|
Estas listas de comprobación resumen los pasos que debe seguir para lograr un
adecuado nivel de seguridad con Windows XP Professional, tanto en instalaciones
autónomas como dentro de un dominio de Windows 2000 o Windows NT.
IMPORTANTE:
El propósito de estas listas de comprobación es el de dar instrucciones para
configurar un nivel básico de seguridad para ordenadores con Windows XP. Esta
guía no ofrece una lista de todas las funciones de seguridad incorporadas en
Windows XP, o de su forma de uso. Hay una lista completa de las funcionalidades
de seguridad disponibles en Windows XP en el sitio
Web de Microsoft.
Estas listas de chequeo contienen
información sobre modificaciones en el Registro. Antes de editar el Registro,
asegúrese de que sabe cómo recuperar la situación anterior en caso de surgir
algún problema. Para más información acerca de cómo hacer esto, lea la ayuda en
línea del Editor del Registro.
Configuración de Windows XP Professional
Detalles de la lista de comprobación de la configuración de Windows XP
Las particiones NTFS ofrecen controles de acceso y protección que no existen
en los sistemas de archivos FAT, FAT32 o FAT32x. Compruebe que todas las
particiones de disco de su ordenador están formateadas con NTFS. Si es preciso,
utilice el programa Convert para transformar sus particiones FAT en NTFS
sin destruir los datos.
Por defecto, los
ordenadores con Windows XP Professional que no se conectan a un dominio utilizan
un modo de acceso a la red denominado “Compartición simple de archivos”, donde
todos los intentos de conexión al ordenador desde la red se convierten en
accesos forzados con la cuenta Invitado. Esto supone que el acceso en la red
mediante Server Message Blocks (SMB, utilizados para acceso a archivos e
impresoras), así como las llamadas a procedimientos remotos (RPC, Remote
Procedure Call, utilizados en la mayoría de las herramientas de gestión remota y
acceso remoto al registro), solo estarán disponibles para la cuenta Invitado.
En el modelo de Acceso
Simple a Archivos, los archivos y carpetas compartidos pueden crearse de manera
que el acceso desde la red se haga en modo solo lectura, o alternativamente, con
permisos para leer, crear, cambiar y borrar archivos. Simple File Sharing está
pensado para usarse en redes domésticas y detrás de un firewall, como el que se
incorpora dentro de Windows XP. Si Vd. Está conectado a Internet y no está
protegido por un firewall, debe tener presente que cualquier recurso compartido
que cree podría ser accedido por cualquier usuario desde Internet.
El modelo clásico de
seguridad se utiliza cuando el sistema Windows XP se incorpora a un dominio o
cuando se deshabilita Simple File Sharing. En el modelo clásico de seguridad,
los usuarios que intentan hacer logon en la máquina local desde la red han de
autentificarse como cuentas de usuario propias, no se hacen corresponder con la
cuenta de Invitado. De esta manera, los recursos compartidos pueden crearse de
modo que solo puedan se accedidos por los grupos y usuarios con los privilegios
adecuados.
Windows XP ofrece la posibilidad de compartir una única conexión a Internet
entre varios ordenadores en una red doméstica o pequeña red empresarial con la
función ICS (Internet Connection Sharing). Un ordenador, denominado “Host ICS”
conecta directamente a Internet y comparte esa conexión con el resto de los
ordenadores de la red. Las máquinas clientes se apoyan en el host ICS para salir
a Internet. El uso de ICS refuerza la seguridad de la red porque solo el host
ICS es visible desde Internet.
Para activar ICS haga clic con el botón derecho del ratón en una conexión a
Internet dentro de la carpeta Conexiones de Red. Haga clic en
Propiedades, luego en la solapa Avanzadas y después seleccione el cuadro
de opción adecuado.
También puede configurar ICS utilizando el Asistente para Redes Domésticas.
Para más información acerca de ICS puede consultar el Centro de Soporte y Ayuda
en Windows XP.
El Firewall de conexión
a Internet está diseñado para su uso en casa o en pequeñas redes empresariales y
proporciona protección para máquinas Windows XP que se conectan directamente a
Internet o para ordenadores y dispositivos conectados al host ICS que está
ejecutando este Firewall. El Firewall de Conexión a Internet utiliza un filtrado
de paquetes activo, lo que significa que los puertos del firewall se abren
dinámicamente solo por el tiempo necesario para permitir el acceso a los
servicios que se desea.
