windows nt

UNIVERSIDAD AUTONOMA METROPOLITANA
IZTAPALAPA
CIENCIAS BASICAS E INENIERIA
PROYECTO TERMINAL II
Windows NT: Administración v Aplicaciones
ALUMNOS:
92322271
Ián 92221975
ASESOR
México D.F. a 4 de Febrero de 1999
Indice
INDICE
Página
1
2
3
4
.
Redes de Computo
1.1
Las Redes y el Usuario .
1.2
Clasificación de Redes.
1.2.1 Topología.
1.2.2 Cobertura.
1.2.3 Mecanismos de Envío de Información.
1.2.4 Velocidad .
1.2.5 Tipo de Información que Cursa.
1.3
Arquitectura.
1.3.1 Modelo OS1.
1.3.2 Modelo TCP/IP .
1.4
Sistemas Operativos de Red .
.
Windows NT
2.1
Características.
2.2
Familia de Redes de Trabajo Microsoft .
2.2.1 Windows NT Server.
2.2.2 Windows NT Workstation.
2.3
Windows NT vs . otros Sistemas Operativos de Red .
2.3.1 Windows NT vs . UNIX .
2.3.2 Windows NT vs. Windows 95.
2.3.3 Windows NT vs . OS12 Warp .
... 1
... 2
...2
... 3
... 3
. . .4
...4
...4
...5
...7
...8
... 9
... 13
... 13
. . . 15
... 17
. . . 17
... 19
...21
.
Instalación de Windows NT
3.1
Descripción de Requerimientos Mínimos.
Instalación de Windows NT .
3.2
.23
. 23
.
Seguridad
4.1
Introducción.
4.2
Funcionamiento de la Seguridad en la Red .
4.3
Dominios y Relaciones de Confianza.
4.4
Autentificación de Inicios de Sesión
4.5 e
4.5.1 Grupos Globales
4.5.2 Grupos Locales
4.5.3 Diferencia entre Grupos Globales y Locales
4.5.4 Distintos Tipos de Cuentas de Grupo
4.6
Control de las Facultades de los Usuarios.
4.7
Protección Contra Virus y Caballos de Troya.
Windows NT:Administración y Aplicaciones
... 28
... 30
. . . 30
...35
... 37
... 37
... 37
...38
...40
...43
i
4.8
5
6
7
8
9
10
Seguridad de un Servidor en Internet.
4.8. I Adicionales Métodos de Seguridad
Sistemas de Archivos.
5.1
Introducción.
Tipos de Sistemas de Archivos.
5.2
5.2.1 Sistema de Archivos FAT.
5.2.2 Sistema de Archivos HPFS.
5.2.3 Sistema de Archivos NTFS.
. . .44
... 51
...53
... 54
. . . 54
. . .55
... 56
Administración de Entornos de Usuario y de Archivos de Red.
6.1
Administración de Entornos de Usuario.
6.1.1 Funcionamiento de los Perfiles de Usuario.
6.1.2 Archivos de Comandos de Inicio de Sesión.
6.2
Administración de Archivos de la Red.
. . .58
. . .58
. . . 60
. . .61
Clientes de Windows NT.
7.1
Cliente de Red Microsofi para MS-DOS.
7.2
Cliente Microsofi para Trabajo en Grupo.
7.3
Cliente RPL (Inicio Remoto).
...64
. . .65
... 66
Tolerancia a Fallos.
8.1
Tolerancia a Fallos y Confiabilidad.
8.2
RAID 1: Espejeo de Discos.
8.3
RAID 5: Conjunto de Bandas con Paridad.
RAID 1 vs. RAID 5.
8.4
8.5
Otros Tipos de Tolerancia a Fallos.
8.6
Ayudas adicionales.
. . .71
... 72
... 73
... 74
... 75
. . . 76
Administración de Impresoras.
9.1
Introducción.
9.2
Planificación de las Operaciones de Impresión.
9.3
Conexión de Impresoras a la Red.
9.3.1 Configuración de las Impresoras en Paralelo y en Serie.
9.3.2 Configuración de las impresoras de la Interf'az de Red.
9.4
Control de Acceso a las Impresoras.
... 77
... 77
... 78
. . .79
. . . 79
... 79
Servicio de Acceso Remoto (RAS).
10.1 Conceptos.
10.2 Clientes de Acceso Remoto.
10.2.1 Clientes Windows NT.
10.22 Clientes Windows para Trabajo en Grupo, MS-DOS y
LAN Manager.
... 83
10.2.3 Clientes PPP.
10.3 Protocolos de Acceso Remoto.
Windows NT: Administración y Aplicaciones
... 81
... 82
... 82
... 83
... 83
11
Indice
10.3.1 SLIP.
10.3.2 PPP .
10.3.3 Protocolo RAS de Microsoft .
10.4
Conectividad para WAN’S.
10.4.1 Líneas telefónicas y Módems.
10.4.2 ISDN.
10.4.3 X.25.
10.4.4 PPTP.
Conectividad para LAN’s .
Opciones de Seguridad .
Servidores de Acceso Remoto.
10.5
10.6
10.7
11
12
.
Optimización y Monitoreo
11.1 Monitorización de la Seguridad y de los Errores .
11.2 Monitorización del Uso del Servidor.
11.3 Monitorización del Rendimiento.
11.3.1 Organización de los Contadores .
11.4 Monitorización de la Actividad del Procesador.
11.5 Monitorización de la Actividad y Rendimiento del Disco .
11.6 Monitorización de la Actividad de la Red .
...84
...84
... 84
...85
. . . 85
. . . 85
...85
...86
. . . 86
. . . 87
...89
... 90
...91
...92
...92
...93
. . .94
... 94
.
Aplicaciones para Windows NT
12.1 Sidc1ean.C (Aplicación en C)
12.2 Explora
(Aplicación en Visual Basic)
...96
... 121
.
Apéndice A
Novedades de Windows NT 5.0.
13 1
Bibliografia.
135
Windows NT: Administración y Aplicaciones
iii
Cap. 1
Redes de Cómputo.
REDES DE COMPUTO
1.1 Las Redes y el Usuario.
Durante las últimas dos décadas, se han presentado innovaciones científicas y tecnológicas,
con una rapidez que no tiene precedentes. Afortunadamente, ante la evolución de la ciencia
de la computación contamos con la ayuda de la teleinformática, que vino a aportar nuevos
métodos para la transmisión de la información.
Comenzaremos, haciendo una revisión de las redes de computadoras, razón de ser de la
teleinformática, presentando un análisis de las necesidades que las redes vienen a satisfacer,
e igualmente describiendo los elementos que la componen. Es necesario señalar que solo
ofreceremos una visión panorámica que incluya a los bloques internos del sistema junto al
proceso de aplicación del usuario, objetivo final de la red. Una razón que ha favorecido el
desarrollo de las redes es que la tecnología de base ha demostrado una disminución de
costos considerable en los últimos años. Además, existe un uso creciente de las
computadoras y los servicios de tipo digital. Por esta razón, las redes informáticas actuales
crecieron hasta convertirse en un mercado que se desarrolló con el uso de las
microcomputadorasy de una tecnología de comunicaciones que aprovechó la experiencia de
las investigaciones precursoras.
Con la proliferación de redes de computadoras, no es dificil imaginar la necesidad creciente
de la comunicación de datos. Para tal efecto, se registran en el mundo una gran cantidad de
aplicaciones, como son las redes locales donde hay un cierto número de estaciones de
trabajo sin disco duro de almacenamiento que usan uno o varios servidores para accesar
archivos. Otras aplicaciones muy conocidas son el correo electrónico, y el uso de sistemas
remotos para la ejecución de alguna tarea computacional. En resumen, las aplicaciones
condicionan el desarrollo de las redes de telecomunicaciones. En la medida en que los
equipos requieran transferir mayores volúmenes de información en tiempos más breves,
veremos aparecer redes de mayor capacidad.
Desde el punto de vista del usuario, una red de comunicación de datos está constituida por
un conjunto de elementos, capaces de realizar la tarea de comunicación entre dos entidades
que así lo requieran, dichos elementos serán programas o equipos entre los que pueden
establecerse relaciones específicas. Un equipo de terminal de datos o ETD(Equipment
Terminal Data) suele utilizarse como máquina que emplea el usuario final, esta puede ser
una gran computadora, o bien una terminal o computadora personal. Ahora bien, un equipo
de terminación del circuito de datos o ETCD(Equ@nzent Terminal Circuit Data) se encarga
de conectar los ETD’s a la línea o canal de comunicaciones. Su principal misión es servir de
interfaz entre el ETD y la red de comunicaciones.
Windows NT: Administración y Aplicaciones
1
Cap. 1
Redes de Cómputo.
Las comunicaciones toman lugar entre dos dispositivos que se conectan en alguna
modalidad de enlace punto a punto. Sin embargo, si se trata de un grupo numeroso de
aparatos, en el que no todos se van a comunicar simultáneamente, es más práctico contar
con una configuración que conecta a cada equipo con el resto del conjunto, que tener una
configuración punto a punto. La solución del problema consiste en conectar los dispositivos
a una red de comunicación. Cada estación, que puede ser una computadora, una terminal, un
teléfono, etc., se conecta a un nodo de la red. El conjunto de nodos a los que se conectan las
estaciones representa la frontera de la red.
1.2 Clasificación de las Redes.
Las redes de comunicaciones pueden clasificarse empleando diferentes criterios tales como
su topología, cobertura, método de envío de la información (conmutadas o difusión),
velocidad o bien por el tráfico que manejan.
1.2.1 Topología.
Por topología debe entenderse la forma en la cual habrán de interconectarse físicamente los
diferentes equipos a la red.
Anillo.- Es una configuración bastante popular, toma su nombre del aspecto circular del
flujo de datos. Cada estación recibe la señal y la retransmite a la siguiente estación
del anillo. Resulta atractiva porque con ella son bastante raras las situaciones de
congestión, pero es muy susceptible a una falla, ya que si falla el canal entre dos
nodos, toda la red deja de funcionar.
Arbol.- Es una de las más extendidas en la actualidad, ya que proporciona un punto de
concentración de las tareas de control y de resolución de errores. Si embargo,
puede presentar algunos problemas en cuanto a la posibilidad de cuellos de botella.
En determinadas situaciones, el nodo de mayor jerarquía ha de controlar todo el
tráfico entre los demás, este hecho no solo puede crear saturaciones de datos, sino
que además plantea serios problemas de fiabilidad.
Bus.-
Es muy fiecuente en las redes de área local. Es relativamente fácil controlar el flujo
de tráfico entre las distintas estaciones, ya que el bus permite que todas reciban
cualquier transmisión, es decir, una estación puede difundir la información a todas
las demás. Su principal limitación es el hecho de que suele existir un solo canal
principal, además de que es dificil aislar las fallas de los componentes individuales
conectados al bus.
Windows NT:Administración y Aplicaciones
2
Cap. 1
Redes de Cómputo.
Estrella.- Es una de las más empleadas en los sistemas de comunicación de datos. Todo el
tráfico atraviesa el núcleo de la estrella. Este nodo central es el responsable de
enrutar el tráfico hacia el resto de los componentes; además se encarga de localizar
las averías. Sin embargo, una topología en estrella puede sufnr saturaciones y
problemas en caso de avería del nodo central.
Malla.- La topología en malla se ha venido empleando en los últimos años. Cada estación
puede estar conectada con todas las demás estaciones o solo con algunas formando
una estructura que puede ser regular o irregular. El atractivo de esta estructura es
su relativa inmunidad a los problemas de congestión y fallas, ya que es posible
orientar el tráfico por trayectorias alternas en caso de que algún nodo falle, gracias
a la numerosa cantidad de caminos que ofrece.
1.2.2 Cobertura.
Existen redes de comunicación que ofrecen su servicio a una amplia zona territorial, a
diferencia de aquellas cuya cobertura se limita a uno a varios edificios. A partir de su
extensión territorial se identifican dos clases de redes:
Las de gran cobertura geográfica, también llamadas WAN (Wide Area Network) y
Las redes de área local, también conocidas como LAN (Local Area Network).
1.2.3 Mecanismos de envío de información.
El método con que se realiza el enrutamiento de la información, desde su origen hasta su
destino, ofrece otro criterio para clasificar a las redes, separándolas en dos grupos, a saber:
a) Redes Conmutadas
Conmutación de Circuitos
Conmutación de Mensajes
Conmutación de Paquetes
b) Redes de Difiisión
Radio paquetes
De satélites
Locales
Entendemos por red conmutada a aquella colección de nodos en la cual los datos se
transmiten de la fuente al destino enrutándose a través de varios nodos de la red. En este
tipo de redes la topología puede ser de conexión completa o de conexión parcial. En las
redes de difusión, no existen elementos de conmutación. En estas, cada estación se conecta a
un transmisorh-eceptory se comunica sobre un medio común a otras estaciones.
Windows NT: Administración y Aplicaciones
3
Cap. 1
Redes de Cómputo.
1.2.4 Velocidad.
Las redes de comunicación también se pueden clasificar por su velocidad en:
Redes de baja velocidad (LSLN:Law Speed Local Network)
Redes de alta velocidad (HSLN: High Speed Local Network).
Las redes de baja velocidad emplean como medio de transmisión el par trenzado, cable
coaxial y la fibra óptica en menor grado. Mientras que las redes de alta velocidad ocupan el
cable coaxial y la fibra óptica como medios de transmisión. La diferencia estriba en que las
redes HSLN tienen una velocidad de transmisión de entre 10 y 100 Mbps a diferencia de los
10 Mbps que tienen como máxima las de baja velocidad.
1.2.5 Tipo de información que cursan.
De acuerdo al tipo de información que cursa a través de la red, tenemos la siguiente
clasificación:
Devoz
Dedatos
Deimágenes
Sin embargo, las experiencias de los últimos años han mostrado que las redes tienden a
integrar distintos flujos de información para transportarlos sobre un medio común, por lo
que esta clasificación tenderá a desaparecer.
1.3 Arquitectura.
La práctica ha demostrado la utilidad de abordar el problema de construir una red de
comunicaciones estableciendo una diferenciación de las tareas que deben soportarse para
garantizar la operación de la red. Es por esta razón que se definieron módulos que se
encargan de completar las tareas reconocidas. Las reglas que definen esta cooperación o
acciones se llaman protocolos. De esta manera, las tareas que realiza cada módulo y la
relación entre los módulos de cada máquina y el conjunto de protocolos, definen una
arquitectura de red. En el mundo, existen dos arquitecturas de red consideradas como
estándares internacionales, en ambas se reconocen funciones semejantes que deben ofrecerse
en todo protocolo.
Windows NT:Administración y Aplicaciones
4
Cap. 1
1.3.1
Redes de Cómputo.
El Modelo OSI.
El modelo de referencia para la Interconexión de Sistemas Abiertos (OSI: Open Systems
Interconnection), como también se le conoce, fue adoptado en 1983. El modelo propone
dividir el conjunto de funciones relacionadas con los servicios de comunicación en capas o
niveles funcionales. Cada capa define un nivel de abstracción diferente, agrupando tareas
semejantes y separándolas de grupos complementarios. Este modelo describe el flujo de
datos dentro de una red, desde las conexiones fisicas hasta el nivel superior, es decir, las
aplicaciones que utilizan los usuarios finales.
El modelo de referencia OS1 consta de siete niveles. El nivel más bajo, conocido como nivel
físico, es donde los bits de datos se transfieren físicamente ai cable. El nivel más alto es el de
aplicación, que corresponde a la presentación de las aplicaciones a los usuarios.
I
Nivel de aplicación
I-'
El nivel fisico es responsable de la transferencia de bits de una computadora (ordenador) a
otra. Se encarga de regular la transmisión de una secuencia de bits a través de un medio
físico. Este nivel define el modo en que se conecta el cable a la tarjeta adaptadora de red y la
técnica de transmisión empleada para enviar los datos a través del cable. También define la
sincronización de bits y las operaciones de comprobación.
El nivel de vínculos de datos empaqueta los bits sin procesar procedentes del nivel fisico,
agrupándolos en tramas. Una trama es un paquete lógico estructurado en el cual pueden
colocarse datos. El nivel de vínculos de datos es responsable de transferir tramas de una
computadora (ordenador) a otra, sin errores. Una vez que el nivel de vínculos de datos envía
una trama, queda esperando una aceptación o acuse de recibo procedente de la computadora
destinataria. Las tramas para las cuales no se recibe una aceptación vuelven a enviarse.
Windows NT: Administración y Aplicaciones
5
Cap. 1
Redes de Cómputo.
El nivel de redes direcciona los mensajes y traduce las direcciones y nombres lógicos,
convirtiéndolos en direcciones físicas. También determina la ruta a través de la red entre la
computadora de origen y la de destino, y administra aspectos asociados al tráfico en la red
como la conmutación, el encaminamiento y el control de la congestión de paquetes de datos.
El nivel de transporte es responsable de detectar y resolver errores, con el fin de garantizar
la fiabilidad en la entrega de los mensajes. También se encarga de volver a empaquetar los
mensajes cuando es necesario, dividiendo los mensajes de gran longitud en mensajes más
cortos para su transmisión y reconstruyendo posteriormente, en el extremo receptor, el
mensaje original a partir de los paquetes más pequeños. El nivel de transporte del extremo
receptor se ocupa también de enviar la aceptación o acuse de recibo.
El nivel de sesiones permite a dos aplicaciones situadas en distintas computadoras
establecer, utilizar y terminar una sesión. Este nivel establece el control del diálogo entre las
dos computadoras que participan en una sesión, regulando cuál de los dos extremos
transmite, cuándo lo hace y durante cuánto tiempo.
El nivel de presentación traduce los datos desde el nivel de aplicación hasta un formato
intermedio. Este nivel se encarga también de cuestiones relacionadas con la seguridad,
proporcionando servicios como encriptado de datos o compresión de la información, para
que se transmitan menos bits a través de la red.
El nivel de aplicación es el que permite a las aplicaciones de usuario final acceder a los
servicios de la red.
Cuando dos computadoras se comunican a través de una red, el sofiware de cada uno de los
niveles asume que se está comunicando con el nivel homólogo de la otra computadora. Por
ejemplo, el nivel de transporte de una de las computadoras se comunicará con el nivel de
transporte de la otra. El nivel de transporte de la primera computadora no necesita
preocuparse del modo en que la comunicación atraviesa realmente los niveles inferiores de la
primera computadora, recorre el medio fisico y, por último, vuelve a ascender a través de los
niveles inferiores de la segunda computadora.
El modelo de referencia OS1 es una representación idealizada de las interconexiones en red.
En realidad, pocos sistemas lo cumplen de forma estricta, pero este modelo se utiliza para la
discusión y comparación de redes.
Windows NT: Administración y Aplicaciones
6
Cap. 1
Redes de Cómputo.
1.3.2 El Modelo TCP/IP.
El Protocolo de Control de Transmisión y el Protocolo Internet surge en 1973, como
resultado de los proyectos que tenía la Agencia de Proyectos de Investigación Avanzada del
Departamento de Defensa de los Estados Unidos. Debido a su carácter público, se extendió
rápidamente por todas las universidades, centros de investigación y empresas privadas.
Entre TCP/IP y OS1 existen cuatro diferencias fundamentales:
0
0
0
0
El concepto de jerarquía contra el de nivel.
La importancia que cada modelo concede a la interconexión de redes.
La utilidad de servicios no orientados a conexión.
El enfoque para funciones de administración.
TCPíIP se divide en módulos o entidades cooperantes que soportan en conjunto un servicio
distribuido. Además, este modelo permite realizar operaciones que no son soportadas por
OSI, como puede ser la importancia que ofrece TCP/IP a la interconexión. Y es que con
este modelo tienen igual importancia los servicios sin conexión y los servicios orientados a
conexión.
Los niveles de TCP/IP son cuatro, a saber:
El nivel acceso a red comprende aquellos protocolos que gestionan el uso de los servicios de
red y residen en un anfitrión o su equivalente lógico. Una función de todos esos protocolos
es el enrutamiento de datos entre los anfitriones que pertenecen a la misma red. Otros
servicios que ofrece son los de control de flujo y errores entre anfitriones; así como varias
características de calidad de servicio como prioridad y seguridad.
El nivel Internet soporta los procedimientos que permiten el tránsito de datos a través de
múltiples redes. Así, este debe proporcionar una función de enrutamiento. Los protocolos se
implantan entre los anfitriones y los puentes. Un puente (gatewq) es un procesador que
conecta a dos redes y garantiza el flujo de datos entre estas.
Windows NT: Administracióny Aplicaciones
7
Cap. 1
Redes de Cómputo.
El nivel anfitrión - anfitrión contiene los protocolos con capacidad para enviar datos entre
dos procesos en diferentes anfitriones. Pueden ofrecer una conexión lógica entre entidades
de alto nivel. Otros posibles servicios incluyen control de errores, flujo y capacidad de
manejar señales de control no asociadas con una conexión lógica de datos.
El nivel proceso/anfitrión comprende protocolos para compartir recursos y garantizar acceso
remoto.
1.4 Sistemas Operativos de Red.
Un grupo de computadoras unidas a través de una red de comunicaciones, o cualquier otro
medio de comunicaciones, por sí solas no logran establecerse o funcionar adecuadamente.
Para ello, resulta necesario e indispensable que las terminales estén estrechamente
relacionadas con ese medio de comunicación a través de un sistema operativo, cuyo objetivo
es el ofrecerse como interfaz entre el usuario y el sistema, haciendo lo mismo que en un
sistema de computo centralizado, con la diferencia de que ahora los mismos servicios se
ofrecerán a través de ese medio de comunicación. Es menester decir que en una red de
computadoras se puede llegar a crear u ocupar dos clases de sistemas operativos:
*
*
Sistemas Operativos de Red.
Sistemas Operativos Distribuidos.
La diferencia entre ambos, radica en el grado de transparencia que ofrecen a los usuarios en
cuanto a la existencia de la red. Los sistemas operativos distribuidos, tienen como finalidad
ser percibidos por los usuarios como si fueran sistemas operativos centralizados, es decir,
totalmente transparentes. En otras palabras, que en cuanto a localización se refiere, no
importa si éste es local o remoto, y finalmente en cuanto a ejecución, siempre se debe
obtener el mismo resultado, no importando en que máquina se realiza la operación.
Los sistemas operativos de red, de acuerdo a la funcionalidad se dividen en dos
arquitecturas:
*
*
Cliente - Servidor.
Igual a Igual (Peer-to-Peer).
Estos sistemas operativos, permiten que cada computadora conectada a la red, conserve su
sistema operativo local, al cual se pueden añadir algunos módulos de sofiware para actuar
de acuerdo a las indicaciones que se les ha asignado. Uno de los más novedosos sistemas
operativos de red que actualmente existe es Windows NT, el cual confiere un sin fin de
facilidades al usuario, además de volver más sencillo el trabajo al administrador de la red. A
continuación platicaremos de las características que hacen tan especial a este sistema
operativo de red.
Windows NT:Administración y Aplicaciones
8
Cap. 2
Windows NT
WINDOWS NT
2.1 Características.
Todos los sistemas operativos de red proporcionan principalmente dos servicios que son
fundamentales para los usuarios:
*
*
Establecer una interfaz sencilla entre el hardware y el usuario, que en algunos sistemas
como Windows NT, se le conoce como máquina virtual.
Compartición de recursos de hardware entre los usuarios.
Entre los recursos de hardware que generalmente suelen ser compartidos, se encuentra el
procesador, que es el elemento más importante de cualquier computadora perteneciente a
una arquitectura Cliente - Servidor. Además se encarga entre otras tareas de distribuir la
memoria y regular el acceso a los archivos y demás dispositivos. Esa es una de las ventajas
que debe presentar un sistema operativo para que éste pueda considerarse como eficiente.
Y si de hablar de sistemas operativos de red se trata, no podemos dejar de hablar de la
última creación de Microsoft, estamos hablando de Windows NT. Este “sistema operativo
de nivel superior”’ como algunos le llaman presenta novedades que van más allá de lo
ordinario en cuanto a aspectos de protección y confiabilidad se refiere. Un punto a favor de
Windows NT es la inclusión de la ya tan conocida interfm de Windows 95. Esta inclusión
nos permite contar con las mismas aplicaciones que ya conocemos como usuarios de este
sistema operativo de escritorio, tales como el famoso Administrador de archivos, el
Explorador de Windows, Ambiente de Red y otras. Además de las características
provenientes de su hermano menor Windows 95, Windows NT cuenta con otras propias que
permiten elevar el rendimiento de la red.
Windows NT es un novedoso sistema operativo de red que ofrece una excelente solución a
los problemas de rapidez que se presentan en la ejecución de aplicaciones. Esto se debe a
que Windows NT es un sistema operativo de 32 bits, eliminando de una vez por todas los
segmentos de memoria de 64 Kl3 y la barrera de 640 Kl3 de MS-DOS, y es por eso que con
este sistema operativo de 32 bits las instrucciones se ejecutan más rápido, los controladores
de dispositivos de 32 bits dibujan las pantallas con mayor rapidez, la transferencia de datos a
los diversos sistemas de almacenamiento también es rápida, y así un sin fin de ventajas en
materia de velocidad.
’ Michael J. Miller, NT 4.0, PC Magazinevol. 7 n u l . 11.
Windows NT: Administración y Aplicaciones
9
CaP. 2
Windows NT
Una característica adicional que posee Windows NT es que éste es un sistema multitareas
con prioridad y de múltiples vías de ejecución (threads), esto hace que se divida el trabajo
que necesita realizar entre procesos activos, otorgando a cada uno de ellos cierto espacio de
memoria, recursos del sistema y al menos una unidad de ejecución dentro de un proceso,
también conocida como thread. El sistema operativo ejecuta un thread por un corto espacio
de tiempo y entonces ejecuta otro, llevándose a cabo un thread en cada turno. Gracias a
estas características Windows NT puede ejecutar varias aplicaciones, cada una en sus
propios espacios protegidos simultáneamente.
Este sistema operativo cuenta con una gran novedad en cuanto a sistemas de archivos se
refiere, ya que el equipo de diseño de Microsoft se encargó de proporcionar nuevos
servicios para el manejo de archivos, tales como son los nombres largos de archivos y otros
beneficios más. Estos servicios son proporcionados a través de su nuevo sistema de archivos
conocido como NTFS WT File System), que viene en cierta forma a “reemplazar” al viejo y
conocido sistema FAT del DOS. La versatilidad del NTFS le permite recuperarse ante
cualquier fallo de disco. De igual forma contempla el sistema de archivos del OS/2: HPFS
(High Performance File System). De esta manera Windows NT permite el manejo de
cualquiera de los tres sistemas de archivos, de los cuales hablaremos en un apartado
posterior.
No cabe la menor duda, de que Windows NT cuenta con características que le permiten
distinguirse del resto de los sistemas operativos de Red. Y es así como además de lo que ya
hemos platicado respecto a manejo de archivos, velocidad y demás, no podemos dejar pasar
por alto una muy importante característica y que se refiere al aspecto de Seguridad. Y es que
Windows NT proporciona un nivel de seguridad C2, nivel que satisface los requisitos de los
clientes del gobierno de los Estados Unidos en cuanto a seguridad de información se refiere,
ofreciendo un conjunto de mecanismos para hacerla prevalecer tales como logon de
usuarios, protección de objetos, de recursos, etc. Además, Windows NT cuenta con otras
características avanzadas como son: capacidad de adaptación ( refiriéndonos a la habilidad
que tiene para ejecutarse sobre una amplia lista de hardware, incluyendo a las poderosas
RISC ), seguridad de alto nivel, tolerancia a fallos, herramientas de monitorización del
sistema y otras más. Todas ellos provocan que el consumo en cuanto a requerimientos se
refiere se eleven al requerir una máquina 486 o superior, y al menos 16 Mb en RAM y 110
Mb en disco duro como mínimo.
Gracias a las bondades que ofrece, Windows NT puede ser utilizado como Cliente o bien
como un potente Servidor, sobre el cual podemos ejecutar aplicaciones DOS y Windows
3.X de 16 bits. Esto debido a que cuenta con el Subsistema Posix, que le permite realizar
este tipo de ejecuciones, ya sea logrando la compatibilidad binaria bajo emulación como
cuando se ejecutan esas aplicaciones sobre máquinas RISC o lográndola directamente bajo
control del Subsistema cuando se trata de software Microsoft existente o LAN Manager y
OSl2.
Windows NT: Administración y Aplicaciones
10
Cap. 2
Windows NT
Windows NT es un sistema operativo robusto que cuenta con un sistema de excepciones y
recuperaciones de error, de tal forma que cuando se presenta un error, incluso en el
hardware, éste lo puede predecir de forma transparente. Esta es la principal forma de
defensa de NT a los fallos que pudieran presentarse en el software o el hardware.
Una característica de la gran mayoría de los sistemas operativos, es que las aplicaciones se
encuentran separadas del sistema operativo. Y es en este punto donde la ventaja de la
arquitectura de Windows NT toma la delantera, porque cumple con esa separación de tal
forma que es dificil que nuestro sistema caiga por algún intento de apoderamiento de
direcciones no asignadas. De tal forma que Windows NT al igual que otros sistemas
operativos, presenta dos tipos de modos de operación.
El primero de ellos es el llamado modo User o usuario, en donde se ejecutan los programas
de aplicación, a excepción de cuando se solicitan servicios del sistema operativo. De esta
manera se puede confiar al sistema adiciones de módulos de otras aplicaciones que
pudiéramos utilizar, sin el temor de afectar el rendimiento y desempeño de nuestro equipo.
Por ejemplo, Windows NT 4.0 coloca varios subsistemas como el Posix, CSR, OW2 y el de
Seguridad en el modo User para evitar se ocupen direcciones de memoria no asignadas para
esas aplicaciones. El otro modo en que opera Windows NT es el conocido como modo
Kernel, en el cual residen componentes que actúan de forma independiente unos con otros,
los cuales realizan dos funciones principales: servicios del sistema y rutinas internas. Cada
uno de estos componentes crea y manipula las estructuras de datos del sistema que se
requieren.
La forma en que interactuan estos dos modos durante la ejecución de aplicaciones puede
describirse de la siguiente manera. Cuando un programa en modo usuario efectúa una
llamada a un servicio del sistema, el procesador recoge la llamada y transfiere la aplicación
llamadora a modo Kernel. Cuando el servicio del sistema finaliza, el sistema operativo
transfiere de nuevo la aplicación a modo usuario y permite que continúe la aplicación que
llevó a cabo la llamada.
El Executive de Windows NT es una estructura compuesta básicamente de tres módulos, los
cuales realizan tareas diferentes, pero que tienden a relacionarse entre sí. El primero de estos
módulos es el conocido como Capa de Abstracción de Hardware (HAL: Hardivare
Absíraction Layer), en donde se encuentran los cronómetros, los controladores de
interrupción de E/S o cachés y otros dispositivos de hardware. A continuación, viene el
segundo módulo - que se encuentra por encima del HAZ, - conocido como Micronúcleo, en
donde se prestan servicios de sistema operativo de núcleo utilizados para la planeación de
threads, sincronización de procesador múltiple y otras tareas de bajo nivel. Por último,
encontramos la capa en donde se encuentran los servicios aislados del micronúcleo tales
como la administración de la memoria virtual, administración de procesos y otros servicios
más. El conjunto de estas tres capas, que como ya vimos se le conoce como Executive, se
lleva a cabo en modo Kernel, y a través de él se tiene acceso a los datos del sistema y al
hardware. En la figura 2.1 se muestra la estructura del Executive de Windows NT.
Windows NT:Administracióny Aplicaciones
11
Cap. 2
Windows NT
Una gran característica de los procesadores modernos es su capacidad de ejecución de
código en diferentes niveles de privilegio. De esta forma un código que se ejecute en un
nivel de alto privilegio puede tener acceso a datos ubicados en niveles de privilegio menor,
sin embargo, no sucede lo mismo cuando un código se ejecuta en un nivel de privilegio bajo,
ya que entonces no podrá tener acceso a datos que se encuentran ubicados en memoria
marcada con privilegios mayores. Ahora bien, el Executive de NT se ejecuta en modo
Kernel, el cual es el de mayor privilegio. La arquitectura de Windows NT, cuando trabaja
con los procesadores Intel, cuenta con cuatro niveles de privilegio, los cuales se denominan
anillos y van del O al 3, correspondiéndole al modo Kernel el anillo O. Las aplicaciones
entonces, por ejecutarse en modo usuario les corresponde el anillo 3. En la figura 2.2 se
muestra con más detalle los niveles de privilegio del procesador.
no
Servicios Ejecutivos
Administrador U 0
trador de
objetos
Monitor de
referencia
Administrador de
Procesos
Llamada
de proc.
