En la esfera de la seguridad de computadoras, uno de los errores cruciales más frecuentes que cometen los administradores es confundir la presencia de características de seguridad con un sistema seguro. No es suficiente mezclar protocolos, métodos y algoritmos en un collage de seguridad. En tales entornos, el vínculo más débil no suele verse hasta que es demasiado tarde. Para ser efectiva, la seguridad del sistema tiene que aplicarse como un conjunto y necesita que esté bien diseñada, ser completa y fácil de mantener.

Los sistemas bien diseñados van acompañados de directivas que indican cómo, cuándo y a qué nivel se aplica la seguridad. Los sistemas completos proporcionan seguridad multinivel que suena y es trasparente al usuario en la medida de lo posible. Los sistemas de fácil mantenimiento permiten a los administradores administrar de forma centralizada la seguridad y mantener un seguimiento de los sucesos críticos.

Con características como las plantillas de seguridad, el cifrado de clave pública, el Protocolo de Intemet Seguro (IPSec) y un amplio rango de procedimientos de auditoría, Microsoft Windows 2000 facilita la aplicación de las directivas de seguridad a equipos individuales o escalarlas a dominios o empresas completas.

Plantillas para implantar directivas de seguridad

Windows 2000, como ya sabemos o pronto aprenderemos, posee una rica y diversa gama de características de seguridad. Con estas características, no obstante, vienen múltiples opciones de directivas y atributos de seguridad que hay que configurar. Configurar el sistema con directivas consistentes a las necesidades de seguridad de la compañía, en sí misma, no es una tarea pequeña. Multiplíquese eso por todos los equipos del sitio o de la organización y se obtendrá bastante faena. Y esto no incluye el tiempo de mantenimiento necesario si las directivas de la compañía se van a volver a evaluar.

Hay que introducir plantillas de seguridad. Una plantilla de seguridad, de forma sencilla, es un archivo de configuración para todos los atributos de seguridad del sistema. Las plantillas de seguridad son potentes y ayudan a rebajar el esfuerzo de administración. Usando una interfaz única, un administrador puede generar una plantilla de seguridad que refleje las necesidades de seguridad de la compañía y aplicarla después a un equipo local o importarla a un objeto Directiva de grupo de Active Directory. Cuando se incorpora la plantilla al objeto Directiva de grupo, todos los equipos afectados por el objeto recibirán las opciones de la plantilla.

Ejecución del complemento Plantillas de seguridad

Las plantillas de seguridad se pueden crear o modificar con el complemento Plantillas de seguridad de la Consola de administración de Microsoft (MMC). Para añadir el complemento a la MMC, hay que ejecutar mmc.exe desde el cuadro de diálogo Ejecutar, al cual se accede desde el menú Inicio. Desde el menú Consola, se elige Agregar o eliminar complemento. Se pulsa el botón Agregar de la ficha Independiente y se selecciona Plantillas de seguridad en la lista de complementos proporcionada. Se pulsa Agregar en el cuadro de diálogo Agregar un complemento independiente, para agregar la entrada Plantillas de seguridad al cuadro de diálogo Agregar o eliminar complementos y después se pulsa Cerrar. Hay que pulsar Aceptar en el cuadro de diálogo Agregar o quitar complementos y el complemento Plantillas de seguridad se habrá añadido a la Raíz de la consola, en el árbol de la consola.

En el árbol de consola, hay que expandir Plantillas de seguridad y la carpeta Security\Templates para mostrar una lista inicial de las plantillas. Existen plantillas predefinidas que se pueden ajustar a las necesidades específicas de la compañía. Cuando se crea una nueva plantilla o se copia una existente, ésta se añade a la lista. Si se selecciona cualquiera de las directivas ya cargadas, el panel derecho de la consola muestra todas las áreas de seguridad disponibles para su configuración.

Esencialmente, cada plantilla de la lista representa un único archivo legible .INF. El complemento sólo es una interfaz para modificar estos archivos de plantilla de seguridad. Los archivos se pueden encontrar en la raíz del sistema en %RaízDeSistema%\Security\Templates.

El siguiente es un pequeño extracto de la plantilla securews /(Securews.inf), mostrando el área de Directivas de cuenta:

[System Access]
;-------------------------------------------
;Account Policies - Password Policy
;-------------------------------------------
MinimumPasswordAge = 2 
MaximumPasswordAge = 42 
MinimumPasswordLength = 8 
PasswordComplexity = 1 
PasswordHistorySize = 24 
RequireLogonToChangePassword = 0 
ClearTextPassword = 0

Cómo examinar las directivas de plantilla

Cada plantilla contiene opciones de atributo para siete áreas de seguridad configurables en Windows 2000. Hay que pulsar dos veces sobre el área de seguridad en el panel derecho de la consola o expandir el árbol de consola en el panel izquierdo, para mostrar las secciones específicas.

Directivas de cuenta

El área Directivas de cuenta incluye directivas pertenecientes a las cuentas de usuario. Contiene Directiva de contraseñas, Directiva de bloqueo de cuentas y Directiva Kerberos.

Plantillas predefinidas

Las plantillas predefinidas proporcionadas por Windows 2000 se pueden usar tal cual o se pueden personalizar para que cumplan requisitos de seguridad más rigurosos. Estas plantillan cubren una serie de niveles y representan escenarios típicos de seguridad para distintos tipos de equipos encontrados en un sistema -léase estaciones de trabajo, servidores o controladores de dominio-. La Tabla 18.1 muestra algunas de las plantillas de seguridad predefinidas organizadas por nivel de seguridad.

Algunas plantillas de seguridad predefinidas

Nivel de seguridad Nombre de plantilla Descripción
Predeterminado basicwk Plantilla para estación de trabajo predeterminada.
basicsv Plantilla para servidor predeterminado.
basicdc Plantilla para controlador de dominio predeterminado.
Seguro securews Plantilla para estación de trabajo o servidor seguro.
securedc Plantilla para controlador de dominio seguro.
Muy seguro hisecws Plantilla para estación de trabajo o servidor muy seguro.
hisecdc Plantilla para controlador de dominio muy seguro.
Compatible compatws Plantilla para estación de trabajo o servidor compatible.
Tras instalación Instalación de seguridad Plantilla para las opciones por defecto tras la instalación.
Seguridad DC Plantilla para las opciones de un controlador de dominio tras la instalación.
Plantillas de seguridad predeterminada

Las plantillas de seguridad básicas para estaciones de trabajo, servidores y controladores de dominio contienen opciones por defecto de Windows 2000 para directivas de cuentas y locales, así como valores típicos para el mantenimiento del registro de sucesos y de los permisos básicos para los servicios del sistema. Además, estas plantillas básicas incluyen permisos de acceso por defecto al sistema de archivos, directorios y claves del registro que, una vez aplicados, sobrescriben las opciones de seguridad existentes para esos objetos y para sus hijos. Estas plantillas básicas, no obstante, omiten de forma intencionada la asignación de derechos de usuario para que no se sobrescriba ninguna asignación hecha por los programas de instalación de aplicaciones. Esta omisión significa que las plantillas de seguridad básica se pueden aplicar a una máquina para poner a cero la configuración de seguridad de ese sistema. .

Una mirada más de cerca de las tres plantillas básicas revela diferencias menores entre ellas. Mientras que la plantilla básica para estaciones de trabajo incluye las configuraciones por defecto necesarias para los servicios del sistema, la plantilla básica de servidor añade configuraciones por defecto para el inicio automático de los servicios sólo de servidor, como el Servicio SMTP de Microsoft y Registro de licencias. La plantilla básica para controlador principal de dominio omite toda la configuración de servicios de sistema. La plantilla básica de controlador principal de dominio está más ajustada para un controlador de dominio que da servicios a usuarios.

Plantillas de seguridad seguras

Se proporcionan dos plantillas seguras: una para controlador de dominio y una plantilla combinación para estación de trabajo y servidor. Con contraseñas y directivas de bloqueo más estrictas y con registros de auditoría que restringen el acceso de invitado y manteniendo hasta cinco veces la información de auditoría de las plantillas básicas (diez veces para el controlador de dominio), las plantillas seguras proporcionan un nivel medio de seguridad.

Las plantillas seguras también activan más características de auditoría que las plantillas básicas. Los sucesos de inicio de sesión sin éxito y de uso de privilegios, así como la administración de cuentas con o sin éxito y de cambios de directivas, se configuran para hacer auditoría. Además, la plantilla de controlador de dominio seguro proporciona auditoría de acceso a objetos y al servicio de directorios. Las directivas de cuentas y locales también aparecen en la plantilla de controlador de dominio seguro, pero están ausentes para la plantilla de controlador de dominio básico. Debido a que los permisos de archivos, directorios y claves de registro se configuran de forma segura por defecto, estas áreas de seguridad se omiten en este tipo de plantilla.

