Sistema operativo Novedades de seguridad de Windows XP Professional y Windows XP Home Edition Microsoft Corporation Resumen En este artículo se ofrece una descripción general técnica de las novedades que presentan los servicios de seguridad y confidencialidad de Windows® XP. Hay dos ediciones de Windows XP: Windows XP Home Edition, para uso doméstico, y Windows XP Professional, para empresas de todos los tamaños. Si tiene la intención de utilizar Windows XP como sistema operativo en un equipo independiente o integrado en un grupo de trabajo, encontrará particularmente interesante el cambio rápido de usuario y el servidor de seguridad de conexión a Internet. Si utiliza o administra Windows XP Professional como parte de un dominio, le interesará conocer las novedades en materia de control de acceso a la red y de configuración de directivas de restricción de software. Este documento es preliminar y, por tanto, puede experimentar modificaciones importantes antes del lanzamiento comercial de la versión final del software que en él se describe. La información que contiene este documento representa la visión actual de Microsoft Corporation acerca de los temas tratados en el momento de su publicación. Dado que Microsoft debe responder a las condiciones variables del mercado, este documento no debe interpretarse como un compromiso por parte de Microsoft, y Microsoft no puede garantizar la exactitud de la información presentada con posterioridad a la fecha de publicación. Estas notas del producto se proporcionan con propósito informativo únicamente. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS O IMPLÍCITAS DE ESTE DOCUMENTO. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitación alguna de los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada, introducida en un sistema de recuperación o transmitida de ninguna forma, ni por ningún medio (electrónico, mecánico, mediante fotocopia, grabación, etc.), con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. Este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que se establezca en un contrato por escrito de licencia de Microsoft. © 2001 Microsoft Corporation. Reservados todos los derechos. Microsoft, ActiveX, Active Directory, Authenticode, IntelliMirror, MSN, Visual Basic, Windows y Windows NT son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Otros nombres de compañías y productos mencionados aquí pueden ser marcas comerciales de sus respectivos propietarios. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • EE.UU. Contenido Contenido ............................................................................................................................................... 2 Agradecimientos..................................................................................................................................... 5 Introducción ........................................................................................................................................... 6 Windows XP Home Edition 6 Windows XP Professional 6 Novedades de seguridad de Windows XP Home Edition ........................................................................ 8 Inicio de sesión personalizado 8 Cambio rápido de usuario para equipos con varios usuarios 8 Intimidad personal 9 Administración de cookies 10 Conexión compartida a Internet 11 Funcionamiento de ICS 11 Uso de protocolos de red 12 Funcionalidad de detección y control remotos 12 Servidor de seguridad de conexión a Internet 13 Una mayor necesidad de seguridad 14 Funcionamiento del Servidor de seguridad de conexión a Internet 14 La protección del servidor de seguridad se activa fácilmente 14 Asignación de puertos 15 Carpeta de documentos compartidos 15 Novedades de seguridad de Windows XP Professional ....................................................................... 17 Seguridad corporativa 17 Mejoras de seguridad 17 Acceso controlado a la red 18 Administración de la autenticación de red 18 Seguridad simple de recursos compartidos 18 Novedades de seguridad de Windows XP 2 Forzar el uso de la cuenta Invitado 18 Restricciones de contraseñas en blanco 19 Sistema de codificación de archivos 19 Arquitectura de EFS 19 EFS y NTFS 20 Mantener la confidencialidad de los archivos 20 Funcionamiento de EFS 21 Configuración de EFS para su entorno 21 Elementos que se pueden cifrar 22 Cifrado de archivos sin conexión 22 Cifrado de la base de datos de archivos sin conexión 22 Operaciones EFS remotas con archivos compartidos y carpetas Web 23 Operaciones EFS remotas en un entorno de carpetas Web 24 Servicios de Certificate Server 25 Almacenamiento de certificados y claves públicas 25 Almacenamiento de claves privadas 25 Inscripción automática de certificados de usuario 25 Administración de credenciales 26 Solicitud de credenciales 26 Nombres de usuario y contraseñas almacenados 27 Conjunto de claves 29 Cambio rápido de usuario 30 Intimidad personal 30 Conexión compartida a Internet 30 Directiva de grupo sensible a la ubicación de ICS 30 Servidor de seguridad de conexión a Internet 31 Directiva de grupo sensible a la ubicación del ICF 31 Funcionamiento del ICF 31 Configuración de directivas de grupo relacionadas con la seguridad 32 Directivas de restricción de software 32 Uso de directivas de restricción de software 32 Creación de una directiva de restricción de software 32 Novedades de seguridad de Windows XP 3 Dos tipos de directivas de restricción de software 33 Reglas de identificación de software 34 Control del software con firma digital 34 Seguridad del Protocolo Internet (IPSec) 35 Por qué es necesario IPSec 35 Métodos empleados por la seguridad IP para evitar los ataques a la red 36 Mecanismos basados en cifrado 37 Funcionamiento de IPSec 37 Soporte para tarjetas inteligentes 38 Un PIN en lugar de una contraseña 38 Estándares de tarjetas inteligentes 38 Iniciar una sesión con una tarjeta inteligente 39 Tarjetas inteligentes para uso administrativo 39 Protocolo de autenticación Kerberos versión 5 39 La base de Kerberos 40 Autenticador 40 Servicio Centro de distribución de claves de Kerberos 41 Resumen............................................................................................................................................... 42 Vínculos relacionados................................ ................................ ................................ .......................... 43 Novedades de seguridad de Windows XP 4 Agradecimientos Michael Kessler, Editor técnico, Microsoft Corporation. Parte de la información de este documento también figurará en el próximo Kit de recursos de Windows XP Professional. Novedades de seguridad de Windows XP 5 Introducción Windows® XP es la versión más confiable de Windows hasta la fecha gracias a la incorporación de las mejores características de seguridad y privacidad de toda la historia del sistema operativo. En términos generales, la seguridad se ha mejorado en Windows XP para ayudarle a disfrutar de una experiencia informática segura, confiable y privada. Hay dos ediciones de Windows XP: Windows XP Home Edition, para uso doméstico, y Windows XP Professional, para empresas de todos los tamaños. Las características de seguridad de Windows XP Home Edition hacen que sea aún más seguro para el usuario realizar compras y explorar en Internet. Windows XP Home Edition incluye el software Servidor de seguridad de conexión a Internet integrado, que proporciona una defensa sólida contra las amenazas de seguridad durante las conexiones a Internet, particularmente si son de tipo permanente, como las basadas en módems por cable o DSL. Windows XP Professional incluye todas las capacidades de seguridad de Windows XP Home Edition, además de otras características de administración de seguridad. Las nuevas e importantes características de seguridad le permitirán reducir sus costos de tecnologías de la información y mejorar la seguridad de los sistemas de su organización. Windows XP Home Edition • Inicio de sesión personalizado • Cambio rápido de usuario • Intimidad personal • Servidor de seguridad de conexión a Internet • Carpeta de documentos compartidos Windows XP Professional • Seguridad corporativa • Acceso controlado a la red • Seguridad simple de recursos compartidos • Restricciones de contraseña en blanco • Sistema de codificación de archivos • Servicios de Certificate Server • Administración de credenciales • Cambio rápido de usuario • Intimidad personal • Conexión compartida a Internet Novedades de seguridad de Windows XP 6 • Servidor de seguridad de conexión a Internet • Directivas de restricción de software • Seguridad del Protocolo Internet • Soporte para tarjetas inteligentes • Kerberos Novedades de seguridad de Windows XP 7 Novedades de seguridad de Windows XP Home Edition Los servicios de seguridad de Windows XP Home Edition se han diseñado para ser flexibles y tienen en cuenta una amplia variedad de situaciones de seguridad y confidencialidad a las que debe enfrentarse el usuario doméstico. Si ya está familiarizado con el modelo de seguridad de Microsoft ® Windows NT® versión 4.0 y Microsoft ® Windows ® 2000, reconocerá muchas de las características de seguridad de Windows XP Home Edition. Al mismo tiempo, descubrirá varias características anteriores que han cambiado significativamente y otras nuevas que mejorarán su capacidad para administrar la seguridad del sistema. Por ejemplo, si utiliza Internet para conversar en línea o enviar y recibir correo electrónico, puede ser vulnerable a los ataques de los piratas informáticos. Windows XP incorpora características de seguridad avanzadas que le protegen de este tipo de amenazas para que su experiencia en línea sea aún más segura. A continuación, examinaremos las importantes características de seguridad y confidencialidad de Windows XP Home Edition, que mejoran su seguridad y la de su información al tiempo que le permiten disfrutar de la experiencia más productiva en Windows. Importante: cuando trabaje con Windows XP Home Edition, como parte de un grupo de trabajo o en un entorno aislado, y disponga de derechos de administrador sobre el equipo, tendrá acceso a todas las características de seguridad del sistema operativo. Si el equipo Windows XP Home Edition forma parte de una red, será el administrador de red quien determine las opciones de seguridad. Inicio de sesión personalizado Con Windows XP, cada miembro de la familia puede utilizar su propia interfaz, con su inicio de sesión y contraseña. Este nuevo nivel de seguridad garantiza que nadie pueda tener acceso a sus documentos importantes, ni borrarlos accidentalmente. Si tiene niños en casa, puede configurar perfiles con distintos límites de seguridad para filtrar los sitios de Internet que puedan ser poco recomendables para ellos. Cambio rápido de usuario para equipos con varios usuarios El cambio rápido de usuario, característica diseñada para el uso doméstico, permite que todos los miembros de la familia utilicen un mismo equipo como si se tratara del suyo propio. No es necesario cerrar la sesión de otro usuario ni decidir si se guardan o no sus archivos. En lugar de ello, Windows XP aprovecha la tecnología de servicios de Terminal