|
|
|
Cómo instalar de forma segura Windows 2000Actualizado: 18 de Junio de 2004 En esta páginaDescripción del móduloEste módulo proporciona las recomendaciones y los procedimientos de instalación inicial para instalar el sistema operativo Microsoft® Windows® 2000 en un entorno seguro. ObjetivosUtilice este módulo para:
Marco de aplicaciónEste módulo se aplica a los siguientes productos y tecnologías:
Uso del móduloEste módulo se puede utilizar como guía para instalar y actualizar de forma segura sistemas con Windows 2000. Para sacar el máximo provecho de este módulo:
Instalación del sistema operativoEsta sección indica los procedimientos de instalación inicial de la familia de sistemas operativos de Windows 2000. Preparación de la instalaciónDurante la instalación, el programa de configuración le pedirá la información necesaria para instalar y configurar Windows 2000. Prepárese para la instalación del sistema operativo Windows 2000 recopilando la información acerca del hardware y tomando las decisiones de configuración antes de iniciar el proceso de instalación. La siguiente lista de comprobación le ofrece algunas directrices acerca de la información que necesita determinar antes de iniciar el proceso de instalación. Tabla 1: Lista de comprobación previa a la instalación de Windows 2000
Proceso de instalación de Windows 2000Métodos de instalaciónPuede instalar Windows 2000, bien como una actualización de un sistema operativo Windows existente o como una nueva instalación de un sistema operativo. Para garantizar la seguridad, Windows 2000 debe ser el único sistema operativo en el equipo y deberá instalarlo en una partición limpia. Es decir, deberá eliminar cualquier sistema operativo anterior de todas las particiones de disco duro del equipo antes de instalar Windows 2000. Hay tres métodos disponibles para instalar el sistema operativo Windows 2000:
Inicio de la instalación desde un CD-ROM de inicioEl uso de un CD-ROM de inicio es el método más sencillo y rápido de instalar Windows 2000. Para asegurarse de que el equipo no está en peligro durante la instalación, no obstante, deberá desconectarlo de la red hasta que haya finalizado la instalación y haya instalado el Service Pack más reciente. Inicie la instalación desde un CD-ROM de inicio de la siguiente manera:
En el resto de este módulo, veremos la manera más segura de instalar el sistema. Esta explicación no pretende ser una descripción completa del proceso de instalación. Configuración de las particiones de discoDurante la instalación inicial de modo de texto del sistema, la instalación le preguntará dónde desea instalar Windows 2000. La figura 1 muestra el cuadro de diálogo que aparece. Si hay varias particiones o varios discos duros aparecerán identificados en la pantalla. El ejemplo de la figura 1 que se incluye a continuación muestra un disco duro de 40 gigabytes que no tiene particiones. Importante: por motivos de seguridad, deberá utilizar este cuadro de diálogo para eliminar todas las otras particiones de sistemas operativos del sistema. En el caso de estaciones de trabajo, deberá utilizar todo el espacio de un disco para la partición de instalación. En el caso de servidores, deberá utilizar aproximadamente 4 GB de espacio en un disco para el sistema operativo. El espacio restante en el sistema se debe reservar para archivos de datos, servicios, utilidades, etc. Debe evitar almacenar archivos de datos de usuarios en la partición de inicio de los servidores. No obstante, esto es aceptable en las estaciones de trabajo, ya que permite que los usuarios localicen sus datos con mayor facilidad.  Figura 1: Selección de particiones de disco El siguiente paso tras crear la partición consiste en darle formato. Para todos los sistemas en los que la seguridad es necesaria, se debe dar a todas las particiones el formato NTFS. Sólo los sistemas que utilizan NTFS pueden considerarse razonablemente seguros. Asignar una contraseña a la cuenta del administradorEl cuadro de diálogo Nombre del equipo y contraseña del administrador que se muestra en la figura 2 permite establecer la contraseña de la cuenta predeterminada del administrador. Las instrucciones concretas sobre cómo establecer una buena contraseña se indican en la sección Selección de buenas contraseñas. Es muy importante establecer una buena contraseña en la cuenta incorporada del administrador durante la instalación.  Figura 2: Cuadro de diálogo Nombre del equipo y contraseña del administrador Seleccionar los componentes de servicios de los productos de Windows 2000 ServerEn el cuadro de diálogo Componentes de Windows 2000 (que se muestra en la figura 3), seleccione los componentes necesarios para el servidor que se está instalando. Este cuadro de diálogo permite agregar o eliminar componentes durante la instalación. La configuración predeterminada de Windows 2000 Professional es aceptable, pero Windows 2000 Server debe modificarse durante la instalación.