Para activar ICF haga
click con el botón derecho en una conexión a Internet en Conexiones de Red.
Después seleccione Propiedades y la solapa Avanzadas, y finalmente, seleccione
la opción correspondiente. También puede configurar ICF usando el Asistente para
Configuración de Redes Domésticas. Para más información sobre ICF puede
consultar el Centro de Soporte y Ayuda en Windows XP.
Las políticas de
restricción de software ponen a disposición de los administradores un mecanismo
basado en directivas que identifica el software que se ejecuta en su dominio y
permite controlar la ejecución de dicho software. Mediante políticas de
restricción de software un administrador puede prevenir la ejecución no deseada
de ciertos programas; esto incluye virus, troyanos y otro software del que se
sabe que puede causar problemas cuando se instala. Las políticas de restricción
de software pueden utilizarse en una máquina aislada configurando las directivas
locales de seguridad. Las políticas de restricción de software también están
integradas en Políticas de Grupo y Directorio Activo.
Para más detalles acerca de la
creación de políticas de restricción de software recomendamos leer el documento
What's New in Security for Windows XP Professional and Windows XP Home Edition white paper.
Para proteger a los
usuarios que no protegen sus cuentas con passwords, las cuentas de usuario de
Windows XP Professional sin password solamente pueden iniciar sesión en la
consola física del ordenador. Por defecto, las cuentas con passwords en blanco
no podrán utilizarse en adelante para acceder remotamente desde la red, o para
ninguna otra actividad de validación excepto desde la pantalla de inicio de
sesión de la consola física. Por ejemplo, no se puede utilizar el servicio de
inicio de sesión secundario (“RunAs”) para ejecutar un programa como un usuario
local con password en blanco.
Mediante la asignación
de passwords a las cuentas locales se evita la restricción que prohibe hacer
logon en la red. Esto permite a las cuentas de usuario acceder a los recursos
para los cuales tiene permisos, incluso a través de la red. Por consiguiente, es
preferible dejar una cuenta con la password en blanco que asignarle una password
fácil de descubrir. Cuando se asignen passwords, asegúrese de que tiene una
longitud de nueve caracteres como mínimo, y que incluye al menos un signo de
puntuación o un carácter ASCII no imprimible dentro de los primeros siete
caracteres.
Precauciones
Si su ordenador no está
en una ubicación físicamente segura, se recomienda que asigne passwords a todas
las cuentas de usuario locales. De no hacerlo así, cualquiera con acceso físico
al ordenador podría fácilmente iniciar sesión utilizando una cuenta que no tiene
password. Esto es especialmente importante en el caso de portátiles, que deberán
siempre blindarse con passwords difíciles de descubrir para todas sus cuentas
locales.
Nota
Esta restricción no se
aplica a las cuentas de dominio, ni tampoco a la cuenta local de Invitado. Si la
cuenta de Invitado está activada y tiene password en blanco, se le permitirá
iniciar sesión y acceder a cualquier recurso con permisos de acceso para la
cuenta Invitado.
Si quiere deshabilitar
la restricción contra el inicio de sesión en la red sin password, puede hacerlo
a través de las Directivas Locales de Seguridad.
Después de instalar
Windows XP se deben deshabilitar todos aquellos servicios de red que no se
necesiten en el ordenador. En particular debe considerarse si su PC necesita
servicios de Internet Information Server. Por defecto IIS no se incluye como
parte de la instalación normal de Windows XP y únicamente debe instalarse si
realmente se necesitan dichos servicios.
Revise la lista de
cuentas activas, tanto para usuarios como para programas en el sistema, por
medio de la función de Administración de Equipos. Deshabilite las cuentas
inactivas de usuario y borre aquellas cuentas que no sean necesarias.
Esta recomendación solo
se aplica a los ordenadores con Windows XP que pertenecen a un dominio, o a
máquinas que no utilizan el modelo de Compartición Simple de Archivos.