Server y ejecuta sesiones de usuario únicas que permiten mantener totalmente separados los datos de cada usuario. Si se utilizan contraseñas de usuario, las sesiones están protegidas unas de otras. El cambio rápido de usuario se habilita de manera predeterminado cuando Windows XP Home Edition o Windows XP Professional se instala en un equipo independiente o conectado a un grupo de trabajo. Si se une a un dominio con un equipo que ejecuta Windows XP Professional, no podrá utilizar esta característica. El cambio rápido de usuario permite que los miembros de una familia compartan fácilmente un mismo equipo. Por ejemplo, si una madre utiliza el equipo para el control de las finanzas y tiene que ausentarse durante un rato, su hijo puede cambiar a su propia cuenta y disfrutar de un juego. La aplicación fi nanciera Novedades de seguridad de Windows XP 8 permanece activa y abierta en la cuenta de la madre. Todo ello se lleva a cabo sin necesidad de cerrar la sesión. El cambio de usuarios es sencillo porque la nueva pantalla de bienvenida se puede personalizar fácilmente con imágenes para cada usua rio que inicia una sesión en el equipo, tal como se muestra en la Figura 1. Figura 1. Pantalla de bienvenida de inicio de sesión personal y cambio rápido de usuario Intimidad personal Microsoft Internet Explorer versión 6.0 le ayuda a mantener el control de su información personal durante la visita a los sitios Web. Para ello, ofrece soporte para el estándar Plataforma de preferencias de seguridad (P3P, Platform for Privacy Preferences ) del Consorcio World Wide Web (W3C, World Wide Web Consortium). Como miembro del W3C, Microsoft ha contribuido al desarrollo de un estándar para las directivas de confidencialidad de los sitios Web que permite tomar decisiones fundadas relacionadas con la cantidad y el tipo de información que se comparte en línea. Internet Explorer 6.0 determina si los sitios Web que se visitan cumplen los estándares del W3C e informa de su estado antes proporcionar información privada. Una vez haya definido sus preferencias de confidencialidad para revelar información personal en Internet Explorer 6.0, el explorador determinará si los sitios que se visitan cumplen o no el estándar P3P. En el caso de los sitios compatibles con P3P, el explorador compara las preferencias de confidencialidad del usuario con las directivas definidas en los sitios. Internet Explorer utiliza HTTP para este intercambio de información de directivas. Dependiendo de las preferencias de confidencialidad del usuario, el explorador determina si revela la información personal a los sitios Web. Novedades de seguridad de Windows XP 9 Administración de cookies El estándar P3P también admite funciones de administración de cookies en Internet Explorer 6.0. Un cookie es un pequeño archivo que almacena un sitio Web en el equipo del usuario para ofrecer funciones de personalización. Por ejemplo, cuando introduce su configuración personalizada para MSN®, la información se almacena en un archivo de cookie en su equipo. A continuación, MSN lee el cookie cada vez que se visita el sitio y muestra las opciones seleccionadas. Como parte de sus directivas de seguridad, los sitios Web compatibles con P3P pueden proporcionar información sobre las directivas a sus cookies. Cuando defina sus preferencias de confidencialidad, podrá configurar Internet Explorer para gestionar cookies de la siguiente manera: • Impedir que se almacene cualquier cookie en su equipo. • Rechazar los cookies de terceros (cookies que no proceden del mismo dominio que el sitio Web que se visita y que, por tanto, escapan a sus directivas de confidencialidad), pero permitir que el resto de los cookies se almacenen en el equipo. • Impedir que se almacene cualquier cookie en su equipo sin notificación previa. Consulte las Figuras 2 y 3 para ver las opciones adicionales de administración de cookies. Figura 2. Administración de cookies: Acciones de privacidad por sitio Novedades de seguridad de Windows XP 10 Figura 3. Administración de cookies: Configuración avanzada de privacidad Para obtener más información acerca de P3P, consulte el sitio Web de W3C en http://www.w3.org/. Conexión compartida a Internet Conexión compartida a Internet (ICS) conecta varios equipos a Internet a través de una sola conexión. Con ICS, los usuarios pueden compartir de forma segura entre varios equipos las conexiones DSL, de módem por cable o de línea telefónica. Funcionamiento de ICS Un equipo, denominado el host ICS, se conecta directamente a Internet y comparte su conexión con el resto de los equipos de la red. Los equipos cliente se basan en el acceso a Internet que les proporciona el host ICS. Con ICS habilitado, la seguridad mejora porque el host ICS es el único equipo visible para Internet. Toda comunicación desde los equipos cliente a Internet debe pasar a través del host ICS, lo que permite ocultar sus direcciones a Internet. Los equipos cliente están protegidos porque no pueden ser vistos desde el exterior de la red. El equipo que ejecuta ICS es el único que puede ser visto desde el lado público de la conexión. Además, el host ICS se encarga del direccionamiento de red. Se asigna a sí mismo una dirección permanente y proporciona el Protocolo de configuración dinámica de host (DHCP) a los clientes ICS. El host Novedades de seguridad de Windows XP 11 ICS asigna una dirección única a cada cliente y, de esta forma, permite que se comuniquen con otros equipos de la red. Windows XP permite compartir una sola conexión a Internet entre los equipos de una red doméstica o de pequeña empresa a través de ICS. Esta característica, que se ha mejorado en Windows XP, apareció por primera vez en Windows 2000 Professional y Windows 98 Second Edition. Uso de protocolos de red La característica ICS de Windows XP proporciona Traducción de direcciones de red (NAT), DHCP y Servicio de nombres de dominio (DNS) a las redes domésticas, lo que elimina la necesidad de configuración de los clientes por parte del usuario. La funcionalidad DNS de Windows XP se ha mejorado e incluye un proceso de resolución DNS local que ofrece resolución de nombres a todos los clientes de la red doméstica. Gracias a esta característica, los dispositivos de las redes no Windows pueden resolver los nombres de los clientes de la red. Los nombres de Internet que requieren resolución se siguen enviando a los servidores DNS del proveedor de servicios de Internet. Funcionalidad de detección y control remotos ICS también incluye funcionalidad de detección y control remotos. Con Plug and Play universal, los clientes de red detectan la presencia del host ICS, lo consultan y determinan el estado de su conexión a Internet. Cuando desee explorar en Internet desde otro equipo de su casa, el equipo Windows XP se conectará automáticamente a Internet (si todavía no está conectado) en nombre del otro. Asimismo, el usuario del otro equipo cliente sabrá si hay una conexión a Internet activa y, si lo desea, podrá desconectarla para utilizar el teléfono a fin de establecer una comunicación de voz normal. Esta característica resulta útil si la conexión de acceso telefónico se factura por minutos o si prefiere desactivar la conexión a Internet durante los periodos de inactividad. Consulte en la Figura 4 las opciones de configuración de ICS. Novedades de seguridad de Windows XP 12 Figura 4. Configuración de ICS Servidor de seguridad de conexión a Internet Windows® XP ofrece seguridad de Internet a través del nuevo Servidor de seguridad de conexión a Internet (ICF). Hace años que las redes de las empresas utilizan servidores de seguridad como medida de protección contra los ataques externos. Ahora, la característica de protección ICF de Windows XP ofrece la misma seguridad a los consumidores. Como resultado, su información, sus equipos y los datos de la familia estarán más seguros desde el momento en que empiece a utilizar Windows XP. Novedades de seguridad de Windows XP 13 Una mayor necesidad de seguridad A medida que aumenta el número de hogares y empresas que utilizan el acceso a Internet de banda ancha, es mayor la necesidad de medidas de seguridad para proteger los equipos personales y otros dispositivos y contenidos conectados a las redes domésticas. Ni siquiera los equipos que se conectan a Internet a través de módems de acceso telefónico son inmunes a los ataques. ICF, diseñado para el uso doméstico o en pequeñas empresas, ofrece protección al equipo personal Windows XP conectado directamente a Internet o a los equipos personales y dispositivos conectados al host de Conexión compartida a Internet que ejecuta ICF. Funcionamiento del Servidor de seguridad de conexión a Internet El ICF de Windows XP utiliza filtros de paquetes activos, lo que significa que los puertos del servidor de seguridad se abren dinámicamente y permanecen abiertos sólo durante el tiempo necesario para permitir el acceso a los servicios que se utilizan. Este tipo de tecnología de servidor de seguridad, que generalmente se usa en servidores de empresa más sofisticados, impide a los piratas informáticos examinar los puertos y recursos de su equipo, incluidos los archivos y las impresoras compartidas. Estas medidas reducen significativamente la amenaza de ataques externos. El ICF se habilita a nivel de conexión. El servidor de seguridad puede utilizarse en conexiones de red de área local (LAN), Protocolo punto a punto en Ethernet (PPPoE), VPN o de acceso telefónico. PPPoE es un nuevo bo rrador de estándar IETF. Se utiliza para que la conectividad de banda ancha a través de módems por cable o líneas de abonado digitales se establezca de forma tan sencilla como las conexiones de módem de acceso telefónico. Windows XP es el primer sistema operativo Windows que incluye soporte nativo para PPPoE. Cuando esté de viaje con su equipo portátil y obtenga acceso a Internet a través de una conexión telefónica u otro medio, la característica ICF se puede habilitar automáticamente para mejorar la seguridad. La protección del servidor de seguridad se activa fácilmente Cuando ejecute el Asistente para configuración de red, habilitará automáticamente ICF en todas las conexiones activas a Internet que encuentre. Para comprobar si una conexión utiliza ICF: • Abra el Panel de control. • Haga clic en Conexiones de red e Internet. • Haga clic en Conexiones de red. • Haga clic con el botón secundario del mouse (ratón) en su conexión a Internet y, a continuación, haga clic en Propiedades. • Haga clic en la ficha Avanzadas del cuadro de diálogo Propiedades de la conexión. Consulte en la Figura 5 la manera de activar el ICF. Novedades de seguridad de Windows XP 14 Figura 5. Activación del ICF Asignación de puertos De forma predeterminada, el ICF no permite la entrada de tráfico no solicitado. Si necesita permitir el acceso de otras personas a su equipo a través de Internet (por ejemplo, si aloja un sitio Web o una sesión de Internet de un juego), Windows XP le permite abrir pasos en el servidor de seguridad para permitir el tráfico en puertos específicos. Esta técnica se denomina “asignación de puertos”. Carpeta de documentos compartidos Las carpetas compartidas corresponden a las carpetas