Nota: debido a la amplia difusión de los gusanos que se aprovechan de los sistemas no seguros en la mayoría de las redes, debe instalar los sistemas que ejecutan IIS en un segmento de red aislado o desconectarlo de la red, hasta que se instale el Service Pack 3 o superior.  Figura 3: Selección de los componentes de Windows 2000 Convertir un Windows 2000 Server en un controlador de dominioPara crear un controlador de dominio, primero debe instalar uno de la familia de productos de Windows 2000 Server y, a continuación, convertir el sistema en un controlador de dominio. Para ello, puede utilizar la herramienta DCPromo.exe. Durante la conversión, aparecerá un cuadro de diálogo llamado Permisos (consulte la figura 4). En este cuadro de diálogo, aparece seleccionado de manera predeterminada Permisos compatibles con servidores pre-Windows 2000. Cuando se selecciona esta opción, el grupo Todos pasa a pertenecer al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a todos los atributos de todos los objetos de Active Directory, lo que hace seriamente posible que haya fugas de seguridad. Si tiene un sistema que ya ha sido convertido, puede comprobar si se activó esta casilla de verificación examinando la pertenencia del grupo Acceso compatible con versiones anteriores de Windows 2000. Si Todos pertenece a este grupo, elimínelo y, a continuación, reinicie todos los controladores de dominio. Resulta necesario reiniciar ya que el token de acceso que gobierna este acceso se crea durante el inicio. En el caso de nuevas instalaciones, en las que el acceso a servidores y clientes que no ejecuten Windows 2000 no es necesario, debe seleccionarse Permisos compatibles sólo con servidores Windows 2000. Este ejemplo es el primero que nos muestra un caso en el que se puede aumentar considerablemente la seguridad cuando no es necesario mantener la compatibilidad con versiones anteriores.  Figura 4: Cuadro de diálogo Permisos de Active Directory Selección de buenas contraseñasGran parte de la seguridad del sistema depende de que se elijan buenas contraseñas, lo que se explica con detalle en esta sección. Para entender cómo seleccionar buenas contraseñas en Windows 2000, no obstante, es necesario conocer los conceptos básicos acerca de cómo el sistema operativo almacena las contraseñas. Representaciones de contraseñas de Windows 2000De manera predeterminada, Windows 2000 nunca almacena una contraseña de usuario como texto sin cifrar, sino que las contraseñas se almacenan mediante dos representaciones diferentes de las contraseñas, llamadas habitualmente "hashes". Se utilizan estas dos representaciones para posibilitar la compatibilidad con versiones anteriores. LMHashEl LMHash, también denominado hash de Lan Manager, no es en absoluto un hash, hablando técnicamente. Se calcula de la siguiente manera:
Como consecuencia del algoritmo que se utiliza para generar el LMHash, este hash es muy sencillo de averiguar. En primer lugar, incluso una contraseña que tiene más de 8 caracteres se puede atacar con dos bloques discretos. En segundo lugar, se pueden ignorar todos aquellos caracteres correspondientes a minúsculas. Por tanto, la mayoría de las herramientas para averiguar contraseñas comenzará averiguando los LMHashes y, a continuación, sencillamente variarán los caracteres alfabéticos de la contraseña averiguada para generar las contraseñas con mayúsculas y minúsculas. Observe que para poder iniciar sesión en un sistema que ejecuta Windows 2000, ya sea de manera remota o local, deberá utilizar la contraseña respetando las mayúsculas y minúsculas. NTHashEl NTHash también se denomina hash de Unicode, debido a que admite todo el juego de caracteres de Unicode. Este NTHash se calcula tomando la contraseña en texto sin cifrar y generando el hash MD4 de la misma. A continuación, se almacena el MD4. El NTHash resulta mucho más resistente a los ataques de fuerza bruta que el LMHash. Se tarda varias órdenes de magnitud más en averiguar por fuerza bruta un NTHash que en averiguar por fuerza bruta un LMHash de la misma contraseña. ¿Cómo se crea una buena contraseña?A continuación, se indican varias instrucciones para crear una contraseña razonable:
Se puede obligar al cumplimiento de estas normas de complejidad mediante un filtro de contraseñas y, si se desea, se pueden requerir mediante una directiva de grupo. Además, un administrador puede personalizar los requisitos de complejidad si escribe un filtro de contraseñas personalizado. Este filtro puede, por ejemplo, obligar a que los nombres de la compañía no formen parte de la contraseña o requerir cierta complejidad adicional. Si desea obtener más información acerca de cómo escribir uno de estos filtros, consulte "Password Filters" del SDK de Microsoft Windows Software, en la dirección: http://msdn.microsoft.com/library/en-us/security/Security/password_filters.asp. Sin embargo, la mayoría de las contraseñas aún se puede averiguar con facilidad. Hay varios pasos que puede seguir para conseguir que una contraseña sea más difícil de averiguar:
Hay varias maneras de evitar que se almacene el LMHash. No obstante, puede controlar la creación de un LMHash en una cuenta si se construye la contraseña de determinadas maneras. En primer lugar, si la contraseña tiene más de 14 caracteres el sistema no podrá generar un LMHash. En Windows 2000, las contraseñas pueden tener hasta 127 caracteres. En segundo lugar, si la contraseña contiene algunos caracteres ALT, el sistema no podrá generar un LMHash. Este último punto resulta delicado, ya que mientras que algunos caracteres ALT hacen que la contraseña sea mucho más resistente al eliminar el LMHash, otros la debilitan considerablemente ya que se convierten en una letra normal en mayúsculas antes de su almacenamiento. No obstante, hay muchos caracteres que harán más resistente la contraseña. La tabla 2 muestra todos los caracteres inferiores a 1024 que conseguirán que no se genere el LMHash. Tabla 2. Caracteres ALT que consiguen que desaparezcan el LMHash
En muchos entornos, el LMHash no se puede desactivar en todo el sistema. Este caso puede presentarse, por ejemplo, en entornos en los que el sistema operativo se haya instalado a través de la red mediante el inicio en un disco DOS. DOS no admite el algoritmo Hash NT y, por tanto, requiere que esté presente el LMHash. Además, DOS no admite la presencia de caracteres ALT en la contraseña. Mientras que LMHashes se debe desactivar en todo el sistema cuando sea posible, las técnicas anteriores se pueden utilizar para aumentar la resistencia de las contraseñas en todos los entornos. Debe utilizar los caracteres ALT en cuentas de especial importancia como las cuentas de servicios y las cuentas administrativas. En general, estas cuentas necesitan una mayor protección que las cuentas normales de los usuarios y los usuarios que las utilicen deben estar dispuestos a utilizar contraseñas muy complicadas. Una advertencia que es preciso realizar es que si se utilizan caracteres ALT en una contraseña no se puede utilizar la consola de recuperación. No hay que olvidar esto al establecer contraseñas con caracteres ALT. Consideraciones acerca de los Service Packs de Windows 2000Los Service Packs de Windows 2000 para Windows 2000 Professional, Windows 2000 Server y Windows 2000 Advanced Server proporcionan las actualizaciones más recientes para el sistema operativo Windows 2000. Estas actualizaciones son una recopilación de revisiones en las siguientes áreas: compatibilidad de aplicaciones, confiabilidad del sistema operativo, seguridad y configuración. Cada actualización de Service Pack es acumulativa, ya que incluye todas las actualizaciones que contenían los anteriores Service Packs de Windows 2000. Las revisiones posteriores a los Service Packs de Windows 2000 proporcionan actualizaciones de productos para tratar problemas concretos que pueden aparecer entre las generaciones de los Service Packs. Todas las revisiones se suelen acumular al generar un Service Pack. Por ejemplo, Windows 2000 Service Pack 3 contiene todas las actualizaciones del Service Pack 2 más todas las revisiones que aparecieron tras el Service Pack 2. Cifrado de Windows 2000 Service PackWindows 2000 Service Pack 2 y posteriores admiten capacidad de mayor cifrado (128 bits) de manera predeterminada y actualizarán automáticamente el sistema operativo del cifrado estándar (56 bits) si todavía no se ha actualizado. No es posible desactivar ni desinstalar esta característica. Si se quita el Service Pack después de su instalación, el sistema operativo continuará utilizando el cifrado de 128 bits y no volverá a utilizar el cifrado de 56 bits. Existe, no obstante, una excepción. El almacén protegido es un almacén de datos que se presentó con Internet Explorer 4.0. El almacén protegido está quedando obsoleto, sustituyéndose por la API de protección de datos. Sin embargo, de manera predeterminada, los datos del almacén protegido, como los nombres de usuario y las contraseñas de IE, se protegen mediante un cifrado mínimo y este cifrado no se actualiza durante la instalación del Service Pack. Para actualizar el cifrado del almacén protegido, debe ejecutar el siguiente comando tras instalar el Service Pack 2 o superior: Keymigrt.exe Keymigrt.exe –m La utilidad keymigrt.exe también admite los siguientes modificadores: keymigrt [-f] [-v] [-u] [-m] [-s]
CAPI Key upgrade utility
-f - Force key upgrade
-e - Force Encryption Settings upgrade
-v - Verbose
-u - Allow upgrade of UI protected keys
-m - Upgrade machine keys
-s - Show current state, but make no modificationsPara obtener más información sobre keymigrt.exe y descargar esta herramienta, consulte el boletín de seguridad Microsoft MS00-032 en la dirección http://www.microsoft.com/technet/security/bulletin/ms00-032.mspx. Acciones recomendadas antes de instalar actualizaciones de revisiones y Service Packs
Instalación de actualizaciones de revisiones y Service PacksPuede instalar el más reciente Windows 2000 Service Pack desde un CD de Service Pack, desde una unidad de red, desde el sitio Web de Windows 2000 Service Pack, en la dirección: http://www.microsoft.com/windows2000/downloads/servicepacks/. Puede consultar los procedimientos detallados de cada método de instalación en el archivo léame del Service Pack. Durante el proceso de instalación, el programa Service Pack instala sus archivos en el equipo y crea automáticamente una copia de seguridad de los archivos y la configuración que cambia el instalador del Service Pack. Los archivos de la copia de seguridad se guardan en la carpeta $NTServicepackUninstall$ de la carpeta %systemroot%. |