Seguridad
Administrador de
Memoria
Viriuai
Capa de abstracción de Hardware (HAL)
t
1
Hardware
Win 32K
Executive
I
1
.
Figura 2.1. Executive de Windows NT
Los subsistemas de Windows NT, que sabemos que su ejecución es en modo usuario,
proporcionan los ambientes en los cuales se ejecutan las aplicaciones, por ejemplo, el
Subsistema Win 32 proporciona los servicios de la Interfm del Programa de Aplicación
( N I : Application Program Interface). Y de forma análoga cada subsistema se encarga de
una tarea específica. Los subsistemas Posix y OW2 proporcionan servicios de interfm
(API’s) similares a las aplicaciones nativas Posix y 0 9 2 en modo de caracter. Todas estas
características “prometen proporcionar incrementos dramáticos en cuanto a desempeEo,en
De esta manera al conjuntar tantos avances,
particular en la ejecución de gráfl~os”~.
Windows NT sin duda es la mejor opción para lograr un alto rendimiento en la
administración de redes de computo, al mismo tiempo de que proporciona mayor rapidez en
la ejecución de aplicaciones.
’Jeff Prosise. Windows NT 4.0, PC Magazine vol. 7 num. 11.
Windows NT:Administración y Aplicaciones
12
Cap. 2
Windows NT
~~
Figura 2.2. Niveles de Privilegio del Procesador.
Un punto muy importante que no hay que olvidar es que gracias a sus ventajas, Windows
NT puede utilizarse como un robusto servidor, o bien como una completa estación de
trabajo ( Workstation ). Y ante esta situación, Microsoft decidió lanzar al mercado dos
formatos posibles de trabajo. El primero de ellos es para utilizar una computadora como un
poderoso servidor (Sewer) y el segundo formato es para convertir nuestra computadora en
una completa estación de trabajo, ambos formatos poseen las bondades de Windows NT, sin
embargo el formato Server es por supuesto el más completo en características. A
continuación analizaremos cada uno de estos formatos.
2.2 Familia de Redes de Trabajo Microsoft.
2.2.1 Windows NT Server
Windows NT Server, es el primero de los dos formatos en que Microsoft decidió lanzar al
mercado este fabuloso sistema operativo de red. El NT Server como también se le conoce
fue diseñado principalmente para trabajar como un sistema operativo en servidores de
grandes redes, sin embargo, también puede ser un excelente sistema operativo para
computadoras personales, ya que ofrece todas las características de potencia, confiabilidad y
capacidad de adaptación de Windows NT. En suma a estas características, se incluyen otras
como la administración centralizada de la seguridad y una tolerancia a fallos más avanzada,
lo cual convierte a NT Server en el sistema operativo ideal para servidores de red.
Windows NT: Administración y Aplicaciones
13
Windows NT
Can 2
Windows NT Server, como ya lo habíamos mencionado tiene la capacidad de adecuarse
sobre cualquier plataforma y/o procesador, lo cual proporciona al usuario la libertad de
elegir su sistema de cómputo, no importando cual sea este. Siendo además ampliable a
sistemas de multiproceso simétrico, lo que le permite incorporarle procesadores adicionales
cuando se desee incrementar su rendimiento.
Además, Windows NT Server incluye diversas funciones de red que permiten llevar un
mejor control y una adecuada administración de esta. Windows NT Server es compatible
con los estándares NDIS (Especificación de la interf' del Controlador de Red) y TDI
(Interfaz del Controlador de Transporte), permitiendo combinar y coordinar tarjetas y
protocolos de red sin que sea necesario disponer de un protocolo diferente para cada tipo de
tarjeta, inclusive pudiendo utilizar hasta los cuatro protocolos que se incluyen en Windows
NT Server (TCPAP, Microsoft m i n k , NetBEUI y DLC) en una misma tarjeta de red. En
la figura 2.3 se muestra la interacción de NT Server y sus protocolos de red. Por otro lado,
se reduce considerablemente la pesada tarea de instalación de estaciones de trabajo, al
realizarlo directamente a través de la red en lugar de hacerlo utilizando diskettes o CD's
para cada estación de trabajo
-
TCPAP
NetBEUl
I
Figura 2.3. Windows NT Server y sus protocolos.
Entre las funciones de administración con que cuenta Windows NT Server se encuentran
cuatro muy importantes: administración de Seguridad, administración de impresión en red.
administración de las estaciones de trabajo y la administración remota. La primera de ellas
permite establecer los dominios y relaciones de confianza adecuados, con el fin de
centralizar las cuentas de usuarios, ya que es más sencillo administrar una cuenta por usuario
que tener que administrar varias cuentas por una misma persona. Esto es, si se tienen varias
cuentas, las cuales se utilizan para accesar a distintas aplicaciones o simplemente cada una
de ellas tiene distintas restricciones, es mejor tener una sola cuenta en la cual se establecen
todas las autoridades y/o privilegios que tienen todas sus otras cuentas.
Windows NT: Administración y Aplicaciones
14
Cap. 2
Windows NT
En la administración de impresión en red se incorporó una interfm de administración de
impresión que simplificó las tareas de instalación, conexión y administración de las
impresoras. La administración de las estaciones de trabajo es muy útil ya que los perfiles de
usuarios que se pueden definir con NT Server proporcionan una mayor facilidad de uso del
servidor a los usuarios y al mismo tiempo se pueden restringir sus actividades en caso de ser
necesario. De esta manera se pueden definir ambientes o entornos a cada usuario,
proporcionándole ciertos privilegios o restricciones, no importando la estación de trabajo en
la que se firme o encuentre. La administración remota permite llevar a cabo tareas de
administración y monitorización de forma remota, utilizando cualquier computadora de la
red para monitorear las actividades del servidor.
Windows NT Server cuenta además con un registro de configuración el cual mantiene
información del propio sistema operativo, de la configuración que guarda la computadora y
de los usuarios que se han firmado a su sesión. De esta manera se evita el tener que separar
toda la información de configuración en distintos archivos de configuración como son: el
configsys, autoexec.bat, lanman.ini, etc. Sin embargo, no los elimina del todo, por si alguna
aplicación hiciera referencia a estos archivos, los encuentre con la información necesaria
para utilizarlos.
De igual forma incluye poderosas herramientas para llevar a cabo el monitoreo del
rendimiento del servidor, obteniendo estadísticas en varias categorías. Así mismo, se puede
realizar un seguimiento de la actividad y uso de la red, permitiendo observar que recursos se
encuentran compartidos, que usuarios se hallan conectados a la red, etc.
Finalmente, gracias a que Windows NT Server es compatible con los sistemas LAN
Manager, las computadoras que funcionen bajo MS-DOS, Windows 3.1 y OS/2 que posean
el software para estaciones de trabajo LAN Manager pueden acceder a servidores en los que
se ejecute Windows NT Server. Por todas estas razones, NT Server permite a la red trabajar
de una manera más eficiente y segura, confiando en que la interconectividad de su red con
otras de distinta plataforma esta segura.
2.2.2 Windows NT Workstation
Windows NT Workstation es el segundo formato en que aparece este sistema operativo. Es
el sistema operativo más adecuado para personas que buscan altos rendimientos de la red.
NT Workstation está diseñado para usuarios más avanzados, desarrolladores de software y
para aplicaciones críticas; además traslada al escritorio muchas de las funciones de seguridad
de Windows NT Server. Al igual que ocurre con el NT Server, tanto la seguridad como las
hnciones de red están integradas en el sistema operativo. Incluyendo al igual que el Server,
aplicaciones de correo electrónico y planificación que permiten aumentar la productividad de
los trabajos.
Windows NT:Administración y Aplicaciones
15
Cap. 2
Windows NT
Windows NT Workstation, al igual que NT Server está diseñado para adecuarse a cualquier
plataforma, corriendo bajo procesadores Intel Pentium, Digital Alpha AXP o MIPS.
Además, permite la incorporación de hasta 2 procesadores adicionales en un ambiente
multiproceso simétrico, en caso de querer aumentar el rendimiento. Windows NT
Workstation, combina el poder de una estación de trabajo multitarea de 32 bits con la
facilidad de uso, compatibilidad y productividad de una computadora personal. Provee
ilimitadas conexiones punto a punto (peer-to-peer) y más allá de 10 conexiones simultáneas,
para compartir archivos e impresoras. NT Workstation incluye todas las capacidades de
Windows para Trabajo en Grupo, de tal manera que ha sido diseñado para trabajar ya sea en
un grupo de trabajo o bien en un dominio. Como parte de un grupo de trabajo, interactúa
con un grupo común de computadoras en un nivel peer-to-peer. En este ambiente, los
recursos y las cuentas de usuarios son administradas por cada computadora.
En Windows NT Workstation se pueden correr numerosas aplicaciones en computadoras
Intel x86 y RISC, incluyendo las siguientes:
Poderosas aplicaciones de 32 bits
Programas creados para los sistemas operativos MS-DOS y Windows 3.x
Programas para Posix versión 1.O
En las computadoras x86, permite ejecutar programas del sistema OS/2 versión I.x.
También permite tomar ventaja de las características avanzadas construidas en muchas de las
nuevas aplicaciones, incluyendo objetos enlazados (OLE 2.x), Open GL para gráficos de
tercera dimensión, multitareas, portabilidad, seguridad y multiprocesos. Con Windows NT
Workstation se pueden usar e integrar aplicaciones productivas personales y aplicaciones de
negocios de 32 bits en la misma computadora al mismo tiempo.
Cuenta con un Kernel avanzado que proporciona una seguridad diseñada e integrada para
Windows NT Workstation, la cual provee una plataforma de mayor confianza que otros
sistemas operativos. Provee una compartición de archivos e impresión, capacitados para
computadoras de trabajo en grupo y una red abierta con un sistema de interfaz que incluye
soporte para IPWSPX, TCP/IP, NetBEUI y otros protocolos. Estas características son unas
cuantas de las razones del porque Windows NT Workstation es un poderoso sistema
operativo.
Windows NT:Administración y Aplicaciones
16
Cap. 2
Windows NT
2.3 Windows NT vs. otros Sistemas Operativos de Red.
2.3.1 Windows NT vs. UNIX
El tratar de establecer comparaciones entre estos dos grandes sistemas operativos, o bien, el
tratar de encontrar o definir cual de ellos es el mejor, es una tarea sumamente dificil sino es
que casi imposible. Lo que si es posible, es señalar las características que presenta cada uno
de ellos, las cuales realmente han llamado la atención tanto de usuarios como de
administradores de redes.
Después de 20 años en los cuales UNIX y una gran variedad de versiones suyas, han sido
considerados como la plataforma que ha soportado el desarrollo de Internet, y como el
ambiente en el que la seguridad, escalabilidad, robustez e interoperabilidad para manejo de
aplicaciones ha tomado forma, está encontrando un gran competidor en la figura de
Windows NT.
Para comenzar, ambos presentan características muy similares en cuanto a recursos, lo cual
comienza a causarnos problemas para tratar de elegir al mejor para nuestras necesidades.
Por ejemplo, Windows NT en sus inicios ni siquiera era considerado en serio por la gente,
“era visto como no e~itoso”~,
debido principalmente a las proyecciones poco realistas que se
hicieron de él. Sin embargo, a través de este corto tiempo de vida, Windows NT ha
demostrado que tiene las armas necesarias para poder competir con los más poderosos del
mercado, a tal grado que actualmente se encuentra mejor posicionado que UNIX en el
mercado. Esto es debido principalmente a que NT toma ventaja tanto del software como del
hardware, además de facilitar la integración de servidores y PC’s con las famosas suites de
aplicaciones Office y Backoffice de Ii4icrosoftTM.
La lucha entre NT y UNIX va más allá de saber cual es mejor sistema operativo, ahora el
punto importante en esta confrontación es ver cual de los dos se establece como principal
plataforma de cómputo en la urbe. Y es que si bien, antes el elegir cual sería la plataforma a
utilizar en la empresa no pasaba de dos opciones: un sistema Host o cualquiera de las
múltiples versiones de UNIX. Ahora la elección de la plataforma ya no es tan sencilla,
porque tras la aparición de NT con sus fabulosas características, éste se logrado colocar casi
a la par de UNIX. Por esta razón, las opciones actuales para plataformas de cómputo las
componen Windows NT o cualquiera de las versiones de UNIX. Y como era de esperarse,
cada uno tiene sus seguidores así como detractores. Lo cierto es que UNIX pese al apoyo
que le brindan ciertas compañías como HP o Santa Cruz Operation no logra dar ese último
brinco para finalmente qqedar mejor posicionado que NT, sino por el contrario, está
perdiendo terrenos que awfiormente le pertenecían. Ahora muchos usuarios que se
encontraban utilizando los servícios de UNIX están volteando sus ojos hacia Windows NT.
Hugh Ryan, Byte Mexico, Mayo 1996, PB$.6
Windows NT:Administración y Aplicaciones
17
Cap. 2
Windows NT
Para entender que tan dificil es esta situación veamos los siguientes puntos: Windows NT
proporciona soporte para nombres de archivo largos para Macs, logrando conectarse con
ellas a través de los protocolos AppleTalk que también soporta NT. Además proporciona
soporte a una gran variedad de herramientas de desarrollo rápido de aplicaciones (RAD:
Rapid Application Development), tales como Visual Basic, PowerBuilder y Delphi, en
cambio UNIX no tiene una amplia cobertura de estas herramientas.
Como ya lo habíamos comentado, estos dos sistemas operativos son muy similares en ciertos
aspectos, como lo es el soporte de textos y gráficos, la generación de un espacio de
dirección virtual protegido para las aplicaciones. Ambos sistemas operativos soportan el
multiprocesamiento, aunque UNIX es mejor. Los dos son adaptables a una variedad de
plataformas, sin embargo UNIX corre bajo muchas más que NT. Ambos soportan sistemas
de archivo con nombres largos, proporcionan una poderosa compartición de archivos y
otros servicios de red. A diferencia de lo anterior, Windows NT proporciona servicios en los
cuales UNIX difícilmente podría superarlo, esto gracias a la ventaja que le representa ser un
producto de MicrosoR, como son el proporcionar un estricto control central del sistema
operativo y sus API’s, facilitar la detección de controladores de los distintos dispositivos, de
tal forma que hasta soporta los controladores de disco RAID,fuentes de poder redundantes
y unidades intercambiables. El método de compartición de archivos resulta más rápido y
eficiente que el de UNIX mismo, aunque este presenta una ventaja en cuanto a recursos
distribuidos, teniendo la capacidad de compartir aplicaciones, archivos, impresoras, módems
y procedimientos remotos.
En cuanto a seguridad, NT presenta excelentes características, como el ya tan conocido
nivel C2, el cual fue altamente valorado por la Fuerza Aérea, a tal grado de aceptarlo para
ser utilizado en sus sistemas de cómputo. Cuenta además con un sistema de compartición de
archivos Macintosh. Tanto NT como UNIX ofrecen permisos de lectura, escritura y
ejecución en cada archivo. En cuanto a la administración se refiere, NT es mucho más fácil
de administrar que UNIX, sin embargo, este es más fácil de administrar a distancia que NT.
Pero si de hablar de escalabilidad se trata, NT también toma la delantera, ya que soporta
múltiples plataformas, es multiprocesos y, además soporta aplicaciones Windows de 16 y 32
bits, permite agregar también CPU’s adicionales. Un punto que es importante señalar es que
NT es más rápido de instalar, ya que por ser más pequeño que la mayoría de las distintas
versiones de UNIX, lleva menos tiempo su proceso de instalación. Pero así como hablamos
de ventajas, ambos presentan ciertas debilidades. Por ejemplo, Windows NT aún no está a la
altura para ejecutar aplicaciones de base de datos realmente grandes, esto pese a la
escalabilidad y desempeño que tiene NT, además aún no ofrece niveles de seguridad tan
avanzados como algunas versiones de UNIX, a tal grado de que recientemente se han
presentado algunos problemas en este rubro, permitiendo el acceso al sistema a usuarios no
autorizados que podrían accesar a cualquier tipo de información. Con UNIX las cosas no
son tan distintas, no es un sistema operativo que se pueda llamar estándar, ya que cada
compañía que lo soporta tiene su versión propietaria, además no ofrece por completo una
interf‘az amigable.
Windows NT: Administración y Aplicaciones
18
Cau. 2
Windows NT
Debido a estas características y a su fácil implementación, administración y operación, NT se
está convirtiendo en la revelación de los sistemas operativos. Eso aunado a su bajo costo de
instalación y administración, a su uso como herramienta de desarrollo para generar
ambientes intranets. De esta manera, Windows NT esta logrando acaparar la atención de
muchos ojos en el mercado de la computación, a tal punto de no solo estar desplazando a
UNIX en ciertas áreas, sino también a otros sistemas operativos.
2.3.2 Windows NT vs. Windows 95
El comparar a estos dos sistemas operativos es como querer comparar a los hijos de
cualquier familia, en la cual obviamente tiene que existir un elemento mejor que el otro. Y es
que no se trata de otra cosa que de enfrentar a los hijos pródigos de Microsoft. Windows 95
o Win95 es el sucesor del ya famoso Windows 3.x y del Windows para Trabajo en Grupos,
mientras que NT es el miembro de la familia destinado al trabajo en redes que buscan algo
más que rendimiento y desempeño. Si bien es cierto que ambos sistemas operativos poseen
características funcionales y de diseño muy similares, también presentan diferencias
cruciales, sobre todo en su arquitectura interna. Windows NT tiene muchas de las
características del Windows 95, pero adicionalmente a eso posee otras propias muy
interesantes, las cuales le permiten colocarse por encima de su hermano.
Debido a que ahora todo se mueve a base de aplicaciones de 32 bits, ahora podemos elegir
cual de los dos sistemas operativos es el más adecuado para nuestras necesidades. Para la
gran mayoría de usuarios de PC’s se encuentra Windows 95, aunque algunas empresas
pequeñas y medianas lo han utilizado para proporcionar servicio a sus pequeñas redes,
sustituyendo de esta forma a Windows para Trabajo en Grupos. Mientras que para las
personas que necesitan de aplicaciones de 32 bits que se ejecuten en un ambiente de trabajo
con alto desempeño y alta seguridad se encuentra Windows NT. Una diferencia fundamental
entre Windows 95 y NT es que en el primero de ellos, uno se convierte en el jefe, teniendo
la capacidad de agregar o eliminar aplicaciones o inclusive hasta formatear el disco. En
cambio con NT nada de eso es posible, ya que esos privilegios se encuentran reservados sólo
para los administradores del sistema. Además, Win95 solo requiere algunas horas o menos
para instalarlo, mientras que para NT se debe tener algo más que paciencia para poder
instalarlo.
En cuanto a característicastenemos que ahora Windows NT en su versión 4.0 ya cuenta con
la famosa interfaz de usuario de Win95, incluyendo la mayoría de sus características como
son el mismo botón de Inicio, la barra de tareas y hasta aigunos de sus iconos como los de
Mi PC y Ambiente de Red, que muestran los archivos locales y de red. Y al igual que
Windows 95 tiene su Explorador, NT posee una contraparte con la cual no existe una
diferencia visible, sin embargo, si existen diferencias entre los sistemas de archivos utilizados
por ambos sistemas operativos. NT soporta como ya mencionamos en capítulos anteriores,
tres sistemas de archivos: NTFS, HPFS y FAT, mientras que Windows 95 solo soporta el
viejo FAT del MS-DOS.
Windows NT:Administración y Aplicaciones
19
Can 2
Windows NT
El sistema NTFS es muy consciente dela seguridad, mientras que el sistema FAT no lleva a
cabo ninguna tarea similar. Ambos sistemas operativos se pueden instalar en distintas
particiones, para elegir cualquiera de ellos al iniciar la computadora, sin embargo, se
presentan ciertas restricciones que deben ser consideradas. Si se utiliza el sistema de
archivos NTFS en el lado de NT, no se podrán visualizar estos archivos cuando se inicie con
Win95. De igual forma, si se utiliza el sistema FAT 32 de Windows 95, ese volumen no será
visible cuando se utilice NT. Es muy bien sabido que Windows NT brinda más opciones de
seguridad que Win95 , obteniendo un mejor control sobre las impresoras y demás recursos
compartidos. Ese rango de opciones es realmente grande, extendiéndose desde la simple
compartición de recursos hasta las complejas características que le permiten crear un
verdadero muro para la red, pasando obviamente por el nivel de seguridad C2, el logon y
contraseña de inicio de sesión, el recobro automático por una falla en el sistema, etc. Sin
embargo, Win95 tiene una ventaja sobre NT: la capacidad de proporcionar soporte Plug &
Play.
Una de las diferencias cruciales entre estos dos sistemas operativos radica en su arquitectura.
Porque si bien NT se considera rápido, éste se ejecuta más lento que Win95, el cual al
colocar gran parte de su código de sistema operativo y datos en el anillo 3 en los mismos
espacios de dirección en los cuales se ejecutan las aplicaciones, cambia y en un momento
dado sacrifica la confiabilidad por el desempeño al dejar expuestas ciertas áreas del sistema
operativo a las mismas aplicaciones. Con NT las cosas son diferentes, ya que con el fin de
incrementar el desempeño y reducir los requerimientos de memoria sin sacrificar la
confiabilidad, se movieron servicios API del sistema fuera del subsistema Win32 y hacia el
núcleo del sistema operativo, logrando de esta forma proporcionar fantásticos incrementos
en cuanto al desempeño, al tiempo que una aplicación puede hacerse caer a si misma, pero
no puede hacer caer al sistema, debido a que no puede acceder a espacios de dirección en
donde se encuentra el código y datos del sistema operativo.
Por las propias características de estos sistemas, los requerimientos de cada uno de ellos
varía, siendo NT el más exigente. Para comenzar requiere de mayor memoria RAM que
Win95, debido principalmente al Fast LPC, que es un mecanismo de comunicación de
proceso interno de alto desempeño, y a la compartición de funciones M I (Application
Program Interface). El espacio mínimo requerido en disco duro para NT se ve incrementado
debido al gran número de herramientas de trabajo con que cuenta. Y a diferencia de Win95,
NT es un sistema que puede correr bajo tres plataformas del tipo RISC: Power Pc , MIPS y
Alpha. Sin embargo, NT no ejecuta controladores de dispositivos MS-DOS, mientras que
Windows 95 si lo hace. Lo mismo sucede con los controladores de dispositivos Winld. En
cuanto al soporte de aplicaciones ambos sistemas van casi de la mano. Ambos sistemas
cuentan con la M I Win32 para desarrollo de aplicaciones, soportan multiprocesamiento
apropiativo de aplicaciones Win32, ambos ejecutan aplicaciones windows de 16 bits,
soportan el trabajo con MI’S multimedia tales como DirectDraw, Directsound, DirectInput
y otras, permiten la utilización de las librerías Open GL para generar gráficas en 3D y ambos
ejecutan aplicaciones MS-DOS, aunque NT las ejecuta en una ventana DOS.
http:/www.microsoft.com
Windows NT: Administración y Aplicaciones
20
Cap. 2
Windows NT
Hablar de protección de datos y aplicaciones, es sinónimo de Windows NT, ya que Win95
no realiza ninguna de estas tareas. El soporte multitarea apropiativo de aplicaciones Winl6,
protección completa al sistema contra aplicaciones Win16 y Win32 que pudieran causar
errores al sistema, la completa seguridad que brinda el sistema de archivos NTFS a archivos,
carpetas y aplicaciones y, el sistema de recuperación automático ante fallas del sistema, son
unas cuantas de las ventajas que solo ofrece Windows NT.
2.3.3 Windows NT vs. OS/2 Warp
El tratar de comparar a Windows NT y a OS/2 Warp es hablar de dos buenos productos
respaldados por grandes empresas en el mundo. Por un lado, OS/2 Warp tiene el total
respaldo de esa gran compañía que es IBM, y aunque lo han mejorado en algunos de sus
puntos débiles, no han logrado dar ese último gran paso tan definitivo que lo pondría en un
mejor lugar en el mercado, y no solo eso, sino a la par de NT. Por otro lado, NT tiene el
respaldo de una poderosa compañía como lo es MicrosoR. Además tiene la ventaja de contar
con muchas de las características que las empresas de hoy en día buscan, pues combina
protección y estabilidad con una moderna y conocida interfaz de usuario, lo cual no sucede
con 0 9 2 Warp.
0 9 2 es un sistema operativo con unos cuantos años de existencia, por tal motivo debería
tomársele en cuenta como un sistema ya maduro, sin embargo, existen muchas personas que
no lo consideran así. Es muy cierto que NT es reciente y se puede llegar a considerar como
moderno y bastante eficiente, pero los años que tiene de ventaja OW2 le proporcionan una
estabilidad más que comprobada al sistema operativo. Al igual como sucede entre NT y
Windows 95, entre estos dos sistemas operativos existen ciertas características comunes,
pero también algunas diferencias muy interesantes, sobre todo en lo que se refiere a
arquitectura, portabilidad y soporte. OS/2 Warp está más enfocado a trabajar bajo la
arquitectura Intel, que bajo cualquier otra arquitectura o plataforma. Esto no sucede con
NT, el cual además de correr bajo la plataforma Intel, puede hacerlo también bajo otras
plataformas como son la MIPS, Alpha o Power PC, gracias a sus características de
portabilidad.
Un punto que es importante analizar es el referente al desempeño y la confiabilidad de estos
dos sistemas operativos. Por un lado, NT es conocido por su alto desempeño sin sacrificar la
confiabilidad. Ello lo logra al mover ciertos elementos propios del sistema operativo fuera
del modo usuario, pasándolos al modo Kernel o núcleo. Con OS12 esto es totalmente
distinto, ya que si bien su desempeño es rápido y aceptable, esto se debe porque parte de su
código está colocado en el modo usuario, sacrificando de este modo la confiabilidad del
sistema. Teniendo con esto una similitud con Windows 95. Esto es, permiten que algunas
aplicaciones intenten sobreescribir o en su defecto lo hagan, sobre áreas de memoria crítica,
provocando con ello una caída del sistema.
Windows NT: Administración y Aplicaciones
21
Cap. 2
Windows NT
Ambos sistemas operativos poseen funciones de orientación a objetos construidos dentro del
propio sistema operativo, lo que permite a los desarrolladores diseñar o generar aplicaciones
distribuidas, de tal manera que pueden colocarse fracciones de ellas en servidores remotos
en cualquier parte de la red. La función de NT para desarrollar objetos recae en su soporte
para el Modelo de Objetos de Componentes Distribuidos ( DCOM: Distributed Component
Object Model ). Mientras que para OS/2, su soporte se encuentra en el Modelo de Objetos
de Sistema Distribuido ( DSOM: Distributed System Object Model ). Los dos modelos
realizan básicamente lo mismo: permiten a los desarrolladores crear objetos, permitiendo que
otros programas y objetos operen en ellos en una forma estándar. Todo ello lo logran a
través de un complicado sistema de paso de mensajes, el cual se lleva a cabo entre diversos
módulos y subsistemas de cada sistema operativo. La ventaja que representa el uso de estos
módulos es el poder escribir programas sencillos para poder utilizar los mismos controles
que están en el sistema operativo y en un momento dado, modificarlos con facilidad.
Como sabemos, Windows NT cuenta con una Capa de Abstracción de Hardware (HAL),la
cual se encarga de manejar la interfaz entre el sistema operativo y el hardware. En OS/2 esa
capa o micronúcleo subyacente, como otros le llaman no existe, proporcionando una mayor
velocidad de ejecución y reduciendo considerablemente la cantidad de memoria y espacio en
disco duro requeridos. Así mismo, la interfhz de NT es muy amigable y conocida, mientras
que la de OS/2 en su última versión (4.0),ya se encuentra modificada, proporcionándole al
sistema una imagen moderna y mejorada, al tiempo de que le fueron agregadas funciones
muy similares a las del Menú Inicio de Windows 95, y que finalmente también tiene NT. Una
de las pocas ventajas que tiene OW2 sobre NT, sino es que la única, es la inclusión del
sistema de reconocimiento de voz de IBM, VoiceType, el cual proporciona una buena
manejabilidad del sistema operativo. Sin embargo, OS/2 no cuenta con el nivel de seguridad
C2 que brinda Windows NT, aunque tiene la capacidad de recuperarse ante fallos del
sistema, pero no con la facilidad y seriedad con que NT lo hace. Una fuerte diferencia entre
estos sistemas operativos se presenta en el soporte de aplicaciones. Los dos sistemas
operativos soportan las librerías Open GL para aplicaciones de gráficos de alto nivel, así
como las Open Doc para aplicaciones de componentes. Windows NT proporciona un buen
soporte, aunque no perfecto, a varios tipos de ellas, desde la aplicaciones MS-DOS hasta las
Windows de 16 y 32 bits, pasando por la gran mayoría de aplicaciones Windows 3.x y
Win95. Mientras que OS/2 Warp tiene su talón de Aquiles en esta área, limitando mucho el
soporte a programas nativos Win 95 o NT, sin embargo, permite ejecutar aplicaciones
Windows 3.x y Win32, así como algunas aplicaciones DOS. Por otro lado, el soporte de
OS12 Warp para aplicaciones más viejas y aplicaciones que requieren acceso directo al
hardware, como muchos juegos, es notablemente mayor que el brindado por NT. OS/2
también brinda la característica de Plug & Play, aunque no en un amplio rango como lo hace
NT.
Al final, si lo que se busca es confiabilidad, estabilidad y protección, en cualquier plataforma,
ya sea Intel, Alpha, Power PC o MIPS tendremos que escoger a NT. Si lo que deseamos es
desempeño sacrificando confiabilidad, sobre todo cuando se cuenta con plataforma Intel,
escogeremos sin duda a OS12 Warp.
Windows NT:Administración y Aplicaciones
22
Instalación de Windows NT
Cap. 3
INSTALACION DE WINDOWS NT
3.1 Descripción de Requerimientos Mínimos.
Tal y como ya se ha mencionado, Windows NT es el miembro de categoría “superior” de
toda la familia de sistemas operativos de Microsoft. Es muy cierto que NT es un sistema
potente, seguro, confiable y escalable, capaz de responder ante cualquier situación y/o
exigencia que se presente, sobre todo si se trabaja bajo una arquitectura cliente-servidor. Sin
embargo, estas mismas cualidades que lo hacen destacar dentro de los demás sistemas
operativos también lo convierten en un gran devorador en cuanto a recursos se refiere. He
aquí una muestra de lo que hablamos:
0
Hardware: El sistema requiere como mínimo un procesador 486 a 25 MHZ,o cualquier
procesador compatible basado en la arquitectura RISC. De igual forma requiere un
adaptador de video VGA o superior, 90 Mb de espacio disponible en disco duro (aunque
se recomienda tener al menos 110 Mb libres) y finalmente una unidad de disco de 3.5 in.
o una unidad de CD-ROM.
Memoria: Como mínimo se requiere de 12 Mb en RAM,aunque se recomienda tener 16
Mb como mínimo para tener un mejor desempeño.
Componentes Opcionales: Contar con mouse o cualquier otro dispositivo señalador.
Es importante señalar que estos son los requerimientos mínimos para que el sistema trabaje
adecuadamente, estos pueden variar según la configuración que se pretenda aplicar al
sistema. Además, de que NT puede soportar computadoras que tengan 4 procesadores
como máximo.
3.2 Instalación de Windows NT.
Se puede decir que esta es la parte más dura y dificil que se presenta al trabajar con
Windows NT. Es necesario contemplar diversos aspectos antes, durante y al finalizar la
instalación de este sistema operativo para que su fincionamiento sea el adecuado. Antes de
instalar es necesario que se conozca el tipo de adaptador de red con el que se cuenta, así
como el No. de IRQ empleado y la dirección base de I/O. Además, si se cuenta con la
fortuna de tener una impresora conectada a la computadora, se debe de conocer el modelo
de esta, así como el puerto al que se encuentra conectada.
Windows NT:Administración y Aplicaciones
23
Cap. 3
Instalación de Windows NT
La instalación de Win NT se logra después de seguir una secuencia standard de pasos. Este
proceso se puede llevar a cabo mediante tres medios:
Instalación desde diskettes de 3.5 in.