personales: Mis documentos, Mis imágenes y Mi música. Documentos compartidos, Imágenes compartidas y Música compartida proporcionan un espacio para almacenar archivos, imágenes y música que pueden compartir todos los usuarios de su equipo. Por ejemplo, Javi puede guardar sus deberes en Documentos compartidos para que Mamá pueda revisar su trabajo. Papá puede situar las imágenes digitales de las vacaciones en Imágenes compartidas para que toda la familia pueda verlas. Novedades de seguridad de Windows XP 15 Dado que los equipos domésticos suelen ser entornos de confianza, los usuarios domésticos de Windows XP obtienen almacenamiento de archivos separado aunque accesible de forma predeterminada, con protección opcional por contraseña. De esta forma la familia puede compartir fácilmente documentos, imágenes, música y vídeos en un solo equipo o en todos los equipos de la red doméstica. No obstante, cuando cree su propia contraseña, Windows le ofrecerá la oportunidad de bloquear su carpeta “Mis Documentos” o cualquier otra subcarpeta. Por tanto, si tiene una contraseña y desea mantener su intimidad, estará protegido de los usuarios que no sean administradores del equipo. Nota Para utilizar esta característica, el formato del disco duro debe ser NTFS, ya que no funciona si se utiliza el formato de tabla de asignación de archivos (FAT) o FAT32. Novedades de seguridad de Windows XP 16 Novedades de seguridad de Windows XP Professional Windows XP Professional es el sistema operativo idóneo para las empresas de todos los tamaños y ofrece los servicios de seguridad más confiables para la informática empresarial. Windows XP Professional incluye todas las características de seguridad necesarias para las redes y la seguridad empresariales, características que ofrecen nuevas capacidades de administración que reducirán los costos de tecnologías de la información y permitirán dedicar más tiempo a crear servicios y soluciones de empresa. Si ya está familiarizado con el modelo de seguridad de Microsoft ® Windows NT® 4.0 y Microsoft ® Windows ® 2000, reconocerá muchas de las características de Windows XP Professional. Al mismo tiempo, descubrirá varias características conocidas que han cambiado significativamente y otras nuevas que mejorarán su capacidad para administrar la seguridad del sistema. Recuerde: cuando trabaje con Windows XP Professional, como parte de un grupo de trabajo o en un entorno aislado, y disponga de derechos de administrador sobre el equipo, tendrá acceso a todas las características de seguridad del sistema operativo. Si el equipo Windows XP Professional forma parte de un dominio, las opciones disponibles dependerán de las directivas configuradas por el administrador de TI. Seguridad corporativa Windows XP Professional ofrece potentes características de seguridad que ayudan a las empresas a proteger sus datos confidenciales y proporcionan soporte para administrar los usuarios de la red. Una de las características más importantes de Windows XP Professional es el uso de objetos de directiva de grupo (GPO). Con los GPO, los administradores del sistema pueden aplicar un mismo perfil de seguridad a varios equipos y utilizar opcionalmente la tecnología de tarjetas inteligentes para autenticar a los usuarios con la información almacenada en sus tarjetas. Mejoras de seguridad Windows XP Professional incluye distintas características con las que las empresas pueden proteger archivos, aplicaciones y otros recursos seleccionados. Estas características incluyen listas de control de acceso (ACL), grupos de seguridad y directiva de grupo, y también las herramientas necesarias para que las empresas las configuren y administren. En su conjunto, ofrecen una infraestructura de control de acceso potente y flexible para las redes empresariales. Windows XP dispone de miles de opciones relacionadas con la seguridad que se pueden implementar individualmente. El sistema operativo Windows XP también incluye plantillas de seguridad predefinidas que las empresas pueden implementar sin modificaciones o utilizar como base para una configuración de seguridad más personalizada. Las empresas pueden aplicar las plantillas de seguridad en los siguientes casos: • Cuando crean un recurso, como una carpeta o archivo compartido, y aceptan la configuración predeterminada de la lista de control de acceso o implementan una configuración predeterminada. • Cuando sitúan usuarios en los grupos de seguridad estándar, como Usuarios, Usuarios avanzados y Administradores, y aceptan la configuración predeterminada de la ACL que se aplica a dichos grupos de seguridad. Novedades de seguridad de Windows XP 17 • Cuando utilizan las plantillas de directiva de grupo básica, compatible, segura o de alta seguridad que se incluyen en el sistema operativo. Todas las características de seguridad de Windows XP (ACLS, grupos de seguridad y directiva de grupo) tienen configuraciones predeterminadas que pueden modificarse y adaptarse a las necesidades de cada organización. Las empresas también pueden utilizar herramientas adecuadas para implementar y modificar el control de acceso. Muchas de ellas, como los complementos de Microsoft Management Console, son componentes de Windows XP Professional. Otras forman parte del Kit de recursos de Windows XP Professional. Acceso controlado a la red Windows XP proporciona seguridad integrada para mantener alejados a los intrusos. Para ello, limita a todo el que intente tener acceso a su equipo desde una red otorgándole privilegios de “invitado”. Si un intruso prueba distintas contraseñas para entrar en su equipo y obtener privilegios no autorizados, sus intentos resultarán fallidos, o sólo conseguirá un acceso limitado a nivel de invitado. Administración de la autenticación de red Cada vez son más los equipos Windows XP Professional que se conectan directamente a Internet en lugar de a un dominio. Esta circunstancia hace que la administración adecuada del control de acceso (incluidas las contraseñas seguras y los permisos asociados a cada cuenta) sea más importante que nunca. Para garantizar la seguridad, es preciso restringir la configuración de control de acceso relativamente anónima que caracteriza a los entornos de Internet abiertos. Como resultado, la configuración predeterminada de Windows XP Professional exige que todos los usuarios que inician una sesión a través de la red utilicen la cuenta Invitado. Este cambio evita que los piratas informáticos intenten tener acceso a un sistema a través de Internet mediante el uso de la cuenta de un administrador local sin contraseña para iniciar la sesión. Seguridad simple de recursos compartidos De forma predeterminada, quienes intenten iniciar una sesión a través de la red en un sistema Windows XP Professional que no esté conectado a un dominio estarán obligados a utilizar la cuenta Invitado. Además, en los equipos que utilizan el modelo de seguridad simple de recursos compartidos, el cuadro de diálogo Propiedades de seguridad se sustituye por un cuadro de diálogo Propiedades de los documentos simplificado. Forzar el uso de la cuenta Invitado El modelo de recursos compartidos y seguridad de las cuentas locales permite elegir entre los modelos de seguridad Sólo invitado y Clásico. En el modelo Sólo invitado, quienes intenten iniciar una sesión en el equipo local a través de la red se verán obligados a utilizar la cuenta Invitado. En el modelo de seguridad Clásico, los usuarios que intenten iniciar una sesión en el equipo local a través de la red se autenticarán con sus propios datos. Esta directiva no afecta a los equipos que participan en un dominio. En los demás casos, se habilita el modo Sólo invitado de forma predeterminada. Si se habilita una cuenta de invitado con la contraseña en blanco, podrá iniciar una sesión y tener acceso a todos los recursos para los que tenga autorización la cuenta Invitado. Novedades de seguridad de Windows XP 18 Si se habilita directiva “forzar a los inicios de red que utilizan cuentas locales a autenticarse como Invitado”, las cuentas locales deben autenticarse como Invitado. Esta directiva determina si una cuenta local que se conecta directamente a un equipo de la red debe autenticarse como un usuario Invitado. Puede utilizar esta directiva para limitar los permisos de una cuenta local que intenta tener acceso a los recursos del sistema del equipo de destino. Si habilita esta directiva, todas las cuentas locales que intenten conectarse directamente obtendrán únicamente los permisos de Invitado, que suelen ser sumamente restringidos. Restricciones de contraseñas en blanco Las cuentas de Windows XP Professional sin contraseña sólo se pueden utilizar para iniciar una sesión en la consola física del equipo. Esta medida protege a los usuarios que no protegen sus cuentas con contraseñas. De forma predeterminada, las cuentas con contraseñas en blanco ya no se pueden usar para iniciar una sesión en el equipo de forma remota a través de la red, ni para ninguna otra actividad de inicio de sesión, salvo en la pantalla de la consola física. Por ejemplo, no se puede utilizar el servicio de inicio de sesión secundario (RunAs) para iniciar un programa como usuario local con una contraseña en blanco. La asignación de una contraseña a una cuenta local elimina la restricción de inicio de sesión a través de la red. También permite que la cuenta tenga acceso a cualquier recurso para el que cuente con autorización, incluso a través de una conexión de red. Precaución Si su equipo no está situado en un lugar seguro, es recomendable asignar contraseñas a todas las cuentas de usuario local. Si no lo hace, todo el que tenga acceso físico al equipo podrá iniciar una sesión con una cuenta sin contraseña. Esta medida es especialmente importante en los equipos portátiles, cuyas cuentas de usuario local siempre deberían estar protegidas por contraseñas seguras. Nota Esta restricción no se aplica a las cuentas de dominio ni a la cuenta local de invitado. Si habilita la cuenta de invitado con la contraseña en blanco, podrá iniciar una sesión y tener acceso a todos los recursos para los que tenga autorización la cuenta Invitado. Si desea deshabilitar la restricción de inicio de sesiones en la red sin contraseña, puede utilizar para ello la Directiva de seguridad local. Sistema de codificación de archivos La nueva funcionalidad del Sistema de codificación de archivos (EFS) ha mejorado significativamente la potencia de Windows® XP Professional gracias a la mayor flexibilidad para los usuarios corporativos a la hora de distribuir soluciones de seguridad basadas en archivos de datos cifrados. Arquitectura de EFS EFS se basa en el cifrado de clave pública y aprovecha la arquitectura CryptoAPI de Windows XP. La configuración predeterminada de EFS no exige ningún esfuerzo administrativo: puede comenzar a cifrar los archivos inmediatamente. EFS genera automáticamente un par de claves de cifrado y un certificado para un usuario, si todavía no existe uno. EFS puede utilizar el Estándar de cifrado de datos expandido (DESX) o Triple-DES (3DES) como algoritmo de cifrado. Tanto el software RSA Base como RSA Enhanced, ambos incluidos en el sistema operativo por Novedades de