Plantillas de seguridad muy seguras

Las plantillas muy seguras en realidad son bastante flojas y se concentran en la seguridad de las comunicaciones de entornos en modo nativo (Windows 2000). En breve, los atributos de seguridad se asignarán para comunicaciones del lado del cliente y del lado del servidor firmadas digitalmente y para firmar y cifrar datos de canales seguros. Debido a que se fija el protocolo de máxima protección, no obstante, los sistemas a los que se apliquen estas plantillas no podrán comunicarse con máquinas que ejecuten Microsoft Windows 95, Microsoft Windows 98 o Microsoft Windows NT. Aparte de que no existen los grupos restringidos Usuarios autenticados y Supersusuarios en la plantilla muy segura de estación de trabajo/servidor (hisecws), las plantillas muy seguras de estación de trabajo/servidor y de controlador de dominio son prácticamente la misma.

Plantilla de seguridad compatible

En la plantilla básica de estación de trabajo, los Usuarios autenticados con, por defecto, Superusuarios. Las plantillas seguras y muy seguras de estaciones de trabajo eliminan a los Usuarios autenticados del grupo Superusuarios. Debido a que el objetivo de la plantilla de seguridad compatible es permitir que se ejecuten de forma satisfactoria la mayoría de las aplicaciones, pero sin el coste de comprometer los niveles de seguridad de los Superusuarios, esta plantilla también elimina a los Usuarios autenticados del grupo Superusuarios. Con el grupo Usuarios autenticados degradado, la plantilla facilita la compatibilidad disminuyendo la seguridad en carpetas, archivos y claves de registro a las que suelen acceder las aplicaciones.

Plantillas de seguridad tras instalación

La plantilla de seguridad segura contiene opciones de seguridad tras instalación para estaciones de trabajo y servidores. La plantilla de seguridad para controladores de dominio se basa en la plantilla de seguridad de la instalación, añadiendo las opciones por defecto para controladores de dominio.

Cómo modificar una plantilla predefinida

Se puede usar una plantilla predefinida como punto de partida para el esquema propio de seguridad. Primero hay que hacer una copia de la plantilla pulsando el botón derecho sobre el nombre de la plantilla y eligiendo Guardar como. Después se especifica el nombre del archivo, asegurándose de que mantiene la extensión .INF. Se pueden modificar los atributos de cualquiera de las áreas de seguridad en la nueva plantilla expandiendo completamente el árbol de plantilla sobre esa área. Para los atributos, se pulsa el botón derecho sobre el nombre de atributo y se elige Seguridad en el menú de contexto, para abrir el cuadro de diálogo Configuración de la directiva de seguridad de la plantilla. Para las carpetas Grupos restringidos, Registro y Sistema de archivos, hay que pulsar el botón derecho sobre la carpeta y elegir Agregar grupo, Agregar clave o Agregar archivo, respectivamente.

Cómo definir nuevas plantillas

También se puede optar por generar una plantilla de seguridad completa a partir de cero. En el árbol de consola del complemento Plantillas de seguridad, hay que pulsar el botón derecho sobre la carpeta por defecto de la plantilla padre (%RaízDeSistema%\Seguridad\Plantilla) y elegir Nueva plantilla. En el cuadro de diálogo que aparece, se escribe el nombre de plantilla y la descripción del propósito de la plantilla. La nueva plantilla se guarda como archivo .INF en la carpeta Plantillas y se añade a la lista de plantillas disponibles.

En este punto, el nuevo archivo de plantilla está vacío, excepto por algo de información sobre la versión y la descripción. Visualizar cualquier atributo de la nueva plantilla listará los atributos como No definido. Las carpetas Grupos restringidos, Registro y Sistema de archivos simplemente no contendrán entradas.

Para cada área de seguridad, se puede configurar parte o todos los atributos de seguridad o se puede optar por dejar el área no configurada. Para modificar la configuración de un atributo, hay que pulsar el botón derecho sobre el atributo en el panel derecho y elegir Seguridad. Aparece el cuadro de diálogo Configuración de la directiva de seguridad de la plantilla. Para activar la configuración y asignar el atributo hay que seleccionar el cuadro de verificación Definir esta configuración de directiva. Las configuraciones guardadas en los diversos atributos representan una serie de tipos de datos, incluyendo Booleano (activado, desactivado), enteros (tamaño máximo de archivo) y fechas y horas.

Es tan sencillo como configurar aquellas áreas de seguridad que contengan una lista de elementos en lugar de atributos individuales. Se pulsa el botón derecho sobre Grupos restringidos, Registro o Sistema de archivos y se selecciona Agregar grupo, Agregar clave o Agregar archivo, respectivamente. Después se pueden explorar los objetos para agregar y escoger permisos de acceso, propietario e información de auditoría, en el cuadro de diálogo Control de acceso.

Una vez completada la plantilla de seguridad, se guarda pulsando el botón derecho sobre el nombre de la plantilla y eligiendo Guardar. Entonces está preparada para aplicarse a la computadora local o al objeto Directiva de grupo.

Cuando se crean nuevas plantillas de seguridad para la arquitectura del sistema, hay que recordar que la seguridad se aplica mediante capas de plantillas. La base de datos de configuración permite que se importen plantillas una tras otra, por lo que las directivas de seguridad de las distintas plantillas tienen un efecto de máscara. Los conflictos sobre atributos específicos se resuelven dando mayor prioridad ala plantilla cargada de forma más reciente. Esto significa que las plantillas con grados variados de seguridad no necesitan contener datos redundantes. En cambio, los atributos básicos de seguridad se pueden aplicar con una plantilla de seguridad estándar que se cargue primero. Las plantillas de seguridad con mayor nivel necesitan, por tanto, contener sólo las diferencias de seguridad entre los dos niveles.

Cómo aplicar plantillas

Una plantilla de seguridad que contiene las configuraciones de seguridad del sistema se puede aplicar a la computadora local o bien se puede poner a un grupo de equipos importándola al objeto Directiva de grupo. Aplicar la plantilla al equipo local se realiza mediante el complemento Configuración y análisis de seguridad.

Para importar la plantilla de seguridad al objeto Directiva de grupo, hay que escoger el objeto destino Directiva de grupo en la MMC. Se expande el objeto y después se expande Configuración del equipo y Configuración de Windows para mostrar Configuración de seguridad. Se pulsa el botón derecho sobre Configuración de seguridad y se elige Importar directiva. Aparece una lista de plantillas de seguridad, siendo cada plantilla un archivo .INF. Se elige la plantilla deseada.

Hay que reducir las molestias administrativas de configurar grandes vectores de atributos de seguridad, modificando las plantillas predefinidas siempre que sea posible.

Configuración y análisis de seguridad

Configuración y análisis de seguridad es un complemento de MMC que permite a los administradores comprobar el estado de la seguridad del sistema frente a una o más plantillas de seguridad y realizar las modificaciones correspondientes. Útil como herramienta de configuración y como herramienta de mantenimiento, el complemento permite importar plantillas de seguridad predefinidas o modificadas, analizar todas las áreas de seguridad frente a esas plantillas con sencillas órdenes y visualizar resultados concretos. Después se puede sincronizar la seguridad del sistema con la plantilla de una vez o resolver las discrepancias en base atributo a atributo.

Esta herramienta, junto con la plantilla de seguridad apropiada, es inestimable para la instalación de la configuración inicial de seguridad de una máquina en la que se han definido muchos atributos de seguridad y permisos de archivo, directorio y clave de registro. Las directivas de seguridad de computadoras de una empresa o una división completa se pueden traducir a una única plantilla e importarla para configurar con rapidez una o más máquinas. Además, el complemento es muy útil para mantener el nivel de seguridad de un sistema. Sin excepciones, en caso de resolver problemas temporales de red o administración, los atributos de seguridad se vuelven no disponibles y los permisos de los objetos se fijan a control total. Analizar de forma periódica la seguridad del sistema frente a las plantillas que lo definen permite localizar y solucionar de forma sencilla defectos de seguridad.

Finalmente, la herramienta permite exportar plantillas de seguridad que se hayan modificado durante la configuración de una máquina para volver a evaluar tales plantillas en el complemento Plantillas de seguridad. Si se han importado una o más plantillas, se puede guardar una única plantilla compuesta que es la suma de todas las opciones de plantilla.