En sistemas Windows XP
Professional que no se conectan a un dominio, los usuarios que intentan abrir
sesión desde la red se ven forzados a identificarse como la cuenta Invitado por
defecto. Este cambio se ha diseñado para prevenir los intentos maliciosos de
acceso a los sistemas desde Internet haciendo login con la cuenta de
Administrador local con password en blanco. Para utilizar esta funcionalidad,
que es parte del modelo de Compartición Simple de Archivos, la cuenta de
Invitado ha de estar activada en todas las máquinas con Windows XP que no se han
incorporado a un dominio. Para aquellas que ya pertenecen a un dominio o para la
que, sin pertenecer a dominio, han deshabilitado el modelo de Compartición
Simple de Archivos, la cuenta local de Invitado debe deshabilitarse. Así se
previene la posibilidad de que los usuarios puedan conectarse desde la red
usando esta cuenta.
Para proteger a los
usuarios que no protegen sus cuentas con passwords, en Windows XP Professional
las cuentas sin password únicamente pueden abrir sesión en la consola física del
ordenador. Por defecto, las cuentas con passwords en blanco no podrán utilizarse
en adelante para acceder remotamente desde la red, o para ninguna otra actividad
de validación excepto desde la pantalla de inicio de sesión de la consola
física.
Nota
Esta restricción no se
aplica a las cuentas de dominio, ni a la cuenta de Invitado local. Si la cuenta
de Invitado está activada y tiene password en blanco, se le permitirá abrir
sesión y acceder a cualquier recurso al cual se le autorice acceso a la cuenta
Invitado.
Utilice la consola de
Política Local de Seguridad para reforzar las directivas del sistema para la
aceptación de passwords. Microsoft sugiere que se hagan los siguientes cambios:
·
Fijar la longitud mínima de la password en 8 caracteres
·
Fijar un periodo mínimo de persistencia adecuado a su red
(generalmente entre 1 y 7 días)
·
Fijar un periodo máximo de vigencia adecuado a su red
(generalmente no superior a 42 días)
·
Habilitar el mantenimiento de un registro histórico de las
passwords (utilizando el botón “recordar passwords”) de al menos 6.
Windows XP incluye una
funcionalidad de bloqueo de cuentas que desactiva una cuenta después de un
número de intentos fallidos de inicio de sesión que fija el administrador. Por
ejemplo, se puede indicar que se bloquee la cuenta después de 5 ó 10 intentos
fallidos, resetear la cuenta no antes de 30 minutos y dejar la situación de
bloqueo a “Siempre (hasta que el administrador la desbloquee”). Si es demasiado
agresiva, puede considerar la posibilidad de permitir que la cuenta se
desbloquee automáticamente después de un cierto tiempo.
Dos son los objetivos
más comunes al utilizar los bloqueos de cuentas: el primero, poner de
manifiesto que han tenido lugar un cierto número de intentos de abrir sesión con
una cuenta utilizando una password no válida. El segundo, proteger las cuentas
de usuario ante la posibilidad de intentar abrir sesión mediante ataques con
diccionarios de claves o identificación reiterativa. No hay una receta que sea
válida para todos los entornos. Considere los valores que más se ajusten a su
entorno particular.
Una de las iniciativas
más importantes a la hora de proteger sistemas informáticos es utilizar software
antivirus, y asegurarse de que está correctamente actualizado. Todos los
sistemas en Internet, en una intranet corporativa o en una red doméstica
deberían llevar instalado software antivirus.
Hay más información sobre seguridad antivirus en Microsoft TechNet Security Web Site.
La función de
Actualización Automática en Windows XP puede detectar automáticamente y
descargar los parches de seguridad más recientes desde Microsoft. La función de
Actualización Automática te se puede configurar para descargar automáticamente
los parches en tareas de segundo plano y pedir permiso al usuario para
instalarlos cuando se ha completado la descarga.
Para configurar la
Actualización Automática, haga clic en Sistema, dentro del Panel de Control, y
seleccione la solapa Actualizaciones Automáticas. Elija la opción de
notificación previa para descargar las actualizaciones automáticamente y
recibirá notificación cuando estén listas para ser instaladas.
Aparte esto,
Microsoft publica boletines de seguridad mediante su
Servicio de Notificación de Seguridad. Estos boletines se publican para
cualquier producto de Microsoft en el cual se haya encontrado algún problema de
seguridad. Cuando estos boletines recomiendan la instalación de algún parche de
seguridad, Vd. Debería descargarlo a la mayor brevedad e instalarlo en sus
ordenadores.
© 2001 Microsoft
Corporation. Todos los derechos reservados.
Última actualización de esta página: 11 de agosto de 2004
|