seguridad de Windows XP 19 los proveedores de servicios de cifrado (CSP), se pueden utilizar para los certificados EFS y para el cifrado de las claves de cifrado simétrico. Si cifra una carpeta, todos los archivos y subcarpetas que se creen o agreguen a ella se cifrarán automáticamente. Se recomienda cifrar a nivel de carpeta para evitar la creación de archivos temporales de texto sin formato en el disco duro durante la conversión de archivos. EFS y NTFS El Sistema de codificación de archivos (EFS) protege los datos confidenciales de los archivos que se almacenan en los discos que utilizan el sistema de archivos NTFS. EFS es la tecnología básica de cifrado y descifrado de archivos almacenados en volúmenes NTFS. El usuario que cifra un archivo protegido es el único que puede abrirlo y trabajar con él. Esta característica resulta especialmente útil para los usuarios de equipos móviles, porque si alguien tiene acceso a un portátil extraviado o robado, no podrá ver ninguno de los archivos del disco. En Windows XP, EFS funciona con Archivos y carpetas sin conexión. EFS permite cifrar archivos y carpetas individuales. Los archivos cifrados siguen siendo confidenciales aunque un intruso consiga superar la seguridad del sistema, por ejemplo, mediante la instalación de un nuevo sistema operativo. EFS utiliza algoritmos estándar de cifrado seguro y, gracias a su estrecha integración con NTFS, es muy fácil de utilizar. EFS para Windows ® XP Professional ofrece nuevas opciones para compartir carpetas cifradas o deshabilitar agentes de recuperación de datos. También facilita la administración a través de la directiva de grupo y de utilidades de línea de comandos. Mantener la confidencialidad de los archivos Las características de seguridad tales como la autenticación para iniciar una sesión o los permisos de archivo protegen los recursos de red contra el acceso no autorizado. No obstante, todo el que tenga acceso físico a un equipo puede instalar un nuevo sistema operativo y omitir la seguridad del sistema operativo actual. De esta forma, los datos confidenciales pueden quedar expuestos . El cifrado de los archivos confidenciales a través de EFS ofrece un nivel de seguridad adicional. Cuando los archivos están cifrados, sus datos se protegen aunque un intruso tenga acceso total a los datos almacenados en el equipo. Los usuarios autorizados y los agentes de recuperación de datos designados son los únicos que pueden descifrar los archivos cifrados. Las demás cuentas del sistema con permisos de acceso a un archivo, incluido el permiso Tomar posesión, no pueden abrir el archivo sin autorización. Ni siquiera la cuenta del administrador puede abrir el archivo si no ha sido designada como agente de recuperación de datos. Si un usuario no autorizado intenta abrir un archivo cifrado, el sistema le denegará el acceso. La Figura 6 muestra el lugar en que se crea la configuración de EFS. Novedades de seguridad de Windows XP 20 Figura 6. Configuración de seguridad local EFS Funcionamiento de EFS EFS permite almacenar información confidencial acerca de un equipo cuando existe el riesgo de que las personas con acceso físico al equipo puedan poner en peligro la información, ya sea intencional o accidentalmente. EFS es especialmente útil para proteger los datos confidenciales de los equipos portátiles o compartidos por distintos usuarios. Ambos tipos de sistemas pueden ser objeto de ataques mediante técnicas capaces de burlar las restricciones de las ACL. En un sistema compartido, un intruso puede iniciar el equipo utilizando otro sistema operativo para obtener acceso. También podría robar el equipo, extraer las unidades de disco duro, instalarlas en otro sistema y obtener acceso a los archivos almacenados. Sin embargo, los archivos cifrados con EFS sólo presentan caracteres ininteligibles si el intruso no dispone de la clave de descifrado. Dado que EFS está estrechamente integrado con NTFS, el cifrado y descifrado de los archivos se realizan de forma transparente. Cuando se abre un archivo, EFS lo descifra a medida que lee los datos del disco. Cuando se guarda el archivo, EFS cifra los datos a medida que los escribe en el disco. Un usuario autorizado podría no darse cuenta de que los archivos están cifrados, ya que trabajará con ellos como si no lo estuvieran. La configuración predeterminada de EFS permite iniciar el cifrado de los archivos desde el Explorador de Windows sin ningún esfuerz o administrativo. Desde el punto de vista del usuario, el cifrado de un archivo se limita a configurar un atributo de archivo. También es posible configurar el atributo de cifrado en una carpeta de archivos para que cualquier archivo creado o agregado a la carpeta se cifre automáticamente. Configuración de EFS para su entorno EFS está habilitado de forma predeterminada. Puede cifrar cualquier archivo para el que tenga permiso de modificación. Dado que EFS se basa en una clave pública para cifrar los archivos, el cifrado requiere un par de claves pública y privada y un certificado de clave pública. EFS puede utilizar certificados con firma automática, por lo que no requiere ningún esfuerzo administrativo antes de utilizarlo. Novedades de seguridad de Windows XP 21 Si EFS no es adecuado para su ent orno o si no desea cifrar los archivos, puede deshabilitar EFS de distintas maneras. También existen varias formas de configurar EFS para adaptarlo a las necesidades concretas de su organización. Para utilizar EFS, todos los usuarios deben tener certificados EFS. Si actualmente no dispone de una Infraestructura de claves públicas (PKI), puede utilizar los certificados con firma automática generados automáticamente por el sistema operativo. No obstante, si dispone de servicios de emisión de certificados, puede que desee configurarlos para que emitan certificados EFS. También deberá tener en cuenta un plan de recuperación de desastres si utiliza EFS en el sistema. Elementos que se pueden cifrar Los archivos y las carpetas individuales (o subcarpetas) de los volúmenes NTFS se pueden configurar con el atributo de cifrado. Aunque se suele decir que las carpetas de archivos cuyo atributo de cifrado está activado son carpetas “cifradas”, la propia carpeta no está cifrada, y no se necesita un par de claves pública y privada para activar el atributo de cifrado de una carpeta. Cuando se activa el cifrado de una carpeta, EFS cifra automáticamente los siguientes elementos: • Todos los archivos nuevos que se crean en la carpeta. • Todos los archivos de texto sin formato que se copian o mueven a la carpeta. • Opcionalmente, todos los archivos y las subcarpetas existentes. EFS también puede cifrar los archivos sin conexión, que en Windows 2000 reciben el nombre de caché en el lado cliente. Cifrado de archivos sin conexión Windows 2000 presentó la funcionalidad de caché en el lado cliente, que ahora recibe el nombre de archivos sin conexión. Se trata de una tecnología de administración Microsoft IntelliMirror® que permite el acceso de los usuarios a los archivos compartidos de la red aunque el equipo cliente esté desconectado. Cuando están desconectados de la red, los usuarios móviles pueden seguir explorando, leyendo y editando los archivos porque se han guardado en la caché del equipo cliente. Cuando el usuario se vuelve a conectar al servidor, el sistema reconcilia los cambios con el servidor. El cliente Windows XP Professional puede utilizar EFS para cifrar los archivos y carpetas sin conexión. Esta característica es particularmente atractiva para los profesionales que viajan y necesitan trabajar periódicamente sin conexión sin renunciar a la seguridad de los datos. Cifrado de la base de datos de archivos sin conexión Ahora existe la posibilidad de cifrar la base de datos de archivos sin conexión. Se trata de una mejora con respecto a Windows 2000, que no permitía cifrar los archivos guardados en la caché. Windows XP ofrece la posibilidad de cifrar la base de datos de archivos sin conexión para proteger todos los documentos guardados en la caché local contra el robo y, al mismo tiempo, dotarlos de mayor seguridad. Por ejemplo, puede utilizar los archivos sin conexión y mantener al mismo tiempo la seguridad de sus datos confidenciales. Asimismo, los administradores pueden utilizar esta característica para proteger todos los Novedades de seguridad de Windows XP 22 documentos guardados en la caché local. Los archivos sin conexión son un medio de protección excelente en caso de robo de un equipo móvil con datos confidenciales almacenados en la caché. Esta característica permite cifrar y descifrar la totalidad de la base de datos de archivos sin conexión. La configuración del cifrado de este tipo de archivos requiere privilegios administrativos. Para cifrar los archivos sin conexión, vaya a Opciones de carpeta en el menú Herramientas de Mi PC y marque la opción Cifrar los archivos sin conexión para proteger los datos de la ficha Archivos sin conexión. Consulte en la Figura 7 las opciones de cifrado de la base de datos de archivos sin conexión. Figura 7. Cifrado de la base de datos de archivos sin conexión Operaciones EFS remotas con archivos compartidos y carpetas Web Puede cifrar y descifrar los archivos almacenados en recursos compartidos de archivos de red o en carpetas Web WebDAV (Web Distributed Authoring and Versioning). Las carpetas Web ofrecen muchas ventajas en comparación con los recursos compartidos de archivos; Microsoft recomienda su uso siempre que sea posible para el almacenamiento remoto de archivos cifrados. Novedades de seguridad de Windows XP 23 Las carpetas Web requieren un menor esfuerzo administrativo y son más seguras que los recursos compartidos de archivos. También pueden guardar y distribuir con seguridad archivos cifrados a través de Internet por medio de transferencias estándar HTTP. El uso de recursos compartidos de archivos para las operaciones EFS remotas requiere un entorno de dominios de Windows 2000 o posterior, ya que EFS debe suplantar al usuario por medio de la delegación del protocolo Kerberos para cifrar y descifrar los archivos. Diferencia principal La principal diferencia entre las operaciones EFS remotas con archivos almacenados en recursos compartidos y en carpetas Web es el lugar en que se producen las operaciones. Cuando los archivos residen en recursos compartidos, todas las operaciones EFS tienen lugar en el equipo en que están almacenados los archivos. Por ejemplo, si se conecta a un recurso compartido de archivos de red y elige abrir un archivo previamente cifrado, el archivo se descifra en el equipo en que reside y después se transmite como texto sin formato a través de la red hasta su equipo. Cuando los archivos están almacenados en carpetas Web, todas las operaciones EFS se llevan a cabo en el equipo local. Por ejemplo, si se conecta a una carpeta Web y opta por abrir un archivo previamente cifrado, el archivo se transmite cifrado hasta su equipo, donde EFS lo descifra. La diferencia del equipo en que se llevan a cabo las operaciones de EFS también explica la razón por la que los recursos compartidos de archivos requieren una configuración administrativa mayor que las carpetas Web. Operaciones EFS remotas