Cómo abrir la base de datos de seguridad

Al igual que los otros complementos de la MMC, Configuración y análisis de seguridad se añade a la MMC eligiendo Agregar o quitar complemento en el menú Consola. Se pulsa el botón Agregar y se selecciona Configuración y análisis de seguridad en la lista proporcionada de complementos.

Las plantillas de seguridad se importan a la base de datos, la cual se usa para realizar el análisis y la configuración. El archivo de base de datos de seguridad usa una extensión .SDB. Para crear una nueva base de datos o abrir una existente, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Abrir base de datos. En el cuadro de diálogo Abrir base de datos, se selecciona el archivo .SDB a abrir o se escribe un nuevo nombre de archivo para crear una base de datos. Cuando se escribe un nuevo nombre de base de datos, aparece un segundo cuadro de diálogo permitiendo importar una plantilla de seguridad base. Se elige una plantilla predefinida o una plantilla modificada con el complemento Plantillas de seguridad. La lista de plantillas predefinidas está en la carpeta %RaízDeSistema%\Security\Templates.

Cómo importar y exportar plantillas

Una vez abierta la base de datos de seguridad, se pueden importar plantillas adicionales de seguridad en ella. Para hacerlo, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir importar plantilla. Hay que seleccionar el archivo de plantilla .INF que se desea importar. Esta plantilla complementa la plantilla o plantillas de la base de datos actual; no las reemplaza.

En el proceso de análisis y configuración de la seguridad de un sistema con una plantilla de base de datos, puede que sea necesario definir una directiva más precisa y por lo tanto modificar la plantilla. La modificación no se guarda en la plantilla original importada; en su lugar, se guarda como copia de la base de datos. Para usar la plantilla modificada en otra máquina, será necesario exportarla. También se pueden combinar varias plantillas exportadas en una única plantilla combinada que se puede exportar después. Para exportar una plantilla, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Exportar plantilla. En el cuadro de diálogo resultante, se escoge un nombre de archivo para la plantilla usando la extensión .INF.

Análisis de la seguridad y visualización de resultados

Una vez importadas las plantillas necesarias a la base de datos, se puede analizar el sistema. Para analizar la seguridad del sistema, se pulsa el botón derecho sobre Configuración y análisis de seguridad y se elige Analizar el equipo ahora. En el cuadro de diálogo Realizar análisis, se selecciona el camino y el nombre de archivo destino para los resultados del análisis. Se pulsa Aceptar y aparece la ventana de progreso Analizando la seguridad del sistema.

El análisis genera dos tipos de resultados. Primero, el éxito o fallo de cada componente analizado se escribe en un registro de errores. Segundo, las áreas de seguridad se listan bajo Configuración y análisis de seguridad en el árbol de consola. Cada área da los resultados del análisis en una comparación atributo a atributo. Cuando se completa el análisis, se puede ver el registro de errores pulsando el botón derecho sobre Configuración y análisis de seguridad y eligiendo Ver el archivo de registro. El registro aparece en el panel derecho con un sello de fecha y hora; éste informa sobre la completitud de cada área analizada. El siguiente código pertenece a un pequeño extracto de un típico archivo de registro:

Ver el archivo de registro
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
04/23/2000 09:27:23
- - - - Se ha inicializado correctamente el motor de análisis. - - -
- - - - Leyendo información de configuración...

- - - - Analizar la directiva de seguridad...
Analizar la información sobre contraseñas.
Analizar la información sobre bloqueo de cuentas.
Analizar otra configuración de directiva.

Se ha completado correctamente el análisis de acceso al sistema.
Analizar la configuración del registro.
Analizar la configuración de la auditoría de sucesos.

Se ha completado correctamente el análisis de auditoría y el registro.

Se ha completado correctamente el análisis de los valores del Registro.

Este archivo de registro no muestra discrepancias entre atributos individuales sino errores de integridad en el análisis. Para visualizar los verdaderos resultados del análisis, hay que expandir Configuración y análisis de seguridad en el árbol de la consola. Aparecen las siete áreas familiares de la seguridad del sistema: Directivas de cuentas, Directivas locales, Registro de sucesos, Grupos restringidos, Servicios de sistema, Registro y Sistema de archivos.

Para visualizar los resultados de análisis de cualquiera de estas áreas, hay que expandir el área y seleccionar una subcategoría. Grupos restringidos y Servicios de sistema no son jerárquicas y sólo hace falta seleccionarlas.

En el panel derecho de la consola, cada atributo va seguido por dos opciones: la plantilla guardada (base de datos) y la configuración de sistema (equipo) analizada. El icono para el atributo en el que la opción está acorde contiene una marca verde. Si la base de datos y la configuración del equipo difieren, una «X» roja puntúa el icono del atributo. Los atributos no configurados en la plantilla no se analizan y no aparecen con marca en el icono.

Configuración de la seguridad

Después de haber analizado satisfactoriamente el sistema y encontrado discrepancias entre la base de datos y la configuración del equipo, hay unas pocas alternativas. Dependiendo de la evaluación de los resultados, se puede decidir que la plantilla actual de seguridad no es la apropiada para este equipo. Pudiera hacer falta una plantilla más estricta o relajada o puede que aparezcan como no configurados atributos vitales y áreas de seguridad adicionales que es necesario plantear. La solución es importar una plantilla que se ajuste mejor a los requisitos específicos del sistema. Las plantillas se pueden añadir en orden ascendente de importancia. Las nuevas plantillas que se mezclan en la base de datos sobrescriben todos los conflictos de atributos o permisos.

Por otra parte, puede decidirse que la plantilla correcta era la que se usó, pero que la configuración del equipo en realidad no es la apropiada. En este caso, habrá que cambiar la plantilla de la base de datos para que los posteriores análisis no muestren estas discrepancias. Para hacerlo, se pulsa el botón derecho sobre el atributo en cuestión y se elige Seguridad para abrir un cuadro de diálogo en el que se puede cambiar la plantilla de la base de datos. Se puede cambiar la configuración de la plantilla para que se ajuste a la configuración del equipo o se puede quitar el cuadro de verificación Definir esta directiva en la base de datos para especificar que la configuración no debería volver a considerarse durante el análisis.

Finalmente, puede determinarse que la plantilla de seguridad es la correcta y que el sistema está violando las directivas y necesidades de seguridad a seguir. Una vez liberados todos los errores de la plantilla y manteniendo sólo las discrepancias válidas, habrá que configurar el sistema. Para hacerlo, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Configurar el equipo ahora.

Cómo activar la autentificación

Junto con muchas otras tareas, el controlador de dominio autentica a los usuarios de la red usando las directivas de seguridad y la información de autenticación de usuario almacenada en el servicio de directorio Active Directory. Durante un inicio de sesión interactivo, un usuario inicia una sesión en una cuenta de dominio con una contraseña o una tarjeta inteligente. El controlador de dominio confirma la identidad del usuario con la información almacenada en Active Directory. Una vez que ha tenido lugar el inicio de sesión interactivo en el controlador de dominio, se realiza una autenticación de red del usuario sin ningún esfuerzo por parte del usuario. El usuario puede acceder a los recursos de la red sin tener que volver a introducir una contraseña o el número de identificación personal (PIN) de la tarjeta inteligente. Un inicio de sesión interactivo también puede autenticar al usuario en un equipo local en lugar de en un controlador de dominio. Con un inicio de sesión interactivo local, la autenticación de red requiere que se vuelva a introducir una contraseña cada vez que el usuario necesite acceder a un recurso.

El protocolo de autenticación Kerberos versión 5 se usa para inicios de sesión interactivos y también es el protocolo predeterminado para la autenticación de red. Cada controlador de dominio incluye Kerberos versión 5. Tanto el centro de distribución de claves como el servicio de concesión de tickets son componentes de Kerberos y se convierten en partes fundamentales del controlador de dominio. El centro de distribución de claves se ejecuta como parte de Active Directory, el cual guarda las contraseñas y la información de cuentas de usuario para la autenticación. Un cliente Kerberos está instalado en todas las estaciones de trabajo y servidores Windows 2000.

Los clientes de acceso remoto, además de iniciar sesiones en la red, tienen que autenticarse ante el servidor de acceso remoto antes de que puedan acceder a la red. Las tarjetas inteligentes y los certificados, así como los protocolos basados en contraseñas, se usan para el acceso telefónico a redes.

Cómo obtener tarjetas inteligentes y certificados

Las tarjetas inteligentes combinan la seguridad del cifrado de clave pública con la portabilidad de las contraseñas. Antes de poder usar una tarjeta inteligente para la autenticación, es necesario programar un certificado de inicio de sesión en la tarjeta. Esto lo hace el administrador, quien solicita un certificado de tarjeta inteligente a la Autoridad de certificados (CA) mediante una estación de inscripción de comportamiento. 

