Seguridad en Sistemas Operativos (2ª parte)
Consejos de seguridad para otros SO's
Antes de empezar, un pequeño aviso:
Al tener un equipo conectado a la red, SEREMOS RESPONSABLES DE SU SEGURIDAD. Si alguien ataca la NASA a través de nuestros ordenador, parte de la culpa recaerá sobre nosotros, con todas las consecuencias que ello conlleve.
Por tanto, aquí tenemos algunos ejemplos para otros SO's de uso frecuente:
Compartir recursos
Generalmente estamos conectados a una Red para Trabajo en Grupo de Microsoft. De este modo podemos compartir recursos, pero para evitar mayores problemas sería buena idea lo siguiente:
- No compartir recursos si no es necesario.
- En caso de necesitar compartirlos, hacerlo con una buena contraseña.
Así no será para todo el mundo.- Si es posible, compartir como de "solo lectura".
Evitaremos que por error o maldad borren o llenen el disco duro por escribir en el directorio compartido.- NUNCA compartir el disco duro con privilegios de escritura ni usando contraseña.
Un hacker puede llegar a descubrirla por fuerza bruta.Virus
Es uno de los mayores problemas de seguridad junto con los troyanos, por este motivo:
- Emplear antivirus.
Actualizarlo a menudo.- Si nos llega un ejecutable por correo que no hayamos solicitado, NO EJECUTARLO.
Verificar la procedencia y que quien nos lo envíe lo haya hecho de forma consciente.- Abrir los documentos de Office (Word, Excel,...) sin macros.
Pueden contener virus.Otros
Windows no es un SO que se haya hecho pensando en la seguridad, por tanto:
- Vigilar el acceso físico al equipo.
Para validar los usuarios que entran al sistema tenemos que recurrir a software de terceros; la contraseña al arrancar Windows no es una medida de seguridad (basta cancelar para entrar).- El ordenador debe ser personal.
Windows no distingue entre usuarios, por tanto no es nada recomendable guardar nada importante porque cualquier otro usuario podría entrar y borrar todo el contenido.
Según Microsoft, Windows NT fue diseñado y desarrollado pensando en la seguridad, pero no hay que despreocuparse de la seguridad.
Passwords y cuentas
El administrador de red debe establecer una política de passwords:
- Duración máxima (unos 90 días recomendado).
- Longitud mínima (8 caracteres).
- Histórico de la contraseña (unos 5 passwords).
- Bloqueo automático tras sucesivos fallos de login (unos 5 fallos).
Para la política ir al menú de Administrador de usuarios para dominios->Directivas->Cuentas->Plan de cuentas.
Para desbloquear una cuenta ir a: Administrador de usuarios para dominios->Usuario->Propiedades->Cuenta desactivada
También es útil en Administrador de usuarios para dominios restricciones tipo:
- Horas de login al dominio.
- Estaciones desde las que se puede acceder al dominio.
- Expiración de la cuenta si es temporal.
- Restricción de acceso dial-in.
Permisos y derechos de usuario
Algunos de los más comunes:
- El derecho de inicio de una sesión local.
- Derechos de administración de auditoría.
- Derecho de apagar el equipo.
- Derecho de acceder al equipo desde la red (Log On).
- Derecho de hacer copias de seguridad o de recuperación de ficheros.
Para configurar los derechos de usuarios: Derechos de usuarios del menú Directivas del Administrador de usuarios de Dominio, autorizando a cada usuario o grupo.
Hay que tener en cuenta que:
Es conveniente eliminar al grupo TODOS el derecho de LogOn (acceso desde red)
Permisos para directorios Permisos estándar Permisos individuales Permisos para nuevos ficheros Sin acceso Ninguno Ninguno Listar R,X - Lectura R,X R,X Añadir W,X - Añadir y Lectura R,W,X R,X Cambio R,W,X,D R,W,X,D Control total Todo Todo
Permisos para ficheros Permisos estándar para archivos Permisos individuales Sin acceso Ninguno Lectura R,X Cambio R,W,X,D Control total Todos
Compartición de recursos de red
Basta pulsar con con el botón derecho del ratón sobre un directorio o impresora para ver la opción compartir.
Los recursos se comparten de forma segura con los siguientes permisos:
CONTROL TOTAL: permite modificar permisos, tomar en propiedad y permisos de CAMBIO CAMBIO: permite crear directorios, añadir ficheros, modificar datos y permisos de éstos, borrar ficheros y directorios, y permisos de READ. LECTURA: permiten listar directorios, ficheros. SIN ACCESO: este permiso sobreescribe cualquier otro y deniega el acceso al recurso. Aviso: Estos permisos no afectan a los usuarios que se conectan localmente, hay que usar los permisos NTFS.
Seguridad del registro
Contiene información sobre la configuración hardware, sofware y de entorno de la máquina. Se puede ver con REGEDT32. Es conveniente.
- Deshabilitar el acceso remoto al registro, chequeando la existencia de la siguiente entrada en el registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
- Deshabilitar (poner a 0) si es necesario el apagado del equipo en la opción ShutdownWithoutLogon de:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Proteger adecuadamente el registro de usuarios no autorizados.
- Hacer copias periódicas del mismo con la utilidad REGBACK.EXE
Auditorías
Permite rastrear sucesos que ocurren en una máquina NT, servidor de dominio o estación o servidor NT. Son esenciales para mantener la seguridad.
Hay tes tipos:
a) Auditoría de cuentas de usuario: rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en Administrador de usuarios en dominios -> Directivas -> Auditoría. PLAN DE AUDITORIAS.
b) Auditoría del sistema de archivos: rastrea sucesos del sistema de archivos. Se activa esta opción en Propiedades, tras pulsar con el botón derecho sobre el fichero o directorio que se desee auditar y luego seleccione Seguridad -> Auditorías.
c) Auditoría de impresoras: primero se establece la política de auditorías haciendo doble click en la impresora en cuestión, dentro del menú Impresoras, y luego seleccionar Seguridad -> Auditorías.
Seguridad de los protocolos. Seguridad de los servicios
Debemos usar solo los protocolos que vayamos a necesitar (NetBEUI y TCP/IP por ejemplo).
Para configurar las opciones de seguridad TCP/IP:
Panel de Control -> Red -> Protocolos -> Protocolo TCP/IP -> Propiedades -> Avanzadas
Marque: Activar seguridad
Pulse el botón Configurar
Seleccione el adaptador correspondiente y marque el número de puerto/s del servicio/s que quiera permitir.
Services Pack
Los Services Pack (SP) no son más que un conjunto de parches que Microsoft saca de vez en cuando para solucionar fallos.
Aviso: NUNCA instalar un SP en ingles en un NT en español.
Otros
- La partición para instalar el SO debería ser NTFS.
- Dar normas sobre el uso a los usuarios.
- Un único administrador.
- Los usuarios deben tener los privilegios necesarios para ser usuarios. Tampoco limitar demasiado.
- Tener una buena política de cambio de passwords. Cambiarla, chequearla,...
- Buscar información, tener sentido común,...