en un entorno de carpetas Web Cuando se abren archivos cifrados almacenados en carpetas Web, permanecen cifrados durante la transferencia y EFS los descifra localmente. Tanto la carga como la descarga hacia y desde las carpetas Web son transferencias de datos sin procesar, por lo que aunque un intruso lograra tener acceso a los datos durante la transmisión de un archivo cifrado, los datos capturados carecerían de utilidad. El uso de EFS con carpetas Web hace innecesario utilizar software especializado para compartir con seguridad archivos cifrados entre usuarios, empresas u organizaciones. Los archivos se pueden almacenar en servidores de archivos comunes de la intranet o en comunidades de Internet para obtener un acceso fácil y mantener la seguridad con EFS. Redirector WebDAV El Redirector WebDAV es un minirredirector compatible con el protocolo WebDAV, una extensión de la versión 1.1 del estándar HTTP, que permite compartir documentos remotos mediante HTTP. El Redirector WebDAV es compatible con las aplicaciones existentes y permite que los servidores HTTP compartan archivos a través de Internet (por ejemplo, a través de servidores de seguridad o enrutadores). Los Servicios de Internet Information Server (IIS) versión 5.0 (Windows 2000) admiten el uso de carpetas Web. El acceso a las carpetas Web se realiza del mismo modo que el acceso a los recursos compartidos de archivos. Puede asignar una unidad de red a una carpeta Web con el comando Net Use o con el Explorador de Windows. Una vez conectado a la carpeta Web, puede copiar, cifrar o descifrar archivos tal y como lo haría con los archivos almacenados en recursos compartidos. Novedades de seguridad de Windows XP 24 Servicios de Certificate Server Los Servicios de Certificate Server son la parte del sistema operativo que permite a una empresa actuar como su propio emisor de certificados (CA) para emitir y administrar certificados digitales. Windows XP Professional tiene soporte para varios niveles jerárquicos de CA y una red de confianza con certificación cruzada que incluye emisores de certificados sin conexión y en línea. Almacenamiento de certificados y claves públicas Windows XP Professional guarda los certificados de clave pública en el almacén de certificados personales. Los certificados se almacenan en texto sin formato porque su información es pública, e incluyen la firma digital de los emisores de certificados para evitar su falsificación. Los certificados de usuario residen en la carpeta Documents and Settings \nombreusuario\ApplicationData\ Microsoft\SystemCertificates\My\Certificates correspondiente a cada perfil de usuario. Los certificados se escriben en el almacén personal del registro del sistema cada vez que el usuario inicia una sesión en el equipo. En el caso de los perfiles móviles, los certificados se pueden almacenar en cualquier carpeta y acompañarán al usuario cuando inicie una sesión en otro equipo del dominio. Almacenamiento de claves privadas Las claves privadas para los proveedores de servicios de cifrado (CSP) basados en Microsoft, incluidos Base CSP y Enhanced CSP, residen en el perfil de usuario, en la carpeta RootDirectory\Documents and Settings\nombreusuario\Application Data\Microsoft\Crypto\RSA. En el caso de los perfiles móviles de usuario, la clave privada se guarda en la carpeta RSA del controlador de dominio y se descarga al equipo, donde permanece hasta que se cierra la sesión o se reinicia el equipo. Dado que es necesario proteger las claves privadas, todos los archivos de la carpeta RSA se cifran automáticamente con una clave simétrica aleatoria denominada clave de sesión del usuario. La clave de sesión del usuario tiene una longitud de 64 bytes y se obtiene con un generador de números aleatorios seguro. Las claves 3DES se derivan a partir de la clave de sesión y se utilizan para proteger las claves privadas. La clave de sesión se genera de forma automática y se renueva periódicamente. Cuando se almacena en el disco, la clave de sesión se protege con el algoritmo Triple-DES mediante una clave basada en una parte de la contraseña del usuario. Se utiliza para cifrar automáticamente todos los archivos de la carpeta RSA a medida que se crean. Inscripción automática de certificados de usuario En Windows 2000 se presentó la inscripción automática de certificados de usuario. La inscripción automática de certificados de equipo o controlador de dominio se realiza a través de la directiva de grupo y de Microsoft Active Directory™. Esta característica resulta útil para establecer una conexión a una VPN IPSec o L2TP/IPSec con servidores Windows XP de Enrutamiento y acceso remoto y otros dispositivos similares. La inscripción automática de certificados reduce el costo total de propiedad y simplifica el ciclo de vida de la administración de certificados, tanto para los usuarios como para los administradores. Las características de inscripción automática y registro automático de tarjetas inteligentes mejoran la seguridad de los usuarios de la empresa y simplifican los procesos de seguridad de las organizaciones preocupadas por la seguridad. Novedades de seguridad de Windows XP 25 Petición y renovación de certificados pendientes La inscripción automática de usuarios de Windows XP Professional admite funciones de petición y renovación de certificados pendientes. Puede solicitar manual o automáticamente un certificado a un CA Windows .NET Server. La petición se mantiene hasta que se recibe la aprobación administrativa o se completa el proceso de verificación. Una vez aprobado o emitido el certificado, se completa el proceso de inscripción automática y los certificados se instalan automáticamente. El proceso de renovación de certificados de usuario caducados también aprovecha el mecanismo de inscripción automática. Los certificados se renuevan automáticamente en nombre del usuario dependiendo de las especificaciones de la plantilla de certificado de Active Directory. Los certificados y las claves están protegidos de forma predeterminada. Además, puede implementar medidas adicionales de seguridad para mejorar la protección. Si necesita aumentar la seguridad de sus certificados y claves, puede exportar las claves privadas y almacenarlas en una ubicación segura. La Figura 8 muestra algunas de las opciones disponibles para la configuración de la inscripción automática de certificados. Figura 8. Propiedades de configuración de inscripción automática Administración de credenciales La administración de credenciales de Windows XP consta de tres componentes: la interfaz de usuario (UI) de solicitud de credenciales, los nombres de usuario y contraseñas almacenados y el conjunto de claves. Juntos, los tres componentes configuran una solución de inicio de sesión único. Solicitud de credenciales Una aplicación muestra la UI de solicitud de credenciales cuando el paquete de autenticación devuelve un error de autenticación (sólo si la UI está implementada en la aplicación). Novedades de seguridad de Windows XP 26 El cuadro de diálogo permite introducir un nombre de usuario y una contraseña o seleccionar un certificado X.509 del objeto Mi almacén. La aplicación también puede mostrar la casilla de verificación Recordar contraseña, que permite introducir y guardar la credencial para utilizarla más adelante. Los paquetes de autenticación integrados (por ejemplo, el protocolo Kerberos, NTLM, SSL, etc.) son los únicos que permiten guardar las credenciales. Si utiliza la autenticación básica, seguirá apareciendo la UI de solicitud de credenciales, pero no tendrá la opción de guardar su credencial. Consulte en la Figura 9 un ejemplo de la UI de solicitud de credenciales. Figura 9. Interfaz de usuario de solicitud de credenciales Nombres de usuario y contraseñas almacenados Nombres de usuario y contraseñas almacenados es un almacén seguro y móvil en el que se guardan las credenciales. El acceso a las credenciales está controlado por la Configuración de seguridad local (LSA). Las credenciales que se almacenan se basan en la información de destino que devuelve el recurso. Cuando se marca la casilla de verificación Recordar contraseña de la UI de solicitud de credenciales para guardar la credencial, ésta se almacena de la forma más general posible. Por ejemplo, si obtiene acceso a un servidor específico de un dominio, la credencial se podría guardar como *.domain.com. Al guardar otra credencial para otro servidor del mismo dominio, el sistema no sobrescribiría la primera credencial, sino que la guardaría con una información de destino más específica. Cuando se obtiene acceso a un recurso a través de un paquete de autenticación integrado, éste examina los nombres de usuario y contraseñas almacenados para encontrar la credencial más específica que coincida con la información de destino devuelta por el recurso. Si la encuentra, el paquete de autenticación la utiliza sin ninguna interacción con el usuario. En caso contrario, se devuelve un error de autenticación a la aplicación que intenta tener acceso al recurso. Nota La aplicación que obtiene acceso al recurso no necesita implementar la UI de solicitud de credenciales para utilizar esta autenticación directa. Si la aplicación utiliza un paquete de autenticación integrado, éste intentará recuperar la credencial. De hecho, si introdujo la credencial, sólo la podrá recuperar el paquete de autenticación. Novedades de seguridad de Windows XP 27 Consulte en las Figuras 10, 11a y 11b distintos ejemplos de UI de administración de contraseñas. Figura 10. UI de administración de contraseñas clásica (Windows XP Professional en un dominio) Figura 11a. UI de administración de contraseñas detallada (Windows XP Home Edition y Windows XP Professional en un grupo de trabajo) Novedades de seguridad de Windows XP 28 Figura 11b. UI de administración de contraseñas detallada (Windows XP Home Edition y Windows XP Professional en un grupo de trabajo) Conjunto de claves El conjunto de claves permite administrar manualmente las credenciales que residen en los nombres de usuario y contraseñas almacenados. El acceso al conjunto de claves se obtiene con la aplicación Panel de control de cuentas de usuario. El conjunto de claves contiene la lista de todas las credenciales almacenadas en los nombres de usuario y contraseñas. Al resaltar una credencial, aparece una breve descripción de la misma en un campo situado en la parte inferior de la lista. Desde allí puede agregar una nueva credencial y modificar o eliminar una credencial existente. • Agregar una credencial. Para agregar una credencial utilizará una UI similar a la de solicitud de credenciales en la que deberá escribir la información de destino. Recuerde que la información de destino puede contener comodines en forma de “*”. • Modificar una credencial. La modificación de una credencial permite cambiar tanto la información de destino como las propias credenciales. Si se trata de una credencial de nombre de usuario y/o contraseña, puede cambiar desde aquí la contraseña del servidor. No podrá utilizar la UI de solicitud de credenciales para modificar credenciales creadas específicamente por una aplicación. Por ejemplo, no puede modificar credenciales de