Instalación desde una unidad de CD.
Instalación desde un directorio compartido de red.
En los dos primeros casos es necesario introducir en la unidad A de la computadora
(apagada) el disco de inicio de instalación de NT, a continuación se procede a encenderla, de
tal forma que el programa de instalación vaya reconociendo los componentes con los que se
cuenta y de igual manera vaya preparando el ambiente para la descarga de sus archivos a
nuestra máquina. De esta forma, NT indicará las instrucciones a seguir y el momento en el
que se deberán ir insertando el resto de los discos o en su defecto el CD. Para cuando se
desea instalar desde la red, se deberá ubicarse primero en el directorio compartido de la red,
el cual contiene los archivos maestros de NT. A continuación se deberá teclear WINNT para
dar inicio al proceso de instalación.
A continuación describimos de manera genérica los pasos básicos para llevar a cabo la
instalación de Windows NT:
1. Elegir la instalación personalizada o la rápida.
2. Elección de la partición de disco, el sistema de archivos y el directorio donde se instalarán
los archivos del sistema de NT.
3. Especificar nombre de usuario, nombre de la computadora y otros identificadores. Así
como la configuración internacional.
4. Instalación y configuración de la tarjeta adaptadora de red. Selección de protocolos.
5. Especificar el dominio de NT del que la computadora será controlador principal o de
reserva.
6. Configuración de impresora local.
7. Establecer hora, configurar el adaptador de video y crear un disco de reparación.
En seguida pasaremos a describir los pasos de instalación descritos anteriormente.
Windows NT: Administración y Aplicaciones
24
Cap. 3
Instalación de Windows NT
Una vez que se ha definido el método de instalación, esto debido en gran parte a los
recursos con se cuenta, pasamos al primer paso de la instalación de NT. En este punto es
importante elegir el tipo de instalación: rápida o personalizada. La mayoría de la gente y
administradores de red recomiendan la rápida, pero veamos que diferencia hay entre ellas
dos. La instalación rápida es la forma más sencilla de instalar NT, ya que es la que menos
cuestiones nos plantea durante el proceso, además de que es la que instaia todos y cada uno
de los componentes de NT, configurando de manera automática todo el hardware y otros
componentes con que se cuentan. La opción personalizada esta más orientada hacia usuarios
expertos, los cuales necesitan mantener un mejor control sobre las opciones que se instalan
en sus computadoras con NT. Además pueden descartar o aceptar valores predeterminados
para la instalación.
Los aspectos importantes que se deben considerar durante la instalación y de los cuales
habíamos platicado al inicio de la sección van muy de la mano con el segundo paso de la
instalación. Después de haber elegido el tipo de instalación existe una interrogante que se
debe de responder antes de proseguir con este proceso. Esta se refiere a si se desea instalar
NT en un mismo directorio en donde ya exista una versión de Windows. Si la opción
anterior no se desea tomar, entonces nos enfrentaremos a la tarea de tomar 3 decisiones muy
importantes en este proceso: la primera es elegir la partición del disco en donde queremos
instalar los archivos de NT, la segunda es la elección del sistema de archivos a utilizar en
dicha partición y, por último, determinar el directorio en donde se almacenarán los archivo
de NT. A continuación veremos de que se trata cada uno de estos conceptos. La partición
de disco de la que hablamos, se refiere a la zona de espacio reservada en el disco duro, la
cual puede ir desde 1 Mb hasta ocupar la totalidad del disco. Es importante recalcar que es
aquí donde residirán los archivos que NT requiere, además esta partición deberá estar
formateada para poder utilizar alguno de los tres sistemas de archivos que soporta este
sistema operativo, motivo por el cual se deberá contar con el suficiente espacio en disco.
Con respecto a los sistemas de archivos, es necesario recordar dos cosas: 1) NTFS es el
mejor sistema de archivos en cuanto a seguridad se refiere y, 2) es necesario saber si se
desea tener 1 o 2 particiones y si son nuevas o ya existen. El punto más importante a
considerar a estas alturas del proceso es que si se formatea la partición con un sistema de
archivos FAT, esta podrá ser accesada desde NT, MS-DOS u OS/2, debido a que FAT es el
sistema de archivos más utilizado, claro está que no ofrece la seguridad que brinda NT, ni el
manejo de nombre de archivos largos. En cambio, si se elige NTFS solo se podrá accesar a
ellos a través de NT, un precio demasiado alto por utilizar las funciones de seguridad de NT.
Finalmente, después de elegir el tamaño de la partición y el sistema de archivos, toca el
turno de elegir el nombre del directorio para los archivos de NT. El programa de instalación
propone un nombre, pero como en cualquier de instalación de un paquete o programa, uno
puede modificarlo por el que más le guste, sin embargo, es conveniente que el nombre se
asocie con algo referente al programa o paquete, por lo que se recomienda tomar el nombre
sugerido.
Windows NT: Administración y Aplicaciones
25
Cap. 3
Instalación de Windows NT
El tercer paso de la instalación de NT se refiere a la especificación de identificadores para la
computadora. El sistema solicitará información como la siguiente:
0
Nombre de empresa.
Número de identificación de producto, el cual por lo general viene asociado con la
licencia del producto.
Nombre de identificación de la computadora dentro de la red.
Al terminar de confirmar estos valores, el siguiente punto a tratar dentro de este paso es
definir la configuración internacional. Ello con el fin de elegir el formato que se utilizara para
la hora, fecha y sistema monetario.
Con el paso tres completado el resto de la instalación se vislumbra más sencilla. El siguiente
paso se refiere a la instalación y configuración de la tarjeta adaptadora de red, así como la
selección de el o los protocolos de comunicación bajo los cuales se trabajará. El programa
de instalación de NT comprueba de manera automática la existencia de alguna tarjeta
adaptadora en la computadora, y en caso de encontrarla la instala. En caso de no hallarla o
no identificarla, el programa de instalación ofrece dos opciones: 1) Solicita el modelo de la
tarjeta y la instala o, 2) Puede instalar el RAS (Servicio de Acceso Remoto por sus siglas en
inglés). Y es en este punto del proceso de instalación en donde la información obtenida antes
de iniciar el proceso nos será de utilidad, ya que después de instalar la tarjeta es necesario
proceder a configurarla. Aquí es importante decir que en ocasiones las opciones se
configuran automáticamente. La última acción a seguir en este paso es seleccionar el o los
protocolos de comunicación que se utilizarán. Para ello debemos recordar que NT soporta 4
tipos de protocolos: TCPhP, W i n k , NetBEUI y DLC.
El protocolo TCPflP es standard completo y reconocido, permitiendo la comunicación
entre redes interconectadas con distintos sistemas operativos. Ofrece una fuerte
compatibilidad con Internet y gateways o pasarelas.
NWLink es un protocolo propio de Microsoft, y que es compatible con IPWSPX
empleado por Novell, proporcionando compatibilidad con aplicaciones NetWare clienteservidor y servicios pasarela para NetWare. Este protocolo esta seleccionado como
predeterminado.
NetBEUZ es un protocolo compacto, eficiente y rápido. Tiene un rendimiento elevado
cuando se utiliza en pequeñas LAN’s y utiliza poca memoria. No permite el enrutamiento
de datos.
DLC es un protocolo propio de IBM,por lo que solo se empleará cuando se necesite una
conexión con terminales conectadas a una Mainframe. Ofrece interconectividad entre
terminales y Mainframe.
Windows NT:Administración y Aplicaciones
26
Cap. 3
Instalación de Windows NT
Una vez que se finalizo con el paso 4, el programa de instalación pasará al quinto paso, que
consiste en identificar a la terminal como un controlador de dominio principal o de reserva.
El tema de los dominios es un poco profundo y se tocará con más detalle en el siguiente
capítulo.
El sexto paso consiste en configurar la impresora local, si es que existe alguna conectada
directamente a la computadora. En caso de no contar con alguna, se puede omitir el paso
pudiendo instalar alguna o modificar la configuración de la actual una vez que se concluya
con el proceso de instalación.
El último paso de la instalación consiste en el ajuste de la Hora, configuración del video y la
creación de un disco de reparación. Para el primero de ellos basta con proporcionar el
formato de la hora y especificarla. Al terminar, se configura el video a través de la utilidad
Pantalla. Y finalmente, el programa de instalación ofrece la oportunidad de crear un disco de
reparación, el cual puede ser utilizado para restaurar el sistema en caso de falla o pérdida de
archivos.
Una vez concluidos todos los pasos, el programa de instalación llevará a cabo los últimos
toques para poder comenzar a trabajar con Windows NT:
1. El programa solicitará el reinicio de la computadora.
2. Al aparecer el menú del selector de sistema operativo, presionar ENTER.
3. Cuando aparezca el mensaje de bienvenida, dar CTRL+AL,T+SUPR para iniciar la sesión.
4. Escribir la contraseña y dar aceptar.
I
Presione Ctrl+AIt+Supr para iniciar la sesi6n
I
Con esto estaremos listos para sentamos a trabajar
Windows NT: Administración y Aplicaciones
27
Cap. 4
Seguridad
SEGURIDAD
4.1 Introducción
Hoy en día las redes de computadoras han incrementado su importancia en los negocios, ya
que son utilizadas para compartir información importante y recursos con diferentes usuarios
de organizaciones de varios tamaños. Frecuentemente la información almacenada en los
servidores de red es información importante que requiere ser utilizada por usuarios
específicos. Es necesario que estos sistemas operativos de red prevengan los accesos no
autorizados para dicha información.
Un sistema de seguridad de red tiene diferentes características. Una base para medir la
seguridad de un sistema operativo de red es el criterio de la Agencia de Seguridad Nacional
de los Estados Unidos para un nivel C2. Mientras una seguridad C2 es requerida para
algunas instalaciones del gobierno, la evaluación se extiende para cualquier organización
concerniente con la seguridad.
Algunos de los requerimientos más importantes de un nivel de seguridad C2 son:
0
Control de Acceso Discrecional.
Reutilización de Objetos.
Identificación y Autentificación.
Auditoria.
Windows NT ha sido certificado por la Agencia de Seguridad Nacional de los Estados
Unidos como un producto con nivel de seguridad C2.
Mientras seguir las bases para un sistema C2 es extremadamente valorable en el desarrollo
de un sistema operativo seguro, existen problemas importantes de seguridad en el mundo
real los cuales no son tratados directamente por las bases de C2. Ya que el objetivo principal
de las bases de C2 son proveer a los usuarios de un sistema realmente seguro, MicrosoR
puso bastante importancia en la implementación de la seguridad con niveles C2 cuando
desarrollo Windows NT.
Desde una perspectiva de manejo Windows NT provee de herramientas para ayudar a los
administradores a manejar y mantener la seguridad en su medio ambiente. Por ejemplo los
administradores pueden especificar el control de cual usuarios tienen derechos de acceso a
los recursos de la red. Estos recursos incluyen archivos, directorios, servidores impresoras y
aplicaciones.
Windows NT: Administración y Aplicaciones
28
Cap. 4
Seguridad
Las cuentas de usuarios son manejadas centralmente. El administrador puede especificar
miembros de grupos, horas de logons, fechas de expiración de cuentas y otros parámetros de
cuentas de usuarios a través de herramientas gráficas. El administrador también puede
auditar todos los eventos relacionados con la seguridad tales como acceso de los usuarios a
archivos, directorios, impresoras y otros recursos e intentos de Zogons. El sistema puede
bloquear al usuario después de intentos fallidos de entrada. Los Administradores pueden
forzar expiración de Passwords y dar reglas de complejidad para los mismos de tal manera
que los usuarios son obligados a elegir passwords que son dificiles de descubrir.
Desde la perspectiva de los usuarios, la seguridad de Windows NT es completa, y aun así
fácil de usar. Un simple procedimiento de logon basado en password les da el acceso a los
recursos de la red. Los usuarios son capaces de definir derechos de accesos para cualquier
recurso propio.
Construir un sistema operativo seguro requiere de planeación cuidadosa. El sistema de
archivo, el directorio de cuentas de usuario, el sistema de autentificación de usuarios, el
manejo de memoria, los subsistemas de medio ambiente y otros componentes requieren de
consideración especial en el diseño. Antes de que el sistema fuera construido, íos temas de
seguridad fueron diseñados dentro de cada faceta del sistema operativo. Esta ardua
planeación y diseño fueron críticos para el desarrollo satisfactorio de un sistema seguro.
Windows NT: Administracióny Aplicaciones
29
Cap. 4
Seguridad
4.2 Funcionamiento de la Seguridad en la Red
Windows NT presenta varios métodos de seguridad, estos permiten restringir el acceso a un
usuario en los archivos, sin que esto impida trabajar con los recursos que el necesita.
El fundamento de la seguridad de Windows NT es que todos los recursos y acciones están
protegidos por el control de acceso discrecional, el cual, nos sirve para dar o no
autorización a los usuarios, a entrar en determinados recursos o acciones. También, es
posible establecer distintos permisos en diferentes archivos de un mismo directorios.
Con Windows NT la seguridad está integrada en el sistema operativo desde el principio, de
esta manera los archivos y otros recursos pueden protegerse incluso de los usuarios que
trabajan en la misma computadora, o bien de los que trabajan en red. Además, ofrece un
modelo lógico de administración, el cual, se basa en la designación de una única cuenta por
usuario. Dicha cuenta puede proporcionar al usuario el acceso a cualquier recurso de la red,
independientemente de el lugar donde se encuentre.
En si Windows NT ofrece seguridad hasta de las funciones básicas como lo son el reloj,
fecha, etc.
4.3 Dominios y relaciones de confianza
Un dominio es un grupo de servidores que ejecutan Windows NT los cuales utilizan el
mismo conjunto de cuentas de usuario para que todos los servidores del dominio reconozcan
dichas cuentas.
Las relaciones de coníianza son vínculos entre dominios, que permiten realizar una
autentificación transparente en virtud de la cual un usuario poseerá una cuenta de usuario en
un dominio pero, podrá acceder a toda la red.
La agrupación de las computadoras por medio de dominios tiene dos ventajas:
- La primera es que todos los dominios contienen una base de datos con cuentas de todos
los usuarios, por lo tanto, solamente es necesario dar de alta en solo servidor (el que
funcione como controlador principal) la cuenta de un usuario, para que todos los demás los
reconozcan.
- La segunda ventaja es que la red esta dividida en dominios y de esta manera es mas fácil
para el usuario buscar recursos disponibles.
Windows NT: Administracióny Aplicaciones
30
Cap. 4
Seguridad
.,,a
J
Una red con Windows NT Server
está dividida normalmente en
varios do minios.
Producci On
Cuando establezca una re1ac.h de confíanza entre dominios, uno de los d o m i o s (el
dominio que confia) confiará en el otro (el dominio en el cual se confia). A partir de
entonces, el dominio que confía reconocerá a todos los usuarios y cuentas de grupos
globales del dominio en el cual se confía. Estas cuentas podrán utilizarse como se desee
dentro del dominio en que se confía; integrarse en grupos locales dentro de dicho dominio, y
recibir permisos y derechos dentro de ese dominio.
Con las relaciones de confianza entre los dominios de la red, se podrá permitir que algunas
cuentas de usuario y grupos globales pueda accesar a dominios distintos de donde fueros
creados. Con estos se tiene la posibilidad de accesar a cualquier computadora de la red
creando únicamente una cuenta.
Windows NT: Administración y Aplicaciones
31
Cap. 4
Seguridad
A continuación se muestra un dibujo de como puede ser una relación de confianza:
Como el dominio Producción confia en
el dominia Ventas, se pueden otorgar
permisos y derechos en el dominio
Producción a los usuarios del dominio
ventas {aunque no tuvieran cuentas en
el dominio Producción)
Las relaciones de confíanza pueden ser unidireccionales o bidirecionales ; es decir; que
solamente uno de los dominios confíe o que los dos se confíen uno al otro.
La confianza entre dominios no es transitiva; es decir; si tenemos 3 dominios relacionados
(ventas ,producción, finanzas) y si recursos confía en contabilidad y contabilidad confía en
ventas no se puede dar que contabilidad confíe en ventas.
Windows NT:Administración y Aplicaciones
32
Cap. 4
Seguridad
La confianza no es transitiva. Ventas
no
confia en Finanzas y no puede utilizar las
cuentas creadas en el domino Finanzas.
Características de un dominio
El requisito mínimo para armar un dominio es tener un servidor con Windows NT, que
actúe como controlador principal y almacene todas la cuenta de usuario y grupos.
A partir de esto se puede añadir (si se desea), otros servidores en el dominio con Windows
NT o incluso con otros S.O. como el LAN Manager 2.1. También integrar clientes al
dominio como por ejemplo Windows NT Workstation, MS-DOS etc.
Controlador Principal de Dominio (PDC)
El controlador principal del dominio, es un servidor que se encargará de controlar todo lo
que se refiera a la administración de la red, manejo de cuentas, impresoras, grupos etc.
Cualquier modificación o cambio se deberá llevar acabo en la base de datos del PDC ,
utilizando el administrador de usuarios y refiriéndose únicamente al dominio donde se desea
realizar la modificación.
Los controladores de reserva son servidores que almacenan también copias de la base de
datos de cuentas del dominio, estos también podrán procesar las peticiones de inicio de
sesión y autentificarlas. Estos servidores adicionales proporcionan un mecanismo de
seguridad: si el controlador principal de dominio no está disponible, un controlador de
reserva podrá ser promovido al puesto de controlador principal de dominio, por lo tanto,
siempre debe de haber un controlador de reserva o más en un dominio.
Windows NT: Administración y Aplicaciones
33
Cap. 4
Seguridad
Servidores
Además del controlador principal del dominio y del controlador de reserva tenemos otro
tipo de servidores, se trata de los llamados "servidores". Los "servidores" pueden o no tener
la función de realizar tareas relacionadas con la administración de la red; es decir; se pueden
ocupar para realizar trabajos ajenos a la administración del dominio.
Este tipo de servidores se ocuparán en las siguientes situaciones:
- Cuando el servidor realice tareas muy criticas y no se desea que pierda tiempo en el manejo
de la administración.
- Si se desea que el servidor tenga distintas cuentas de administrador o de usuarios, que los
restantes servidores de un dominio.
- Si es posible que el servidor se mueva a otro dominio en el futuro; es mas sencillo mover
un "servidor" de un dominio a otro, que mover un controlador de reserva.
En un servidor que funciona de esta forma sólo las cuentas de usuario creadas en el propio
servidor podrán iniciar una sesión en dicho servidor; además solo se les concederán derechos
y permisos en ese servidor.
Servidores con LAN Manager 2.8
Los servidores con LAN Manager 2.x pueden funcionar dentro de un dominio cuyo
controlador principal ejecute Windows NT. Sin embargo, un servidor con LAN Manager 2.x
no puede ser un controlador principal dentro de un dominio que ejecuta Windows NT.
No es aconsejable recurrir a servidores con LAN Manager 2.x como servidores de reserva
dentro de un dominio que ejecuta Windows NT ya que no pueden autentificar las peticiones
de inicio de sesión desde computadoras con Windows NT y no podrán ser promovidos a
controladores principales dentro de un dominio de Windows NT.
Cómo se identifican internamente los dominios
Los administradores y los usuarios identifican los dominios mediante nombres de dominio.
Pero internamente, Windows NT identifica cada dominio mediante su identificador de
seguridad (SID), un número exclusivo asignado ai dominio. Todo esto nos puede causar
problemas al momento de adicionar un servidor de reserva, ya que, los números SID deben
coincidir en todos los servidores del dominio para que el servicio de inicio de sesión pueda
comenzar.
Windows NT: Administración y Aplicaciones
34
Cap. 4
Seguridad
Por elio, si ya tiene un dominio y desea instalar una nueva computadora como controlador
de reserva, deberá asegurarse de que el nuevo servidor puede acceder al actual controlador
principal del dominio, de forma que pueda recibir el SID correcto de dominio durante la
instalación. No podrá instalar Windows NT en el nuevo servidor mientras esté en otra red
distinta y luego agregarlo a la red actual.
4.4 Autentificación de los inicios de sesión
Para iniciar una sesión con Windows NT Workstation es necesario teclear un nombre de
usuario, una contraseña y un dominio. El nombre de usuario y la contraseña son
autoexplicativos, el nombre de dominio deberá ser donde se encuentre su cuenta. A
continuación la estación de trabajo enviará sus datos al dominio correspondiente para su
autentificación. Si el nombre y la contraseña coinciden con alguna de las cuentas, el servidor
comunicará a la estación de trabajo que el inicio de sesión está autorizado y le transferirá la
información de inicio de sesión del usuario, como su perfil, su directorio particular ó sus
variables de entorno.
El proceso para iniciar sesión desde una máquina con Windows NT Server es equivalente al
anterior excepto en que los servidores no mantienen cuentas locales distintas de las cuentas
del dominio que contiene el servidor, por tanto, el usuario deberá iniciar la sesión en una
cuenta de dominio.
Para iniciar sesión local desde un servidor del dominio es necesario pertenecer a los grupos
de Administradores, Operadores de servidores, Operadores de impresión, Operadores de
cuentas, y Operadores de copia.
Inicio de una sesión desde una computadora con MS-DOS
Las computadoras con MS-DOS no son seguras. No existe ninguna forma de impedir que
un usuario no autorizado envíe peticiones de acceso a la red desde una computadora con
MS-DOS. Sin embargo, si es posible impedir que un usuario no autorizado de MS-DOS
obtenga acceso a los recursos de la red. Para ello bastará con proteger los propios recursos,
de tal modo que las peticiones que realice el usuario a través de la red no consigan su
propósito, en caso de que dicho usuario no esté autorizado.
Si un usuario con cuenta en un dominio con Windows NT posee un computadora con
MS-DOS, no se comprobará su identidad en el momento de iniciar la sesión. Sin embargo, el
nombre de usuario y la contraseña se verificarán la primera vez que dicho usuario acceda a
un servidor que ejecute Windows NT. El servidor comprobará si el nombre de usuario y la
contraseña coinciden con los de alguna de la cuentas del servidor (o de aigún dominio de
confianza del dominio al cual pertenezca el servidor).
Windows NT: Administración y Aplicaciones
35
Cap. 4
Seguridad
4.5 Usuarios y grupos
Cualquier persona que utilice la red con regularidad podrá disponer de una cuenta de
usuario; la cual; se encontrará dentro de los tipos de cuentas que dispone Windows NT:
cuentas de usuario, cuentas globales y cuentas locales. A continuación se da la definición de
dichas cuantas.
Nota: Las cuentas de usuario y de grupo las crea y administra, el administrador de usuarios.
El administrador de archivos se utiliza para conceder a los usuarios y grupos permisos sobre
archivos y directorios. El administrador de impresión se utiliza para conceder acceso a las
impresoras.
Contenido de una cuenta de usuario
Las cuentas de usuarios están compuestas de las siguientes partes:
-Nombre de usuario.
-Contraseña.
-Nombre completo.
-Horas de inicio de sesión(Horas durante las cuales el usuario podrá iniciar sesiones).
-Estaciones de trabajo para inicio de sesión (nombre de las estaciones de trabajo
desde las cuales el usuario está autorizado a trabajar).
-Fecha de caducidad.
-Directorio particular.
-Archivo de comandos de inicio de sesión (Archivo por lotes o archivo ejecutable
que se ejecutará automáticamente cuando el usuario inicie una sesión).
-Perfil (Archivo que contiene un registro del entorno del escritorio del usuario).
-Tipo de cuenta (Global o local).
Cada cuenta de usuario tiene asociado además un identificador de seguridad (SID),es decir,
un número exclusivo que lo identifica de forma unívoca. El cual será diferente para todos los
u suarios.
Utilidad de los grupos
La integración de usuarios en grupos permite conceder a varios usuarios el acceso a un
recurso de una forma más fácil y rápida. Para conceder un permiso o derecho a todos los
usuarios de un grupo bastará con otorgar tal derecho o permiso al propio grupo. Otra
ventaja es que cuando se da de alta a un nuevo usuario, basta con incluirlo a un grupo y
automáticamente adaptará el esquema de seguridad impuesto para dicho grupo.
Los grupos locales ofrecen además, un método para clasificar usuarios y asignarles
rápidamente conjuntos predefinidos de derechos y permisos.
Windows NT: Administración y Aplicaciones
36
Cap. 4
Seguridad
4.5.1 Grupos globales
Un grupo global es un conjunto de cuentas de usuario de un dominio que se reúnen bajo un
mismo nombre de grupo. Un grupo global solo puede contener cuentas de usuario del
dominio en el cual haya sido creado. Una vez creado un grupo global, podrá estar disponible
desde cualquier punto. Podrá recibir permisos y derechos en su propio dominio y en
cualquiera de los dominios que confíen en el suyo. Un grupo global solo puede contener
cuentas de usuario; no puede incluir otros grupos locales o globales.
4.5.2 Grupos locales
Un grupo local es un conjunto de usuarios y grupos globales procedentes de uno o varios
dominios, que se reúnen bajo un solo nombre de grupo. Aunque un grupo local de un
dominio podrá contener usuarios y grupos globales de ese dominio, así como de cualquier
otro de su confianza, solo está permitido conceder a un grupo local derechos y permisos
sobre los recursos situados en el mismo dominio donde ese grupo local haya sido definido.
El empleo de ese grupo solo podrá realizarse localmente en los servidores de su dominio. Un
grupo local puede contener usuarios y grupos globales, pero no puede contener otros
grupos locales.
También existen grupos locales en las computadoras con Windows NT Workstation y en los
servidores que no son controladores de dominio. Un grupo local de una de estas
computadoras puede contener cuentas de usuario de la misma computadora, así como
usuarios y grupos globales del dominio donde se encuentra dicha computadora y de otros
dominios en los cuales se confía.
4.5.3 Diferencia entre grupos globales y locales
A pesar de que un grupo local y un grupo global desempeñan funciones idénticas, para su
creación y utilización se aplican reglas diferentes.
Un grupo global creado en el dominio X:
- Solo puede contener usuarios del dominio X
- Puede utilizarse en cualquier dominio que c o d e en el dominio X
Un grupo local creado en el dominio X:
- Puede contener usuarios, grupos globales del dominio X y de cualquier dominio de
confianza del dominio X
- Solo puede utilizarse en servidores del dominio X
Nota: Los grupos locales no pueden ser utilizados en servidores que no sean controladores
del dominio, ni en computadoras con Windows NT Workstation.
Windows NT: Administración y Aplicaciones
37
Semridad
Cap. 4
Dominio A
Dominio B
Usuarios
Usuarios
Grupos globales
Grupos globales
I
I
I
1
Los grupos globales de un dominio pueden
contener solo usuarios de ese dominio. Los
qrupos locales de un dominio pueden
Contener usuarios y grupos globales de ese
dominio, así como los de los dominios en
que este dominio confíe.
Grupo local
Los grupos locales pueden contener grupos globales, pero los grupos globales no pueden
contener grupos locales.
4.5.4 Distintos tipos de cuentas grupo
Las siguientes cuentas son creadas automáticamente por NT. En la mayoría de los casos,
siempre habrá alguno de los grupos que resulte adecuado para los derechos de acceso que se
desee otorgar para cada usuario de grupo personalizado y asignar al mismo los derechos de
acceso que estime convenientes, por medio de la utilidad Administradores de usuarios.
Administradores.- Las cuentas de un grupo local Administradores de un dominio o una
computadora disponen de la autoridad necesaria para hacer prácticamente todo lo que
deseen en dicho dominio o computadora. Entre estas posibilidades se incluye la creación,
eliminación y administración de cuentas de usuario, grupos globales y grupos locales; la
posibilidad de compartir directorios e impresoras; la concesión de permisos y derechos de
uso de recursos a los usuarios; y la instalación de programas y archivos. Un administrador
no podrá acceder a un archivo si los permisos del mismo no se lo autorizan. Todo archivo de
un volumen NTFS posee un propietario que puede establecer los permisos sobre un archivo.
Cuando se crea un archivo, su creador se convierte en propietario. No obstante, si es
necesario, un administrador podrá tomar posesión de un archivo y de este modo disponer de
acceso al mismo.
Windows NT:Administración y Apiicaciones
38
Cap. 4
Seguridad
Usuarios.- Las cuentas del grupo local Usuarios son las de los usuarios habituales de la red,
es decir, los que la utilizan para su trabajo. En los controladores principal y de reserva de un
dominio que ejecuten Windows NT, los usuarios no tendrán el derecho de iniciar una sesión
localmente de forma predeterminada. Los usuarios pueden acceder a estos servidores
solamente a través de la red.
Invitados.- El grupo de invitados poseen los mismos derechos que los miembros del grupo
Usuarios. Los Invitados tienen menos derechos que los Usuarios cuando trabajan con
computadoras con Windows NT Workstation. Los usuarios pueden mantener un perfil local
en su estación de trabajo, bloquear la estación de trabajo y crear, eliminar y modificar grupos
locales en la estación de trabajo, mientras que los invitados no pueden hacer ninguna de
estas cosas.
Operadores de Servidores.- Este grupo solo existe en los controladores principal y de
reserva ejecutando Windows NT; su principal misión es mantener en funcionamiento los
servidores de la red. Tienen casi los mismos privilegios que los administradores a excepción
de que no pueden administrar la seguridad en el servidor. En especial pueden compartir y
dejar de compartir archivos e impresoras de un servidor, bloquear o saltar el bloqueo de un
servidor, así como dar formato a los discos del servidor. También pueden iniciar sesión en
los servidores, realizar copias de seguridad y restaurar los archivos del servidor, así como
cerrar servidores.
Operadores de cuentas.- Este grupo solo existe en los controladores principal y de reserva
ejecutando Windows NT. Un operador de cuentas puede crear, eliminar y modificar a los
usuarios y grupos a excepción de los Administradores y Operadores. Tampoco pueden
asignar derechos a los usuarios.
Operadores de impresión.- Este grupo solo existe en los controladores principal y de
reserva ejecutando Windows NT. Los operadores de impresión pueden compartir y dejar de
compartir impresoras, así como administrar las impresoras compartidas de los servidores.
También pueden iniciar sesiones localmente en los servidores, así como cerrarlos.
Operadores de copia.- Este grupo solo existe en los controladores principal y de reserva
ejecutando Windows NT. Pueden realizar copias de seguridad de los archivos de la
computadora.
Windows NT: Administración y Aplicaciones
39
Cap. 4
Seguridad
4.6 Control de las facultades de los usuarios
Existen varias formas de controlar lo que los usuarios pueden y no pueden hacer, en sus
estaciones de trabajo y en el resto de la red. El método mas importante y el que se utiliza
con mayor frecuencia consiste en emplear los grupos locales predefinidos.
Con solo incorporar un usuario a alguno de estos grupos, podrá otorgarles un gran conjunto
de facultades y derechos predefinidos.
Otra forma de limitar las facultades de los usuarios es configurar determinadas opciones en
sus respectivas cuentas, como la limitación de las horas de conexión y las computadoras de
la red que estarán autorizados a emplear.
Los permisos de cada archivo, directorio o impresora compartido en la red definen quien
puede acceder a tales recursos y quien no.
Es posible asignar permisos a grupos locales, grupos globales e individuales; estos últimos
no se recomiendan mucho ya que son muy dificiles de mantener.
Permisos del visor portafolio
El visor portafolio permite compartir información entre diferentes aplicaciones y usuarios.
El usuario podrá crear paginas por medio de este, y poder tomar la opción de compartirlo o
no ( el usuario es dueño de su propia pagina).
Para que un usuario pueda hacer uso del visor portafolio debe pertenecer a uno de los
siguientes grupos:
- Administradores
- Operadores de servidores
- Usuarios avanzados
- Usuarios
Auditoria
Las actividades de los usuarios pueden controlarse mediante la auditoria de acciones y
recursos. La auditoria de una acción o recurso provoca la anotación de una entrada en el
registro de sucesos de seguridad cada vez que se realice la acción correspondiente o se
acceda al recurso indicado, lo cual garantiza que los usuarios serán los responsables de sus
propias acciones.
Las acciones que pueden ser auditadas son las siguientes:
- Inicio y cierre de sesión
- Acceso a archivos y objetos
- Empleo de derechos de usuario
- Administración de usuarios y grupos
- Cambios en el plan de seguridad
-Reiniciar, cierre y sistema
- Seguimiento de procesos
Windows NT:Administración y Aplicaciones
40
Cap. 4
Seguridad
Derechos de usuarios
Los derechos de usuario especifican las acciones que pueden realizar los grupos locales,
grupos globales y usuarios. Estos pueden ser modificados pero generalmente se recomienda
utilizar los derechos de usuario predefinidos por Windows NT.
A continuación se muestra una tabla de los derechos predefinidos por Windows NT
Administrar los registros de Administradores
auditoría y seguridad
Hacer copia de seguridad de Administradores
Operadores de servidores
archivos y directorios
__ _ _ ~ _ _ _ _ _ _ _ _ _ _ Operadores de copia
y Administradores
Restaurar
archivos
directorios
Operadores de servidore:
Operadores de copia
Cambiar al hora del sistema
Administradores
Operadores de servidores
Acceder a esta computadora Administradores
desde la red
Todos
Iniciar sesión localmente
Cerrar el sistema
Administradores
Operadores de servidores
Operadores de copia
Operadores de cuentas
“checar”
Administradores
Operadores de cuenta
Operadores de copia
Operadores de impresión
Agregar estaciones de trabajo Ninguno
Tomar posesión de archivos y Administradores
otros objetos
Cargar
Y
descargar Administradores
controladores de dispositivos
Forzar el cierre desde un Administradores
sistema
remoto
servidores
-- --__
_ _ _ Operadores
_ _ _ _ _ _de
_~
~~
Windows NT:Administracióny Aplicaciones
Administradores
Administradores
Operadores de copia
Administradores
Operadores de copia
Administradores
Usuarios avanzados
Administradores
Usuarios avanzados
Todos
Administradores
Operadores de copia
Usuarios avanzados
Administradores
Operadores de copia
Usuarios avanzados
Usuarios
Invitados
No aplicable
Administradores
Administradores
Administradores
Usuarios avanzados
41
Cap. 4
Seguridad
Además de los derechos de usuario existen otros derechos de usuarios avanzados, los
cuales, se utilizan generalmente para programadores, que desarrollan aplicaciones en
Windows NT, esos derechos son los siguientes:
- Actuar como parte del sistema operativo
- Crear un archivo de paginación
- Crear objetos testigo
- Crear objetos compartidos permanentes
- Depurar programas
- Generara auditorías de seguridad
- Incrementar cuotas
- Cargar y descargar controladores de dispositivo
- Bloquear páginas en memoria
- Modificar los valores de entorno de la memoria no volátil (firmware)
- Perfilar el sistema
- Remplazar un testigo a nivel de proceso
Configuración del plan de cuentas y contraseñas
Cada dominio puede tener su propio plan para crear cuentas y contraseñas; es decir; que
tenga su propio tamaño de caracteres, duración de la contraseña y repetibilidad de la
contraseña.
Dentro del plan también se puede especificar los siguientes aspectos:
- Si se debe bloquear las cuentas
- Si se desea que los usuarios sean obligados a desconectarse de los servidores del
dominio, cuando termine el horario durante el cual están autorizados a conectarse.
- Si desea que los usuario puedan iniciar una sesión para cambiar sus contraseñas.
Autorización de las facultades de los usuarios
Windows NT tiene como opción predeterminada, una cuenta de invitado inicialmente.
Esta cuenta es de dos clases:
- Inicio de sesión de invitados locales:
Este tipo de cuenta tiene la autorización de iniciar una sesión dentro del dominio donde se
encuentre esta computadora y podrá utilizarse para accesar a la red.
- Inicio de sesión de invitados de la red:
Esta opción de cuenta se dará únicamente cuando trate de accesar de otro dominio, del cual
no se confía; es decir; al momento de no reconocer la cuenta el dominio autorizará un inicio
de sesión como invitado.
Windows NT:Administración y Aplicaciones
42
Cap. 4
Seguridad
4.7 Protección contra virus y caballos de Troya
En el mundo informático actual, es necesario impedir intrusiones malintencionadas en la red,
que se manifiestan en forma de virus o caballos de Troya.
Un ejemplo de caballo de Troya es un programa que se oculta bajo el aspecto de una
pantalla de inicio de sesión del sistema e intenta capturar la información de nombres de
usuarios y contraseñas, información que los caballos de Troya podrán utilizar posteriormente
para entrar en el sistema. Es posible protegerse en gran medida contra los ataques de virus y
caballos de Troya con solo realizar unas sencillas operaciones.
La mayoría de los usuarios de la red no son conscientes de que pueden introducir los virus
en la red, por lo que una de las mejores formas de mantener la seguridad de la red
impidiendo el acceso de virus es educar a los usuarios acerca de los mismos. También
conviene disponer de al menos un programa comercial de detección de virus y utilizarlo
periódicamente para comprobar si existe algún virus en los servidores de archivos. Si es
posible, deberá poner el software de detección de virus a disposición de los usuarios.
He aquí otras maneras de protegerse contra los virus:
- Establecer permisos de archivos de tal modo que todas las aplicaciones disponibles en los
servidores de red y en las computadoras con Windows NT Workstation solo puedan leerse y
ejecutarse, para evitar que puedan ser sustituidas por virus.
- Antes de introducir una nueva aplicación o archivo en la red, cópielo a una computadora
que no esté conectada a la red y aplíquele el software de detección de virus. También puede
iniciar una sesión en esta computadora utilizando una cuenta cuyo nivel de acceso a la
computadora sea únicamente el de invitado, a fin de que el programa sometido a verificación
solo posea los permisos correspondientes a esta categoría y no sea capaz de modificar
ningún archivo importante.
- Realice periódicamente copias de seguridad de los servidores de archivos, a fin de reducir
al mínimo el daño en caso de que llegue a producirse el ataque de un virus.
Windows NT ofrece una importante medida de seguridad contra los programas conocidos
como caballos de Troya: para que un usuario pueda iniciar una sesión en una computadora
con Windows NT, deberá introducir la secuencia protegida de atención CTRL+ALT+SUPR.
Esta serie de teclas invoca directamente la pantalla de inicio de sesión del sistema operativo
Windows NT.
Otra forma de impedir los caballos de Troya es convertir todas las aplicaciones en archivos
que solo puedan leerse y ejecutarse, a fin de que no puedan ser sustituidos por ningún
programa que se oculte bajo la apariencia del programa original y usurpe información.
Windows NT: Administración y Aplicaciones
43
Cap. 4
Seguridad
4.8 Seguridad de un Servidor en Internet
Es necesario proveer una base de seguridad en la información de un servidor por medio de
una pagina en Internet. Esta sección hace referencia a la seguridad, la cual, se lleva a cabo a
través de un selectivo acceso a los documentos por medio de una Intranet.
Esta sección presenta
- Control de autentificación y seguridad en la información de una pagina de
Internet en un servidor.
- Escenarios para la conexión de una Intranet a Internet.
- Sugerencia sobre el uso de herramientas de monitoreo para detectar,
monitorear y prevenir alteraciones en la seguridad.
Autentificación de la Información de un Servidor en Internet
La Internet Injormation Server habilita el control de acceso al sitio de información por
medio del uso de las cuentas de usuario de Windows NT.
Durante la instalación ,Internet hformation Server (IIS) crea el IUSR-computername una
cuenta de usuario standard como nombre de usuario para todos los accesos anónimos. Un
password aleatorio es generado para IUSR-computername. Justamente como cualquier
cuenta de usuario, la cuanta es adicionada a una base de datos local o dominio y puede ser
modificada usando el User Manager.
El papel de un servidor como Controlador del Dominio Primario (CDP), Controlador de
Dominio Backup o puesto simplemente como "servidor, influye en el IUSR-computername
al crear y usar la cuenta de usuario en el 11s.
Si el IIS es instalado en un Controlador de Dominio Primario o en un Controlador de
Dominio Backup, el IIS adiciona automáticamente la cuanta de usuario en le directorio de la
base de datos del dominio. La cuenta IUSRcomputername automáticamente llega a ser una
cuenta de dominio amplio y puede accesar a los recursos del dominio.
Por otro lado si el IIS es instalado en un servidor "servidor" únicamente, la cuenta
KJSR-computername es una cuenta local. Las computadoras en este dominio no pueden
validar cuantas creadas en el 'kervidor". Para habilitar el acceso a los recursos en otro
servidor en el dominio, se cambia la cuenta IUSR-computername a una cuenta de dominio
amplio.
Windows NT:Administración y Aplicaciones
44
Cap. 4
Seguridad
"Servidor"
BDC
PDC
Local-computerUUSR-computemame Solamente local
~
Domain\
~
~IUSR-computemame
_
_
_
_
Domain\ IUSR-computername
.~
Dominio
Dominio
______-
Acceso Anónimo
IIS permite accesar cuentas anónimas en los servidores WWW, FTP y Ghopher por default.
No hay diferencia entre un anónimo en una Intranet y un anónimo en Internet.
Pero aún cuando se use el acceso anónimo, todas las actividades en el sistema determinan
permisos por el nombre de usuario.
Internet Explorer y muchos otros visualizadores de páginas, no proveen un nombre de
usuario y password cuando se conectan al Web del servidor, solamente IIS usa la cuenta
IUSR-computername como se muestra en la figura:
PROCESO DE ACCESO ANONIMO
Medio de Información
Anónimo
b
I
I
IüSR-computername
Base de Datos
(Directorio)
IUSR-computemame
Información del servidor de Internet
4
Cliente
Pagina desplegada ó mensaje
de Acceso denegado
Servidor Windows NT
Si se prevén accesos anónimos solamente, no se puede usar la cuenta maliciosamente.
Windows NT:Administración y Aplicaciones
45
Cap. 4
Seguridad
Autentificación de un Usuario en Intranet
La autentificación de un usuario es más fácil de usar en una Intranet con una cuenta de
usuario existente en el sistema. Debido a que con el IIS , se pueden usar las cuentas
existentes de la red y estructura del dominio, y administrar la cuenta de usuario con el User
Manager.
Si todos los clientes corren Internet Explorer de la versión 2.0 en adelante, se puede usar la
autentificación challengue/response de Windows NT, la cual provee una autentificación
segura como se muestra en la figura.
PROCESO PETICI~N RESPUESTA
I
I
Medio de Información
I
t
IUSR-mmputernanie
Base de Datos
(Directorio)
IUSR-computername
Secuencia PeticióníRespuesta
Información del servidor de Internet
4
Cliente
Pagina desplegada ó mensaje
de Acceso denegado
Servidor Windows NT
Todos los otros visualizadores de paginas pueden conectarse solamente usando la
autentificación básica.
Una nota importante es que la autentificación básica envía el username y el password sobre
la red, encriptados.
La autentificación básica codifica el username y password usando base-64.Si una red es
monitoreada se debe interceptar el paquete, después decodificar el paquete.
Si se esta preocupado acerca de la seguridad en una Intranet, se puede usar la
autentificación básica en conjunto Secure Socket Layer (SSL). SSL encripta los procesos de
autentificación como se muestra en la figura.
Windows NT: Administración y Aplicaciones
46
Cap. 4
Seguridad
PROCESO DE AUTENTIFICACI~N
BASICO SSL
I
Nombre de usuario
encriptado SSL y
password
I
Medio de Información
T
IüSR-computername
Base de Datos
(Directorio)
IUSR-computername
r
Información del servidor de Internet
[NavegadorJ
Pagina desplegada Ó mensaje
Cliente
de Acceso denegado
Servidor Windows NT
Los principales puntos discutidos en la sección de Intranet son aplicados sobre la
autentificación de usuario en Internet. Sin embargo debido a que no se puede asumir que
cada uno de los usuarios de Internet Explorer accesaran al servidor, se debe usar una
autentificación base en conjunción con SSL para una autentificación segura.
Si se piensa crear miles de cuentas de usuario para clientes Internet, se necesita investigar
los requerimientos de hardware para mantener un largo número de cuentas de usuario.
Encriptamiento Privado de Datos con SSL
El protocolo SSL provee comunicación privada sobre la red usando una combinación de
llaves encriptadas y bultos de datos encriptados para la privacidad. Usando este protocolo,
clientes y servidores pueden comunicarse en un camino que previene la intercepción de
datos en la red, soborno o falcificación de mensajes.
Windows NT: Administracióny Aplicaciones
47
Cap. 4
Seguridad
SSL
La criptografía es un complejo tópico en matemáticas. Las llaves criptograficas son creadas
al mismo tiempo: una llave publica y una llave privada. La llave publica se le da a cualquiera.
Mientras que la llave privada es cerrada y guardada por una persona. Ambas son requeridas
para cualquier cambio de información.
Internet Explorer encripta datos usando las llaves publicas del servidor. Los datos
encriptados son enviados por el servidor.
Por el otro lados el dato es desencriptado por el servidor el cual usa la llave privada. Los
datos pueden ser desecriptados solamente con llaves privadas, contenidas por el servidor.
Seguridad FTP
El Protocolo de Transferencia de Archivos (FTP) es un protocolo legal. Es por eso que,
FTP remains es un servicio útil, ya que este puede aceptar archivos desde usuarios remotos
o usuarios de un diferente sistema de archivos.
Acceso Anónimo FTP
FTP siempre usa niveles-usuario para seguridad, esto significa que el usuario tiene que
firmarse varias veces para accesar al servidor FTP.
El servicio Internet Information Server FTP puede usar la base de datos de las cuentas de
usuario de Windows NT para autentificar los accesos de los usuarios. Sin embargo, todas las
transmisiones FTP están en textos claros, de esta manera se exponen lo user names y
passwords.
El problema de exponer passwords es eliminado cuando un servidor FTP es configurado
para permitir logons anónimos. El logon anónimo requiere que el usuario escriba su
username (anonymous) y su dirección en Inernet, así también como su password. Los
usuarios anónimos consiguen accesar a los archivos con la cuenta IUSR-computername.
También se puede permitir logons anonymous-only para el Servicio Internet Information
Server FTP. El logon Anonymousonly es Útil porque este previene passwords reales, de los
que llegarán a ser revelados en una red pública.
Conexión de Internet con Intranet
Cuando se quiera que los usuarios de nuestra Intranet usen Internet y se quiera dar acceso a
los usuarios de Internet a cierta información, es probable que no se desee que los usuarios de
Internet tengan acceso a todos los recursos de nuestra Intranet.
Al conectarse una Intranet a Internet, se puede usar aislamiento fisico, un protocolo de
aislamiento, niteadores terceros y niteadores de Windows NT en la red para proveerla de
seguridad. La topología escogida afecta el servicio que se da a los usuarios de Intranet. En la
página 50 se muestran estos tipos de seguridad y sus variantes
Windows NT: Administración y Aplicaciones
~
48
Cap. 4
Seguridad
Audición de Acceso con Internet Information Server Logs
Se puede usar Internet Information Logs para rastrear el uso de los servicios 11s.La firma se
puede configurar para satisfacer las necesidades del sitio. Por ejemplo, 2 o más servidores
11s pueden firmar al mismo archivo de red Ó base de datos de red. Esto es útil para sitios
grandes o para sitios que usan servidores duplicados para buscar balancear.
Conservativamente, si se corre el servicio FTP o Gopher se puede especificar por separado
archivos o base de datos para rastrear el acceso en cada servicio.
Para firmar un base de datos, se puede usar herramientas de base de datos o Internet
Database; conector para consultar y analizar las firmas a archivos para detectar actividades
sospechosas.
Windows NT:Administración y Aplicaciones
49
Seguridad
Cap. 4
Servidor Windows NT
Nivel de Seguridad de Internet
Internet
Isolación Fi'sica
Muy alta
Q
.o
Dos Direcciones
0
Protocolo Isolación
Alta
TCP/IP
IPX
4
Una Dirección
Dos Direcciones
Alta
Ruteador de Tres Partes
I
TCPm
v
Dos Direcciones
Moderado
.0
TCPm
Dos Direcciones
0
Ruteador Windows NT
r d
TCPíiP
Una Dirección
TCPíiP
Una Dirección
U
Windows NT:Administración y Aplicaciones
50
Cap. 4
Seguridad
Baja
TCPm
P
Dos Direcciones
o
TCPm
4
Dos Direcciones
4.8.1 Adicionales Métodos de Seguridad
Uso de Firewall y otros métodosfuturos
Una tercera parte del producto pueden crear firewalls entre Internet y la Intranet. La
mayoría de esos productos son basados en Packet Filtaring. Packet filtering toman lugar
cuando examina la fuente y destino de la dirección Ip de un paquete, y avanza solamente
aquellos paquetes que se le a sido admitido el acceso.
Muchas de la terceras partes de los niteadores que conectan la Intranet a la Internet pueden
ser configuradas por filter packet, basado en la fuente Ó destino de la dirección IP. Se puede
especificar cual dirección Tp es permitido ó denegado el acceso en la intranet.
Seguridad de las Cuentas de los Usuarios J+?ndows NT
Una medida de seguridad primaria es observar que todo el tiempo es custodiado la cuenta
administrador y permisos administrativos en computadoras conectados a Internet. Dar
passwords solamente a empleados con apropiado margen de seguridad,
Los usuarios externos de ineternet pueden conseguir accesar a la intranet a través de la
cuenta Guest o IUSR-computername. Para asegurar los permisos para esas cuentas en el
gateway de Internet e Internet Information Server es configurado para prevenir intrusos, las
cuentas se restringen a leer solamente directores públicos.
Uso de archisos de seguridad
Si creo un gateway Internet o se corre Internet Information Server en una computadora de
red, se usa la seguridad NTFS para dar acceso de control a específicos archivos y
directorios.
Este método de seguridad requiere del disco o una partición del disco para ser formateado
como NTFS.
~
Windows NT:Administración y Aplicaciones
51
Cap. 4
Seguridad
Esto es una buena idea para mantener todos los archivos que están disponibles a través de
Internet Information Server en un disco o partición del disco separada el S.O., aplicación o
archivos personal.
Actividad del sistema de audición
Se puede auditar para rastrear las actividades del usuario y el sistema. Windows NT puede
registrar un rango de tipos de eventos , desde un evento de sistema abierto tal como una
firma de usuario, cada intento por un usuario particular para leer específicos archivos en un
manejador NTFS.
Windows NT: Administracióny Aplicaciones
52
Cap. 5
Sistemas de Archivos
SISTEMAS DE ARCHIVOS
5.1 Introducción
Ai nivel BIOS, una partición de disco contienen sectores numerados O, 1, etc. Sin un soporte
adicional, cada partición seria un gran depósito de datos. Los sistemas operativos incorporan una
estructura de directorio para agrupar la partición en pequeños archivos, otorgándoles nombres a
cada archivo, y utilizar el espacio libre para crear nuevo archivos.
La estructura del directorio y los métodos de organizarlos es a lo que se le conoce como Sistema
de Archivos. Los diferentes sistemas de archivos es el reflejo de las diferentes necesidades de los
sistemas operativos.
A cada partición se le asigna un tipo de Sistema de Archivos, es decir, cuando la partición se
formatea con un Sistema de Archivos específico, la partición se actualizara para reflejar esta
elección.
El disco duro puede tener particiones con distintos Sistemas de Archivos, como los que maneja
DOS, OS/2, Windows NT, y Linux, etc. En general un sistema operativo ignorará las particiones
realizadas con un Sistema de Archivo desconocido. Por los tanto es %til (suponiendo un disco de
enorme capacidad) instalar diversos sistemas operativos con sus propios Sistemas de Archivos.
Aunque existen algunas consideraciones por tomar.
A continuación se darán algunas características de cada sistema de archivos, mas adelante se
verán en detalle.
El sistema de Archivos FAT
El sistema de Archivos FAT es usado por DOS y soportado por todos lo
otros sistemas de archivos mencionados. Es sencillo, contiable, y ocupa poco
espacio.
HPFS
HPFS se usa por OS/2 y es soportado por Windows NT. Proporciona
una mejor información que FAT y soporta archivos con nombres largos. Sin
embargo, requiere de más memoria que FAT y no es recomendable en sistemas
con 8 megas de RAM.
NTFS
NTFS proporciona todo. Soporta archivos con nombres largos (hasta
255 caracteres), grandes volúmenes de información, seguridad en datos, y una
compartición de archivos universal. Pero, debido a que otros sistemas operativos
no pueden usarlo, NTFS es menos utilizado en computadoras personales y
estaciones de trabajo portátiles.
Windows NT:Administración y Aplicaciones
53
Cap. 5
Sistemas de Archivos
Los Sistemas de Archivos y las Letras de los Discos
DOS y Windows 95 solo puede iniciar del disco C:. Técnicamente, la letra C: esta asignada a la
primera Partición Primaria en un disco duro que tiene el Sistema de Archivos FAT. En ningún
otro caso DOS puede iniciar de un segundo disco duro o volumen lógico en una partición
extendida.
Sin embargo, si un sistema cambia el sector de arranque del DOS y lo coloca en la segunda
Partición primaria en el primer disco duro; esto no dará ningún problema, es decir, para DOS, el
no encontrar en la primera partición primaria un sistema de archivos FAT no es problema, ya que
ignora la primera partición que esta formateada para otro Sistema Operativo.'
5.2 Tipos de Sistemas de Archivos
5.2.1 El Sistema de Archivos Fat
Soportado por todos los sistemas operativos
Un uso mínimo de memoria
Simple y confiable
Nombre de archivos del tipo NOMBRE.EXT "8.3"
Disminuye su eficiencia arriba de 32Meg.
La Tabla de Asignación de Archivos (FAT) h e diseñada y codificada en Febrero de 1976, por
un chico limado Bill Gates. El diseño de FAT fue incorporado por Tim Patterson en una primera
versión de un sistema operativo para Intel 8086. Gates compró los derechos del sistema, lo
reescribió para crear la primera versión del DOS.
El sistema de archivos FAT es simple y confiable. No pierde datos ya que la computadora h e
interrumpida en medio de una actualización. No usa demasiada memoria. Pero esto ocasiona, un
trabajo extra en la administración de I/O en las diferentes áreas de la partición. El duectorio se
encuentra al principio de la partición y contiene una tabla de espacio libre. Para escribir un nuevo
conjunto de datos, o agregar datos en uno anterior, el brazo del disco debe moverse
constantemente entre localizar el directorio y el lugar en donde los datos serán escritos. Sin
optimización, un archivo puede terminar fragmentado en varias piezas pequeñas.
5
http://pclt.cis.yale.edu/pclt/boot/fat.hmt
[Internet] (1996)
Windows NT: Administración y Aplicaciones
54
Cap. 5
Sistemas de Archivos
Por diseño FAT soporta un máximo de 64K de unidades de asignación. Cuando la partición del
disco es de 32 megabytes o menos, entonces las unidades de asignación es de 512 bytes por
sector. Sin embargo, cuando un disco es m á s grande, lo es la unidad también. Un disco con
partición de 64 megabytes tiene unidades de asignación de, 1K el de 128 meg tiene unidades de
2K y uno de 256 meg tiene unidades de 4K. Cada archivo ocupa una o mas unidades de
asignación. Debido a que las unidades de asignación son mas grandes, un gran número de
pequeños archivos desperdicia gran cantidad de espacio en el disco.
La clásica estructura del directorio FAT (antes de NT y Windows 95) limita el nombre de los
archivos a ocho caracteres con tres caracteres de extensión. La estructura FAT también
mantiene, para cada archivo, una serie de atributos (si es de Sistema si esta oculto -Hidden- para
el comando DIR, si debe ser Archivado la próxima vez que el disco sea respaldado, y si es de
solo lectura -Read only). También tienen una fecha y hora de la última actualización.
OS/2 tiene, además, otros atributos. Pero cono no hay espacio para estos atributos en DOS,
OS/2 crea un archivo oculto aparte con el nombre de "EA DATA.SF" y guarda la información
ahí.
5.2.2 El Sistema de Archivos HPFS
Soporta nombre de archivos largos
El directorio esta colocado por todo el disco
Mucho más rápido crea nuevos archivos
Asigna sectores individuales de 5 12 bytes
Usa más memoria, negativo para una PC pequeña
El Sistema de Archivo de Alto Rendimiento (HPFS) h e desarrollado por Microsoft para
OS/2, principalmente para soportar al servidor de archivos LAN. Las tablas que describe la
localidad de los archivos y el espacio libre están colocadas a intervalos regulares. Los nuevos
datos se escriben en donde hay una gran cantidad de espacio libre. Esto reduce la fiagmentación
y evita que el brazo salte por una gran área.HPFS mantiene una unidad de asignación de 512
bytes sin importar que tan grande sea el disco.
El directorio HPFS permite nombres de cualquier longitud, y a diferencia de NT y Windows 95,
sin embargo, HPFS no conserva un nombre separado de 8.3 alrededor de cualquier grupo de
datos. Si un programa de DOS o Windows corre bajo OSí2 buscando un directorio, no verá los
datos cuyo nombre de archivo sea largo.
HPFS conserva la información en una área cache de memoria hasta que se necesite escribir al
disco.
Windows NT: Administración y Aplicaciones
55
Can 5
Sistemas de Archivos
El HPFS usa una cantidad de memoria significante.El no tener suficiente memoria puede afectar
en la ejecución, así que no se recomienda HPFS en sistemas pequeños (por decir 4-8 megabytes
de RAM).
OS/2 acepta en su totalidad el HPFS. Windows NT leerá y escniirá archivos en una partición
HPFS, pero no formateará nuevas particiones con HPFS. Linux tiene un driver de solo lectura
paraHPFS.
Aunque DOS y Windows 95 no soportan formalmente el sistema de archivos HPFS, hay una
serie de drivers llamados AMOS que proporcionan un acceso de solo lectura al HPFS.
Solo Windows 95 y Wmdows NT soporta nombres largos de archivos. HPFS tiene un buen
desempeño y acepta un sistemaNT u OS/2 para manejar archivos con nombres largos.
5.2.3
El Sistema de Archivos NTFS
Soporta nombres de archivos largos
Controla el acceso para directorios o archivos
Puede comprimir archivos de manera individual o directorios
Comparte directorios con usuarios Mac de un servidor NT
Eficiente para particiones largas
Aumente espacio cuando las particiones se han saturado
NTFS es un nuevo sistema de archivos para Windows NT. NTFS esta diseñado para ser todas
las cosas a la gente y para incluir todas los puntos sobresalientes de los demás sistemas de
archivos. En teoría, un archivo NTFS puede tener su mismo nombre en caracteres tanto chinos
como hebreos. Al mismo tiempo, NTFS mantiene un nombre de archivo de la forma 8.3para que
se puedan usar en DOS.
NTFS soporta un gran número de modelos de seguridad multi-usuario. Existe una seguridad
nativa Windows NT, establecida por el manejador de archivos basada en los grupos en los cuales
el usuario esta relacionado. El Servidor NT Avanzado también soporta el modelo de seguridad
de Macintosh que simula un servidor de archivos Apple. Las aplicaciones de Unix verá la
seguridad que observa el modelo Posix.
Un servidor Windows NT no puede compartir espacio en disco con Macintosh, a menos que el
volumen este en formato NTFS. Sin embargo, una estación de trabajo Windows NT que no
funcione como un servidor central, trabaja bien Con volúmenes VFAT y HPFS.
NTFS escnie actualizaciones a lo largo de cada volumen. Si un sistema se ha colapsado, esta
área se puede usar para limpiar el problema casi instantáneamente, generando una recuperación
mucho mas rápida que con HPFS.
Windows NT: Administracióny Aplicaciones
56
Cap. 5
Sistemas de Archivos
NTFS soporta "conjuntos de volumen" donde, una sola letra esta asociada con un "volumen"
creado de un número de áreas de espacio libre. Si un volumen " F S se nena, se puede expander
de manera dmámica adicionando una gran cantidad de espacio libre del mismo disco duro o de
otro.
Mientras que DOS tiene drives que permiten que todo el disco sea comprimido, " F S permite,
aunque no es muy fiecuente, manejar archivos o subdirectorios individuales de manera
comprimida. Los archivos que están comprimidos se descomprimen automáticamente cuando se
usan, y los nuevos archivos se comprimen si se almacenan en un directono comprimido.
Algo almacenado en el sistema NTFS no esta disponible cuando DOS, Wmdows 95, o OS/2 es
ínicialiiado en la misma máquina. Sin embargo, un servidor Windows NT puede compartir
volúmenes a través de la red y los otros sistemas operativos pueden accesar a los archivos.
Windows NT:Administración y Aplicaciones
57
Cap.6
Administración de Entornos de Usuario y de Archivos de la Red
Administración de Entornos de Usuario y de Archivos
de la Red
6.1 Administración de Entornos de Usuario
En Windows NT es posible conservar los entornos que utilizan los usuarios al momento de
trabajar, ya sea desde una estación de trabajo o desde un servidor. Todo esto se puede hacer
por medio de los perfiles de usuario, comandos de inicio de sesión. directores particulares
y variables de entorno.
Los pecfiles de usuario son archivos donde se guarda la información de las características
del entorno de una computadora, como por ejemplo los grupos del administrador de
programas y los elementos de programa contenidos en dicho grupo, las conexiones de la
impresora, el tamaño y la posición de las ventanas y los colores de la pantalla. Así, el usuario
podrá o no, tener la posibilidad de manejar su entorno como a el mas le agrade.
Los archivos de comandos de inicio de sesión se ejecutan al momento de iniciar una sesión
en cualquier estación de trabajo; estos comandos pueden ser del Sistema Operativo o
programas ejecutables.
También se puede optar por proporcionar a cada usuario un directorio particular (en el
servidor o estación de trabajo); los cuales contendrán un espacio para poder guardar los
archivos del usuario. Dicho directorio podrá ser accedido únicamente por el dueño de este o
si el lo desea por otros usuarios.
Por ultimo tenemos las variables de entorno las cuales se pueden establecer para cada
estación de trabajo. Estas especifican la ruta de búsqueda de la estación de trabajo, el
directorio donde se almacenan los archivos temporales, además de otra información similar.
6.1.1 Funcionamiento de los Perfiles de Usuario
Los perfiles de usuario solamente se pueden utilizar en aquellas computadoras que trabajen
con Windows NT Workstation.
En un perfil de usuario se guardan las siguientes características:
- Administrador de programas. (Gnipos de programas personales y sus propiedades,
elementos de programas y sus propiedades y otros)
- Administrador de archivos. (Conexiones de red y otras cosas)
- Interfaz de comandos. ( Fuentes ,colores, características del tamaño del buffer de la
pantalla y la posición de la pantalla)
- Administrador de impresión.
- Opciones del panel de control.
- Accesorios.
- Aplicaciones para Windows NT de otros fabricantes.
Windows NT: Administración y Aplicaciones
58
Cap.6
Administración de Entornos de Usuario y de Archivos de la Red
- Marca-texto de la Ayuda en pantalla.
En Windows NT tenemos distintos tipos de perfiles los cuales se manejan, ya sea en un
servidor o en una estación de trabajo. A continuación se menciona cada uno de estos:
Perfiles locales en Windows NT Workstation
Los perfiles locales son utilizados solamente en usuarios de Workstation; estos perfiles
siempre los crea Windows NT automáticamente y se manejan únicamente en las estaciones
de trabajo que fueron creadas.
Lospecfiles locales son útiles para los usuarios que trabajan en estaciones trabajo y desean
mantener el entorno que mas les agrade al momento de estar en una sesión.
Cada vez que un usuario inicie una sesión y después la cierre, el perfíl local guardara todas
las opciones que este haya seleccionado.
Para estaciones de trabajo que tienen varios usuarios se tendrá un perfil para cada uno de
ellos; así, cada vez que uno de ellos inicie una sesión se le presentara el entorno que utilizó
la ultima vez que trabajó en la estación.
Cabe señalar que Windows NT tiene un perfil predeterminado el cual se genera al momento
de dar inicio una sesión de trabajo por primera vez; en este caso es recomendable cambiarlo
a un perfil local por razones de seguridad.
Perfiles basados en servidor
Dentro de los perfíles basados en servidores tenemos los personales y los obligatorios.
Los perfiles personales son aquellos en los cuales, los usuarios que los manejan tendrán la
posibilidad guardar los cambios introducidos durante el transcurso de la sesión, al momento
en que esta se cierre. De esta manera cuando el usuario vuelva a iniciar otra sesión
aparecerá el entorno que tuvo la ultima vez.
La extensión de lo nombres de los archivos de pecfilespersonales son .USR.
La principal aplicación de los perfilespersonales consiste en permitir que las preferencias y
las opciones de cada usuario lo acompañen de una estación a otra. Esto resulta útil
claramente en aquellas redes en las cuales los usuarios utilicen a menudo distintas estaciones
de trabajo. También cuando la computadora del usuario será cambiada por otra mas potente,
ya que al momento de realizar este cambio el usuario podrá conservar su perfil.
En los perfiles obligatorios los usuarios los usuarios solamente podrán hacer modificaciones
a su entorno mientras este trabajando; es decir; que no podrán guardar los cambios hechos,
al momento de cerrar la sesión. Por los tanto siempre que inicien una sesión será con un
entorno ya predeterminado por otro usuario.
La extensión de los nombres de los archivos deperfiles obligatorios es .MAN.
Windows NT: Administración y Aplicaciones
59
Cap.6
Administración de Entornos de Usuario y de Archivos de la Red
Los pecfiles obligatorios resultan de mayor utilidad cuando se desea limitar las
posibilidades de los usuarios es sus propias estaciones de trabajo.
Puesto que a menudo un mismo perfil obligatorio está asignado a muchos usuarios, otra de
sus ventajas es la posibilidad de actualizar fácilmente los entornos de numerosos usuarios a
la vez.
Uso de los perfiles para restringir las capacidades de los usuarios
Tanto en los perfiles personales como en los obligatorios, es posible impedir que un usuario
pueda realizar una o varias de las siguientes operaciones:
* Crear elementos de programa
* Crear grupos de programas
* Cambiar el contenido de los grupos de programas
* Cambiar las propiedades de un elemento de programa
* Ejecutar programas desde el menú Archivo del Administrador de programas
* Establecer conexiones con impresoras de red
Grupos de programas personales y comunes
En Windows NT todo programas pertenece a un de los siguientes grupos: común o
personal. Los grupos de programas comunes están disponibles para todos los usuarios que
inicien cualquier sesión en una estación de trabajo, en cambio los grupos de programas
personales solo están disponibles para el usuario que los creo.
En las computadoras con Windows NT Workstation, solamente los miembros de los grupos
Administradores y Usuarios Avanzados de la estación de trabajo podrán crear grupos de
programas comunes. Los grupos de programas personales se guardan como parte del perfil
personal y local de un usuario.
6.1.2 Archivos de Comandos de Inicios de Sesión
Los archivos de comandos de inicio de sesión son archivos por lotes o archivos ejecutables
que se procesan automáticamente cada vez que un usuario inicia una sesión en una
computadora con Windows NT o con MS-DOS.
Los perfiles de usuario permiten realizar mas cosas que los archivos de comando de inicio de
sesión, pero existen varios casos en los que mas conveniente utilizar los archivos de
comandos como por ejemplo:
- Cuando haya usuarios que utilicen computadoras con MS-DOS.
- Cuando se desea administrar alguna parte de los entornos de los usuarios sin necesidad
de administrar o determinar la totalidad del en torno.
- Si se utilizan Únicamente perfiles personales, puede usar archivos de comandos de inicio
de sesión para crear conexiones de red comunes para varios usuarios.
- Los archivos de comandos de inicio de sesión son mas fáciles de crear y mantener.
- Cuando ya se está ejecutando en la red LAN Manager 2.x y desea seguir utilizando los
Windows NT: Administración y Aplicaciones
60
Cap.6
Administración de Entornos de Usuario y de Archivos de la Red
archivos de comandos de inicio de sesión que se crearon para ese sistema.
Directorios particulares
Los directorios particulares pueden servir como áreas de almacenamiento privado par los
usuarios. Por los general, un usuario podrá controlar el acceso a su directorio particular y
restringir o conceder a otros usuarios el acceso al mismo.
Cuando tenemos suficiente espacio en el disco duro de una estación de trabajo, se puede
utilizar un directorio particular para restringir a un usuario, de solamente accesar los
archivos que estén en su directorio.
También si un usuario posee un directorio particular, y este inicia una sesión en otra
estación de trabajo, el podrá accesar automáticamente a su directorio desde la otra estación.
Las Variables de Entorno
En una computadora con Windows NT, las variables de entorno son opciones diversas que
influyen sobre el modo en que Windows NT encuentra los programas y controla el
comportamiento de otros programas, asigna espacio de memoria para determinados
programas y controlas el comportamiento de otros programas.
Windows NT tiene dos tipos de variables de entorno: de usuario y de sistema; estas
variables se pueden ver y cambiar en la opción de Panel de Control.
Las variables de entornos de irsuarios son distintas para cada usuario, en cambio la variables
de entorno del sistema de una computadora es igual para todas.
Las variables de entorno de usuario se guardan en los perfiles de usuario.
6.2 Administración de archivos de la Red
El compartir archivos y directorios con otros usuarios de la red, es uno de los usos más
importantes de los servidores, y en la mayoría de las redes. Cuando el usuario se conecta a un
directorio compartido, desde sus propias estaciones de trabajo, observa a dicho directorio como
otro disco duro.
El sistema operativo Windows NT al emplear el sistema de archivos NTFS ofi-ece los favores de
éste, es decir, es codable, ofrece un excelente rendimiento y algo muy importante, una seguridad
ai compartir archivos.
Cuando Windows NT establece los permisos de archivos, lo que hace es establecer una
seguridad diferente para cada archivo y cada directorio; es decir, para cada uno de ellos puede
especificar exactamente que p p o s y que usuarios podrá acceder a los archivos, así como el nivel
de acceso.
Windows NT: Administración y Aplicaciones
61
Cap.6
Administración de Entornos de Usuario y de Archivos de la Red
El auditar el acceso a los archivos y directorios es, en otras palabras, preservar un registro de
todas las veces que se tuvo acceso al archivo.
Posesión de archivo es cuando, el propietario del archivo, controla el acceso al archivo o al
directorio, de manera que si otro usuario accesa a él es porque, el propietario así lo quiso.
Ya se habló de los tres sistemas de archivos, más ahora el paso es decidir cual sistema elegir. Para
esto consideraremoslo siguiente:
Si el sistema no necesita cargar cualquier otro sistema operativo además
de Windows NT Server, entonces se utilizará solo el sistema NTFS
Si se necesita cargar otro sistema operativo, como DOS, hay que
mantener el sistema de archivos originales. Opcionalmente se puede utilizar el
sistema NTFS en particiones adicionales del servidor.
Para las computadoras tipo x86, en la primera partición de C:\ tendrá que
tener el formato de uno de los sistemas(NTFS, HPFS o FAT)
Cuando el directorio compartido está en NTFS se podrá bloquear el acceso a algunos
subdirectoriosy archivos, esto es, no todo el directorio será compartido.
Si se comparten los directorios hay que darles nombres compartidos que pueden ser el real o
cualquier otro. El directorio compartido suele denominarse como recurso compartido.
Cuando se comparten recursos, suele denominarse con otra letra los recursos compartidos, es
decir, si el propietario tiene la información en C:\datos, el usuario que desea accesar a dicha
información suele ver F:\.
Cuando se asignan nombres a los archivos, NTFS automáticamente le asignará un nombre con el
formato MS-DOS, es decir, un nombre con el formato nombre.ext "8.3"bajo las siguientes
reglas:
Los espacios en blanco se eliminan
Los caracteres no permitidos por DOS se substituyen por un subgión 0
El nombre se trunca antes del sexto caracter (o delante del primer punto del
nombre largo si esta entre los primeros seis caracteres); después se agrega una
tilde y un número a estos seis caracteres. Estos números ayudan, ya que si existe
un nombre con el mismo número que contenga otra información, el número se
incrementará y así sucesivamente.
'I
Windows NT: Administración y Aplicaciones
62
Administración de Entornos de Usuario v de Archivos de la Red
Cap.6
Los diferentes permisos individuales y abreviaturas que se pueden asignar en NTFS a cada
archivo son:
Lectura (L)
Escritura(S)
Ejecución(C)
Eliminación(E)
Cambio de permisos(M)
Toma de posesión(T)
Todos los permisos son acumulativos, es decir, si un usuario pertenece a dos grupos y en el
primer grupo posee el permiso S y en el segundo el permiso es C, entonces, si se les da permiso a
los dos grupos, este usuario podrá Escribir y Ejecutar.
Para otorgar permisos para directorios y archivos se podrán otorgar a los siguientes:
Gnipos locales, grupos globales y usuarios individuales del dominio que
contenga al servidor.
Grupos globales y usuarios individuales de los dominios en que confie este
dominio
Las identidades especiales Todos, SISTEMA, RED, INTERACTIVO Y
CREADOR PROPIETARIO
En el caso de FAT y HPFS no se pueden asignar permisos individuales a archivos y directorios.
Cuando se compartan directorios se pueden dar los siguientes permisos: Control total. Cambio de
archivoddirectorios, Lectura de archivosídirectorioso Sin acceso.
Windows NT:Administración y Aplicaciones
63
Capítulo 7
Clientes
CLIENTES
7.1 Cliente de Red de Microsoft para MS-DOS
En la tabla siguiente se describen los requisitos mínimos de configuración para este cliente:
Mlcroprocesador
Memoria
Espacio libre en disco duro
Tarjeta de red
Sistema Operativo
Componente opcional
8088 ó superior
640 KB de RAM
1 MB de espacio libre en disco
Una tageta de red compatible instalada--MS-DOS versión 3.3 Ó posterior
Microsoft Windows versión 3.1
__I__-_-_-
El cliente de red de Microsoft MS-DOS 3.0 es recomendado para clientes MS-DOS
basados en computadoras que no corren Windows Microsoft y necesitan acceso a los
recursos de la red con Windows NT Server. Esta es la mejor ejecución de cualquier cliente
disponible de MS-DOS, usa poca memoria y más fácil de que instalar MS-DOS Lan
Manager. El software para este cliente se encuentra en el CD-ROM del Windows NT
Server.
Redirectores
Los redirectores que vienen con el cliente de red han sido optimizados para trabajar con el
servidor Windows NT. Los redirectores son software de clientes que permiten entrar en la
red y accesar a los recursos de esta.
Hay dos versiones de redirectores:
- Redirector lleno: Este es el redirector por default usado cuando la computadora cliente es
instalada. El redirector lleno usa buffers como parte integral, que hacen a este más rápido
que el redirector básico.
El redirector lleno soporta lo siguiente:
- Acceso de dominios
- Acceso con letra cursiva
- Mensajes
- Named pipes
- Llamada de procedimiento remoto (WC)
Aunque el redirector lleno usa más memoria (llOK)que un redirector básico (lOK),el
redirector lleno es recomendado para usuarios conectados a dominios Windows NT , a
causa de que soporta funciones y velocidades más rápidas.
El redirector lleno es buscado automáticamente en al memoria superior, si hay suficiente
espacio de memoria en esta.
Windows NT: Administración y Aplicaciones
64
Capítulo 7
Clientes
- Redirector básico: La razón principal de la creación del redirector básico es que este
utiliza poca memoria (1OK). Ya que este no utiliza un buffer como parte integral, el
redirector básico es mas lento que el redirector lleno. El redirector básico no soporta acceso
de dominio u otros mecanismos de comunicación del redirector lleno. Los usuarios no
pueden accesar en un dominio Windows NT con el redirector básico. Los usuarios pueden
entrar a los recursos, si se les ha dado permiso pero, los usuarios no serán validados por el
acceso.
El cliente MS-DOS se inicia realizando boot desde un cliente conectado a la red, por medio
de un disco de arranque, el cual deberá ser creado por medio del servidor. Dicho disco
contendrá un loging y un password que serán reconocidos por el servidor Windows NT ai
momento de iniciar la sesión en la estación de trabajo.
La idea del cliente MS-DOS es de accesar a los recursos (aplicaciones) del servidor
Windows NT y así poderlos compartir con el cliente.
Algo muy importante que se debe mencionar, es que el acceso será restringido únicamente a
los archivos que el administrador permita, los demás no los podrá ver el cliente.
A continuación se presentan ventajas y desventajas del cliente MS-DOS:
No necesita
hardware.
grandes
recurso
de La red se hace muy lenta si hay
muchos usuarios tratando de accesar
al servidor.
----_ _ _ _ _ _ ~Alto riesgo de contaminación de virus.
~
7.2 Cliente Microsoft Windows para Trabajo en Grupo
En la tabla siguiente se describen los requisitos mínimos de configuración para un cliente
Windows para Trabajo en Grupo:
Microprocesador
80386SX, 80486 Ó superior
Memoria
4MBdeRAM
Espacio en disco duro Las computadoras 80386SX necesitan 8,5 M B de espacio libre en
disco.
Las computadoras 80486 necesitan al menos 14,5 MB de espacio
libre en disco.
Tarjeta de red
Una tarjeta de red compatible instalada
Sistema operativo
MS-DOSversión 5.0 ó posterior
_-
I
_
_
_
Windows para trabajo en grupo 3.1 1 es recomendados para clientes de red basados en
usuarios MS-DOS usuarios Windows, ya que tiene componentes de red trabajando en 32bits, lo cual hace que este sea el cliente disponible de red más rápido.
Windows NT: Administración y Aplicaciones
65
Capítulo 7
Clientes
El cliente Windows para trabajo en grupo iniciara realizando una petición al servidor
Windows NT. Ya iniciada la estación de trabajo el cliente podrá accesar a las aplicaciones
con que cuente el disco duro de la propia estación, lo cual, hace que la red sea más rápida y
eficiente ya que no hay necesidad de estar accesando al servidor NT constantemente.
La red es más rápida y confiable.
Se Necesitan
hardware.
No hay tanta posibilidad de infección
de virus.
Posibilidad
de_más
clientes.
_
__
__
___
más
recursos
_________-
de
-~
7.3 Cliente RPL (Inicio Remoto)
El servicio Inicio Remoto es un característica del servidor Windows NT que inicia
estaciones de trabajo de MS-DOS y Windows a través de la red. Debe instalar y configurar
el servicio Inicio Remoto en el servidor y luego perzonalizarlo para que sea más eficaz para
su red en concreto y para las necesidades de sus usuarios.
El proceso de Inicio Remoto
Al iniciar una computadora (ordenador), el sistema operativo se carga en la memoria de
dicha computadora. El servicio Inicio Remoto de Windows NT puede utilizarse con
computadoras personales MS-DOS y Windows ( también denominadas estaciones de
trabajo) que se inician utilizando soflware existente en el disco duro del servidor, en lugar de
en el disco duro de la estación de trabajo. Cada una de estas estaciones de trabajo tiene una
adaptador de red, con un chip de ROM con carga inicial remota de programas (RPL), que
recupera el software de inicio y configuración del servidor cuando se inicia la estación de
trabajo. Esta no necesita tener disco duro, este proceso se denomina inicio remoto o
proceso de inicio remoto.
Windows NT: Administración y Aplicaciones
66
CaDítulo 7
Clientes
Cliente de Inicio
remato de MS-DOS
red
Cliente de lnic
remoto de MS Windows
Funcionamiento de Inicio Remoto
El servicio Inicio Remoto funciona ofreciendo al servidor dos tipos de recursos:
- Un bloque de inicio, que contiene toda la información necesaria para iniciar la
estación de trabajo.
- Un per-2 de inicio remoto, que define el entorno de sistema operativo de la estación
de trabajo, una vez iniciada ésta.
El bloque de inicio y el perfíl de inicio remoto se envían en tramas a través de la red. Una
trama es una conjunto de datos, con alguna información adicional.
Cuando se enciende una estación de trabajo de inicio remoto, el adaptador de red se
inicializa y difunde una trama FIND (una petición de inicio). El servidor Inicio Remoto
recibe la trama FIND, que contiene el identificador el identificador del adaptador de la
estación de trabajo.
Windows NT: Administración y Aplicaciones
67
Capítulo 7
Clientes -~
SeMdor de Inicio remota
de LAN Manager
remoto
El servicio Inicio remoto consulta la base de datos de inicio remoto existente en el servidor
para ver si ya existe algún registro de estación de trabajo con ese identificador de adaptador.
Si no existe ninguno, el servicio Inicio remoto registrará este identificador de adaptador pero
no iniciará la estación de trabajo.
Para iniciar la estación de trabajo, el administrador debe convertir este registro de
identificador de adaptador a un registro de estación de trabajo, utilizando para ello el
Administrador de inicio remoto.
Si existe algún registro de estación de trabajo con este identificador de adaptador, el servicio
Inicio remoto enviará a la ROM con RPL de la estación de trabajo una trama FOUND,
que contiene el identificador de adaptador del servidor.
SeMdor de Inicio remato
de LAN Manager
Senridor de Inicio remoto
de Windows NT Sewer
windows NT
Sewer
l-.
Cliente de Inicioremato
Windows NT: Administración y Aplicaciones
68
Capítulo 7
Clientes
La ROM con RPL aceptara la primera trama FOUND que reciba (puede recibir más de una
si hay varios servidores ejecutando el servicio de Inicio remoto) y devolverá la trama
SEND.FILE.REQUEST al identificador del adaptador del servidor que envió la primera
trama FOUND.
SeMdor de Inicio remoto
de LAN Manager
Sewidor de inicio remoto
de Windows NT Sewer
NT
Petición de
bloque de inicio
remoto
Cuando el servicio de Inicio remoto reciba la trama SEND.FILE .REQUEST, utilizará
tramas FILE .DATA.RESPONSE para enviar un bloque de inicio a la ROM con RPL.El
registro de estación de trabajo en la base de datos de inicios remotos especifica qué bloque
de inicio se debe enviar. Cuando l a ROM con RPL reciba la última trama FILE
.DATA.RESPONSE, transferirá la ejecución al punto de entrada del bloque de inicio.
SeMdor de Início remoto
de LAN Manager
SeMdor de Inicio remoto
de Windows NT Server
Windows NT
Semr
Inicio remoto
Windows NT: Administración y Aplicaciones
-c
69
Capítulo 7
Clientes
La ROM con RPL iniciará el sistema operativo especificado por el bloque de inicio, que
será el apropiado para la estación de trabajo.
Por qué se debe utilizar Inicio remoto
El servicio Inicio remoto fomenta el uso de estaciones de trabajo sin discos duros,
eliminando así la necesidad de tener un disco duro en cada estación de trabajo.
De esta manera, Inicio remoto ofrece mayor control al administrador de la red.
A continuación se muestran la ventajas y desventajas:
Mayor seguridad de la red.
Casi no hay gente de soporte
ara este tipo de hardware.
Mayor control sobre la distribución de S i no se tiene el servizr
información y recursos de software.
adecuado la red se puede volver
lenta.
Facilidad para actualizar el software de
forma centralizada.
Menor costo en la adquisición y
mantenimiento de estaciones de trabajo.
Mayor flexibilidad a la hora de estandarizar
estaciones de trabajo, al tiempo que permite
realizar configuraciones personalizadas.
I
_
-
_
l
l
l
Windows NT: Administración y Aplicaciones
70
Cap. 8
Tolerancia a Fallos.
TOLERANCIA A FALLOS
8.1 Tolerancia a Fallos y Confiabilidad.
La confiabilidad de la red es uno de los puntos más importantes a considerar al elegir un
sistema operativo. Windows NT integra esta característica y muchas más. Es importante
señalar que sólo NT Server soporta la característica de tolerancia a fallos, ya que NT
Workstation no io tiene habilitado.
La tolerancia a fallos es la capacidad que tiene una computadora o en nuestro caso, un
sistema operativo, para responder ante eventos inesperados, y que algunas compañías o
instalaciones podrían llamar catastróficos, tales como la falta o pérdida de corriente
eléctrica, o una falla en el hardware. La tolerancia a fallos permite que ningún dato se pierda
y el trabajo que estabamos realizando hasta ese momento no sea interrumpido o peor aún, se
pierda.
Windows NT proporciona el servicio de tolerancia a fallos a través de un sistema llamado
Arreglos Redundantes de Discos Económicos o RAID (Redundant Arrays of Inexpensive
Disks) con el cual los datos protegidos por este sistema pueden ser recuperados y
restaurados. La tecnología R A D se encuentra estandarizada y categorizada en 6 niveles que
van del O al 5. Cada nivel proporciona una combinación en cuanto a desempeño,
confiabilidad y costo se refiere. NT proporciona el soporte del RAID nivel 1 y nivel 5 para
implementar la tolerancia a fallos. Aunque es importante mencionar que algunas bibliografias
señalan que el nivel O también es soportado por este poderoso sistema operativo. La
siguiente tabla señala los niveles de RAID,así como los aspectos que considera.
~
RAID1
RAID 2
RAID3
RAID 4
RAID5
~~
~
J
~
J
~
~~
espejeo de discos
bandas con código de corrección de error (ECC)
bandas con ECC como paridad
bandas por bloques
bandas con paridad
J Soportados por Windows NT.
_
_
_
~~
_
_
_ ~
_ .~ _
~
El RAID proporciona el servicio de tolerancia a fallos implementando la redundancia de
datos. Con ello, la información a manejar es escrita a más de un disco, de manera que nos
permita recuperarla ante cualquier eventualidad que sufra el disco. Esta redundancia de
datos puede ser implementada, ya sea como solución hardware o, bien como solución
software. “La decisión de implementar alguna de ellas depende del tipo de instalación y de lo
que se busque implantar en cuanto a costo, desempeño y soporte a la aplicación. La tabla
que se muestra a continuación describe las ventajas y/o desventajas de cada solución.
Windows NT: Administración y Aplicaciones
71
~
.
Cap. 8
Tolerancia a Fallos.
Menos costosa
Representa un pobre desempeño
Más opciones de Soporte
Soportado sólo por NT Server
-
Máscostosa
Representa un mejor desempeño
Limitado en Soporte
Permite el cambio de un disco
dañado
sin tirar el sistema.
- - ~
~~
Algo que es importante mencionar, es que se considera que no hay tolerancia a fallo, sino
hasta que éste haya sido reparado. Si un segundo error ocurre antes de que los datos del
primer error se restauren, la información no podrá ser recuperada sin restaurarla desde un
respaldo previo. Es por esta razón que pocas implementaciones RAID pueden resistir
simultáneamente 2 fallos.
8.2 RAID 1: Espejeo de Discos.
El espejeo de Disco utiliza el controlador Ftdiskqs para escribir simultáneamente la misma
información a dos discos físicos. Esta implementación se considera como la creación y
mantenimiento de un disco gemelo de otro disco ya seleccionado. El modelo emplea dos
particiones sobre diferentes controladores conectados al mismo controlador de disco. De
esta manera se asegura que la información de la primera partición se copie o espejee
(automáticamente) a la segunda partición.
Esta estrategia configura la tolerancia a fallos en base a la letra con que se identifica al drive
o unidad. Por ejemplo: Si una computadora tiene un disco físico, el cual contiene las
unidades C y D, y otro disco con espacio suficiente, la unidad C, o la D o ambas pueden ser
espejeadas. Más adelante se ejemplifica y muestra el funcionamiento de este nivel.
El espejeo de discos puede ser costoso debido a que sólo el 50 % del espacio en disco es
utilizado. Además puede mejorar el desempeño de lectura debido a que el controlador lee de
ambas particiones al mismo tiempo. Y puede decirse que existe un ligero decremento en el
desempeño de escritura, porque tiene que hacerlo en ambas particiones. Cuando una
partición falla, el desempeño regresa a la normalidad cuando se trabaja con la otra partición.
Una de las ventajas que representa el utilizar este nivel de RAID,es su uso para LAN’s
basadas en servidor o peer-to-peer, por su bajo costo inicial, al tener que contar con tan sólo
dos discos.
Windows NT: Administración y Aplicaciones
72
Cap. 8
Tolerancia a Fallos.
u
Disco O
E:
Disco 1
J
Fault tolerance
driver
Duplicidad de Discos.
Es una mejora al desempeño, comparado al espejeo de discos. El cual protege las copias de
discos contra una falla de ambos controladores o ambos discos. Esto se logra instalando un
segundo controlador, de tal forma que cada disco tiene su propio controlador. La duplicidad
además reduce el tráfico en el bus e incrementa el desempeño de lectura.
8.3 RAID 5: Conjunto de bandas con paridad.
La paridad es un modelo matemático que permite verificar la integridad de los datos. La
tolerancia a fallos es realizada agregando una banda con información de paridad a cada
partición del disco. De 3 a 32 discos son soportados en un conjunto de bandas con paridad.
El bloque de bandas de paridad es utilizado para reconstruir los datos ante la falla de un
disco.
En esta implementación el controlador escribe la información de paridad a través de todos
los discos, Si un disco falla, la información no se considera como perdida debido a que el
controlador de tolerancia a fallos se encargo de extender la información a través del resto de
los discos y la información puede ser completamente reconstruida. Por ejemplo: Si un disco,
llamémosle 3, de un total de 5, falla y debe ser reemplazado, los datos para el nuevo disco
pueden ser regenerados utilizando los datos y la información de paridad de cada banda en el
resto de los 4 discos. La siguiente figura representa más detalladamente este nivel.
Windows NT:Administración y Aplicaciones
73
Tolerancia a Fallos.
Cap. 8
Las operaciones de escritura sobre un conjunto de bandas con paridad son más lentas que la
escritura a un conjunto de bandas sin paridad, debido al cálculo que se tiene que realizar
para la paridad. Sin embargo, proporcionan un mejor desempeño en la lectura con respecto
al método del espejeo de discos. Además tiene la ventaja de ser más económico que el
espejeo de discos gracias a que el uso del disco es optimizado
I
Disco 1
Disco 4
Disco 3
Disco 2
Disco 5
E3
Paridad
IParidad I = Información de Paridad
8.4 RAID 1 vs. RAIDS.
A continuación se muestran las diferencias que existen entre los 2 niveles de RAID
soportados por Windows NT.
0
~
~~
0
0
Soporta FAT y NTFS
Puede espejear la partición de
sistema o de arranque
Requiere 2 discos
Tiene mayor costo por Mb
f 50% utilización)
Proporciona buen desempeño de
lectura y escritura
~
\
~
~
~
0
~
~
~~
~
/
0
0
0
Soporta FAT y NTFS
No aplica para la partición de
sistema o de arranque
__
Requiere
al
menos
3
discos
~~ _ _ _
Tiene menor costo por Mb
Utiliza menos memoria
Windows NT:Administración y Aplicaciones
0
Proporciona
un
moderado
desempeño de escritura
Proporciona
un
excelente
desempeño de lectura
Requiere más memoria
soporta hasta 32 discos
74
Can 8
Tolerancia a Fallos.
Es importante señalar que es posible que ambos niveles de RAID coexistan en la misma
computadora. Principalmente debido a que el nivel 5 no puede incluir las particiones de
arranque o de sistema, y el nivel lsi las incluye.
8.5 Otros tipos de Tolerancia a Fallos.
Adicionalmente a las características que posee Windows NT para proporcionar
confiabilidad, existen en el mercado productos que permiten mejorar la funcionalidad de la
tolerancia a fallos, tales como: Cheyenne, Octopus y otros más.
Sistema de Tolerancia a Fallos DI.
Este producto también es popular, y es creación de Novell. Se le conoce también como
SFTIII, emplea un enlace dedicado para conectar servidores basados en NetWare a un sitio
reflejado, en donde se crea una replica del servidor completo, incluyendo el contenido de la
RAM.Si llegase el servidor primario a experimentar fallas de hardware tales como fallas en
el procesador, el espejo asume automáticamente la responsabilidad por los servicios de la
red.
Octopus 1.4
Este producto para Win NT ofrece ventajas adicionales a SFTIII. Octopus 1.4 ofrece
tolerancia a fallos en tiempo real, actualizando copias de archivos seleccionados sobre un
espejo del servidor. También emplea conexiones estándar de tipo LAN o WAN entre el
servidor y su copia. A diferencia de SFTIII, las copias del servidor no necesitan ser locales,
ya que pueden encontrarse en lugares remotos y sin necesidad de enlaces dedicados.
ARCserve
Este producto de Cheyenne es muy útil sobre todo cuando llega el momento de reconstruir
rápidamente el disco después de un desastre. No sólo es el mejor sistema de respaldo y
restauración de información, sino que ofrece una rápida recuperación ante desastres, todo
basado en la capacidad de recuperación de desastres deMicrosoR desarrollada por
Cheyenne.
Windows NT: Administración y Aplicaciones
75
Cap. 8
Tolerancia a Fallos.
8.6 Ayudas adicionales.
Como medidas adicionales a todas las antes mencionadas, Win NT permite desplegar sus
capacidades de confiabilidad y tolerancia a fallos a través de los siguientes servicios:
*
*
*
*
*
Manejo de errores y protección de subsistemas.
Sistema de recuperación de archivos.
Reinicio automático.
Soporte para respaldo en cinta.
Servicio de alimentación ininterrumpida.
Además, es recomendable seguir al pie de la letra el famoso ABC del usuario: “Respalab
todo lo que tengas que respalabr, nunca sabrás cuando necesitarás ese respaldo”.Inclusive
muchos líderes de proyecto o administradores de redes afirman: “ En la mayoría de las
redes que trabajan sobre NT, los administradores no aplican las características de
tolerancia afallos. Si las conocen,pero se conforman con hacer respaldos de los archivos
más criticosy10 de más USO''^.
En el peor de los casos, se puede contar con dos servidores, uno de ellos sirviendo como
principal, y el segundo como total respaldo; el cual lo mantienen intacto a menos que le
suceda algo al principal. Ello sin manejar ningún nivel de RAID.Tal es el caso de la empresa
Turbomex S.A de C.V.
6
Ing.Gabriel Aguilar, Administrador de redes, Stratus México.
Windows NT: Administración y Aplicaciones
76
Cap.9
Impresoras
ADMINISTRACI~NDE IMPRESORAS
9.1 Introducción
En está sección explicará de una manera muy breve, como se pueden compartir las
impresoras en una red, así como también (desde un enfoque muy global) de la configuración
de las mismas.
Descripción general de los procedimientos de impresión en
Windows NT
Una red Windows NT ofrece varias opciones avanzadas de impresión:
* Puede examinar las impresoras de Windows que estén disponibles en la red y después
conectarse a una impresora.
* Para utilizar una impresora remota con Windows NT no es necesario instalar los
archivos del controlador de impresora en una computadora local con Windows NT. Si
todos los clientes de impresión utilizan Windows NT, solo será necesario instalar los
archivos del controlador de impresora en un solo lugar: el servidor de impresión.
* Puede examinar las impresoras de la red que están administradas por otros servidores.
*
Los servidores de impresión, las impresoras, los trabajos de impresión y los
controladores de impresión de Windows NT se pueden administrar de forma remota
9.2 Planificación de las operaciones de impresión
Planificación del acceso de los usuarios a las impresoras
Antes de instalar impresoras en un servidor, debe conocer las opciones de configuración que
pueden mejorar la flexibilidad y la eficacia de la impresión en una red. Tras estudiar estas
opciones, estará en condiciones de utilizar el Administrador de impresión para instalar y
configurar las impresoras.
Un diE-ositivode impresión es un elemento de hardware mecánico que realmente imprime.
La impresora lógica es aquella que se crea por medio del Administrador de impresión, esta
será una interfm de software entre el sistema operativo y el dispositivo de impresión.
Cuando los usuarios se conecten con las impresoras, se estarán conectando con nombres
lógicos de impresora que representan a uno o mas dispositivos de impresión.
Windows NT:Administración y Aplicaciones
77
Cap.9
Impresoras
Asociando de distintas maneras las impresoras lógicas y los dispositivos de impresión,
podrá ofrecer a los usuarios flexibilidad para sus operaciones de impresión. Por ejemplo
podemos tener las siguientes conexiones:
- De impresora individual a dispositivo de impresión individual
- De múltiples impresoras a dispositivo de impresión individual
- De impresora individual a múltiples dispositivos de impresión
Estos son algunos ejemplos de como se pueden hacer las conexiones de las impresoras en
una red. Obviamente estas conexiones se realizan dependiendo de las necesidades y del
equipo con que se cuente.
También se pueden asignar prioridades a los trabajos que se hayan mandado a imprimir,
dependiendo de la rapidez que requiera cada trabajo.
Uso de grupos de impresoras
Un grupo de impresoras consta de dos o mas dispositivos de impresión similares asociados a
una sola impresora lógica. Para configurar un grupo de impresoras , debe crear una
impresora lógica y asignarle tantos puertos de salida como dispositivos de impresión
idénticos tenga. El dispositivo de impresión que este libre recibirá el siguiente trabajo de
impresión. Esta configuración aprovecha al máximo los dispositivos de impresión que se
tienen, a la vez que reduce al mínimo el tiempo que se tienen que esperar los usuarios.
Los grupos de impresoras tienen las siguientes características:
* Todos los dispositivos de 1 grupo comparten el mismo modelo de impresión y actúan
como una sola unidad.
* Los puertos de impresora pueden ser del mismo tipo o pueden ser de distintos tipos
(serie, paralelo y red).
* Cuando un dispositivo llega al grupo de impresoras, el administrador de colas
comprueba los destinos de salida de la impresora para ver que dispositivo está libre.
* Si un dispositivo de impresión deja de imprimir ( por falta de papel por ejemplo)
se mantendrá en espera un solo trabajo de impresión en ese dispositivo.
Obviamente también en este caso se podrán realizar distintas conexiones para optimizar mas
el trabajo.
9.3 Conexión de impresoras a la red
Tras decidir como desea que los usuarios compartan las impresoras de las red, estará en
condiciones de conectar los dispositivos de impresión a la red. Las impresoras compartidas
pueden conectarse a los puertos serie o paralelo de una computadora, o directamente a la
red, si disponen de una tarjeta adaptadora de red incorporada.
Windows NT:Administracióny Aplicaciones
78
Cap.9
Impresoras
9.3.1 Configuración de las impresoras en paralelo y en serie
Las impresoras se conectan a las computadoras a través de puertos paralelo o serie. Las
impresoras conectadas mediante cables paralelos deben estar situadas a una distancia inferior
a 6 metros del servidor; los cables serie pueden tener una longitud de hasta 30 metros.
La configuración de puertos paralelo puede requerir el ajuste de puentes o interruptores de
hardware. Las comunicaciones tipo serie requieren protocolos, que establecen un método
para que la impresora indique a Windows NT que el buffer está lleno. Los puertos serie
pueden configurarse como sin protocolo, XONIOFF, Protocolo sofiware o protocolo
hardware.
En la documentación de la impresora se encuentra la configuración de comunicaciones que
se deberá utilizar. Normalmente, la configuración es de 9600 baudios, sin paridad, 8 bits, 1
bit paro y protocolo de hardware.
9.3.2 Configuración de las impresoras de la interfaz de red
A diferencia de los dispositivos paralelo y serie , las impresoras que tengan incorporadas
tarjetas adaptadoras de red no tienen por qué estar situadas junto al servidor de impresión.
Las ubicación de estos tipos de impresoras no tienen repercusiones sobre el rendimiento de
la impresión, siempre y cuando los usuarios y las impresoras no estén de lados opuestos de
un puentes de la red.
Un servidor de impresoras con Windows NT puede controlar un numero ilimitado de
impresoras.
9.4 Control de acceso a las impresoras
Bajo Windows NT puede controlar el uso de cada impresora mediante la configuración de
permisos.
De manera predeterminada, todas las impresoras compartidas que uno crea estarán
disponibles para todos los usuarios de la red. Restringir el acceso a una impresora requiere
modificar la configuración de permisos de dicha impresora para un usuario o un grupo
especifico. Para cambiar los permisos de una impresora, es necesario ser propietario de la
misma o poseer el permiso Control total.
Las impresoras de red pueden tener 4 tipos de permisos:
* Sin acceso
* Impresión
* Administración de documentos
* Control total
Windows NT: Administración y Aplicaciones
79
Cap.9
Impresoras
Estos permisos son acumulativos exceptuando el permiso Sin acceso, que tiene precedencia
sobre todos los demás.
Para crear una impresora en un servidor, debe estar conectado como miembro de uno de los
grupos siguientes: Administradores, operadores de servicio u operadores de impresión.
Windows NT:Administración y Aplicaciones
80
Servicio de Acceso Remoto
Cap. 10
SERVICIO DE ACCESO REMOTO
10.1 Conceptos.
El servicio de acceso remoto o RAS, como se le conoce por sus siglas en inglés (Remote
Access Service) es otra de las características con que cuenta Windows NT. Señalando que
esta es una de las mejores servicios con que cuenta este fabuloso sistema operativo.
El RAS es un servicio que habilita una extensión, por así decirlo, de una red más allá de un
simple lugar de trabajo. De forma que permite establecer conexiones para usuarios como
clientes remotos que utilicen los servicios ya sea del Did-Up Networking, de cualquier
protocolo punto a punto (PPP) o el protocolo de línea serie Internet (SLIP). En NT versión
4.0, el servicio de acceso remoto en el lado del cliente es conocido como Dial-Up
Networking, el cual proporciona conexiones de baja velocidad, mismas que son empleadas
por clientes que se conectan a un servidor RAS o bien a un proveedor de servicios Internet
(ISP).
Cuando el RAS se encuentra instalado en una computadora que este corriendo baja NT, los
clientes podrán conectarse a una red remota sobre las líneas telefónicas a través del RAS. El
servidor RAS actúa como un gateway o pasarela entre el cliente remoto y la red. Una vez
que la conexión es realizada, las líneas telefónicas se vuelven transparentes para el usuario,
pudiendo éste obtener el acceso a los recursos de la red. De tal forma que permite que los
usuarios remotos trabajen como si estuvieran conectados directamente ala red.
Una configuración RAS de Windows NT incluye los siguientes componentes:
0
0
Clientes de acceso remoto.
Protocolos de acceso remoto.
Conectividad para WAN’S.
Conectividad para LAN’s.
Opciones de seguridad.
Servidores RAS.
En la siguiente figura se muestran como interactúan los distintos componentes del Servicio
de Acceso Remoto.
Windows NT: Administración y Aplicaciones
81
Cap. 10
Servicio de Acceso Remoto
10.2 Clientes de Acceso Remoto.
Los clientes que pueden utilizarse para servidores RAS de Windows NT son: los propios
clientes Windows NT, clientes Windows para Trabajo en Grupo, MS-DOS, LAN Manager
o cualquier cliente PPP. Es importante que el cliente cuente con un módem, una línea
telefónica analógica u otra conexión de tipo WAN. Además debe tener instalado el s o b a r e
de acceso remoto.
Es posible hacer que la conexión de un cliente se realiza de forma automática mediante un
sencillo archivo de lotes o bien mediante una aplicación personalizada que reconozca RAS y
utilice la API apropiada para RAS.
10.2.1 Clientes Windows NT.
Los clientes Windows NT pueden aprovechar directamente todo el potencial del RAS de
Windows NT, ya que pueden conectarse a cualquier servidor PPP o SLIP de acceso remoto.
Los clientes NT negocian con el servidor el inicio de sesión y la autentificación, ya sea que
se trate de un servidor RAS, PPP o SLIP.
Windows NT:Administracióny Aplicaciones
82
Cap. 10
Servicio de Acceso Remoto
10.2.2 Clientes Windows para Trabajo en Grupo, MS-DOS y LAN Manager.
Windows NT Server ofiece una versión de cliente de red de Microsoft para MS-DOS y un
cliente de Windows para Trabajo en Grupo, que proporcionan acceso remoto.
El cliente para MS-DOS debe configurarse para utilizar el redirector completo. Los clientes
de Windows para Trabajo en Grupo, MS-DOS y LAN Manager pueden utilizar la pasarela
NetBIOS de RAS. En este punto es importante recalcar que el RAS de NT puede actuar
como ruteador o pasarela. La pasarela de NetBIOS que ofrece RAS, permite a los clientes
obtener el acceso a los recursos de un servidor NetBIOS, tales como archivos y servicios de
impresión. Esto se logra, traduciendo los paquetes NetBEUI a un formato TCP/IP o IPX,
los cuales ya pueden ser entendidos por los servidores remotos.
Además NT incrementa la arquitectura RAS, añadiendo ruteadores IP e IPX. Un servidor
que tiene instalado estos ruteadores puede desarrollar las siguientes funciones:
Actuar como ruteador para enlazar LAN’s y WAN’S.
Conectar LAN’s que tengan diferentes topologías, tales como Ethernet y/o Token Ring.
10.2.3 Clientes PPP.
Los clientes PPP que utilizan TCP/IP, IP o NetBEUI podrán acceder a un servidor RAS de
NT. Este negociará automáticamente la autentificación con los clientes de PPP.
10.3 Protocolos de Acceso Remoto.
Es muy importante señalar que RAS soporta dos clases de protocolos: aquellos que
transmiten sobre LAN’s y aquellos que lo hacen sobre WAN’S. Windows NT soporta loas
siguientes protocolos LAN: TCP/IP, W i n k (compatible con IPWSPX) y NETBEUI, y
los siguientes protocolos WAN: SLIP, PPP y el protocolo RAS de Microsoft.
Los protocolos de acceso remoto controlan la transmisión de datos a través de una WAN. El
sistema operativo y el protocolo o protocolos de red local de sus clientes y servidores de
acceso remoto son los principales factores que afectan el protocolo de acceso remoto que
usarán los clientes.
Windows NT: Administración y Aplicaciones
83
Cap. 10
Servicio de Acceso Remoto
10.3.1 SLIP.
El SLIP o protocolo de línea serie Internet es un antiguo estándar de la industria de acceso
remoto que solían utilizar los servidores UNTX de acceso remoto y que direcciona
conexiones TCP/IP hechas sobre líneas seriales.
SLIP es soportado por el Dial-Up Networking de NT proporcionando a los usuarios que
corren bajo NT acceso a los servicios Internet. Sin embargo, tiene muchas limitantes:
Requiere una dirección Ip estática.
Tipicamente cuenta con un inicio de sesión basado en texto, y usualmente requiere de un
sistema script para automatizar el proceso de logon.
Soporta TCPíIIP, pero no IPWSPX o NetBEUI.
10.3.2 PPP.
El protocolo Punto a Punto (Point to Point Protocol) fue diseñado como una mejora ai
SLIP. Es también un conjunto de estándares de protocolos de autentificación que permite a
los clientes y servidores RAS interactuar en una red. Proporcionando un método estándar de
envío de datos sobre enlaces punto a punto. PPP soporta varios protocolos, entre ellos el
AppleTalk de Macintosh, Open Systems Interconnection (OSI), TCP/IP e IPX.
PPP permite a las computadoras que corren bajo NT marcar a una red remota através de
cualquier servidor que cumpla con los estándares PPP. La arquitectura PPP permite a los
clientes cargar cualquier combinación de protocolos.
10.3.3 Protocolo RAS de Microsoft.
El protocolo RAS de Microsoft es un protocolo patentado que soporta el estándar
NetBIOS. Es utilizado en todas las versiones previas de RAS de Microsoft, así como en los
clientes Windows NT versión 3.1, Windows para Trabajo en Grupo, MS-DOS y LAN
Manager. El R A S de Microsoft requiere que los clientes de RAS utilicen el protocolo
NetBEUI, entonces el servidor RAS actúa como una pasarela para el cliente remoto,
proporcionando acceso a servidores que emplean los protocolos NetBEUI, TCP/IP o IPX.
Windows NT:Administración y Aplicaciones
84
Cap. 10
Servicio de Acceso Remoto
10.4 Conectividad para WAN’S.
Los clientes remotos pueden conectarse a los servidores RAS a través de cuatro opciones:
líneas telefónicas, ISDN, X.25 o bien por PPTP.
10.4.1 Líneas telefónicas y Módems.
La conexión WAN más común es una línea telefónica analógica estándar, también conocida
como PSTN (Public Switched telephone Networks) o red telefónica publica conmutada, y
un módem. Una de las ventajas que representa es su disponibilidad a nivel mundial.
La mayoría de los módems que cumplen con los estándares de la industria pueden
interactuar con otros. Sin embargo, muchos problemas de dificil detección pueden ser el
resultado de utilizar módems incompatibles. Windows NT puede detectar automáticamente
los módems. Ello es especialmente útil cuando el usuario no está seguro de que módem esta
instalado en el cliente remoto.
10.4.2 ISDN.
El ISDN o Red Digital de Servicios Integrales debe ser instalada por la compañía telefónica
tanto en el servidor como en la instalación remota. Además ofrece una comunicación mucho
más rápida que las líneas telefónicas convencionales o PST”s, comunicando a velociddades
que van desde los 64 Kbps.
El costo del equipo y las líneas ISDN puede ser mayor que el de los módems y las líneas
telefónicas estándar. Sin embargo, la velocidad de la conexión reduce la duración de esta,
ahorrando bastante dinero.
10.4.3 X.25
X.25 es un protocolo de comunicación por conmutación de paquetes diseñado para la
conexión de redes WAN. Este protocolo se apoya en el equipo de comunicaciones, el cual
crea una elaborada red mundial de nodos que participan en la entrega de un paquete X.25 a
su dirección asignada.
Los clientes RAS pueden accesar a una red X.25 mediante el uso de ensambladores /
desensambladores de paquetes, conocidos como PAD. Estos PAD’S son la opción ideal para
clientes de acceso remoto porque no se requiere que una línea X.25 sea conectada a la parte
trasera de la computadora.
Windows NT: Administracióny Aplicaciones
85
Servicio de Acceso Remoto
Cap. 10
Ic>iServidor de aplicaciones
Windows N f S w w ,
servidor Netware,
servidor UNlX o
servidor LAN Manager
Sewidor
mot0
inM¡gente x 2s
Clíente m
o
t
a
10.4.4 PPTP.
El protocolo PPTP (Point to Point Tunneling Protocol) es utilizado para accesar
indirectamente a un servidor RAS vía Internet. PPTP es una tecnología de red que permite a
los usuarios obtener acceso seguro a las redes corporativas a través de Internet. Utilizando
PPTP, primero se establece una conexión a Internet, y luego una conexión al servidor RAS
sobre la conexión hecha sobre Internet. Inclusive, ofrece grandes ventajas como:
Bajo costo de transmisión.
Bajo costo de Hardware.
Bajo costo administrativo.
Seguridad.
10.5 Conectividad para LAN’s.
Como ya habíamos mencionado, RAS soporta protocolos para LAN y para WAN. Para
LAN’s es compatible con TCP/IP, IPX y NetBEUI. Por esta razón, RAS puede ser
integrado en redes Microsoft, UNIX o NetWare, utilizando el estándar PPP de acceso
remoto.
Windows NT: Aániinistración y Aplicaciones
86
Servicio de Acceso Remoto
Cap. 10
Los clientes también pueden conectarse a servidores de acceso remoto basados en SLIP,
principalmente servidores UNIX. Cuando RAS se encuentra instalado y configurado,
cualquier protocolo previamente instalado en la computadora es automáticamente disponible
para RAS. Las características de estos protocolos ya fueron descritas en el Capítulo 3 de
este trabajo.
10.6 Opciones de Seguridad.
RAS implementa ciertas medidas de seguridad para validar el acceso de los clientes remotos
a la red.
Seguridad Integrada de Dominio.
Windows NT provee de un sencillo módulo para el inicio de sesión. Esto elimina la
necesidad de duplicar cuentas de usuario a través de redes multi - servidor. El servidor RAS
utiliza la misma base de datos de cuentas de usuario que la computadora que corre
Windows NT. Ello permite una más sencilla administración, porque los usuarios pueden
firmarse al dominio remotamente, empleando la misma cuenta que utilizan en su oficina,
teniendo los mismos permisos y privilegios.
Acceso r-ta
Base de datos de
cuentas de usuarios
cliente no puede
acceder a la LAN
Autentificación Encriptada y Proceso de Logon.
Por omisión, la autentificación y el inicio de sesión al red son encriptados, cuando se
transmite sobre RAS. Sin embargo es posible permitir cualquier método de autentificación.
Además es posible configurar el cliente y el servidor RAS para que los datos que pasan entre
ellos sean encriptados.
Windows NT: Administración y Aplicaciones
87
Servicio de Acceso Remoto
Cap. 10
Auditoría.
R A S puede generar información de auditoría de todos las conexiones remotas, incluyendo
procesos tales como el de autentificación y logon.
Hosts de Seguridad.
Los hosts de seguridad son computadoras dedicadas que validan a los usuarios antes de
permitir que un usuario se conecte a la red. El usuario deberá proporcionar su password o
código al dispositivo de seguridad antes de establecer una conexión con el servidor R A S .
Mente remoto
AL
Grupodsm~dems
%>-
-+@ Conexión
Devolución de Llamadas.
Cuando es utilizada esta medida, el servidor recibe la llamada del cliente, desconecta la
conexión, y entonces llama de nuevo al cliente. Esto permite un gran nivel de seguridad,
garantizando que la conexión a la red local fue hecha por un usuario autorizado.
Filtro PPTP.
Cuando se utiliza esta medida, se garantiza la seguridad sobre una red corporativa. Cuando
se encuentra habilitada, todos los protocolos distintos de PPTP se deshabilitan.
Windows NT: Administración y Aplicaciones
88
Cap. 10
Servicio de Acceso Remoto
10.7 Servidores de Acceso Remoto.
Los administradores de Windows NT Server utilizan el programa Administrador de Acceso
remoto para controlar el servicio de acceso remoto, ver usuarios, otorgar permisos y
monitorizar el tráfico de acceso remoto. Para instalar y configurar RAS se debe utilizar la
opción Red del Panel de Control.
RAS de NT permite que llamen hasta 256 clientes remotos. Además de que es posible
configurar el servidor RAS para que ofrezca acceso a toda una red o para que restrinja el
acceso a los recursos situados en el servidor RAS únicamente. El servidor deberá disponer
de un adaptador de múltiples puertos o bien módems, líneas telefónicas u otras conexiones
tipo WAN, y debe tener instalado el software RAS.
Los servidores RAS se configuran durante la instalación inicial de RAS. Además deberá
especificarse si el acceso será para toda la red o sólo para el servidor RAS. También se
deberán seleccionar los protocolos que van a utilizarse en la red local, ya sean TCPDP, IPX
o NetBEUI, así como una opción para encriptar la autentificación.
Los puertos de los servidores RAS se configuran individualmente. Cada puerto de una
computadora puede establecerse como Sólo para hacer llamadas, Sólo para recibir llamadas,
o Hacer y recibir llamadas. Estas opciones afectan únicamente al puerto especificado, no a
todos los puertos. Por ejemplo, un servidor RAS podría configurarse para ofrecer acceso a
toda la red, COMl podría configurarse para recibir llamadas y COM2 podría Configurarse
para realizar y recibir llamadas. De esta forma, un usuario remoto puede llamar utilizando
cualquier puerto COM, pero un usuario local sólo podrá utilizar el puerto COM2 para las
llamadas externas de RAS.
Windows NT:Administración y Aplicaciones
89
Car>.11
Optimización y Monitoreo
OPTIMIZACIÓN Y MONITOREO
11.1 Monitorización de la seguridad y de los errores.
Cada computadora con Windows NT tiene 3 registros para los distintos sucesos: errores,
seguridad y aplicaciones. Estos datos se pueden examinar mediante un Visor de sucesos en
Windows NT.
c
Servicio de Registro de Sucesos
Registro de Sucesos
I
-
t
i
Disco
Visor de sucesos
En la tabla siguiente se describe cada uno de los registros de sucesos.
Sistema
Seguridad
o
Errores,
advertencias
información generada por el
sistema Windows NT
Intentos válidos y fallidos de
inicio de sesión, y sucesos
relacionados con el uso de los
recursos ; por ejemplo, la
O
creación,
apertura,
eliminación de archivos u otros
objetos.
La selección de sucesos está
predefinida por el propio sistema
operativo.
El control de la auditoria de
sucesos de seguridad se configura,
mediante el menú Directivas del
Administrador de Usuarios
El control de las auditorías de
acceso de archivos y directorios
se configura mediante el menú
Seguridad del Administrador de
-~
archivos.
-~
,~
~
Windows NT: Administración y Aplicaciones
~
~
90
Optimización y Monitoreo
Cap. 11
~
~
Aplicación
~
desarrolladores
de
Errores,
advertencias
o Los
aplicaciones
deciden
qué
sucesos
información generados por el
software de aplicación , que se monitorizán.
puede ser, por ejemplo, un
programa de base de datos o de
correo electrónico
Los registros del sistema y aplicaciones podrán ser consultados por todos los usuarios y los
de seguridad solamente por el Administrador
Configuración de un plan de registro de sucesos.
Cuando los archivos de un registro se saturen, estos podrán guardarse para estudiarse o
realizar estadísticas posteriormente.
Existen varias estrategias posteriores a la saturación de un registro las cuales son las
siguientes:
- Configurar los registros para que los sucesos nuevos se escriban automáticamente
sobre los más antiguos cuando sean necesario. Esta es una opción optima para sistemas
de bajo mantenimiento. La desventaja es que se pueden borrar registros anteriores que
son importantes.
- Configurar los registros de manera que los sucesos nuevos puedan escribirse
automáticamente sobre los más antiguos, siempre y cuando estos ya se hayan guardado
durante un número determinado número de días. Este método ayuda a no perder
registros importantes y mantiene el tamaño de estos a un nivel razonable.
- Mantener los registros para su borrado manual. Esta opción esta especialmente
indicada para los registros de seguridad.
El proceso de registro se detendrá en el momento en que un registro este lleno y no se
pueda escribir la nueva información. Para evitar la perdida de estos, se puede aumentar al
máximo el tamaño de los registros, reducir el tiempo de retención de sucesos, o archivar el
registro y luego borrarlo.
11.2 Monitorización del Uso del Servidor
Cuando una computadora (cliente) se conecta a un servidor, dará comienzo una sesión.
En una sesión se comprobará si el usuario puede acceder al servidor y se determinarán los
recursos que este pude disponer.
Windows NT:Administración y Aplicaciones
91
Cap. 11
Optimización y Monitoreo
La monitorización de la actividad de una sesión es útil para medir la carga de trabajo del
servidor; así también como para anunciar a los usuarios que iniciaron una sesión , que se
necesita apagar el un servidor o liberara sus recursos.
Con Windows NT Server se puede monitorizar las estadísticas del servidor y de la estación
de trabajo mediante el Administrador de Servidores. En dicho administrador se muestra una
lista de los usuarios que tienen una sesión abierta, así también como de los recursos en uso
en estas sesiones. También podemos ver en que momento se acceso a cierto recurso y si una
sesión quedo inactiva un tiempo indeterminado.
En muchos casos se puede observar el origen de los problemas de acceso a un servidor,
verificando el número y la naturaleza de las sesiones de usuarios.
1 1.3 Monitorización del Rendimiento
En Windows NT se tiene un monitor de sistema, el cual , esta basado en conjunto de
contadores. Con el monitor podemos observar el número de procesos a la espera de tiempo
de disco, el número de paquetes de red trasmitidos por segundo y el porcentaje del uso del
procesador.
Cuando se guardan a lo largo de un tiempo las estadísticas de los contadores se observan las
tendencias del rendimiento, lo cual, puede ayudar a sincronizar la red y el sistema. Las
estadísticas también resultaran útiles para resolver problemas relacionados con el
rendimiento y para planificar la ampliación de la red.
11.3.1 Organización de los contadores.
Cuando de monitoriza un sistema, en realidad se están monitorizando obietos. Un objeto en
Windows NT es un programa que nos permite identificar el comportamiento de
determinado recurso del sistema. El monitor de Windows NT maneja varios contadores
agrupados en tipos de objetos, estos contadores pueden ser del procesador, la memoria, la
memoria cache, el disco duro, los procesos y otros tipos de objetos que producen
información estadística.
Se puede tener un tipo de objeto varias veces, a esto se le conoce como instancia, por
ejemplo, el objeto disco duro puede tener 2 instancias, si existen dos de ellos en una
computadora. Cada instancia generará el mismo conjunto estadístico de un tipo de objeto.
Existen dos tipos de objetos los cuales tienen una relación estrecha, los procesos y los
thread.
Windows NT:Administración y Aplicaciones
92
Cap. 11
Optimización y Monitoreo
Los procesos pueden ser una aplicación (Word, Core1 Draw, Excel) un servicio (Registro
de sucesos, examinador de computadoras) o un subsistema (Cola de impresión,
POSIX). Todo proceso consta de un programa ejecutable, direcciones de memoria virtual y
como mínimo un thread.
Los thread's son objetos dentro de los procesos que ejecutan instrucciones de programa.
Estos permiten realizar varias operaciones al mismo tiempo dentro de un proceso, y se
pueden ejecutar en procesadores distintos.
Windows NT tiene la facilidad de quitar memoria a los programas que se están corriendo
cuando el sistema esta saturado de procesos ejecutándose. Esto garantiza siempre que habrá
cierta cantidad de memoria libre.
Comprobación de la disponibilidad de suficiente memoria.
El factor más importante para un sistema funcione bien es la memoria ; este debe ser
suficiente.
Cuando tenemos una demanda alta de memoria, el sistema comienza un proceso llamado
paginación, el cual, consiste en mover bloques de datos de la memoria RAM con el fin de
liberar espacio para otro proceso.
Si tenemos un índice de paginación constante podemos tener un descenso en el rendimiento
del sistema.
Cuando Windows NT inicia, crea un archivo de paginación (PAGEFILE.SYS); el tamaño
de este dependerá de la cantidad de memoria que exista al momento al momento de ser
creado. Dicho tamaño podrá ser modificado por el Panel de Control.
El tamaño del archivo de paginación es variable ya que está en función de la cantidad de
memoria que se necesite y del espacio disponible en disco.
Hay dos situaciones relacionadas con la memoria que pueden ocasionar problemas.
La primera es que si tenemos mucha paginación, podemos tener una disminución una
disminución en la velocidad del sistema. Y la segunda se presenta cuando el tamaño del
archivo es pequeño, lo que impide la ejecución de las aplicaciones.
11.4 Monitorización de la Actividad del Procesador.
Cada determinado threads requiere de un número determinado de ciclos del procesador. Si
tenemos demasiados threads por ejecutarse , se formarán largas colas para utilizar el
procesador y esto afectará la velocidad de respuesta del sistema. Para examinar el
porcentaje que el procesador esta ocupado en Windows NT se observa el contador de % del
procesador (del tipo objeto procesador). Este contador nos indica el tiempo durante el cual ,
el procesador se ha mantenido ocupado ejecutando un thread.
Windows NT:Administración y Aplicaciones
93
Optimización y Monitoreo
Cap. 11
11.5 Monitorización de la actividad y rendimiento del disco.
Las estadísticas del uso del disco sirven para equilibrar la carga de trabajo de los servidores.
El monitor del sistema ofrece dos tipos de contadores para el disco: uno para el disco físico
y otro para el disco lógico (o particiones). El contador físico nos sirve para resolver
problemas y para planificar la distribución de los recursos . Y el contador lógico para
obtener las estadísticas de espacio libre o ver de donde proviene el espacio que contiene el
disco físico.
El contador del rendimiento del disco media en Segundosflransferencia indica el tiempo en
que el disco tarda en responder una petición.
Si tenemos un valor elevado, quiere decir que el controlador del disco está repitiendo una
operación varias veces debido algún fallo.
11.6 Monitorización de la actividad de la red.
En un monitor de red tenemos dos actividades: la monitorización de la actividad de un
servidor y la monitorización del tráfico de red.
Monitorización de la actividad de un Servidor
Windows NT incorpora dos tipos de software, ya sea como servidor o como cliente. El
software (redirector) que trasmite las peticiones de servicio es (RDR.SY) y el software que
recibe e interpreta las peticiones es el (SRV.SY); cada uno de estos a aparecen
representados en la interfaz de una computadora.
También en cada computadora se incorpora un protocolo que sirve para controlar el formato
y envío de los paquetes.
Cada uno de estos, Servidor, Redirector y Protocolos generaran un conjunto de las
estadísticas que aparecerán en el monitor. Estas ayudarán ayudaran a observar anomalías y
fallos en la red, junto con los contadores descritos anteriormente.
En la siguiente tabla se muestran los contadores de red.
Servidor
Número de bytes enviados y
recibidos desde la computadora cada
segundo.
Este
valor
proporciona una
indicación global de la medida en
p e la computadora
está ocupada.
Bytes de trama recibidosheg Bytes y tramas enviadas a la
Tramas recibidasheg
dirección
de
red
de
esta
computadora. La proporción
entre
__
Total de bytedseg
"I
NetBEUI
Windows NT:Administración y Aplicaciones
94
Cap. 11
Optimización y Monitoreo
____
Tramas rechazadaslseg
Recurso NetBEUI
Recursos agotados
~
~
-~
~
~
Bytes de trama y Tramas recibidas
(número de bytes por trama) debe
permanecer relativamente constante.
Número de tramas incorrectas que
recibió la computadora y que
tuvieron que enviarse de nuevo. La
proporción entre Tramas rechazadas
y Tramas recibidas debe ser muy
baja.
Contador acumulativo que indica el
número de veces, desde que se inició
el sistema, en que determinados
recursos de la red no han estado
disponibles. Un aumento brusco y
continuando en los valores de las
instancias O a 4 (vínculos,
direcciones, archivos de direcciones,
conexiones y peticiones) suele
indicar la existencia de problemas en
la red.
Monitorización del tráfico global de la red
En la monitorización del tráfico de la red existen 3 estadísticos que son bien importantes: el
uso del ancho de banda, número total de bytes por segundo y número total de difusiones
por segundo. El uso del ancho de banda nos indica lo cerca que está la red de su capacidad
límite. El número de paquetes por segundo nos puede indicar una posible saturación entre
los puentes y encaminadores. Y por último el número total de difusionesls refleja el
rendimiento global de la red. ( Una difusión es un mensaje de red trasmitido a todas las
computadoras).
Windows NT: Administración y Aplicaciones
95
Aplicaciones para Windows NT
CaD. 12
APLICACIONES PARA WINDOWS NT
12.1 Sidc1ean.C (Aplicacion en C)
Función del programa Sisc1ean.C
Este programa demuestra como funcionan algunas de las M I ' S de seguridad en win32 y
sirve también para recuperar recursos del disco, que fueron propiedad de cuentas de
usuarios ya borradas. Los recusos del disco recuperados son:
1) Archivos que son todavía propiedad de cuentas que han sido borradas y son asignados a
otros propietarios, los cuales se han firmado y ejecutados en este ejemplo.
2) Los Registros de Control de Acceso (ACE's) para cuentas borradas son editadas
(borradas) fuera de las Listas de Control de Acceso (ACL's) de archivos de los cuales las
cuentas borradas han sido otorgadas autorizaciones (solo lectura)
Puede ser que corriendo este ejemplo como una utilidad, no tenga valor practico muchos
medios ambientes, tanto que el número de archivos que llegan a ser de cuentas borradas,
frecuentemente llegan a ser muy pocos y el número de bytes recuperados en el disco de
cuentas borradas fuera de los (ACE's), podría no ser factible este en tiempo ai ejecutar el
programa. El tiempo que este toma para correr este ejemplo, podría ser totalmente
significante cuando el proceso se realiza totalmente en el disco duro o partición.
Descripción de las fknciones potot<po:
DoMatchingFilesInOneDir
Busca en un directorio o subdirectorio, los archisvos que le indicaron en el path.
DoAllDirsInOneDir
Para todos íos subdirectorios en un directorio, checa unicamente los archivos que se le
indicarón en el path y si se trata de checar todos los archivos (*.*) llama a la función
DoMatchigFilesInOneDir para este proceso.
GetFullFileOrDirName
Regresa el nombre completo de un archivo o directorio para simplificar el proceso (y para
desplegarlo en la pantalla)
DoOneFileOrDir
Regresa el SD (Descrzrptor de Segurihd,) de un archivo y llama a las funciones
TakeOwnershipIfAppropriate y/o DeleteACEsAsAppropriate.
Windows NT:Administración y Aplicaciones
96
Cap. 12
Aplicaciones para Windows NT
TskeOwnerShipIfAppropiate
Regresa el propetario del SID (Identrficador de Seguridúid) de archivo que paso como
parametro en DoOneFileOrDir, checa el SID para ver si la cuenta es borrada. Si así es, edita
dentro del SD del archivo un nuevo propietario SID.
Entonces escribe la modificación del SD del archivo en el disco.
DeleteACEsAsAppropoate
Regresa el DACL (Lista de Centro de Acceso Directo) del archivo que pasa como
parametro en DoOneFileDir. Recorre la lista de los ACEs del DACL verificando cada ACE
para ver a que SID el ACE se refiere.
El SID referido, se checa para ver si la cuenta es borrada.. Si así es, borra el ACE de el
DACL. Cuando todos los ACEs han sido examinados, escribe el nuevo DACL dentro del
archivo. Despues escribe la modificación del archivo en el disco.
GetProcessSid
Recupera dentro de una variable global el Su) de la cuenta de usuario firmada en cuanto el
ejemplo es ejecutado. Este es el SID usado por TakeOwnershipIfAppropiate.
DisplayHelp
Despleiga la ayuda en la pantalla.
Descripciones de las-funcionesAPIk y otras-funcionesque utiliza este programa:
GetSecurityGroup
Regresa la información del grupo principal desde un descriptor de seguridad.
GetSecurityDescriptorOwner
Regresa la información del propietario desde un descriptor de seguridad.
GetSecurityDescriptorSacl
Regresa un apuntador al sistema de la lista de control de acceso (ACL) en un específico
descriptor de seguridad.
IsValidSecurityDescriptor
Realiza la validación de una estructura de SECURITY DESCRIPTOR. La validación es
ejecutada para verificar el nivel de corrección de cada componente en el descriptor de
seguridad.
IsValidSid
Valida la estructura de un SID verificando que el número de correcciones esta dentro de un
rango conocido y que el número de subautoridades es menor que el limite máximo.
Windows NT: Administración y Aplicaciones
97
Cap. 12
Aplicaciones para Windows NT
IsValid Acl
Valida una lista de control de acceso (ACL)
GetFileSecu rity
Obtiene información espesifica acerca de la seguridad de un archivo o directorio.La
información obtenida es restringida para el acceso de visitantes.
SetSecurityDescriptorDacI
Envia información a una lista de control de acceso. Si la ACL (Lista de Control de Acceso)
discreta es ya presentada en el descriptor de seguridad, esta es reemplazada.
SetSecurityDescriptorGroup
Envia al grupo primario información de un descriptor de seguridad reemplazando cualquier
información del propietario, ya presente en el descriptor de seguridad.
SetSecurityDescriptorOwner
Envia información del propietario de un descriptor de seguridad. Este reemplaza cualquier
información del propietario, ya presente en el descriptor de seguridad.
SetSecurityDeescriptorSacl
Envia información a un sistema de una lista de control de acceso (ACL). Si ya hay un
sistema ACL presente en el descriptor de seguridad, este es reemplazado.
GetAclInformation
Regresa información acerca de una lista de control de acceso (ACL).
GetAce
Regresa un apuntador de un ACE en un ACL.
GetCurrentProcess
Retorna un pseudohandle de el actual proceso.
LookupAccountSid
Esta función acepta un identificador de seguridad (SID) como entrada. Este regresa el
nombre de la cuenta para este SID y el nombre del primer dominio en el cual se encuentra
dicho SID.
Looku pPrivilegeValue
Regresa el identificador unico de localización (LUID) usado en un espesificado sistema para
localizar el nombre de un privilegio espesificado.
DeleteAce
Esta función borra un ACE de un ACL.
Windows NT: Administración y Aplicaciones
98
Cap. 12
Aplicaciones para Windows NT
SetFileSecurity
Envia la seguridad de un archivo o directorio.
OpenProcessToken
Esta función abre la señal de acceso (acess token) asociada con un proceso
Adj ustTokenPrivileges
Ajusta privilegios en el la espesificada señala de acceso (access token). Habilitar y desabilitar
privilegios en un access token requiere el acceso TOKEN-ADJUSTPRIVLEGES.
GetLengthSid
Rgeresa el tamaño, en bytes de una estrutura valida SID.
GetKernelObject Security
Regresa una copia de el descriptor de seguridad protegiendo un objeto del Kernel.
Copy Sid
Copia un identificador de seguridad (SID) a un buffer.
Initialize Security Descriptor
Inicializa un nuevo descriptor de seguridad.
Windows NT: Administración y Aplicaciones
99
Can. 12
Aplicaciones para Windows NT
Desarrollo del programa:
..........................................................................
* INCLUDES, DEFINES, TYPEDEFS
..........................................................................
#define STRICT
#include <windows.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#define PERR(api) printf("%s: Error %d de %s en la linea %dui", \
FILE,
GetLastErrorO, api, L M A ;
#define PMSG(msg) printf("%s linea %d: %sui", \
-F r L 2 -LINE,
msg);
/*Define cada uno de los errores que se pueden activarse al momento */
*/
/*de correr el programa, ajenos al codigo
#define PrintAppStyleAPIError(ApiTxt,MsgTxt){
\
DWORD dwLastError;
\
dwLastError = GetLastErrorO;
\
switch (dwLastError)
\
f case ERROR FILENOT FOUND :
\
printf("Wc&o no encontrado (%s) linea %d",MsgTxt,LINEA; \
break;
\
case ERROR-INVALID NAME :
\
printf("uiNombre invalid0 (%s) linea %d",MsgTxt,LINEJ;
\
break;
\
case ERROR-PATH-NOT -FOUND :
\
printf("uiError path no encontrado (%s) linea %d",MsgTxt,-LINEA; \
break;
\
case ERROR-SHARING-VIOLATION :
\
printf("uiSharing violation - salir de la red y/o detener otras sesiones (%s) linea
%d",MsgTxt,LMA;\
break;
\
case ERROR-ACCESS-DENIED :
\
printf("kcceso denegado (%s) linea %d",MsgTxt,LINEA; \
break,
\
default
\
printf("\n" #ApiTxt " - Error inesperado codigoghd (%s) linea
%d",dwLastError,MsgTxt,-LINE_I); \
break;
\
1
\
I
Windows NT: Administracióny Aplicaciones
100
Cap. 12
Aplicaciones para Windows NT
..........................................................................
* VARIABLES GLOBALES
..........................................................................
BOOL
BOOL
BOOL
BOOL
bTakeOwnership = FALSE;
= FALSE;
bEditACLs
bRecurse
= FALSE;
bJustCount = FALSE;
DWORD dwFilesChecked = O;
DWORD dwFilesOwned = O;
DWORD dwACEsDeleted = O;
P S D psidProcessOwnerSID;
BOOL DoMatchingFilesInOneDir(lX4NDLE
Mound,
WIN32 FIND DATA ffdFoundData);
BOOL DoAIlDirsInOneDir(char *FilePattern);
BOOL GetFullFileOrDirName(LPTSTR IpszFileName);
BOOL DoOneFileOrDir(LPTSTR IpszFullName);
BOOL TakeOwnershipIfAppropriate(PSECURITYDESCRIPT0R psdFileSD,
LPTSTR IpszFullName);
BOOL DeleteACEsAsAppropriate (PSECURITY-DESCRIPTOR psdFileSD,
LPTSTR IpszFullName);
BOOL GetProcessSid(V0ID);
BOOL CrackArgs(UINT argc, char *are[]);
VOID DisplayHelp(V0ID);
..........................................................................
* FUNCION: Principal
..........................................................................
UINT main(UlNT argc, char *are[])
{
WIN32 FIND-DATA ffdFoundData;
HANDLE
Mound;
#define
SZNAME-BUF MAX-PATH
UCHAR
ucPathT3uQSZNAMEBUF] ;
LPTSTR
1pszFullName = (LPTSTR)&ucPathBuc
if (!GetProcessSid())
Windows NT: Administración y Aplicaciones
101
Cap. 12
Aplicaciones para Windows NT
{ PERR("No se puede procesar sin el SID - ver rapidamente mesages de error");
return( 1);
1
if (!CrackArgs(argc,argv))
return( 1);
strcpy(lpszFullName,argv[2]); /*Copia la cadena argv[2] a lpszFullName*/
if (!GetFullFileOrDirName(IpszFul1Name))
{ PERR("Fal1o para expadir el nombre completo de el 2nd argumento (espesificacigk del
dircetorio)");
return( 1);
1
if (!SetCurrentDirectory(argv[2]))
/*Manda a imprimir el error*/
{ PrintAppStyleAPIError(SetCurrentDirectory,"2ndargumento (espesificacién del
directorio)");
return( 1);
1
if (!DoOneFileOrDir(lpszFul1Name))
return( 1);
/*Busca el primer archivo en el path que se le manda*/
Wound = FindFirstFile(argv[3],
(LPWIN32FIND-DATA)&ff&oundData);
/*Si hay handle es invalidox/
if ((HANDLE)(-1) == Wound)
/*Si el error es que no encontro el archivo, lo manda a imprimir*/
{ if (GetLastErrorO != ERROR-FILENOTFOUND)
{ PrintAppStyleAPIError(FindFirstFile, "3rd argument");
return( 1);
1
1
else if (!DoMatchingFilesInOneDir(Wound,ffdFoundData))
return( 1);
if (!DoAllDirsInOneDir(argv[3]))
return( 1);
Windows NT: Administración y Aplicaciones
102
Cap. 12
Aplicaciones para Windows NT
/*Si se escribio la opcién de C en el argumento*/
if (bJustCount)
printf("\nChecados %d archivos, would have taken ownership of %d archivos, would
have deleted %d ACEsui",dwFilesChecked,dwFilesOwned,dwACEsDeleted);
else
printf("\nChecados%d archivos, took ownership of %d files, deleted %d ACEsh",
dwFilesChecked,dwFilesOwned,dwACEsDeleted);
fiee(psidProcess0wnerSID);
return(0);
f
BOOL DoMatchingFilesInOneDir(HANDLE
Wound,
WIN32-FIND-DATA ffdFoundData)
t
BOOL bDoneWithHandle = FALSE;
/*Mien tras haya archivos */
while (!bDoneWithHandle)
/*Si el archivo es directorio*/
if (!(FILEATTRIBUTE-DIRECTORY & ffdFoundData.dwFi1eAttributes))
if (!DoOneFileOrDir(ffdFoundData.cFileName))
return(FALSE);
}
/*Busca el siguiente archivo*/
if (!FindNextFile(hFound,
(LPWIN32-FIND-DATA)&ffdFoundData))
/*Si el error es que no encontro mas archivos*/
if (GetLastErrorO == ERROR-NO -MOREFILES)
bDoneWithHandle = TRUE;
else
{ PrintAppStyleAPIError(FindNextFile, ''en FindNext ");
return(FALSE);
f
1
f
.........................................................................
Windows NT: Administración y Aplicaciones
103
Aplicaciones para Windows NT
Cap. 12
* FUNCION: DoAllDirsInOneDir
..........................................................................
BOOL DoAllDirsInOneDir(char "FilePattern)
{
HANDLE
Wound;
WIN3 2FIND-DATA ffdFoundData;
BOOL
bDoneWithHandle = FALSE;
/*Si se escribio la opcion R en el argumento*/
if (!bRecurse)
return TRUE;
/*Encuentra el primer archivo del directorio indicado*/
hFound = FindFirstFile("*.*", (LPWIN32-FIND-DATA)&ffdFoundData);
/*Si el handle es invalido*/
if ((HANDLE)(-1) == Wound)
{ PrintAppStyleAPIError(FindFirstFile,"en el directorio *.* FindFirst");
return(FALSE);
1
/*Mientras haya archivos*/
while (!bDoneWithHandle)
"."
/*Si el archivo es directorio diferente de
y ".."*/
if ( (FILE-ATTRBUTE-DIRECTORY & ffdFoundData.dwFileAttributes)
&& (O != strcmp(".I' ,ffdFoundData.cFileName))
&& (O != strcmp("..",ffdFoundData.cFileName)))
{
/*Declaration de variables*/
HANDLE
hFile2;
WIN32-FIND-DATA ffdFound2;
if (!DoOneFileOrDir(ff¿iFoundData.cFileName))
return(FALSE);
if (!SetCurrentDirectory(ffdFoundData.cFileName))
{ PrintAppStyleAPIError(SetCurrentDirectory,"recursive set");
return(FALSE);
1
/*Busca el primer archivo con el path indicado*/
Wile2 = FindFirstFile(FilePattern,
(LPWIN32-FIND-DATA)&ffdFoundZ);
/*Si el handle es invalidox/
Windows NT: Administración y Aplicaciones
104
Cap. 12
Aplicaciones para Windows NT
if ((HANDLE)(-1) = hFile2)
/*Si el error es que no encontro archivos*/
{ if (GetLastErrorO != ERROR-FILENOTFOUND)
{ PrintAppStyleAPError(FindFirstFile,"durante la recursién");
return(FALSE);
f
1
else if ( !DoMatchingFilesInOneDir(hFile2,ffdFound2))
return(FALSE);
if ( !DoAllDirsInOneDir(Fi1ePattern))
return(FALSE);
if (!SetCurrentDirectory(".."))
{ PrintAppStyleAFTError(SetCurrentDirectory,"un-recursiveset");
return(FALSE);
1
f
/*Encuentra el siguiente archivo*/
if (!FindNextFíle(hFound,
(LPWIN32-FIND-DATA)&ffdFoundData))
/*Si el error es que ya no hay mas archivos*/
if (GetLastErrorO == ERROR NO-MOU-FILES)
bDoneWithHandle = TRUE-;
else
{ PrintAppStyleAPIError(FindNextFile,"en el directorio *. * FindNext ");
return(FALSE);
f
1
return(TRUE);
1
BOOL GetFuliFileOrDirName(LPTSTR IpsZFileName)
{
UCHAR ucPathBufISZ-NAME-BUF];
DWORD dwSzReturned;
LPTSTR IpszLastNamePart;
LPTSTR IpszFullNarne;
dwSzReturned = GetFulPathName
Windows NT: Administración y Aplicaciones
105
Aplicaciones para Windows NT
Cap. 12
(IpszFileName,
(DWORD)SZNAMEBUF,
(LPTSTR)&ucPathBuf,
(LPTSTR *)&lpszLastNamePart);
if (O == dwSzReturned)
/*Escoge casos de el ultimo error activado */
switch (GetLastErrorO)
{ case ERROR-WALIDNAME :
printf("uiError invalid0 nombre completo de archivo (en GetFullPathName)");
return(FALSE);
default
PERR( "GetFullPathName - inesperado codigo");
return(FALSE);
1
if (dwSzReturned > SZ NAMEBUF)
{ PERR("GetFullPathkme - buffer demasiado pequeiJos");
return(FALSE);
1
IpszFullName = CharLower((LPTSTR)&ucPathBuf);
if (!IpszFullName)
{ PERR("CharLower failure");
return(FAL,SE);
1
/*Copia IpszFullName a IpszFileName*/
strcpy(lpszFileName,lpszFullName);
1
..........................................................................
* FUNCION: DoOneFileOrDir
..........................................................................
BOOL DoOneFileOrDir(LPTSTR IpszFullName)
/*Declaration y definicion de varibles y constantes*/
#define
SZ-REL-SDBUF 1 O00
#define
SZ-ABS-SDBUF 500
#define
SZ DACL-BUF 500
#define
SZ-SACLBUF 500
#define
SZISID-Om-BUF 500
#define
SZ-SIDPG-BUF 500
UCHAñ
ucBuf
[SZ REL-SDBUF];
[S%-ABS-SD-BUF];
UCHAR
ucBufAbs
Windows NT: Administración y Aplicaciones
106
Aplicaciones para Windows NT
Cap. 12
UCHAR
ucBuDacl
[SZ-DACL-BUF];
[SZ-SACLBUF 1;
UCHAR
ucBufSac1
UCHAR
ucBuKtrl
[sizeof(PSECURITY-DESCRIPTOR-CONTROL)];
UCHAR
ucBufSidOwn
[SZ SD-OWN-BUFJ;
[SZ S I D P G B U F ] ;
UCHAR
ucBufSidPG
= G-REL-SDBUF;
DWORD
dwSDLength
DWORD
dwDACLLength = S Z DACL BUF;
DWORD
dwSACLLength = SZSACLBUF;
DWORD
dwSidOwnLength = SZ-SID-OW-BUF;
DWORD
dwSidPGLength = SZ-SD-PG-BUF;
DWORD
dwSDLengthNeeded;
PSECURITY DESCRIPTOR psdSreEileSD = (PSECURITY-DESCRIPTOR)&ucBuC
PSECURITY~DESCRPTOR
psdAbsFileSD
-
(PSECURITY-DESCRIPTOR)&ucBufAbs;
PSECURITY-DESCRIPTOR-CONTROL
psdcCtrl
-
(PSECURITY-DESCRIPTOR -CONTROL)&ucBuEtrl;
= (PACL)&ucBuDacl;
PACL
paclDacl
= (PACL)&ucBufSacl;
PACL
paclSacl
PSLD
psidSidOwn
= (PSID)&ucBufSidOwn;
= (PSD)&ucBufSidPG;
PSID
psidSidPG
BOOL
bDaclPresent;
BOOL
bDaclDefaulted;
BOOL
bSaciPresent;
BOOL
bSaclDefaulted;
BOOL
bOwnerDefaulted;
BOOL
bGroupDefaulted;
bSDSelfRelative;
BOOL
DWORD
dwRevision;
if (!GetFullFileOrDirName(IpszFullName))
return(FALSE);
printf("\nChecando %stt,lpszFullName);
/*Incrementa el contador para archivos checados*/
dwFilesChecked++;
/*Regresa la seguridad de un archivo*/
if (!GetFileSecurity
(IpszFullName,
(SECURITY-INFORMATION)( OWNER-SECURITY-INFORMATION
1 GROUP-SECURITY-INFORMATION
1 DACL SECURITY INFORMATION
1 SACL~SECURITY~INFORMATION),
psdSrelFileSD,
dwSDLength,
(LPDWORD)&dwSDLengthNeeded))
Windows NT:Administración y Aplicaciones
107
Aplicaciones para Windows NT
Cap. 12
{ PERR("GetFi1eSecurity");
return(FALSE);
1
if (!IsValidSecurityDescriptor(psdSrelFileSD))
{ PERR("1sValidSecurityDescriptor said bad SD");
return(FALSE);
I
if ( !InitializeSecurityDescriptor(psdAbsFileSD,
SECURITY-DESCRlPTOR_REVISION))
{ PERR("1nitializeSecurityDescriptor");
return FALSE;
f
if (!GetSecurityDescriptorControl(psdSrelFileSD7
psdcCtrl,
&dwRevision))
{ PERR( GetSecurityDescript orControl");
return FALSE;
'I
f
bSDSelfRelative = (SE-SELF-RELATIVE & *psdcCtrl);
//Si SE-DACL-PRESENT no es enviado, es ignorado SE-DACL-DEFAULTED
if (bDaclPresent = (SE-DACL-PRESENT & *psdcCtrl))
bDaclDefaulted = (SE-DACL-DEFAULTED & *psdcCtrl);
f
if (!GetSecurityDescriptorDacI(psdSrelFileSD,
&bDaclPresent, // fDaclPresent bandera
&paclDacl,
&bDaclDefaulted))
{ PERR("GetSecurityDescriptorDac1");
return FALSE;
I
if (! SetSecurityDescriptorDacl(psdAbsFileSD,
bDaclPresent,
// fDaclPresent bandera
paclDac1,
bDaclDefau1t ed))
{ PERR("SetSecurityDescriptorDacl");
return FALSE;
//Si SE-SACL-PRESENT no es enviado SE-SACL-DEFAULTED es ignorado
if (bSaclPresent = (SE-SACL-PRESENT & *psdcCtrl))
Windows NT: Administración y Aplicaciones
108
Aolicaciones Dara Windows NT
Cao. 12
bSaclDefaulted = (SE-SACL-DEFAULTED & *psdcCtrl);
}
if (!GetSecurityDescriptorSacl(psdSrelFileSD,
&bSaclPresent, // fSaclPresent bandera
&paclSacl,
&bSaclDefaulted))
{ PERR("GetSecurityDescriptorSacl ");
return FALSE;
1
if (!SetSecurityDescriptorSacl(psdAbsFileSD,
bSaclPresent,
// fSaclPresent bandera
paclSacl,
b SaclDefaulted))
{ PERR( SetSecurityDescript orSacl");
return FALSE;
I'
1
bOwnerDefaulted = (SE-OWNER-DEFAULTED & *psdcCtrl);
if (!GetSecurityDescriptorOwner(psdSrelFileSD,
&psidSidOwn,
&bOwnerDefaulted))
{ PERR("GetSecurityDescriptor0wner");
return FALSE;
1
if (! SetSecurityDescriptorOwner(psdAbsFileSD,
psidSidOwn,
bOwnerDefaulted))
{ PERR("SetSecurityDescriptor0wner");
return FALSE;
1
bGroupDefaulted = (SE-GROUP -DEFAULTED & *psdcCtrl);
if (!GetSecurityDescriptorGroup(psdSrelFileSD,
&psidSidOwn,
&bGroupDefaulted))
{ PERR("GetSecurityDescriptorGroup");
return FALSE;
1
if (!SetSecurityDescriptorGroup(psdAbsFileSD,
psidSidOwn,
Windows NT: Administracióny Aplicaciones
109
Aplicaciones para Windows NT
Cap. 12
bGroupDefaulted))
{ PERR("SetSecurityDescriptorGroup");
return FALSE;
1
if ( !IsValidSecurityDescriptor(psdAbsFi1eSD))
{ PERR("IsVa1idSecurityDescriptor said bad SD");
return(FALSE);
I
//Si se escribio la opción /O en el argumento
if (bTakeOwnership)
if (!TakeOwnershipIfAppropriate(psdAbsFileSD,lpszFullName))
return(FALSE);
//Si se escribio la opcion /A en el argumento
if (bEditACLs)
if (!DeleteACEsAsAppropriate (psdAbsFileSD,lpszFullName))
return(FALSE);
return(TRUE);
I
..........................................................................
* FUNCION: TakeOwnershipIfAppropriate
..........................................................................
BOOL TakeOwnershipIfAppropriate(PSECURITY DESCRIPTOR psdFileSD,
LPTSTR 1pszFullNa;e)
PSID psidFileOwnerSID;
{
BOOL bOwnerDefaulted;
if (!GetSecurityDescriptorOwner
(psdFileSD,
(PSID *)&psidFileOwnerSID,
(LPBOOL)&bOwnerDefaulted))
{ PERñ("GetSecurityDescriptor0wner");
return(FALSE);
1
if (!IsValidSid(psidFile0wnerSID))
{ PERR("IsVa1idSid said bad SID!");
return(FALSE);
1
1
Windows NT: Administración y Aplicaciones
110
Cap. 12
Aplicaciones para Windows NT
DWORD
dwLastEnor = NOERROR;
#define
SZ ACCT NAME BUF 1000
UCHAR
ucNameBuf [Sz-ACCTNAMEBUF];
DWORD
dwNameLength = SZ-ACCTNAMEBUF;
#define
SZ DMN NAME BUF 1000
UCHAR
ucDomain%Buf[ SZ-Dh-NAME BUF 3;
DWORD
dwDNameLength = SZ-D M N - N G -BUF ;
SID-NAME-USE peAcctNameUse;
if (!LookupAccountSid
((LPTSTR)"",
// Mira en una maquina local
psidFileOwnerSID,
(LPTSTR)&ucNameBuf,
(LPDWORD)&dwNameLength,
(LPTSTR)&ucDomainNmBuf,
(LPDWORD)&dwDNameLength,
(PSIDNAME USE)&peAcctNameUse))
{ dwLastError = Get¿astError();
if (ERROR-NONE MAPPED != dwLastError)
{ PERR("LookupAccountSID");
return(FALSE);
3
1
//Si le £Itimo error es ERROR-NONE-MAPPED
if ( (ERROR NONE-MAPPED == dwLastError)
I I (SidTypeDeletedAccount == peAcctNameUse))
{
//Incrementa
dwFilesOwned++;
//Si se escribio la opcion /C en el argumento
if (bJustCount)
{ printq" - tendra que tomar posesion");
return(TRUE);
3
else
{
if (!SetSecurityDescriptorOwner
(psdFileSD,
psidProcessOwnerSID,
FALSE))
// Nuevo propietario explicitamente especificado
{ PERR("SetSecurityDescriptor0wner");
return(FALSE);
1
Windows NT: Administración y Aplicaciones
111
Aplicaciones para Windows NT
Cap. 12
if (!IsValidSecurityDescriptor(psdFi1eSD))
{ PERR("1sValidSecurityDescriptor dicho SD malo");
return(FALSE);
1
if (!SetFileSecurity
(IpsZFullName,
(SECURITY-INFORMATION)OWNER~SECUIUTY~rNFORMATION,
psdFileSD))
{ PERR("SetFileSecurity");
return(FALSE);
printf(" - tomada posesion");
1
1
1
return(TRUE);
..........................................................................
* FUNCION: DeleteACEsAsAppropriate
..........................................................................
BOOL DeleteACEsAsAppropriate(PSECURITY-DESCRIPTORpsdFileSD,
LPTSTR IpszFullName)
f
PACL
BOOL
BOOL
DWORD
DWORD
paclFile;
bHasACL ;
bOwnerDefaulted;
dwAc1-i;
dwACEsDeletedBeforeNow;
ACL-SIZE-INFORMATION
asiAclSize;
DWORD
dwBuEength = sizeof(asiAc1Size);
ACCESS-ALLOWED-ACE *paaAllowedAce;
if (!GetSecurityDescriptorDacl(psdFileSD,
(LPBOOL)&bHasACL,
(PACL *)&paclFile,
(LPBOOL)&bOwnerDefaulted))
Windows NT:Administración y Aplicaciones
112
Aplicaciones para Windows NT
Cap. 12
{ PERR("GetSecurityDescriptorDac1");
return(FALSE);
1
if (!bHasACL) //Si no ACL para procesar
return(TRUE);
if (!IsValidAcl(paclFile))
{ PERR("IsValidAc1 dicho ACL! malo");
return(FALSE);
1
if (!GetAclInformation(pac1File,
(LPVOID)&asiAclSize,
(DWORD)dwBufLength,
(ACL-TNFOFWATION-CLASS)AclSizeInformation))
{ PERR("GetAcl1nformation");
return(FALSE);
1
dwACEsDeletedBeforeNow = dwACEsDeleted;
for (dwAcl-i = asiAclSize.Acecount- 1; ((int)dwAcl-i) >= O; dwAcl-i--)
{
if (!GetAce(paclFile,
dwAcl-i,
(LPVOID *)&paaAllowedAce))
{ PERR("GetAce");
return(FALSE);
1
if (!( (paaAllowedAce->Header.AceType == ACCESS-ALLOWED-ACE-TYPE)
II(paaAl1owedAce->Header.AceType == ACCESS-DEMED ACE-TYPE )
Il(paaAl1owedAce->Header.AceType == SYSTEM AUDIT ACE TYPE )
Jl(paaAl1owedAce->Header.AceType== SYSTEM-ALM-ACE-TYPE )))
{ PERR("Inva1ido AceType");
return(FALSE);
f
// Encuentra el SID de ACE, checa si la cuenta es borrada
UCHAR
ucNameBuf
[SZACCTNAME-BUF];
DWORD
dwNameLength = SZ-ACCT NAMI-BUF;
UCHAR
ucDomainNmBuf [SZ-DMN ÑAME BUF];
DWORD
dwDNameLength = S Z D G - N G - B U F ;
SIDNAME-USE peAcctNameUse;
~
Windows NT: Administración y Aplicaciones
113
Aplicaciones para Windows NT
Cap. 12
DWORD
dwLastError
= NOERROR;
if (!IsValidSid((PSID)&(paaAllowedAce->SidStart)))
{ PERR("IsVa1idSid said bad SID!");
return(FALSE);
I
if (!LookupAccountSid
// Mira en la maquina local
((LPTSTR)"",
(PSID)&(paaAllowedAce-SidStart),
(LPTSTR)&ucNameBuf,
(LPDWORD)&dwNameLengh,
(LPTSTR)&ucDomainNmBuc
(LPDWORD)&dwDNameLength,
(PSID NAMJ-USE)&peAcctNameUse))
{ dwLastError = GetI&tError();
//Si el ultimo error es diferente a ERROR-NONE -MAPPED
if (ERROR-NONE-MAPPED != dwLastError)
{ PERR("LookupAccountSID");
return(FALSE);
1
I
//Si el ultimo error es igual a ERROR-NONE-MAPPED
if ( (ERROR-NONE MAPPED == dwLastError)
I I (SidTypeDe¡etedAccount == peAcctNameUse))
//Incrementa
dwACEsDeleted++;
//Si se escribio la opcion /C en el argumento
if (bJustCount)
{ print@"- would have edited ACL");
return(TRUE);
I
if (!DeleteAce(paclFile,dwAcli))
{ PERR("De1eteAce");
return(FALSE);
I
I
1
I
if (dwACEsDeletedBeforeNow< dwACEsDeleted)
if (!IsValidAcl(paclFile))
{ PERR("lsValidAc1 said bad ACL!");
Windows NT:Administración y Aplicaciones
114
Cap. 12
Aplicaciones para Windows NT
return(FALSE);
I
if (!SetSecurityDescriptorDacl
(psdFileSD,
TRUE,
// Si, envia el DACL
pacíFile,
FALSE))
// Nuevo DACL explicitamente espesificado
{ PERR("SetSecurityDescriptorDac1");
return(FAL,SE);
1
if (!IsValidSecurityDescriptor(psdFileSD))
{ PERR("1sValidSecurityDescriptor said bad SD");
return(FALSE);
I
if (!SetFileSecurity
(lpszFullName,
(SECURITY-INFORMATI0N)DACL-SECURITY-INFORMATION,
psdFileSD))
{ PERR("SetFileSecurity");
return(FALSE);
1
printf'("- editado ACL");
I
return(TRUE);
1
..........................................................................
* FUNCION: GetProcessSid
..........................................................................
BOOL GetProcessSid(VO1D)
HANDLE
hProcess;
PSECURITY-DESCRIPTOR psdProcessSD;
PSID
psidProcessOwnerSIDTemp;
UCHAR
DWORD
DWORD
BOOL
ucBuf
[SZ-REL -SD-BUF];
dwSDLength = SZ REL-SD-BUF;
dw SDLengthNeeded;
bOwnerDefaulted;
hProcess = GetCurrentProcessO;
Windows NT:Administración y Aplicaciones
115
Aplicaciones para Windows NT
Cap. 12
if (!hProcess)
{ PERR("GetCurrentProcess");
return(FALSE);
1
psdProcessSD = (PSECURITYDESCRIPT0R)ucBuc
if (!GetKernelObjectSecurity
(hProcess,
(SECURITY~INFOñMATION)(OWNER~SECURITY~INFORMATION),
psdProcessSD,
dwSDLength,
(LPDWORD)&dwSDLengthNeeded))
{ PERR("GetKernel0bjectSecurityen el handle del proceso actual");
return(FALSE);
1
if (!IsValidSecurityDescriptor(psdProcessSD))
{ PERR("1sValidSecurityDescriptor dicho SD malo");
return(FALSE);
1
if (!Get SecurityDescriptorOwner
(psdProcessSD,
(PSID *)&psidProcessOwnerSIDTemp,
(LPBOOL)&bOwnerDefaulted))
{ PERñ("GetSecurityDescriptor0wner del actual proceso");
retum(FALSE);
1
if (!IsValidSid(psidProcessOwnerSIDTemp))
{ PERR("1sValidSid dicho mal proceso de SID!");
return(FALSE);
1
{ DWORD dwSIDLengthNeeded;
dwSIDLengthNeeded = GetLengthSid(psidProcess0wnerSIDTemp);
psidProcessOwnerSID = malloc(dwSIDLengthNeeded);
if (NULL == psidProcessOwnerSID)
PERR("GetProcessSid - corrio &era del espacio de la pila");
if (!CopySid(dwSIDLengthNeeded,
psidProcessOwnerSID,
Windows NT: Administración y Aplicaciones
116
Cap. 12
Aplicaciones para Windows NT
p sidProcessOwnerSIDTemp))
{ PERR("CopySid");
return(FALSE);
1
1
if (!IsValidSid(psidProcess0wnerSID))
{ PERR("1sValidSid dicho mal proceso de SID!");
return(FALSE);
1
{ HANDLE
hAccessToken;
LUID
1uidPrivilegeLUID;
TOKEN-PRIVILEGES tpTokenPrivilege;
if (!OpenProcessToken(hProcess,
TOKEN ADJUSTPRIVILEGES 1 TOKEN-QUERY,
&hAccessToken))
{ PERR("0penProcessToken");
return(FALSE);
1
if (!LookupPrivilegeValue(NULL,
" SeTakeOwnershipPrivilege",
&luidPrivilegeLUID))
{ P E W ( "LookupPrivilegeValue");
printf("hE1 error anterior implica que tu necesitas usar User Manager
(del menu");
printq"ui Policies\\UserRights) para activar el 'Take ownership of...' ");
printf("h privilege, log off, log back on");
return(FALSE);
1
tpTokenPrivilege.Privi1egeCount= 1;
tpTokenPrivilege.Privileges[O].Luid = 1uidPrivilegeLUID;
tpTokenPrivilege.Privileges[O].Attributes = SE-PRIVILEGE-ENABLED;
AdjustTokenPrivileges (hAccessToken,
FALSE, // No desabilita todo
&tpTokenPrivilege,
sizeof(TOKEN-PRIVILEGES),
NULL, I/ Ignora inforrnacion previa
NULL); // Ignora informacién previa
Windows NT: Administración y Aplicaciones
117
Aplicaciones para Windows NT
Cap. 12
//Si el ultimo error es NO-ERROR
if ( GetLastErrorO != NO-ERROR )
{ PERR("AdjustTokenPrivi1eges");
return(FALSE);
1
if (!LookupPrivilegeValue(NULL,
SeSecurityPrivilege" ,
&luidPrivilegeLUID))
{ PERR("LookupPrivilegeValue");
printf("UiE1 anterior error signifita que necesitas firmarte como
admnistrador");
return(FAL SE);
I'
1
tpTokenPrivilege.Privi1egeCount= 1;
tpT okegrivilege.Privileges[O]. Luid = 1uidPrivilegeLUID;
tpTokenPrivilege.Privileges[O].Attributes = SEPRIVILEGE-ENABLED;
AdjustTokenPrivileges (hAccessToken,
FALSE, // No desabilita todo
&tpTokenPrivilege,
sizeof(T0KEN-PRIVILEGES),
NULL, // Ignora informacion previa
NULL); // Ignora informacion previa
//Si el ultimo error es diferente de NO-ERROR
if ( GetLastError() != NO-ERROR )
{ PERR("AdjustTokenPrivi1eges");
return(FALSE);
1
return( TRUE);
..........................................................................
* FUNCION: CrackArgs
..........................................................................
BOOL CrackArgs(UINT argc, char *argv[])
{
char *p;
Windows NT:Administración y Aplicaciones
118
Cap. 12
Aplicaciones para Windows NT
if (argc != 4)
{ DisplayHelp();
return(FALSE);
1
p=argv[ 11;
if ((strlen(p) < 2) 11 (strlen(p) > 5 ) )
{ DisplayHelp();
return(FALSE);
1
if ('1!= *p)
{ DisplayHelp();
return(FALSE);
1
for (p=p+í; *p; p++)
switch (*p)
{ case 'o':
case 'O':
bTakeOwnership = TRUE;
break;
case 'a':
case 'A':
bEditACLs = TRUE;
break;
case 'r':
case IR':
= TRUE;
bRecurse
break;
case 'c':
case 'C':
bJustCount = TRUE;
break;
default :
DisplayHelp();
return(FALSE);
1
if (!(bTakeOwnership 11 bEditACLs))
{ DisplayHelp();
return(FALSE);
I
return(TRUE);
Windows NT: Administración y Aplicaciones
119
Cap. 12
Aplicaciones para Windows NT
t
..........................................................................
* FUNCION: DisplayHelp
..........................................................................
VOID DisplayHelp(V0ID)
{
printfT"Wara correr escriba SIDCLEAN y 3 parametros. Sintaxis:");
printf("\n SIDCLEAN /roah archivos y directorios espesificados");
printf("ui
/r procesa subdirectorios recursivamnete");
/o Para cualquier archivo indicado en el path: Toma posesién si");
printf("ui
el archivo actual fue propiedad de in SID ya borrado");
printf("ui
printf("\n
/a Para cualquier archivo indicado en el path: Editar ACL, borrando");
printf("ui
ACES asociados cualquier SID borrado");
printf("\n
/c Imponiendo a /o y /a, realiza las cuentas de las acciones /a or /o que");
printf("\ntendrianlugar si /c no es usada. Las cuentas son siempre
desplegadas");
printf("ui
/h Muestra otra seleccién de valores, poco despues desplega este
mensageui");
printf("\n . y . . es sintaxis permitida en el directorio espesificado");
printf("\n * y ? son simbolos permitidos en los archivos espesificados");
printf("uila seleccion de las letras pueden ser en cualquier orden, upper or lower
case");
printf("Mxamp1es:");
printf("k SIDCLEAN /o . * .* Toma posesijtn de todos los archivos (pero no
subdirectorios) en ");
printf("ui el actual directorio que estan apropiados por cualquier SID
borrado");
printf("ui SIDCLEAN /a . *.* Para cualquier archivo en el actual directorio (pero no
subdirectorios), borra");
printf("h cualquier informacién ACL que este asociado con cualqier SID borrado");
printf("h SIDCLEAN /ro . *.* Como el primer ejemplo, pero incluyendo recursivamente
el proceso");
printf("ui para subdirectorios");
printf("\n SIDCLEAN lar . *.* Como el segundo ejemplo, pero incluyendo recusivamente
el proceso");
printf("\n para subdirectorios");
printf("\n SIDCLEAN /O \\ *.* Como el primer ejemplo, pero procesa archivos en la
raiz");
printf("\n de el actual directorio");
printf("\n SIDCLEAN /oC .. *.* Como el primer ejemplo,pero mira archivos contenidos");
printf("\n
del actual directorio,no realiza procesos ,unicamente cuentas");
printf("ui SIDCLEAN /A d:\\ *.* Como el segundo ejemplo, pero procesa archivos de la
rai z");
Windows NT:Administración y Aplicaciones
120
Cap. 12
Aplicaciones para Windows NT
printf("h de el Drive D: ");
printf("h SIDCLEAN
Despliega este mensage");
Despliega este mensage (Tambi,n asi ? -? /? -h -H /H)Ui");
printf("\n SIDCLEAN /h
printf("uiEsta utilidad se puede correr siempre y cuando se firme como un
Administradorh");
return;
1
12.2 Explora (Aplicación envisual Basic)
Función del programa explora
La función principal de programa explora es mostrar la seguridad de Windows NT .
El programa mostrará los archivos, subdirectorios y directorios de un disco duro (El cual
puede estar en red), así también como las propiedades de cada uno de estos, si uno lo desea.
Al momento de ejecutar esta aplicación se podrían activar los handles de error que existen al
explorar los archivos en una red; si así sucede estos, se capturaran para mostrar al usuario lo
que siginifica el error.
Descripción de las$mciones prototi@o:
FindFiles API
Este procedimiento se encarga de buscar y mostrar todos los archivos, directorios y
subdirectorios de la ruta que se le indico en el path, así también como contar cada uno de
estos.
Errores
Se encarga de regresar en un lenguaje entendible para el usuario, los errores que puede
haber al ejecutar la aplicación. El error se escogera en el Case dependiendo del handle que
pasa como parametro en la hnción.
Browse
Muestra en la pantalla los directorios que estan disponibles en la máquina o en la red (Si esta
dado de alta el usuario).
ShowProperties
Depliega una pantalla con todas las propiedades (Tamaño, Fecha, Escritura, Lectura, etc.)
del archivo o folder que se le indica.
Windows NT: Administración y Aplicaciones
121
Can 12
Aplicaciones para Windows NT
El entorno (o "Shell") de Windows 95 proporciona una forma adecuada de escoger
directorios (y el nombre de cualquier otro objeto, además) del sistema de ficheros. La
fiinción del API, llamada SHBrowseForFolder, reside en el fichero SHELL32.DLL, y hace
precisamente lo que su nombre dice: muestra la lista de carpetas del "espacio de nombres"
(o "namespace") en una vista en árbol similar a la del Explorador de archivos, en la que el
usuario puede seleccionar un directorio particular con un simple click. El directorio puede
estar en un disco duro local, en un CD-ROM, en un disquete o en una unidad de red.
Q u e es el Shell Name Space?
Windows 95 y Windows NT 4.0 usan una estructura de datos llamada Name Space que
representa la jerarquía de todos los objetos que son los caminos desde el escritorio para
todos los items que pueden ser vistos en el explorador. Desde el escritorio se pueden ver la
Red, Bandeja de Reciclaje, Mi Portafolio y Mi Computadora. Desde Mi Computadora se
puede regresar Drives, Panel de Control, Impresoras y una parte de la Red. Estos Items son
llamados virtual folders, virtual porque ellos se refieren con el Name Space que puede
contener otro item Name Space.
Debido a que los folders del Shell pueden ser muchos objetos, estos son implementados
como objetos COM, los cuales a través de la interfaz IShellFolder pueden llevar a cabo
varias acciones. Una de estas acciones es convertir un item ID list en un nombre de
directorio. Dicha acción se realiza por medio de la fiinción SHGetPathFromIDList,
pasándole el apuntador que regresa SHBrowseForFolder.
Una de las cosas a notar acerca de esta fiinción y otras fiinciones del Shell, es la manera en
que un folder es identificado. Cada folder del Shell tiene un item identificador, el cual es
único entre los folders raíz. Desde los folders antecesores (raíz, subraíz) tiene su propio
item ID, así un folder del Shell es identificado únicamente por una lista de items
identificadores, la cual se llama item ID list.
Una lista de ID es un grupo de items ID'Sdel Shell. Cada identificador es un arreglo de
bytes que contiene datos específicos para el código de name space que asigno el
identificador.
Los primeros 2 bytes de este arreglo podrían ser un byte contador que define el tamaño del
item, pero el resto de los datos no es usado por cualquiera de los códigos de Name Space.
El resto de los datos identifica el item para el Name Space que asigno este. Por ejemplo, un
identificador que apunta a un archivo en un disco puede ser como sigue:
Bytes O- Byte
1
contador
Bytes 2- Resto
del
n
Path
Windows NT:Administración y Aplicaciones
122
Cap. 12
Aplicaciones para Windows NT
Si el Name Space quiere guardar detalles, esto puede hacer el identificador corno sigue:
260
bytes
Bytes 260 - Datoscreados
26 1
Bytes 262 - Atributos
263
Bvtes 2 6 4 - n Icono
Cuando estos identificadores son formados en un ID list, ellos son concatenados uno
después de otro y un final ID con un contador byte cero es usado como un terminador.
Usando una estructura de directorio como una analogía para el Name Space, un PIDL
(Apuntador a un ID list) puede ser comparado con un path.
Desde el inicio, el explorador realiza una petición a la interfaz IShellFolder para accesar
información acerca del contenido del Name Space. El explorador usará
1ShellFolder.EnumObjects para regresar la lista del contenido de las extensiones,
1ShellFolder.GetUIObjectOf que regresara
los iconos y menús apropiados, y
1ShellFolder.GetAttributesOfque regresara varios atributos de cada Item, incluyendo si o no
este tiene subfolders.
Explorador camina a través de los identificadores usando en los Name Space expuestos
IEnumIDList interfaz para regresar cada PIDL de item. Debido a que Explorador llama
1ShellFoldre::CompareIDspara localizar un item en el Name Space usando un identifkador.
El explorador también puede usar CompareIDs para checar si o no 2 PIDL apuntan al
mismo objeto.
En conclusión se puede deducir (en el aspecto de seguridad) que Windows 95, por medio de
funciones que contiene el Shell, verifica la base de datos de seguridad de Windows NT
apoyándose con el item ID de cada archivo que existe en la red. Y por medio de los bytes
asignados para los atributos, se verifica si el usuario que esta en uso tiene permisos para los
X’s archivos o folders que se muestran en el browser.
Windows NT:Administración y Aplicaciones
123
Cap. 12
Aplicaciones para Windows NT
Desarrollo del propama:
Mudulo 1
Option Explicit
Type SHITEMID ' mkid
' Tamaño de el ID
cb As Long
abID() As Byte ' El item ID
End Type
Type ITEMIDLIST ' id1
mkid As SHITEMID '
End Type
Declare Function SHGetPathFromIDList Lib "she1132.dll" Alias " SHGetPathFromIDListA"
-
(ByVal pTdl As Long, ByVal pszPath As String) As Long
Declare Function SHGetSpecialFolderLocation Lib "shell32.dll" (ByVal hwndOwner As Long, ByVal @older As Long, pIdl As ITEMIDLIST) As Long
Declare Function lstrcat Lib "kernel32" Alias "1strcatA" (ByVal IpString 1 As String, ByVal
lpString2 As String) As Long
Declare Function SHBrowseForFolder Lib "shell32.dll" Alias " SHBrowseForFolderA" (IpBrowseInfo As BROWSEINFO) As Long ' ITEMIDLIST
Public Const NOERROR = O
Public Const MAX-PATH = 260
'Estructura que regresa la información del browser
Public Type BROWSEINFO ' bi
hwndOwner As Long
pidlRoot As Long
pszDisplayName As String
1pszTitle As String
ulFlags As Long
lpfn As Long
Param As Long
iImage As Long
End Type
Windows NT: Administracióny Aplicaciones
124
Cap. 12
Aplicaciones para Windows NT
Modulo 2
'Declaración de API's
Declare Function FindFirstFile Lib "kerne132" Alias "FindFirstFileA" (ByVal 1pFileName As
String, 1pFindFileData As WIN32FIND-DATA) As Long
Declare Function FindNextFile Lib "kernel32" Alias "FindNextFileA" (ByVal hFindFile As
Long, IpFindFileData As WIN32FIND-DATA) As Long
Declare Function GetFileAttributes Lib "kerne132" Alias "GetFileAttributesA" (ByVal
1pFileName As String) As Long
Declare Function FindClose Lib "kerne132" (ByVal hFindFile As Long) As Long
Public Const W - P A T H = 260
Public Const MAXDWORD = &HFFFF
Public Const INVALID-HANDLE-VALUE = - 1
Public Const FEE-ATTRIBUTE-ARCHIVE = &€U0
Public Const FILE-ATTRIBUTE-DUWCTORY = &H1O
Public Const FILE-ATTRIBUTE-HIDDEN = &H2
Public Const FILEATTRIBUTENORMAL = &H80
Public Const FILE-ATTRIBUTE-READONLY = &H1
Public Const FILE-ATTRIBUTE-SYSTEM = &H4
Public Const FILE-ATTRIBUTE -TEMPORARY = &H1O0
Type FILETIME
dwLowDateTime As Long
dwHighDateTime A s Long
End Type
'Estructura que utiliza la funcion FindFirstFile
TypeWIN32 FIND DATA
dwFileAttibutes As Long
RCreationTime As FILETIME
RLastAccessTime As FILETIME
RLastWriteTime As FILETIME
nFileSizeHigh As Long
nFileSizeLow As Long
dwReserved0 As Long
dwReserved 1 As Long
cFileName As String * MAX-PATH
cAlternate As String * 14
End Type
Public Const SEE-MASK-INVOKEIDLIST = &HC
Public Const SEE-MASK-NOCLOSEPROCESS = &H40
Public Const SEE-MASK-FLAG-NO-UI = &H400
Windows NT:Administración y Aplicaciones
125
Aplicaciones para Windows NT
Cap. 12
'Estructura que regresa los atrubutos de un archivo Ó folder
Type SHELLEXECUTEINFO
cbSize As Long
Mask As Long
hwnd As Long
IpVerb As String
lpFile As String
lpparameters As String
IpDirectory As String
nShow As Long
hInstApp As Long
IpIDList As Long 'Parametro opcional
lpClass As String 'Parametro opcional
hkeyClass As Long 'Parametro opcional
dwHotKey As Long 'Parametro opcional
hlcon As Long 'Parametro opcional
hProcess As Long 'Parametro opcional
End Type
Declare Function ShelExecuteEX Lib "shell32.dll" Alias "ShellExecufeEx" (SEI As SHELLEXECUTEINFO)As Long
..........................................................................
Public Function StripNulls(Origina1Str As String) As String
If (InStr(OriginalStr, Chr(0)) > O) Then
OriginalStr = Left(OriginalStr, InStr(OriginalStr, Chr(0)) - 1)
End If
StripNulls = OriginalStr
End Function
..........................................................................
Sub FindFilesAPI(path As String, SearchStr As String, Filecount As Integer, DirCount As
Integer)
Dim FileName As String ' Nombre de la variable del archivo
Dim DirName As String Nombre de la variable del directorio
Dim Wile As Long ' Handle de un archivo
Dim WFD As wRv32 FIND-DATA
Dim handle As Variant
On Error GoTo errñnd
If Right(path, 1) <> Then path = path & "\"
' Busqueda para subdirectories.
hFile = FindFirstFile(path & "*", WFD) 'Regresa el primer archivo
'I\''
Do
If (WFD.dwFileAttributes And VbDirectory) Then
Windows NT: Administración y Aplicaciones
126
Cap. 12
Aplicaciones para Windows NT
DirName = StripNulls(WFD.cFileName)
If(DirName <> ".")And (DirName <> "..") Then
Form1.FolderList.AddItem DirName
DirCount = DirCount + 1
End If
Else
FileName = StripNulls(WFD.cFileName)
Form 1.FileList.AddItem FileName
Filecount = Filecount + 1
End If
r = FindNextFile(hFile, WFD) 'Busca el siguiente archivo
Loop Until r = False
r = FindClose(hFi1e) 'Cierra la busqueda de handles
Exit Sub
en7índ:
errores Err
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sub errores(ByVa1 error As Integer)
Select Case error
Case 52
MsgBox "El Directorio no se puede leer"
Case 53
MsgBox"E1 nombre de la red no puede ser encontrado"
Case 2
MsgBox "Archivo no encontrado, verificar la ruta de acceso"
Case 5
MsgBox "Acceso Denegado"
Case 71
MsgBox "El disco no se puede leer"
Case 75
MsgBox "Error de acceso en la ruta ó archivo"
Case 3
MsgBox "Ruta no encontrada, verificar "
Case Else
MsgBox "Error Visual Basic" & error
End Select
End Sub
Public Sub Browse()
'Abre control Treeview que despliega los directorios de una computadora
Dim lpIDList As Long
Dim sBuffer As String
Dim szTitle As String
Windows NT:Administración y Aplicaciones
127
Aplicaciones para Windows NT
Cap. 12
Dim nFolder As Long
Dim IDL As ITEMIDLIST
Dim tBrowseInfo As BROWSEINFO
szTitle = "Please Choose a path"
With tBrowseInfo
.hwndOwner = Me.hwnd
.lpszTitle = lstrcat(szTitle, "")
If SHGetSpecialFolderLocation(ByVa1 Me.hwnd, ByVal s o l d e r , IDL) = NOERROR
Then
.pidlRoot = 1DL.mkid.cb
End If
End With
lpIDList = SHBrowseForFolder(tBrowse1nfo)
If (IpIDList) Then
sBuffer = Space(MAX_PATH)
SHGetPathFromIDList IpIDList, sBuffer
sBuffer = LeR(sBuffer, InStr(sBuffer, vbNullChar) - 1)
Text I . Text = sBuffer
End If
End Sub
Modulo de la forma y botones de la aplicación
~~~
Option Explicit
Private Const BIF RETURNONLYFSDIRS= 1
Private Const BIF~DONTGOBELOWDOMAIN= 2
Private Const MAX-PATH = 260
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Private Sub CmdBrowse-Click()
Call Browse
End Sub
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Private Sub CmdBuscar-Click()
Dim SearchPath As String, FindStr As String
Dim NumFiles As Integer, NumDirs As Integer
Screen.MousePointer = vbHourglass
FileList.Clear
FolderList .Clear
SearchPath = Text 1.Text
FindStr = Text2.Text
Windows NT: Administración y Aplicaciones
128
Aplicaciones para Windows NT
Cap. 12
FindFilesAPI SearchPath, FindStr, NumFiles, NumDirs
Text3 .Text = NumFiles & " Archivos Encontrados
Text4.Text = NumDirs & Directorios Encontrados
Screen.MousePointer= vbDefault
End Sub
I'
'I
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Sale de la aplicación y cierra la forma
Private Sub CmdExitClick()
Unload Me
Set Form1 = Nothing
End
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
'Muestra las propiedades de un archivo
Private Sub CmdPropArch-Click()
Dim newpath As String
newpath = Text 1 & FileList.List(FileList.List1ndex)
ShowProperties (newpath)
End Sub
...........................................................
'Muestra las propiedades de un folder o directorio
Private Sub CmdPropFolder-Click()
Dim newpath As String
newpath = Text 1 & FolderList.List(FolderList.List1ndex)
ShowProperties (newpath)
End Sub
......................................................................
Private Sub FileList-Click()
CmdPropArch.Enabled = (Fi1eList.ListIndex> - 1) And (FileList.List(FileList.List1ndex))<> "<no files>"
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private Sub FileList DblClick()
Dim newpath As St&g
newpath = Text 1 & FileList.List(FileList.List1ndex)
ShowProperties (newpath)
End Sub
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Private Sub FolderList Click()
CmdPropFolder.Eiabled = (FolderList.ListIndex > - 1)
End Sub
.......................................................................
Private Sub FolderList-DblClíck()
Dim newpath As String
newpath = Text 1 & FolderList.List(FolderList.List1ndex)
Windows NT: Administración y Aplicaciones
129
Cap. 12
Aplicaciones para Windows NT
ShowProperties (newpath)
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private Sub FormLoadO
FileList .Clear
FolderList .Clear
CmdPropArch.Enabled = False
CmdPropFolder.Enabled = False
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private Sub Label2Click()
Text 1.SetFocus
End Sub
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Private Sub Label3_Click()
Text2.SetFocus
End Sub
........................................................................
Private Sub ShowProperties(Fi1eName As String)
Dim SEI As SHELLEXECUTEINFO
Dim r As Long
With SEI
.cbSize = Len(SE1)
.Mask = SEE-MASK NOCLOSEPROCESS Or SEE-MASK-INVOKEIDLIST Or
SEE-MASK-FLAG-NO-UT
.hwnd = Me.hwnd
.lpVerb = "properties"
.IpFile = FileName
.lpParameters = vbNullChar
.lpDirectory = vbNullChar
.nShow = O
.hInstApp = O
.lpIDList = O
End With
r = ShellExecuteEX(SE1)
End Sub
Windows NT: Administración y Aplicaciones
130
Novedades de Windows NT 5.0
Apéndice A
NOVEDADES DE WINDOWS NT 5.0
En la versión 4.0, MicrosoR cambio la interfaz gráfica de Windows NT y la sustituyo por
Indy, la bonita GUI de Windows 95, pero NT 4.0 no incluía muchas de las cosas que se
venían anunciando desde hacía tiempo.
Windows NT 5.0 incluye las siguientes novedades importantes:
Servicios de Directorio al estilo de X.500
Modelo de Objetos de Componentes Distribuidos (DCOM).
Sistema de seguridad Kerberos
Servicios de Directorio: Active Directory
NT 5.0 incluye un servicio de directorio llamado Active Directory, basado en DNS (Domain
Name Server) y LDAP (Lightweight Directory Access Protocol).
El protocolo DNS da una manera de nombrar máquinas situadas en cualquier parte del
planeta y nos permite conocer sus correspondientes direcciones IP, gracias a que estructura
los nombres de las máquinas jerárquicamente por dominios, y cada dominio conoce
potencialmente las direcciones IP de las máquinas que pertenecen a él. Si queremos conocer
la dirección de la máquina mi-servidor.dom1 .edu, preguntaré a algún servidor del dominio
edu, el cual, o la sabe directamente, o preguntará a algún servidor de doml, y así.
Con Active Directory vamos a poder localizar cualquier objeto llamándolo por su nombre, y
acceder a información sobre él. Un objeto será algo heterogéneo: una máquina en Internet,
un fichero, o un proceso en ejecución. La información sobre ese objeto dependerá de la clase
a la que pertenezca dicho objeto (por tanto será también algo heterogéneo). El pegamento
que aglutina todo esto se llama Active Directory.
La idea no es nueva: el sistema de directorios X-500 permite algo parecido, pero su
complejidad ha hecho que no esté muy difundido entre los sistemas operativos. Por ello se
desarrolló LDAP, una versión simplificada de X-500.
En Active Directory vamos a tener, para cada dominio de nuestra LAN, un nombre de
dominio al estilo DNS, y uno o varios servidores de dominio (llamados controladores de
dominio). Cuando LDAP sea ai igual que DNS, un estándar, podremos acceder a la base de
datos de directorios del servidor Active Directory usando un cliente UNIX, OS/2 o
Macintosh.
Windows NT: Administración y Aplicaciones
13 1
Apéndice A
Novedades de Windows NT 5.0
Tener varios controladores de dominio asociados al mismo dominio interesa cuando
necesitemos alto rendimiento y baja tasa de errores. Cada controlador va a almacenar la
misma base de datos del dominio del directorio. Active Directory asegura la integridad de
esas BD, de manera que actualizar una implique la actualización de cada una de sus copias.
Para ello se usa un protocolo de comunicación entre controladores. La actualización de las
copias se realiza sólo sobre los datos modificados.
La replicación se realiza vía RPCs cuando estamos en un ámbito local, con alta fiabilidad y
baja tasa de errores. Para redes a través de líneas telefónicas, se ha incluido la opción del
correo electrónico como método para que los controladores se intercambien información de
replicación.
En una LAN, la replicación se produce cada 5 minutos. En una WAN, el administrador
puede ampliar el intervalo para aumentar así las prestaciones.
Existen varias alternativas a la hora de elegir una API para los clientes Active Directory,
destacando ADS1 (Active Directory Service Interface).
Modelo de Objetos de Componentes Distribuidos (DCOM)
DCOM es una extensión natural a COM
COM es un estándar para la comunicación entre objetos independientemente del lenguaje en
el que hayan sido escritos (por ejemplo, objetos Java con objetos C++). El objeto cliente
accederá a los métodos del objeto servidor a través de interfaces COM normalizados. Quizás
nos suene más el nombre de componentes ActiveX.
DCOM extiende lo anterior a un ámbito de red; los objetos a comunicarse no tienen porqué
compartir la misma máquina.
Pero esto no es nuevo: lo podíamos hacer desde hacía tiempo con las RPC. De hecho,
DCOM está construido sobre las RPC; se trata de un estándar de más alto nivel, con el que
podremos escribir aplicaciones distribuidas en un entorno de red sin necesidad de conocer
todos los entresijos de las RPC, y además con un enfoque orientado a objetos. De hecho,
MicrosoR también se refiere a DCOM como Object RPC (ORPC).
DCOM se incluyó a Windows NT en su versión 4.0 (también salió en 1.996una versión para
Windows 9 9 , y actualmente la empresa Software AG prevé lanzar versiones para Solaris,
Linux y otros sistemas a finales de este año. Con esto tenemos que DCOM se está
convirtiendo en un estándar importante en la industria, y se podrá utilizar para comunicación
entre objetos corriendo en sistemas operativos distintos.
Windows NT:Administración y Aplicaciones
132
Apéndice A
Novedades de Windows NT 5.O
Entonces, ;que aporta NT 5.O?
Supongamos que tengo un objeto servidor subsumido en un proceso en mi máquina
servidora, y que un cliente quiere acceder a alguno de los métodos que mi objeto exporta
como públicos. Entonces, el componente DCOM localiza por si solo al objeto servidor en la
red, y le manda una RPC. DCOM encuentra el objeto servidor en la red de dos posibles
maneras:
En Windows NT 4.0, el cliente ha de conocer dónde está el servidor (lo tiene escrito en el
Registro) y se lo dice a DCOM (trivial). En Windows NT 5.0, DCOM usa Active Directory
para hallar la dirección del objeto. Ésta es la gran ventaja sobre el caso anterior. Además de
la dirección, puede encontrar más información sobre el objeto servidor.
Servicios de Seguridad: el estándar Kerberos
En UNíX, de la seguridad se encarga un módulo llamado Kerberos, desarrollado por el MIT
como parte del Proyecto Atenas. Kerberos es actualmente un estándar en la industria, y
MicrosoR ha implementado la versión 5 de la norma en NT 5.0.
Como sabemos, NT soporta varios protocolos de seguridad. Existe, no obstante, una
interfaz común que los aglutina (la SSPI, Security Service Provider Interface), y que
proporciona una API común a los niveles superiores. En NT 4.0, la API cubre los
protocolos SSL (Secure Sockets Layer, junto con su versión PCT) y NTLM (NT Lan
Manager). En NT 5.0, Kerberos se une al grupo. Los usuarios del nivel de seguridad son
otros protocolos, que usando la API SSPI, acceden a los servicios que ofrece ese nivel,
eligiendo el protocolo que deseen de entre los de la lista. Ejemplos de protocolos clientes
son HTTP, LDAP, CIFS (usado por el Sistema de Ficheros Distribuido) y RPC.
En entornos de red, las aplicaciones usan primordialmente el protocolo NTLM, que da
autentificación, integridad de datos y privacidad. Esto va a cambiar con la introducción del
estándar Kerberos.
Kerberos, al igual que NTLM, proporciona autentificación, integridad de datos y privacidad.
Entre las mejoras que hacen a NTLM se encuentra la autentificación mutua, es decir, que
tanto el cliente ha de probar su identidad al servidor como el servidor al cliente. Cada
dominio de la red va a tener su servidor Kerberos, que utiliza la base de datos de Active
Directory, con lo que se habrá de ejecutar sobre la misma máquina que el controlador de
dominio. También puede estar replicado dentro del mismo dominio.
Windows NT: Administración y Aplicaciones
133
Apéndice A
Novedades de Windows NT 5.0
De manera muy general, podemos decir que un usuario que desee acceder a servicios de una
máquina remota debe primero hacer logon sobre el servidor Kerberos del dominio
correspondiente (o sobre alguna de sus copias, si cabe). Si los procesos de identificación y
declaración de privilegios son correctos, Kerberos entrega al cliente un "ticket que concede
tickets" llamado TGT (ticket-granting ticket) de acuerdo a los privilegios del cliente. Usando
ese ticket, el cliente podrá de nuevo solicitar a Kerberos otros tickets para acceder a
determinados servidores del dominio.
Kerberos examinará el TGT del cliente y el servicio que desea; si el TGT es válido para
acceder al servicio solicitado, Kerberos entregará al cliente un ticket nuevo para acceder al
servicio concreto. El cliente envía ese nuevo ticket a la máquina donde se encuentra el
servicio al que desea acceder; el servidor posiblemente lo examinará para comprobar la
identificación del usuario (autentificación). Los tickets están todos encriptados.
El estándar Kerberos versión 5 no especifica el contenido de los mensajes que se
intercambian para identificar al cliente. Por ello, los mensajes de cada implementación de la
norma serán distintos, con lo que podríamos tener problemas al interactuar con Kerberos de
otros sistemas operativos.
Windows NT: Administración y Aplicaciones
134
Bibliografia
BIBLIOGRAFÍA
0
0
O
Windows NT Guía de Conceptos y Planificación
Capítulos 2 - 10
Microsoft Press, 1995.
Microsoft Windows NT Training Kit,
“Support Fundamentals for Microsoft Windows NT Server”,
Microsoft Press, 1995.
Microsoft Windows NT Training Kit,
“Microsoft Windows NT Training Video”,
Formato VHS, Duración: 30 min.,
Microsoft Press, 1995.
Custer, Helen
“Inside the Windows NT File System”,
Microsoí? Press, 1995.
Aye, Rick; Raskin, Robin
‘Windows NT: Vea cómo iünciona”,
PC Magazine,
Volúmen 6 Número 6, pags. 66-76, 1995
Prosise, Jeff
“WindowsNT 4.0”,
PC Magazine,
Volumen 7 Número 11.
Sheldon, Toni
“Aplique Windows NT”,
Ed. Mc Graw Hill.
Miller, Michael J.
“NT 4.0y OS12 4.0”,
PC Magazine,
Volúmen 7 Número 11, pags. 55-61, 1996.
HughRyan
“Byte México”,
Mayo 1996, pag. 6.
Windows NT: Administración y Aplicaciones
135
Bibliografia
0
Halfill, Tom R.
‘TJnix vs. Windows NT”,
Byte mexico,
Mayo, pags. 6-16,20, 1996.
0
Marcelín J., Ricardo; Casco, Fausto; Téllez, Oreste
“Aspectos Eléctricos en el Modelo OSI”,
Departamento de Ingeniería Eléctrica,
Universidad Autónoma Metropolitana, 1994.
http://www.microsofi.com [Internet] (1 997)
http://pclt.cis.yalc.edu/pclt/boot/fat.htm [Internet] (1 997)
0
Microsoft Education and Certification,
Supporting Microsoft Windows NT 4.0 Core Technologies,
Course Number 922,
Microsoft Corporation.
Windows NT: Administración y Aplicaciones
136