Instalación de un agente de inscripción

Para solicitar certificados a tarjeta inteligente a una CA, el administrador necesita un certificado especial para firmar la solicitud. Este certificado, conocido como certificado de agente de inscripción, tiene que solicitarse con una sesión iniciada como administrador del dominio desde la máquina dedicada que se utilizará para programar las tarjetas inteligentes. El certificado de agente de inscripción es un certificado software y una clave privada que se pueden solicitar mediante el complemento Certificados de la MMC. Hay que asegurarse de usar la plantilla de certificado de agente de inscripción, ya que es lo que autoriza al administrador a realizar solicitudes de certificado de tarjeta inteligente.

Es posible, aunque muy poco recomendable, permitir que los usuarios programen sus propias tarjetas inteligentes, dándoles derechos de acceso a la plantilla de certificado de agente de inscripción. La programación y distribución de forma administrativa de las tarjetas inteligentes proporciona una mayor responsabilidad.

Programación de tarjetas inteligentes

Una vez que el administrador ha instalado el lector de tarjetas inteligentes en el sistema y que ha obtenido el certificado de agente de inscripción, el sistema está preparado para programar tarjetas inteligentes. La instalación de tarjetas inteligentes añade un proveedor de servicio de cifrado (CSP) al sistema que se selecciona durante el proceso de programación de la tarjeta inteligente.

El proceso de solicitud basado en Web primero genera un par de claves pública/privada en la tarjeta inteligente. Usando la clave pública y el nombre de usuario, la autoridad de certificado expide y firma un certificado. Finalmente, el certificado se añade a la tarjeta inteligente. Para programar una tarjeta inteligente, hay que seguir estos pasos:

  1. Con el administrador de dominio como usuario actual, se abre Microsoft Internet Explorer y se especifica el URL del servidor de certificado. El URL será el nombre del servidor seguido por \Certsrv.
  2. Se selecciona Solicitar un certificado y después Siguiente.
  3. Se selecciona Solicitud avanzada y después Siguiente.
  4. Se elige la opción Solicitar un certificado para una tarjeta inteligente sobre el comportamiento de otro usuario que usa la estación de inscripción de tarjetas inteligentes. Se pulsa Siguiente.
  5. Aparece la página Web Estación de inscripción de tarjetas inteligentes. Se fijan los campos con los valores siguientes
  6. Se pulsa Enviar solicitud de certificado.
  7. Una vez rellenada la solicitud por la autoridad de certificado, se pide que se inserte la tarjeta y que se introduzca el PIN de la tarjeta inteligente. Esto carga el certificado en la tarjeta.

Los certificados de tarjeta inteligente para los usuarios que requieren distintas funcionalidades (como el cifrado) se pueden programar de forma similar especificando una plantilla de certificado distinta.

Cómo obtener certificados basados en software

La autenticación también se puede llevar a cabo con las claves privadas y los certificados que residen en el equipo local.

Inicio de sesión con tarjetas inteligentes

Una vez instalado el lector de tarjetas inteligentes en el sistema destino y que el usuario haya obtenido una tarjeta inteligente correctamente programada por el administrador, el usuario puede usar la tarjeta inteligente para iniciar sesiones en el equipo. Para hacerlo, el usuario sólo tiene que insertar la tarjeta inteligente en el lector e introducir un PIN cuando se le pida. Este proceso tiene lugar pulsando CTRL+ALT+SUPR e introduciendo un nombre de usuario y contraseña.

Para impedir que ladrones accedan al sistema usando una tarjeta robada, el sistema cuenta los intentos incorrectos de inicio de sesión. Después de tres fallos consecutivos, la tarjeta se bloquea para el sistema.

Cómo activar certificados remotos o autenticación de tarjeta inteligente

Como ya mencionamos anteriormente, el certificado de clave pública del usuario usado para la autenticación se puede programar en una tarjeta inteligente o se puede guardar localmente en el equipo. Para activar la autenticación de acceso telefónico en cada escenario, hay que seguir los pasos de las dos secciones siguientes.

Autenticación con certificado de tarjeta inteligente
  1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces sobre Conexiones de red y de acceso telefónico.
  2. Se pulsa dos veces sobre la conexión de red o de acceso telefónico para la que se desea activar la autenticación y se elige Propiedades. En la ventana Propiedades de la conexión de acceso telefónico, se pulsa sobre la ficha Seguridad.
  3. Hay que asegurarse de que está seleccionado Típica y de que el cuadro de lista Validar mi identidad como sigue tiene asignada Usar tarjeta inteligente. Se puede seleccionar el cuadro de verificación Requerir cifrado de datos para seguridad adicional.
Autenticación con certificado guardados en la computadora local
  1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces en Conexiones de red y de acceso telefónico.
  2. Se pulsa el botón derecho sobre la conexión de red o de acceso telefónico para la que se desea activar la autenticación y se pulsa Propiedades. En la ventana Propiedades de la conexión de acceso telefónico a redes, se pulsa sobre la ficha Seguridad.
  3. Se selecciona la opción Avanzada en la ventana Propiedades de la conexión de acceso telefónico y se pulsa el botón Configuración. En el cuadro de diálogo Propiedades de seguridad avanzada hay que seleccionar Usar el protocolo de autenticación extensible (EAP) y hay que asegurarse de que el cuadro de lista muestra Tarjeta inteligente u otro certificado (cifrado habilitado).
  4. Se pulsa el botón Propiedades para mostrar la ventana Propiedades de tarjeta inteligente u otros certificados. Para configurar la autenticación de certificados residentes en el almacén local de certificados, hay que seleccionar Usar un certificado en este equipo.
    El cuadro de diálogo Configuración de seguridad avanzada también se utiliza para fijar proto colos de autenticación alternativos para la conexión. Estos protocolos, listados bajo Permitir estos pro tocolos, cubren desde el Contraseña no cifrada (PAP) a la versión 2 del Protocolo de autenticación por desafío mutuo (MS-CHAP v2). Se pueden seleccionar uno o más de estos protocolos permitidos.
  5. En esta ventana aparecen dos opciones específicas a los certificados. Primero se pueden restringir las conexiones a determinados servidores. Para hacer esto, se selecciona la opción Validar un certificado de servidor y se activa uno de los métodos de validación:

    La segunda opción, Use un nombre de usuario distinto para la conexión, impide que el proceso de autenticación use el sujeto del certificado como nombre de usuario. Esto permite especificar un nombre alternativo.

  6. Se pulsa Aceptar para cerrar la ventana.

Tanto si se usa autenticación basada en tarjetas inteligentes, como autenticación basada en contraseñas o una mezcla de las dos, hay que asegurarse de que los clientes de acceso remoto y los servidores de acceso remoto admiten al menos un método común de autenticación.

Cómo configurar la autenticación para un servidor de acceso remoto

Además de configurar el cliente de acceso remoto, también será necesario configurar el servidor de acceso remoto para que permita inicio de sesión basado en tarjeta inteligente o basado en certificados. Para hacerlo hay que seguir estos pasos:

  1. Se elige Enrutamiento y acceso remoto en la carpeta Herramientas administrativas del menú Programas.
  2. Se pulsa el botón derecho sobre el nombre del servidor de acceso remoto y se elige Propiedades. En la ficha Seguridad, se pulsa Métodos de autenticación, asegurándose de que está seleccionado el cuadro de verificación Protocolo de autenticación extensible (EAP) y después, se pulsa dos veces Aceptar.
  3. De nuevo en el cuadro de diálogo Enrutamiento y acceso remoto, se expande el servidor de acceso remoto y se pulsa sobre Directivas de acceso remoto. Se pulsa con el botón derecho sobre la directiva que se usará cuando los clientes de tarjeta inteligente inicien la sesión y se elige Propiedades. Se pulsa el botón Modificar perfil y en el cuadro de diálogo Modificar perfil de marcado, se pulsa sobre la ficha Autenticación. Se selecciona el cuadro de verificación Protocolo de autenticación extensible. Esto también activará el tipo EAP; hay que asegurarse de que está seleccionado Tarjeta inteligente u otro certificado. Se pulsa el botón Configurar y se selecciona el certificado de máquina para usar en la autenticación.

Si al pulsar el botón Configurar aparece un error diciendo que no se puede encontrar el certificado, es necesario instalar una máquina de certificados. Esto se puede hacer asegurando que la CA de la empresa está configurada para inscripción automática, lo que localiza automáticamente los certificados de equipo para los miembros del dominio. Una vez configurado, se ejecuta secedit /refreshpolicy máquina de_directivas desde la línea de órdenes de Windows 2000 en el servidor de acceso remoto, para crear un certificado de equipo.

Implantación del control de acceso

En el mundo real, la autorización está dictada por las directivas. Cuando viene del uso de recursos, lectura de documentos o habitaciones de acceso, personas distintas tienen distintos derechos. La implantación de estas directivas pueden ser cajas fuertes o placas de acceso. En el entorno de Windows 2000, la autorización también se basa en directivas. Distintas personas o grupos de personas tienen distintos derechos. Las directivas aquí se implantan mediante control de acceso. Bastante sencillo, el control de acceso determina qué usuarios pueden acceder a qué recursos. Los recursos en Windows 2000 son:

Cada recurso posee un descriptor de seguridad asociado a él que define el propietario del objeto, los permisos de acceso del objeto y la información de auditoría del objeto.

Para los objetos de Active Directory, la responsabilidad administrativa se puede delegar en el grupo Administradores. La delegación permite que los permisos de objeto se administren como una unidad organizativa del dominio, sin tener que necesitar varios administradores para el dominio completo.

Cómo establecer la propiedad

El propietario de un objeto controla quién puede acceder al objeto asignando los permisos de objeto. Por defecto, el propietario del objeto es el administrador. Normalmente, los administradores crean la mayoría de los objetos de red y son los responsables de la asignación de los permisos de objeto.

Uno de los permisos estándar asociado a todos los objetos es el permiso Toma de posesión. Concediendo este permiso, el propietario permite que un usuario (o un miembro de un grupo) asuma la propiedad del objeto. La toma de posesión se puede realizar mediante la herramienta que administra el tipo específico de objeto. Por ejemplo, las impresoras se administran mediante la interfaz encontrada en Configuración en el menú Inicio. La ficha Seguridad de la ventana Propiedades de la impresora muestra los grupos y los usuarios que tienen permisos asignados. Pulsando el botón Avanzada se abre el cuadro de diálogo Configuración de control de acceso. Con los permisos correctos, el propietario puede modificar la ficha Propietario. Los administradores pueden asumir el control de todo objeto que esté bajo jurisdicción administrativa, independientemente de que tengan asignado el permiso Tomar posesión para ese objeto.

Asignación de permisos

Los permisos de objeto se dividen en acciones específicas que se pueden realizar sobre el objeto en particular. Para las claves del registro, incluyen la posibilidad de crear subclaves y valores. Para objetos de Active Directory, los permisos incluyen la posibilidad de crear y eliminar hijos.

Los permisos se fijan para los usuarios o grupos específicos que realizan las acciones sobre los objetos particulares. Para una determinada carpeta, un grupo puede tener permisos para crear y eliminar archivos dentro de la carpeta. Otro grupo puede tener permitido sólo listar los contenidos de la carpeta.

Para mostrar los permisos de un usuario o grupo, hay que elegir la entrada en el cuadro de diálogo Configuración de control de acceso y pulsar el botón Ver o modificar. El propietario del objeto o el usuario o grupo con permiso Cambiar permisos, puede usar este cuadro de diálogo para modificar los permisos de usuario o grupo. Para agregar usuarios o grupos a la lista de control de acceso, hay que pulsar el botón Agregar y seleccionar el usuario o grupo a agregar. Recuerde que hay que asignar los permisos apropiados.

La carga de administración de un dominio de derechos y permisos de usuario puede rebajarse usando una pocas líneas guía. Primero, delegar administración en las autoridades locales siempre que tenga sentido la administración más cercana de usuarios y servicios. Segundo, asignar permisos en base a grupos, mejor que en base a usuarios. Tercero, asignar permisos a puntos de nodo común de Active Directory y permitir que se propague hacia abajo en el árbol a los nodos inferiores.

Administración de certificados

Los certificados de clave pública sirven como medio de seguridad para muchos de los protocolos y mecanismos de Windows 2000. Autenticación de red, IPSec, Sistema de archivos cifrado (EFS), Capa de conectores seguros (SSL) y Extensión multipropósito de correo de Internet seguro (S/MIME), todos usan certificados. MMC proporciona el complemento Certificados con el único propósito de administrar certificados de usuario, equipo y servicio.

Para agregar el complemento Certificados a la MMC, hay que ejecutar mmc.exe desde el menú Inicio. Desde el menú Consola, se selecciona Agregar o quitar complemento. Se pulsa el botón Agregar y se selecciona Certificados en la lista de complementos proporcionada. Se dará la opción de elegir sobre qué cuenta administrar los certificados: Mi cuenta de usuario, Cuenta de servicio o Cuenta de equipo. Para las cuentas de servicio y equipo, se puede seleccionar a qué equipo administrará el complemento. Para la cuenta de servicio, también será necesario especificar qué servicio administrar.

Los usuarios sólo pueden administrar sus certificados personales. Los certificados para equipos y servicios los administran los administradores.

El almacén de certificados está formado por cinco categorías: Personal, Entidad emisora raíz de confianza, Confianza de empresa, Entidades emisoras de certificados intermedias y Objeto de usuario de Active Directory. Los certificados de las CA Raíz de confianza e Intermedias están cargados previamente. Para visualizar los detalles de cualquier certificado, hay que pulsar dos veces sobre el certificado.

Cómo exportar certificados y claves públicas

La orden Exportar del complemento Certificados en realidad proporciona dos funciones distintas. Primero, permite que se exporte un certificado o cadena de certificados con el propósito de compartirlo con usuarios o equipos que no tienen conciencia del directorio de certificados. Segundo, permite exportar un certificado o cadena de certificados junto con la clave pública asociada para su uso de cifrado en otra máquina.

Nota: De forma predeterminada, sólo las claves privadas para agentes de recuperación EFS básicos y EFS se marcan como disponibles para exportar. Esto permite que todas las demás claves privadas sean expuestas innecesariamente. Los certificados y claves que se mencionan a propósito para ser exportadas pueden marcarse durante la solicitud de certificado.

Se puede exportar cualquier tipo de certificado, incluyendo aquellos de las CA. Naturalmente, sólo los certificados con clave pública disponible (es decir, los certificados personales) que estén marcados para exportarse, podrán ser exportados. Para exportar un certificado, hay que seguir estos pasos:

  1. Se busca el certificado en el complemento Certificados y se pulsa el botón derecho sobre la entrada.
  2. Se señala Todas las tareas y se elige Exportar. Aparecerá la bienvenida al Asistente para exportación de certificados.
  3. Se realiza el camino del asistente, eligiendo si se exporta la clave privada (si está disponible).
  4. Se elige la forma para guardar el certificado. Codificado binario DER y Codificado base-64 son los formatos de certificado único. Con el formato PKCS #7, se puede incluir una cadena completa de certificados. Las combinaciones de clave privada se guardan en un archivo PKCS #12 y están protegidos con contraseña; será necesario especificar una contraseña para el archivo.
  5. Se introduce el camino y nombre de archivo destino para el certificado exportado.

Cómo importar certificados

Los usuarios pueden importar certificados a cualquiera de las categorías de certificados que se encuentran en el almacén de certificados. En el complemento Certificados, hay que pulsar el botón derecho sobre la categoría de certificados en la que se desea importar el certificado, señalar Todas las tareas y elegir Importar. Se introduce el nombre de archivo del certificado, el cual debe tener una extensión estándar de formato de certificado (.PFX, .P12, CER, CRT, P713, STL, SPC, CRL o .SST). Para los archivos PKCS #12, los cuales contienen claves privadas y certificados, será necesario introducir la contraseña usada para proteger el archivo.

Los certificados raíz son la base de la confianza para la verificación de certificados. Hay que ser extremadamente cuidadoso cuando se importe un certificado raíz. Hay que asegurarse de que el certificado se recibió de una fuente de confianza y que el sello del certificado coincide con la publicación de confianza.

Cómo solicitar certificados

Antes de usar cualquier aplicación que dependa de la infraestructura de clave pública, hará falta un certificado. Los servidores de certificados que se configuren usando CA pueden solicitar certificado usando el complemento Certificados.

Usando la versión 3 o posterior de Internet Explorer, se pueden solicitar certificados de Servicios de certificado de Microsoft, ejecutándose bien en modo Independiente o bien en modo Enterprise, mediante una interfaz Web.

El proceso de solicitud de certificados implica generar un par de claves que está formado por una clave pública y una clave privada. La clave privada se almacena y protege en el equipo local. La clave pública, junto con la información de identificación del usuario, se envía a la CA como solicitud de certificado. Si la CA determina que el usuario, dispositivo o servicio está autorizado para el certificado que solicita, la CA genera y firma el certificado. El certificado se puede recuperar después con el complemento Certificados y situarlo en el almacén local de certificados.

Para solicitar un certificado, hay que pulsar el botón derecho sobre la carpeta Certificados del almacén de certificados Personal. Se apunta Todas las tareas y se elige Solicitar un nuevo certificado y se siguen las instrucciones del Asistente para solicitar certificado. Será necesario escoger un tipo de certificado (propósito para el que se usará el certificado), un nombre amigable para el certificado y la CA que se usará para el certificado, si hay más de una disponibles. Para permitir la descarga del certificado una vez lo emita la CA, el Asistente para solicitar certificado proporciona la opción Instalar certificado.

Las opciones avanzadas del Asistente para solicitar certificado permitirán que se exporten claves privadas. Hay que ser extremadamente juicioso cuando se seleccione esta opción. Las claves privadas exportadas pueden permitir a otros usuarios leer datos cifrados.

Cómo habilitar certificados para propósitos específicos

Los certificados se pueden emitir para determinados tipos de uso. Estos usos se programan directamente en el certificado, usando un campo de extensión del certificado. Por ejemplo, la extensión de certificado Uso clave dice que el certificado se puede usar para la firma de datos, firma de certificados, no incumplimiento u otros usos. La extensión Uso de clave ampliada extiende esta propiedad a otros usos, como el sello temporal o la recuperación de archivos.

Los certificados también se pueden habilitar para propósitos específicos en función de la cuenta. Es decir, un usuario o un administrador puede decidir qué certificados permitir o no permitir para determinados usos. Mientras que el verdadero certificado no se modifica, los atributos en el almacén se pueden configurar. Por ejemplo, un cierto certificado puede no tener restricciones en su uso interno de clave. Sin embargo, un usuario puede que desee habilitar ese certificado sólo para la firma de código y para el correo electrónico.

Para asignar propósitos a certificados, hay que pulsar el botón derecho sobre el certificado y elegir Propiedades. Las tres opciones para los propósitos de certificado son Habilitar todos los propósitos para este certificado, Deshabilitar todos los propósitos para este certificado y Sólo habilitar los siguientes propósitos. Se elige la tercera opción y se seleccionan los propósitos para los que se desea usar el certificado. Recuérdese que sólo aparecerán en la lista los propósitos permitidos por el verdadero certificado o por el camino del certificado.

Directivas de seguridad del protocolo de Internet

IPSec proporciona seguridad extremo a extremo en las comunicaciones de red -en forma de confidencialidad, integridad y autenticación- usando la tecnología de clave pública para proteger los paquetes IP uno a uno.

Para agregar el complemento Administración de las directivas de seguridad de IP a la MMC, hay que seleccionar Agregar o quitar complementos en el menú Consola. Se pulsa Agregar y se selecciona Administración de las directivas de seguridad de IP en la lista de complementos disponibles. El cuadro de diálogo que aparece permite seleccionar el rango de administración: equipo local, dominio del equipo local u otro equipo.

Definición de directivas de IPSec

Las directivas de IP se pasan del agente de directivas al conductor de IPSec y definen los procedimientos correctos para todas las facetas del protocolo, desde cuándo y cómo asegurar los datos a qué métodos usar. Las directivas pueden llegar a ser un poco complicadas. Antes de saltar a la configuración real, veamos algo de terminología mediante la definición de los componentes de una directiva de IPSec.

Directivas predefinidas de IPSec

Hay disponibles tres directivas básicas predefinidas para su uso inmediato o como punto de partida para directivas de IPSec más complicadas.

La directiva Cliente (sólo responder) debe usarse en equipos que no suelen enviar datos seguros. Esta directiva no iniciará las comunicaciones seguras. Si el servidor solicita la seguridad, el cliente responderá, asegurando sólo el protocolo de respuesta y el tráfico de puerto con ese servidor.

La directiva Servidor (pedir seguridad) puede usarse en cualquier equipo -cliente o servidorque necesite iniciar las comunicaciones seguras. A diferencia de la directiva Cliente, la directiva Servidor intenta proteger todas las transmisiones salientes. Las transmisiones no seguras entrantes se aceptarán, pero no se resolverán hasta que IPSec solicite la seguridad del emisor para todas las transmisiones posteriores. Siendo la directiva más estricta de las predefinidas, la directiva Servidor seguro (requiere seguridad) ni enviará ni aceptará transmisiones no seguras. Los clientes que intenten comunicarse con un servidor seguro tienen que usar al menos la directiva Servidor predefinida o equivalente.

Esta directiva tiene tres reglas, todas activadas, según indican las marcas de verificación. La primera regla tiene un filtro IP de Todo el tráfico IP, una acción de filtrado Requiere seguridad, un método de autenticación Kerberos, una configuración de túnel con Ninguna y un tipo de conexión Todas. Se pueden agregar o eliminar reglas a la lista con los botones correspondientes. Pulsando el botón Modificar se abre el cuadro de diálogo Propiedades de Modificar regla, con cinco fichas, una para la configuración de cada campo de la regla.

De nuevo en la ventana Propiedades de Servidor seguro (requiere seguridad), se pueden visualizar las propiedades generales de la directiva -incluyendo una descripción de la directiva y los intervalos en minutos en los que se comprobarán cambios en la misma- pulsando sobre la ficha General.

Pulsando sobre el botón Avanzadas de la ficha General aparece el cuadro de diálogo Configuración del intercambio de claves. Este cuadro de diálogo permite especificar la vida de las claves en minutos o sesiones. Usar un tiempo de vida de clave corto hace las transmisiones más seguras incrementando el número de claves que los piratas informáticos tienen que romper, pero añade sobrecarga al tiempo de transmisión. Seleccionar el cuadro de verificación Clave maestra Confidencialidad directa perfecta, asegura que las claves existentes no se pueden reutilizar para generar claves adicionales. Esta opción debe usarse con cuidado, ya que añade una sobrecarga significativa. Pulsar el botón Métodos permite seleccionar los métodos de seguridad y el orden de preferencia. Un método de seguridad incluye cifrado y una algoritmo de integridad, junto con un grupo de Diffie-Hellman, el cual afecta a la generación de claves.

Cómo crear una directiva de IPSec

Además de usar las directivas predefinidas de IPSec como plantillas, los administradores pueden generar directivas partiendo de cero con el elemento Directivas de seguridad IP en la MMC. Una directiva personal puede ser restrictiva o permisiva, simple o potente, dependiendo de la función de la máquina, el entorno en el que opera y los tipos de sistemas con los que se comunica.

Para agregar una directiva de IPSec, hay que pulsar el botón derecho sobre el elemento Directivas de seguridad IP en la MMC y seleccionar Crear directiva de seguridad IR Se presentará el Asistente para directivas de seguridad IR Los siguientes pasos guían a través de este asistente:

  1. Se pulsa Siguiente en la pantalla de bienvenida.
  2. En la pantalla siguiente, se introduce un nombre de directiva significativo, una descripción y se pulsa Siguiente.
  3. Se selecciona o se quita la selección del cuadro de verificación Activar la regla de respuesta predeterminada, basándose en si se permite la negociación con equipos que soliciten IPSec. Desmarcar este cuadro de verificación añadirá una regla de respuesta desactivada a la directiva. Se pulsa Siguiente.
  4. Si se seleccionó el cuadro de verificación Activar la regla de respuesta predeterminada en el paso anterior. Kerberos versión 5 es el protocolo por defecto de Windows 2000 pero sólo está permitido en máquinas que sean miembros de un dominio. La segunda opción, Use un certificado de esta autoridad de certificados (CA), asciende la autenticación de clave pública. Será necesario elegir una autoridad de certificado que sea apropiada para el certificado a usar. La tercera y última opción permite escribir una clave predefinida para usarla en el intercambio. Esta cadena tiene que conocerla también el equipo demandante para que el intercambio tenga éxito. Se pulsa Siguiente cuando se haya realizado la elección.
  5. Se selecciona el cuadro de verificación Modificar propiedades si se desea que aparezca la ventana Propiedades de directiva. También se puede hacer que aparezca esta ventana pulsando el botón derecho sobre una directiva que esté en la lista y eligiendo Propiedades.
Cómo modificar una directiva de IPSec

Una directiva recién creada contendrá sólo una regla de respuesta por defecto, la cual estará activada --o no- dependiendo de las elecciones realizadas durante el asistente de creación de la directiva.

La funcionalidad se añade a una directiva de IPSec creando reglas que gobiernen cuándo y cómo se debe proporcionar la seguridad. Cada combinación de una lista de filtros, acción de filtrado, método de autenticación, configuración de túnel y tipo de conexión es una regla por separado.

Las reglas se pueden añadir manualmente o con el Asistente para agregar; ambas consiguen la misma cosa, pero el asistente es un poco más amigable. El Asistente para agregar se desactiva desmarcando el cuadro de verificación Usar Asistente para agregar en la esquina inferior derecha de la ventana Propiedades de la directiva. Haciendo esto se permitirá la exploración de cada faceta de la regla en su cuadro de diálogo nativo. La edición de reglas una vez creadas se realiza también mediante esta interfaz.

Con el Asistente para agregar desactivado, se pulsa el botón Agregar. Se presenta el cuadro de diálogo Propiedades de nueva regla, el cual, exceptuando el título, es el mismo que el cuadro de diálogo Propiedades de Modificar regla. El cuadro de diálogo tiene cinco fichas, una para cada elemento de la regla. Veremos cada una de estas fichas por turnos.

Lista de filtros IP: La lista de filtros IP está formada por uno o más filtros que especifican sobre qué tráfico de red actuar. Las listas Todo el tráfico IP y Todo el tráfico ICMP se añaden por defecto, pero no se activan. En la figura se ha añadido una tercera lista de filtros y se ha activado pulsando el botón de opción.

Pulsando el botón Agregar se abre el cuadro de diálogo Lista de filtros IP, el cual permite especificar filtros a incluir en la lista personalizada de filtros. Aquí, si se pulsa el botón Agregar con la opción activada Usar Asistente para agregar, se iniciará el Asistente para filtros IP, el cual permite construir un nuevo filtro basándose en las siguientes categorías:

Acción de filtrado: La acción de filtrado determina cómo responde el conductor de IPSec a los equipos representados en las entradas de la lista de filtros y qué métodos de seguridad usar. Se puede elegir una de las acciones proporcionadas seleccionándola o se pueden añadir acciones propias.

La acción Requiere seguridad ocasiona que el conductor intente establecer comunicaciones seguras con los clientes, pero si no se logra, se comunicará sin seguridad. La acción Requiere seguridad necesita que los clientes establezcan métodos de confianza y de seguridad. La acción Permitir habilita que se pasen paquetes IP no seguros.

Agregar una acción implica elegir un nombre de filtro, una descripción y un comportamiento general que permite las comunicaciones, las comunicaciones de bloques o la seguridad de negociación. Si se elige la seguridad de negociación, será necesario configurar otras dos áreas. Bajo Comunicación con equipos que no son compatibles con IPSec, hay que elegir entre no comunicarse con los equipos que no admitan IPSec o permitir las comunicaciones no seguras.

También se puede seleccionar un Método de seguridad: alta (cifrada, autenticada y no modificada), media (autenticada y no modificada) o personalizada. Para el método de seguridad personalizada, hay que elegir los algoritmos de cifrado e integridad y especificar configuraciones de clave de sesión, como la frecuencia de generación de nuevas claves.

Métodos de autenticación: El método de autenticación especifica cómo se establecerá la relación de confianza con el equipo remoto. Se pueden especificar uno o más métodos a usar cuando se soliciten comunicaciones seguras o cuando sea solicitada una comunicación segura. Hay tres métodos permitidos de autenticación, listados en orden de preferencia. La prioridad de un método se cambia con los botones Subir y Bajar. El botón Agregar proporciona tres opciones para el nuevo método. Estas opciones son:

Configuración del túnel: La ficha Configuración del túnel permite especificar un punto final para el túnel si se elige llamar a IPSec con túnel. El punto final se puede especificar como nombre de DNS si se está ejecutando el servicio de DNS en la red o se puede introducir en forma de dirección IP.

Tipo de conexión: Finalmente, la ficha Tipo de conexión permite refinar aún más la regla basándose en el tipo de conexión. La opción Todas las conexiones de red está asignada como valor por defecto; en su lugar se puede seleccionar bien Red de área local, bien Acceso remoto, para crear una regla más estricta.

Cómo asignar directivas de IPSec

Una vez establecida la directiva de IPSec en el elemento Directivas de seguridad IP de MMC, se puede aplicar a un único equipo o a un conjunto de equipos gobemados por un objeto Directiva de grupo. Para asignar una directiva de IPSec a una máquina local, hay que pulsar el botón derecho sobre el nombre de la directiva y elegir Asignar. El icono de la directiva activa incluirá un punto verde. Si ya se ha asignado otra directiva, esta acción devolverá a cero esa directiva para este equipo. Las directivas de IPSec se asignan a grupos seleccionando el objeto destino Directiva de grupo en la MMC. Bajo este objeto, hay que expandir Configuración del equipo, Configuración de Windows y después Configuración de seguridad. Se selecciona Directivas de seguridad IP, se pulsa el botón derecho sobre la directiva deseada y se elige Asignar.

Seguridad de los datos locales

El cifrado de los archivos almacenados en Windows 2000 se lleva a cabo mediante el uso del Sistema de archivos de cifrado (EFS). Usando el cifrado de clave pública, EFS permite que los archivos y directorios almacenados en particiones NTFS se cifren y descifren de forma transparente. EFS accede a las claves pública y privada del usuario para realizar el propio cifrado. Por lo tanto, los archivos cifrados con EFS no se pueden compartir con (es decir, cifrar a) otros usuarios. Hay que usar otro método de cifrado, como S/MIME, para asegurar los archivos compartidos con otros usuarios. Además, si se guardan los archivos cifrados con EFS en otra máquina, hay que importar la información de clave del usuario a esa máquina para que se pueda dar el descifrado.

Los archivos se cifran automáticamente para un tercero, llamado agente de recuperación. En el caso de pérdida de la clave, el agente de recuperación puede descifrar los archivos. EFS cifra el grueso del archivo con una única clave simétrica. La clave simétrica se cifra después dos veces: una con la clave pública EFS del usuario para permitir el descifrado y otra con la clave pública del agente de recuperación para permitir la recuperación de los datos.

Cifrado de archivos y carpetas

Cifrar archivos con EFS es tan sencillo como asignar cualquier otro atributo de archivo, como Oculto o Sólo lectura. Para cifrar un archivo en el Explorador de Windows, hay que seguir estos pasos:

  1. Se pulsa el botón derecho sobre el archivo y se elige Propiedades.
  2. En la ficha General, se pulsa Avanzadas.
  3. Se selecciona el cuadro de verificación Cifrar el contenido para asegurar los datos y después se pulsa dos veces Aceptar.
  4. En el cuadro de diálogo que aparece, hay que decidir si se desea cifrar la carpeta padre. Si se cifra esta carpeta, los archivos que se añadan posteriormente a esta carpeta y sus subcarpetas se cifrarán.

Recuerde que los archivos de sistema, los archivos comprimidos y los archivos de otras particiones de NTFS no pueden ser cifrados usando EFS. Además, una carpeta de raíz de unidad tampoco puede ser cifrada con EFS.

Al igual que los archivos normales, los archivos cifrados se pueden eliminar y copiar por medio de las órdenes Cortar, Copiar y Pegar del menú Edición. Los archivos movidos o copiados usando arrastrar y soltar no necesariamente mantendrán su cifrado. También se pueden renombrar los archivos cifrados como con cualquier otro archivo.

Los archivos y directorios cifrados no son inmunes a la eliminación. Cualquier usuario con los permisos adecuados puede eliminar un archivo cifrado.

Para cifrar una carpeta, hay que pulsar el botón derecho sobre la carpeta y elegir Propiedades. En la ficha general de la ventana Propiedades, se pulsa Avanzadas y se selecciona Cifrar contenidos para asegurar los datos. Se pulsa Aceptar dos veces y se preguntará si se desea que todos los archivos y subcarpetas de la carpeta destino se cifren también. Es importante mencionar que la propia carpeta no se cifra, sólo los archivos dentro de la carpeta. La carpeta sólo se marca como que tiene archivos cifrados en ella.

Para asegurar la seguridad de los archivos temporales que hayan creado las aplicaciones, hay que marcar la carpeta de sistema Temp. para cifrado.

Descifrado de archivos y carpetas

EFS permite que el usuario invierta el proceso de cifrado. Sin embargo, describirlo como una mera operación de descifrado es un poco engañoso. En realidad, eliminar el cifrado de datos de un archivo ocasiona que se descifre el archivo, pero cualquier archivo cifrado también se descifra cada vez que un usuario o aplicación accede a él. De lo que estamos hablando es de un descifrado permanente para que se puedan compartir fácilmente los archivos con otros usuarios.

Para indicar que el archivo no se tiene que volver a cifrar o que no se deben volver a cifrar los archivos de una carpeta, hay que seguir estos pasos:

  1. Se pulsa el botón derecho sobre el archivo o carpeta en el Explorador dé Windows y se elige Propiedades.
  2. Se selecciona la ficha General y se pulsa Avanzadas.
  3. Se quita la marca del cuadro de verificación Cifrar los contenidos para asegurar los datos.
Recuperación de archivos

Naturalmente, cuando se cifran archivos para protegerlos de ojos fisgones, se corre el riesgo de la protección de los nuestros y, por consiguiente, de la pérdida de datos. EFS requiere la clave privada del usuario (asociada con el certificado de clave pública EFS del usuario) para descifrar archivos. Mientras esta clave esté accesible, se puede acceder a los archivos protegidos por EFS. En caso de pérdida de la clave, hace falta un medio secundario para recuperar los datos. Considérese también que pudiera perderse una clave debido a la partida voluntaria o involuntaria del usuario; por ejemplo, un usuario que cifra archivos de la compañía puede dejar la compañía.

La posibilidad de recuperar archivos empieza cuando un usuario individual hace una copia de seguridad de su certificado de clave pública de EFS y de la clave privada asociada. Para hacer la copia de seguridad de esta información, el usuario tienen que exportar el certificado y la clave mediante el complemento Certificados de la MMC. Si la clave privada aún está perdida, el usuario puede importar la clave privada de EFS y el certificado guardados y salvar los datos.

Nota: Las claves y los certificados exportados se almacenan en formato PKCS #12 (también conocido como Intercambio de información personal o PFX). Este formato comprende una serie de aplicaciones de seguridad ampliada, permitiendo el intercambio de claves entre equipos o aplicaciones independientes.

Si un usuario no puede descifrar los datos perdidos, un administrador puede recuperar los datos usando un certificado de agente de recuperación. Además de obtener un certificado de agente de recuperación, el administrador necesitará añadir ese certificado a una directiva de recuperación en Active Directory, usando el Asistente para agregar agente de recuperación del complemento Directivas de grupo.

Los certificados de agente de recuperación se deben guardar en una característica de almacenamiento segura para impedir posibles compromisos de los datos. Tras recibir el certificado de agente de recuperación, el agente de recuperación podría exportarse a un disquete u otro dispositivo que se puede proteger y eliminarlo de la máquina. Cuando sea necesaria la recuperación, el certificado y la clave privada asociada se pueden importar. Una vez que se hayan recuperado los datos, el certificado debe eliminarse de nuevo.

Auditoría

Siendo una herramienta de seguridad tanto proactiva como reactiva, las auditorías informan a los administradores de los sucesos que pueden ser potencialmente peligrosos y dejan un rastro de seguimiento si ocurre una infracción de seguridad. Auditar los intentos de inicio de sesión sin éxito, por ejemplo, puede avisar de usuarios pícaros intentando lograr acceso no autorizado al sistema. Además de auditar los sucesos normales de sistema, se puede auditar la modificación de directivas para mantener un seguimiento de cuándo se desactivó la auditoría de un determinado suceso y por quién.

Por defecto, está desactivada la auditoría de todas las categorías de seguridad. El administrador establece una directiva de auditoría determinando qué tipos de sucesos de seguridad auditar. Basándose en las necesidades de seguridad de la organización, el administrador puede elegir también auditar el acceso a objetos individuales.

Cómo establecer una directiva de auditoría

El primer paso para establecer una directiva de auditoría es determinar qué categorías de sucesos deben auditarse. Las siguientes categorías de sucesos están disponibles para auditarse.

Para seleccionar una categoría de sucesos a auditar, primero hay que determinar si el equipo es un controlador de dominio. Si no lo es, hay que elegir Administración de equipos en la carpeta Herramientas administrativas. En el árbol de consola de Administración de equipos, se expande Herramientas de sistema, Directiva de grupo, Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas locales, para llegar a Directiva de auditoría.

Si el equipo es un controlador de dominio, hay que abrir el complemento Usuarios y equipos de Active Directory, expandir la entrada del dominio y pulsar Acción y después pulsar Propiedades. En la ficha Directiva de grupo, se selecciona la directiva y se pulsa Modificar. Después se expande Configuración de equipo, Configuración de Windows, Configuración de seguridad y Directivas locales y después se selecciona Directiva de auditoría.

Usando cualquier técnica, seleccionar Directiva de auditoría muestra las categorías de sucesos en el panel derecho. Para modificar la directiva de una categoría de suceso, hay que pulsar el botón derecho sobre el suceso y elegir Seguridad. Hay que seleccionar el cuadro de verificación para auditar los sucesos con éxito y/o auditar sucesos fallidos.

Auditoría de acceso a objetos

Una vez habilitada la categoría Auditar el acceso a objetos en el elemento Directiva de auditoría, los miembros del grupo Administradores pueden especificar criterios de auditoría para archivos, carpetas, impresoras de red y otros objetos. El criterio de auditoría para un objeto incluye

Ejemplos de tipos de acceso incluyen la visualización de permisos de carpeta, la ejecución de un archivo y la eliminación de un objeto. Para seleccionar un objeto a auditar, hay que seguir estos pasos:

  1. Se pulsa el botón derecho sobre el objeto en el Explorador de Windows y se elige Propiedades.
  2. En la ficha Seguridad, se pulsa Avanzadas.
  3. En la ficha Auditoría, se pulsa Agregar.
  4. En el cuadro Nombre, se introduce el nombre de usuario o grupo a auditar o se selecciona de la lista Nombre.
  5. Se pulsa Aceptar para mostrar el cuadro de diálogo Entrada de auditoría. Hay que usar la lista Acceso para selección si se audita el acceso con éxito, sin éxito o ambos.
  6. Para carpetas, hay que usar la lista desplegable Aplicar en, para indicar dónde debe tener lugar la auditoria.
  7. Hay que seleccionar o quitar la marca del cuadro de verificación Aplicar estas entradas de auditoría sólo a objeto y/o contenedores dentro de este contenedor para llamar o impedir la herencia, respectivamente.
Visualización del registro de seguridad

El registro de seguridad detalla la información de auditoría de los sucesos especificados en la directiva de auditoria. Cada vez que ocurre un suceso auditable, éste se añade al archivo de registro en el que se puede filtrar, guardar, buscar y exportar. El registro de seguridad, junto con el registro de aplicación y el de sistema, se ubica en el Visor de sucesos y se puede encontrar en el árbol de consola Administración de equipos expandiendo Herramientas administrativas, Visor de sucesos y Seguridad.

Cada entrada del registro contiene información crucial sobre el evento auditado, incluyendo si el intento fue fallido o fue con éxito, la fecha y la hora del suceso, la categoría del suceso y el ID, y el usuario y equipo auditado. Se puede obtener información adicional para cada entrada pulsando el botón derecho sobre la entrada y eligiendo Propiedades.

Cómo manipular el registro de seguridad

El registro de seguridad se puede ordenar por cualquiera de los campos listados en la pantalla, tales como el usuario o la fecha del suceso. Sólo pulsar la cabecera del campo en la parte superior ocasionará que los sucesos del registro se ordenen de forma ascendente por ese campo. Pulsar de nuevo la cabecera del campo los ordenará de forma descendente. Para aún más eficiencia, se pueden filtrar los registros para mostrar sólo aquellos sucesos que interesen -por ejemplo, sólo las auditorías de fallo-. En el menú Ver, hay que pulsar Filtro. En la ficha Filtro de la ventana Propiedades de Seguridad que aparece, hay que seleccionar con qué criterio de sucesos visualizar y pulsar Aceptar.

Consejo: Hay que escoger Buscar en el menú Ver para buscar en las listas mostradas determinados sucesos, como todos los sucesos con un determinado ID de suceso.

Mantenimiento del registro de seguridad

El registro de seguridad posee un tamaño máximo definido. Para fijar este tamaño, hay que pulsar el botón derecho sobre Seguridad en el Visor de sucesos y elegir Propiedades. Se edita el campo Máximo tamaño de registro especificando un tamaño en kilobytes. Las opciones por debajo de este campo especifican cómo sobrescribir los sucesos:

Es de suponer que todas las categorías de sucesos especificadas en la directiva de sucesos son relevantes. Hay que tener cuidado que el envoltorio automático de los sucesos no sobrescriba sucesos con mayor frecuencia que el archivado de registros o la lectura de registros manual.

Para archivar el registro de sucesos, hay que pulsar el botón derecho sobre Seguridad en el Visor de sucesos y elegir Guardar archivo de registro como. Se elige el camino y el nombre de archivo para el archivo. Si se guarda como archivo de registro de sucesos (con la extensión .EVT), el archivo se puede abrir posteriormente con el Visor de sucesos.