Passport. • Eliminar una credencial. Puede eliminar cualquier credencial. Novedades de seguridad de Windows XP 29 La posibilidad de guardar credenciales en nombres de usuario y contraseñas almacenados se puede activar y desactivar a través de la directiva de grupo. Para permitir que otros desarrolladores de software utilicen este mecanismo, la API de solicitud de credenciales y la API de credenciales subordinada se documentan en el kit de desarrollo de software de la plataforma (SDK). Cambio rápido de usuario Windows XP Professional ofrece todas las características de cambio rápido de usuario disponibles en Windows® XP Home Edition. (Consulte Cambio rápido de usuario en la sección Windows XP Home Edition de este documento para obtener más información.) En los equipos que ejecutan Windows XP Professional sin estar conectados a un dominio, puede cambiar de una cuenta de usuario a otra sin necesidad de cerrar la sesión ni salir de las aplicaciones. Nota Sólo se puede utilizar el cambio rápido de usuario del sistema operativo Windows XP Professional cuando el equipo forma parte de un grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las opciones de inicio de sesión dependerán de las directivas configuradas por el administrador de TI. Intimidad personal Los aspectos relativos a la intimidad que afectan a los usuarios de Windows XP Home Edition son también válidos para los usuarios de Windows XP Professional. (Consulte Intimidad personal en la sección Windows XP Home Edition de este documento para obtener más información.) Nota: si utiliza Windows XP Professional como parte de un grupo de trabajo o en una configuración independiente, las características de confidencialidad disponibles serán distintas de las que podría utilizar si el equipo formara parte de un dominio. Cuando el equipo forma parte de un dominio, prevalecen las directivas definidas por el administrador del sistema. Conexión compartida a Internet Windows XP Professional ofrece todas las características ICS disponibles en Windows XP Home Edition. (Consulte Conexión compartida a Internet en la sección Windows XP Home Edition de este documento para obtener más información.) Directiva de grupo sensible a la ubicación de ICS Una de las características únicas de ICS en Windows XP Professional es su directiva de grupo sensible a la ubicación, de gran ayuda para los usuarios móvi les. Cuando un equipo Windows XP Professional es miembro de un dominio, el administrador del dominio puede crear una directiva de grupo que impida el uso de Conexión compartida a Internet en la red corporativa. Si lleva su equipo a casa, podrá utilizar Conexión compartida a Internet porque la directiva no está relacionada con su red doméstica. Novedades de seguridad de Windows XP 30 Nota: la Conexión compartida a Internet del sistema operativo Windows XP Professional sólo se puede utilizar cuando el equipo forma parte de un grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las opciones de conexión a Internet dependerán de las directivas configuradas por el administrador de TI. Servidor de seguridad de conexión a Internet Windows XP Professional ofrece todas las características del servidor de seguridad de conexión a Internet disponibles en Windows® XP Home Edition. El Servidor de seguridad de conexión a Internet (ICF) de Windows XP Professional protege de las amenazas de seguridad a los equipos de escritorio y móviles que utilizan conexiones DSL, de módem por cable o de módem de acceso telefónico a un proveedor de servicios de Internet (ISP). Directiva de grupo sensible a la ubicación del ICF Una de las características únicas del ICF de Windows XP Professional es su directiva de grupo sensible a la ubicación. Es de ayuda para los usuarios móviles que desean proteger sus equipos móviles de trabajo cuando están en casa o en lugares tales como hoteles, aeropuert os u otras zonas activas de conexión a Internet. Cuando un equipo Windows XP Professional es miembro de un dominio, el administrador del dominio puede crear una directiva de grupo que impida el uso del ICF mientras el equipo está conectado a la red corporativa. De esta forma, el portátil puede utilizar los recursos de la red empresarial sin ninguna complejidad adicional para el usuario ni el administrador de la red. Cuando trabaje con el equipo en casa o en una zona activa de conexión pública a Internet, podrá utilizar el ICF, ya que la directiva no se aplica fuera de la red de la empresa. Funcionamiento del ICF El ICF funciona como un filtro de paquetes de inspección de estado que comparte tecnología con ICS. Aunque la característica ICF es independiente, también puede ejecutarla en el adaptador compartido para proteger su red doméstica. Cuando está habilitado, el filtro de inspección de estado bloquea todas las conexiones no solicitadas que procedan de la interfaz de red pública. Para ello, el ICF utiliza la tabla de flujo de traducción de direcciones de red (NAT) para validar todos los flujos entrantes. Sólo se permite la entrada de los flujos de datos si existe una asignación en la tabla de flujo NAT que proceda del sistema del servidor de seguridad o de la red interna protegida. En otras palabras, los datos entrantes se eliminan si la comunicación de red no procede de la red protegida. Cuando utilice el ICF de Windows XP Professional, podrá estar seguro de que los piratas informáticos no serán capaces de examinar sus sistemas ni de conectarse a sus recursos. Sin embargo, existe un inconveniente. El servidor de seguridad hará que sea más difícil configurar el sistema para funcionar como servidor de otros equipos a través de Internet. Nota El ICF del sistema operativo Windows XP Professional sólo se puede utilizar cuando el equipo forma parte de un grupo de trabajo o funciona de forma independiente. Si el equipo forma parte de un dominio, las características y posibilidades del servidor de seguridad dependerán de las directivas configuradas por el administrador de TI. Novedades de seguridad de Windows XP 31 Configuración de directivas de grupo relacionadas con la seguridad Windows XP incluye plantillas de seguridad, colecciones preconfiguradas de directivas relacionadas con la seguridad que permiten garantizar el nivel de seguridad adecuado en las estaciones de trabajo. Las plantillas representan configuraciones estándar de seguridad baja, media y alta y se pueden adaptar a distintas necesidades. También puede establecer directivas de seguridad para la administración de contraseñas; por ejemplo: • Determinar la longitud mínima de las contraseñas. • Definir el intervalo de cambio de las contraseñas. • Controlar el acceso a los recursos y los datos. Directivas de restricción de software Las directivas de restricción de software proporcionan a los administradores un mecanismo impulsado por directivas para identificar el software que se encuentra en ejecución en su dominio y controlar su capacidad de ejecución. El administrador puede utilizar una directiva de restricción de software para impedir la ejecución de aplicaciones no deseadas, como virus, caballos de Troya u otros programas cuya instalación provoque conflictos. Uso de directivas de restricción de software Si es un administrador, puede utilizar una directiva de restricción de software para limitar la ejecución a un conjunto de aplicaciones en las que confía. Para dar a conocer las aplicaciones a la directiva, se puede utilizar la ruta del archivo, el hash del archivo, el certificado firmante de Microsoft® Authenticode® o la zona Internet. Una vez identificada, el sistema aplica las directivas definidas por el administrador. Las directivas de restricción de software también se pueden usar como protección contra virus basados en secuencias de comandos y caballos de Troya. Un administrador puede configurar una directiva de restricción de software para impedir la ejecución de cualquier secuencia de comandos que no esté firmada por un miembro de la organización de TI. Esta medida evita cualquier virus basado en una secuencia de comandos, como ILOVEYOU.VBS. Las directivas de restricción de software también permiten regular las aplicaciones que pueden instalar los usuarios en sus equipos. Para utilizar este tipo de directivas en un equipo independiente, es preciso configurar la directiva de seguridad local. Las directivas de restricción de software también se integran con la directiva de grupo y Active Directory. Es posible personalizar distintas directivas para distintos conjuntos de usuarios o equipos. También se puede utilizar un equipo Windows XP para crear una directiva de restricción de software en un entorno Windows 2000. Los equipos Windows 2000 del dominio ignorarán la directiva de restricción de software, mientras que los equipos Windows XP la aplicarán. Creación de una directiva de restricción de software Las directivas de restricción de software se crean con el complemento Directiva de grupo de Microsoft Management Console (MMC). Una directiva se compone de una regla predeterminada que define si se permite la ejecución de los programas y cuáles son las excepciones a la regla. La regla predeterminada Novedades de seguridad de Windows XP 32 puede configurarse como irrestricto o no permitido, es decir, “ejecutar” o “no ejecutar”. Al configurar la regla como "irrestricto", el administrador puede definir en las excepciones el conjunto de programas que no se pueden ejecutar. Otro método más seguro consiste en configurar la regla predeterminada como “no permitido” y especificar únicamente los programas que se conocen y en los que se confía. Dos tipos de directivas de restricción de software Existen dos formas de utilizar las directivas de restricción de software. Si los administradores han identificado todo el software que se puede ejecutar, pueden utilizar una directiva de restricción de software para limitar la ejecución a la lista de aplicaciones de confianza. En cambio, si los administradores no conocen todas las aplicaciones que ejecutarán los usuarios, tendrán que reaccionar sobre la marcha y restringir las aplicaciones inadecuadas a medida que las identifiquen. Las directivas de restricción de software se pueden aplicar en las siguientes situaciones: • Permitir únicamente la ejecución de código en el que se confía. Si se puede identificar todo el código en el que se confía, el administrador puede bloquear eficazmente el sistema. Los siguientes ejemplos indican dónde se puede aplicar una directiva de tipo “permitir únicamente la ejecución de código en el que se confía”: − Estación de aplicaciones − Estación de tareas − Quiosco En estos casos, la regla predeterminada sería “no permitir”. Las excepciones a la regla permitirían ejecutar solamente las aplicaciones en las que se confía. Un ejemplo de esta directiva sería un equipo en el que sólo se deben ejecutar determinadas aplicaciones y en el que los usuarios no deben poder instalar otro software. Un administrador puede crear una directiva que sólo permita ejecutar Microsoft Word y Microsoft Excel en el equipo. Si el usuario descarga un programa o intenta ejecutarlo desde un disquete, la directiva lo impedirá porque no figura en la lista definida de programas de confianza. • Impedir la ejecución de código no deseado. En algunos casos, un administrador no puede predecir la lista completa del software que necesitarán los usuarios, por lo que sólo podrá reaccionar e identificar el código no deseado a medida que lo descubra. Las empresas que administran sus clientes de forma poco estricta entrarían en esta categoría. Las siguientes situaciones son ejemplos de este caso: − Equipos personales con escasa administración − Equipos personales con un nivel moderado de administración Por ejemplo, si el administrador descubre que muchos usuarios ejecutan una aplicación de archivos compartidos que consume gran parte del ancho de banda, puede definir una regla que identifique e impida la ejecución del programa. Si los usuarios instalan un programa que provoca conflictos con el software existente, el administrador puede crear una regla que identifique el programa de instalación de dicho software para impedir su ejecución. Consulte en la Figura 12 un ejemplo de configuración de directiva de restricción de software. Novedades de seguridad de Windows XP 33 Figura 12. Directivas de restricción de software: Configuración de seguridad local Reglas de identificación de software Para identificar el software, un administrador puede utilizar una de las siguientes reglas: • Regla de hash . El complemento MMC de una directiva de restricción de software permite al administrador buscar un archivo e identificar el programa calculando su valor hash. Un hash es una huella digital que identifica de manera única un programa o archivo. El archivo mantiene siempre el mismo hash aunque cambie de nombre o se mueva a otro equipo. • Regla de ruta. Una regla de ruta permite identificar software mediante un nombre completo de ruta, como C:\Archivos de programa\Microsoft Office\Office\excel.exe, o mediante el nombre de la ruta que conduce hasta la carpeta que contiene el programa, como C:\Windows\System32. (En este caso, se identificarían todos los programas del directorio y de sus subdirectorios.) Las reglas de ruta también pueden utilizar variables de entorno, como %userprofile%\Local Settings\Temp. • Regla de certificado. Una regla de certificado identifica el software a través del certificado del editor que contiene la firma digital del programa. Por ejemplo, un administrador puede configurar una regla de certificado que sólo permita instalar software firmado por Microsoft o su organización de TI. • Regla de zona. Una regla de zona identifica el software que procede de Internet, la intranet local, sitios de confianza o zonas de sitios restringidos. Control del software con firma digital Las directivas de restricción de software mejoran la capacidad del administrador para controlar el software con firma digital de las siguientes formas: • Limitación de los controles Microsoft ActiveX®. Un administrador puede especificar los controles ActiveX que podrán ejecutarse desde un dominio en Internet Explorer por medio de una directiva de restricción de software que enumere los certificados de editor de software en los que se confía. Si el editor de un control ActiveX figura en la lista de editores de confianza, su software se ejecutará automáticamente cuando se descargue. Una directiva de restricción de software también puede contener la lista de editores no permitidos para evitar automáticamente la ejecución de sus controles ActiveX. Novedades de seguridad de Windows XP 34 También es posible controlar quién puede tomar la decisión de confiar en un editor desconocido en el que no se confíe ni desconfíe explícitamente. Las directivas de restricción de software se pueden configurar para permitir que los administradores locales o los administradores de dominio sean los únicos que puedan decidir en qué editores se confía y evitar que los usuarios tomen estas decisiones. • Uso de Windows Installer. Los programas que se instalan con Windows Installer pueden incluir una firma digital. Con una directiva de restricción de software, un administrador puede determinar que sólo se instale el software con firma digital de determinados editores de software. Windows Installer comprobará la presencia de una firma aprobada antes de instalar el software en el equipo. • Uso de Microsoft Visual Basic® Script. Los archivos de Visual Basic Script pueden incorporar una firma digital. Un administrador puede configurar una directiva de restricción de software para que sólo se puedan ejecutar los archivos de Visual Basic Script (.vbs) que incluyan la firma digital de un editor de software autorizado. Seguridad del Protocolo Internet (IPSec) La seguridad de red basada en IP es casi una necesidad universal en el mundo empresarial actual, conectado a través de Internet, intranets, sucursales y acceso remoto. El tráfico de información confidencial en las redes es constante, lo que plantea a los administradores de red y demás profesionales de los servicios de información el reto de garantizar los siguientes aspectos: • Protección contra la modificación de datos durante el tránsito. • Protección contra la interceptación, la visualización o la copia. • Protección contra la suplantación por terceros no autenticados. • Protección contra la captura y la posterior reproducción del tráfico para obtener acceso a recursos confidenciales; ésta es una práctica habitual de uso ilícito de contraseñas cifradas. Estos servicios de seguridad se denominan integridad de los datos, confidencialidad de los datos, autenticación de los datos y protección contra la reproducción. Por qué es necesario IPSec IP carece de un mecanismo predeterminado de seguridad, y los paquetes IP se pueden leer, modificar, reproducir y falsificar fácilmente. Sin seguridad, tanto las redes públicas como privadas pueden ser objeto de vigilancia y acceso no autorizados. Los ataques internos pueden ser el resultado de una seguridad mínima o inexistente en la intranet. En cambio, los riesgos que proceden del exterior de la red privada tienen su origen en las conexiones a Internet y a las extranets. En sí mismos, los controles de acceso de los usuarios basados en contraseña no protegen los datos que se transmiten a través de la red. Como resultado, la organización Internet Engineering Task Force (IETF) diseñó IPSec para ofrecer seguridad a nivel de red mediante la autenticación, integridad y confidencialidad de los datos y la protección contra la reproducción de los mismos. IPSec se integra en la seguridad de Windows 2000 y Windows XP Professional para crear la plataforma idónea para proteger las comunicaciones de la intranet y de Internet. Utiliza algoritmos estándar y un completo enfoque de administración de seguridad que protege todas las comunicaciones TCP/IP a ambos lados del servidor de seguridad de una organización. El resultado es la Novedades de seguridad de Windows XP 35 estrategia de seguridad de extremo a extremo de Windows 2000 y Windows XP Professional, que protege de los ataques tanto externos como internos. La seguridad IP se implanta por debajo del nivel de transporte, lo que ahorra a los administradores de la red la dificultad y el gasto de implementar y coordinar la seguridad a nivel de aplicación. Con la implantación de IPSec de Windows XP Professional y Windows 2000, los administradores de la red ofrecen un nivel de protección segura a la totalidad de la red, y las aplicaciones obtienen automáticamente la protección de los servidores y clientes compatibles con IPSec. Consulte en la Figura 13 un ejemplo de configuración IPSec. Figura 13. IPSec: Configuración de seguridad local Métodos empleados por la seguridad IP para evitar los ataques a la red Sin medidas de seguridad, los datos pueden ser objeto de ataque. Algunos ataques son pasivos: la información sólo se supervisa. Otros son activos: la información se altera en un intento de dañar o destruir los datos o la propia red. La Tabla 1 muestra algunos de los riesgos de seguridad más frecuentes de las redes actuales y explica cómo utilizar IPSec para evitarlos. Tabla 1 Tipos de ataques de red y prevención de los mismos con IPSec Tipo de ataque Descripción Medida de prevención de IPSec Interceptación (también denominada husmear o fisgar) Supervisión de paquetes de texto sin formato o sin cifrar. Los datos se cifran antes de la transmisión, lo que impide el acceso aunque el paquete se supervise o intercepte. Los interlocutores son los únicos que conocen la clave de cifrado. Modificación de datos Alteración y transmisión de paquetes modificados. Cada paquete va acompañado de una suma de comprobación de cifrado que se calcula procesando los datos con algoritmos hash. El equipo receptor comprueba la suma para detectar cualquier modificación. Novedades de seguridad de Windows XP 36 Tipo de ataque Descripción Medida de prevención de IPSec Falsificación de identidad Uso de paquetes generados o capturados para suplantar la identidad de una dirección válida. Se utiliza el protocolo Kerberos versión 5, los certificados de clave pública o las claves previamente compartidas para autenticar a los interlocutores antes de iniciar una comunicación segura. Denegación de servicio Impedir el acceso a la red a los usuarios válidos; por ejemplo, saturar la red con tráfico de paquetes. Posibilidad de bloquear los puertos y los protocolos. Intermediario Desvío de los paquetes IP hacia un tercero para examinarlos y alterarlos. Autenti cación de los interlocutores. Clave conocida Se utiliza para descifrar o modificar los datos. En Windows XP Professional, las claves criptográficas se actualizan periódicamente, lo que reduce la posibilidad de que una clave capturada permita obtener acceso a la información protegida. Ataque a nivel de aplicación Este tipo de ataque va dirigido principalmente a los servidores de aplicaciones y se utiliza para provocar un error en el sistema operativo o las aplicaciones de la red o para introducir virus en la red. Dado que IPSec se implementa a nivel de red, los paquetes que no superan los filtros de seguridad a dicho nivel no llegan a las aplicaciones, lo que protege tanto a éstas como al sistema operativo. Mecanismos basados en cifrado IPSec evita los ataques mediante el uso de mecanismos basados en cifrado. Dichos mecanismos procesan la información con algoritmos hash y la cifran, lo que permite transmitirla de forma segura. La información se protege mediante la combinación de un algoritmo y una clave: • El algoritmo es el proceso matemático mediante el cual se protege la información. • Una clave es el código o número secreto necesario para leer, modificar o verificar los datos protegidos. IPSec utiliza un mecanismo basado en directivas para determinar el nivel de seguridad que requiere una sesión de comunicación. Las directivas se pueden distribuir en una red a través de los controladores de dominio de Windows® 2000. También se pueden crear y almacenar localmente en el registro de un equipo Windows XP Profes sional. Funcionamiento de IPSec Antes de transmitir ningún dato, un equipo habilitado para IPSec negocia el nivel de seguridad que se debe mantener durante la sesión de comunicaciones. Durante la negociación, se determina el método de autenticación, un método de hash, un método de túnel (opcional) y un método de cifrado (también opcional). Cada equipo determina localmente las claves secretas de autenticación a partir de la información intercambiada durante la negociación. Las claves reales nunca se transmiten. Una vez generada la clave, las identidades se autentican y puede empezar el intercambio de datos seguro. Novedades de seguridad de Windows XP 37 El nivel de seguridad resultante puede ser bajo o alto, dependiendo de la directiva de seguridad IP del equipo emisor o receptor. Por ejemplo, una sesión de comunicación entre un equipo Windows XP Professional y un host no compatible con IPSec puede no requerir un canal de transmisión seguro. En cambio, una sesión de comunicación entre un servidor Windows 2000 que contiene información confidencial y un host de la intranet puede requerir alta seguridad. Soporte para tarjetas inteligentes Una tarjeta inteligente es una tarjeta de circuitos integrados (ICC) de tamaño similar al de una tarjeta de crédito. La puede utilizar para almacenar certificados y claves privadas y para realizar operaciones de cifrado de clave pública, como la autenticación, la firma digital o el intercambio de claves. La tarjeta inteligente mejora la seguridad de las siguientes formas: • Proporciona un almacenamiento a prueba de falsificaciones para las claves privadas y otras formas de identificación personal. • Aísla los cálculos de seguridad críticos relacionados con la autenticación, las firmas digitales y el intercambio de claves de las partes del sistema que no necesitan estos dat os. • Permite trasladar las credenciales y otra información privada de un equipo a otro (por ejemplo, desde el trabajo a casa o a un equipo remoto). Un PIN en lugar de una contraseña Las tarjetas inteligentes utilizan un número de identificación personal (PIN) en lugar de una contraseña. La tarjeta dispone de un PIN seleccionado por su propietario que la protege contra el riesgo de uso indebido. Para utilizarla, se introduce en un lector de tarjetas inteligentes conectado a un equipo y se introduce el PIN. La protección que ofrece un PIN es superior a la de una contraseña de red estándar. Las contraseñas (o sus derivaciones, por ejemplo, hash) viajan por la red y están sujetas a la interceptación. La seguridad de la contraseña depende de su longitud, de la calidad de su protección y de la dificultad que tenga un intruso para intentar adivinarla. En cambio, el PIN nunca viaja por la red. Además, las tarjetas inteligentes sólo admiten un número limitado de intentos (generalmente, entre tres y cinco) de introducción del PIN correcto antes de quedar automáticamente bloqueadas. Una vez alcanzado el límite, la introducción del PIN correcto no tiene ningún efecto y el usuario debe ponerse en contacto con un administrador del sistema para desbloquear la tarjeta. Estándares de tarjetas inteligentes Windows 2000 admite el uso de las tarjetas inteligentes estándar compatibles con Personal Computer/Smart Card (PC/SC) y los lectores Plug and Play que cumplen las especificaciones desarrolladas por la organización PC/SC Workgroup. Para funcionar con Windows 2000 Server y Windows XP Professional, una tarjeta inteligente debe ajustarse física y electrónicamente a los estándares ISO 7816-1, 7816-2 y 7816-3. Los lectores de tarjetas inteligentes se conectan a las interfaces de periféricos estándar de un PC, como RS 232, PC Card y bus serie universal (USB). Algunos lectores RS -232 incorporan un cable de alimentación adicional que se conecta al puerto PS/2. No obstante, el lector no se comunica a través de dicho puerto. Novedades de seguridad de Windows XP 38 Los lectores son dispositivos estándar de Windows y disponen de un descriptor de seguridad y un identificador Plug and Play. Los lectores de tarjetas inteligentes se controlan con controladores de dispositivos estándar de Windows que se pueden instalar y eliminar con el Asistente para hardware. Windows 2000 Server y Windows XP Professional incluyen controladores para distintos lectores comerciales de tarjetas inteligentes Plug and Play certificados para exhibir el logotipo de compatibilidad con Windows. Algunos fabricantes pueden proporcionar controladores para lectores no certificados que funcionan con el sistema operativo Windows. Sin embargo, para garantizar el soporte continuo de Microsoft, se recomienda adquirir únicamente lectores de tarjetas inteligentes que exhiban el logotipo de compatibilidad con Windows. Iniciar una sesión con una tarjeta inteligente Las tarjetas inteligentes sólo permiten iniciar sesiones con cuentas de dominio, no con cuentas locales. Si utiliza una contraseña para iniciar una sesión de forma interactiva con una cuenta de dominio, Windows 2000 Server y Windows XP Professional utilizan el protocolo Kerberos V5 para la autenticación. Si utiliza una tarjeta inteligente, el sistema operativo utiliza la autenticación Kerberos versión 5 con cert ificados X.509 v3 a menos que el controlador del dominio no ejecute Windows 2000 Server. • Para iniciar una sesión con el método habitual, debe demostrar su identidad al servicio Centro de distribución de claves (KDC) de Kerberos proporcionando información que sólo usted y el KDC conocen. La información secreta es una clave compartida de cifrado que se calcula a partir de su contraseña. Una clave secreta compartida es simétrica, es decir, que se utiliza la misma clave para el cifrado y el descifrado. • Para el inicio de sesión con una tarjeta inteligente, Windows 2000 Server implementa una extensión de clave pública de la petición de autenticación inicial del protocolo Kerberos. A diferencia del cifrado de clave secreta compartida, el cifrado de clave pública es asimétrico, es decir, que utiliza dos claves distintas: una para cifrar y otra para descifrar. Las dos claves necesarias para realizar ambas operaciones forman un par de claves privada y pública. Cuando se utiliza una tarjeta inteligente en lugar de una contraseña, se sustituye un par de claves privada y pública almacenadas en la tarjeta con la clave secreta compartida calculada a partir de la contraseña. La clave privada sólo se almacena en la tarjeta inteligente, y la pública sólo se proporciona a los usuarios con los que se desea intercambiar información confidencial. Tarjetas inteligentes para uso administrativo Los administradores necesitan herramientas y utilidades que les permitan utilizar credenciales alternativas a fin de desarrollar su actividad normal (con privilegios de usuario normales) y sus funciones especiales administrativas. Las utilidades como Net.exe y Runas.exe cumplen esta función. En Windows XP Professional, estas herramientas admiten las credenciales de tarjeta inteligente. Protocolo de autenticación Kerberos versión 5 En Windows 2000 y Windows XP Professional, las credenciales pueden proceder de una contraseña, un tíquet Kerberos o, si el equipo dispone de un lector, una tarjeta inteligente. Novedades de seguridad de Windows XP 39 El protocolo Kerberos V5 proporciona un medio de autenticación mutua entre un cliente, como un usuario, equipo o servicio, y un servidor. Es más eficaz para los servidores que autentican clientes, incluso en los entornos de red de mayor tamaño y complejidad. La base de Kerberos El protocolo Kerberos parte de la base de que las transacciones iniciales entre clientes y servidores tienen lugar en una red abierta, un entorno en el que un usuario no autorizado puede hacerse pasar por un cliente o un servidor e interceptar o falsificar la comunicación entre los clientes y servidores autorizados. La autenticación Kerberos V5 también ofrece seguridad y eficacia en redes complejas de clientes y recursos. El protocolo Kerberos versión 5 utiliza cifrado de clave secreta para proteger las credenciales de inicio de sesión que viajan por la red. El equipo receptor puede utilizar la misma clave para descifrar las credenciales. El descifrado y los pasos posteriores los realiza el Centro de distribución de claves de Kerberos , que se ejecuta en todos los controladores de dominio como parte de Active Directory. Autenticador Las credenciales cifradas de inicio de sesión incluyen un autenticador (un elemento de información, como una marca de hora, que varía cada vez que se genera) para verificar que no se vuelvan a usar credenciales de autenticación anteriores. La respuesta cifrada del KDC al cliente incorpora un nuevo autenticador para confirmar la recepción y aceptación del mensaje original. Si se aceptan las credenciales y el autenticador del primer inicio de sesión, el KDC emite un tíquet (TGT) y la LSA lo utiliza para obtener tíquets de acceso al servicio que se pueden utilizar para obtener acceso a los recursos de red sin necesidad de volver a autenticar el cliente, ya que mantienen su validez. Los tíquets contienen datos cifrados que confirman la identidad del usuario al servicio solicitado. Exceptuando la primera introducción de una contraseña y las credenciales de tarjeta inteligente, el proceso de autenticación es transparente. Consulte en la Figura 14 un ejemplo de propiedades de regla de autenticación. Novedades de seguridad de Windows XP 40 Figura 14. Propiedades de regla de autenticación Servicio Centro de distribución de claves de Kerberos Este servicio se utiliza con el protocolo de autenticación Kerberos para autenticar las peticiones de inicio de sesión en Active Directory. Aunque Windows 2000 Server y Windows XP Professional utilizan el protocolo de autenticación Kerberos versión 5 de forma predeterminada, tanto los controladores de dominio como los equipos cliente deben ejecutar Windows 2000 o Windows XP Professional para poder utilizar la autenticación Kerberos. El protocolo NTLM es la alternativa de autenticación que se utiliza cuando no se cumplen las condiciones anteriores. Novedades de seguridad de Windows XP 41 Resumen Hay dos ediciones de Windows XP: Windows XP Home Edition, para uso doméstico, y Windows XP Professional, para empresas de todos los tamaños. En términos generales, la seguridad se ha mejorado en Windows XP para ayudar al usuario a disfrutar de una experiencia informática segura, confiable y privada. Si utiliza Windows XP Home Edition, disfrutará de servicios de seguridad que han sido diseñados para ser flexibles y tienen en cuenta una amplia variedad de situaciones de seguridad y confidencialidad a las que debe enfrentarse el usuario doméstico. Si instala Windows XP Professional en su equipo, dispondrá de las características de seguridad necesarias para las redes y la seguridad empresariales, características que ofrecen nuevas capacidades de administración que reducirán los costos de tecnologías de la información y le permitirán dedicar más tiempo a crear servicios y soluciones para la empresa. Novedades de seguridad de Windows XP 42 Vínculos relacionados • Consulte el artículo referente a las características y mejoras para redes de Windows XP en http://www.microsoft.com/windowsxp/pro/techinfo/howitworks/networking/default.asp • Para obtener más información acerca de la seguridad de Windows, visite la sección de seguridad del sitio Web de Windows 2000 en http://www.microsoft.com/windows2000/technologies/security/default.asp. Novedades de seguridad de Windows XP 43