden agregar controladores de impresora nuevos.

Compruebe que el inicio de sesión administrativo automático esté desactivado.

Intente iniciar la sesión automáticamente como administrador al reiniciar el equipo.

El inicio de sesión administrativo automático debería estar desactivado.

Valide el tiempo de espera de la secuencia de inicio.

Reinicie el equipo y compruebe el tiempo de espera de la secuencia de inicio.

El tiempo de espera debería haber cambiado de 30 a 0.

Valide la instalación de SCM.

Haga clic en Inicio, Ejecutar, escriba mmc y presione Entrar.

Microsoft Management Console de SCM debería estar disponible.

Resumen

Aunque Windows NT no cuenta con toda la gama de funciones de seguridad modernas, existen muchas funciones y técnicas capaces de mitigar las amenazas y riesgos de seguridad que pueden afectar a sus sistemas con Windows NT. Existen una gran cantidad de medidas que puede llevar a cabo en el sistema operativo para garantizar la seguridad óptima de Windows NT: instalación del sistema operativo inicial y las revisiones básicas, configuración de seguridad de la secuencia de inicio, instalación del complemento DSClient, uso eficaz de directivas del sistema para controlar aspectos críticos de seguridad (por ejemplo, la autenticación NTLM y la generación de contraseñas), configuración de seguridad de los servicios y sistemas de archivo y muchas otras medidas de seguridad adicionales.

Información adicional

El Service Pack 6a de Windows NT 4.0 está disponible en http://www.microsoft.com/ntserver/nts/downloads
/recommended/SP6/allSP6.asp
.

El documento de preguntas frecuentes de Windows NT Server Service Pack 6a incluye información específica de seguridad y está disponible en http://www.microsoft.com/ntserver/support/faqs/sp6faq.asp.

Post-Windows NT 4.0 Service Pack 6a Security Rollup Package está disponible en http://www.microsoft.com/ntserver/nts/downloads
/critical/q299444/default.asp
.

El Kit de administración de Internet Explorer está disponible en http://www.microsoft.com/windows/ieak/.

Las extensiones de cliente Active Directory para Windows 95/98 y Windows NT 4.0 están disponibles en http://www.microsoft.com/windows2000/server/
evaluation/news/bulletins/adextension.asp
.

El documento "Guide to Microsoft Windows NT 4.0 Profiles and Policies" está disponible para descarga desde http://www.microsoft.com/ntserver/docs/prof_policies.doc.

La información sobre el Editor de directivas del sistema está disponible en la página de MSDN que trata sobre su uso en http://msdn.microsoft.com/library/en-us/policy/policy/using_the_system_policy_editor.asp.

SCM está disponible en el servidor FTP de Microsoft en http://www.microsoft.com/ntserver
/techresources/security/securconfig.asp
.

Puede descargarse una guía completa sobre SCM para Windows NT 4.0 desde http://www.microsoft.com/ntserver/docs/scm-nt4.doc.

La publicación "Guide to Securing Microsoft Windows NT Networks" de la NSA está disponible en www.nsa.gov/snac/downloads_winnt.cfm.


**
**

©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft