Características de administración y seguridad en WinFS WinFS es un sistema de archivos desarrollado por Microsoft para su sistema operativo Windows más reciente: Windows Vista. En sus inicios su nombre significaba Windows Future Storage o Almacenamiento del Futuro de Windows, pero en la actualidad recibe el nombre de Windows File System ó Sistema de Archivos de Windows. Recientemente se ha discutido sobre si WinFS es en sí mismo un sistema de archivos, o sólo una extensión del sistema actual, ya que varios documentos técnicos describen que tradicionalmente las funciones de un sistema de archivos las sigue haciendo Windows NTFS y que WinFS sólo agrega funciones de búsqueda típicos de una base de datos (SQL Server). Un punto importante es analizar las características proporcionadas y el impacto en la seguridad de los sistemas Windows que WinFS proporcionará. • Introducción • Nuevas características de seguridad en Windows Vista • Sistema de archivos de Windows Vista. ♦ Servicios que proporciona • Modelo de WinFS • Comparación entre Windows NTFS y WINFS • Pruebas de la versión Beta 1 de WinFS ♦ Instalación de WinFS • Conclusiones • Referencias • Revisión histórica Introducción Windows Vista es la versión más reciente de este sistema operativo, actualmente se encuentra en su segunda versión beta. Se ha comentado mucho sobre las nuevas características que se presentarán en Windows Vista, se dice que la seguridad será un elemento fundamental. En las especificaciones para instalarlo se requiere una RAM mínima de 512 MB para el uso de Aero Glass (su interfaz gráfica), se requiere de una tarjeta gráfica compatible con DirectX 9 y al menos 64 MB de RAM, Windows Vista estará disponible en las siguientes versiones: • Windows Vista Home Basic Edition • Windows Vista Starter Edition • Windows Vista Home Premium Edition • Windows Vista Professional Edition • Windows Vista Small Business Edition • Windows Vista Enterprise Edition • Windows Vista Ultimate Edition Nuevas características de seguridad en Windows Vista Algunas de las características de seguridad que presenta Windows Vista son: • Protección de cuentas de usuario. Se basa en el establecimiento de cuentas de usuario limitadas que permiten a los usuarios realizar tareas comunes sin privilegios de administrador. Las cuentas pertenecientes al grupo de administradores ejecutarán la mayoría de las aplicaciones con privilegios mínimos, como si utilizaran una de usuario estándar. Esta característica permite a los usuarios trabajar y cambiar la configuración común sin la necesidad de tener privilegios de administrador, lo que evita que realicen cambios potencialmente peligrosos en sus equipos sin que esto limite su capacidad para ejecutar aplicaciones. • Bitlocker. Es la tecnología de cifrado con la que Windows Vista tratará de impedir que algún usuario malicioso pueda acceder a la información contenida en el disco duro de una computadora robada o extraviada. • Firewall bidireccional. El nuevo firewall de Windows Vista a diferencia del incorporado en Windows XP que únicamente bloquea el tráfico entrante, es bidireccional ya que monitorea y bloquea tanto el tráfico entrante como el saliente, sin esta característica jamás tendríamos conocimiento si un programa malicioso (troyano, bot, etc.) ya instalado realiza intentos para establecer una conexión remota desde nuestro equipo. El firewall de Windows Vista está diseñado para ofrecer a los administradores mayor control sobre los programas y aplicaciones ejecutados en su sistema. Para su administración posee una nueva consola denominada "Windows Firewall y Seguridad Avanzada", donde se configura selectivamente el bloqueo del tráfico entrante y saliente. • Microsoft Internet Explorer IE7 tiene algunas mejoras de seguridad que protegen a los usuarios contra phishing y de otros ataques. Incluye Internet Explorer en modo protegido, para evitar la eliminación o modificación de: opciones de configuración, información de los usuarios por parte de sitios Web maliciosos. • Recuperación automática. Esta característica impide los errores de servicio inadvertidos en el sistema operativo, proporciona la capacidad de reiniciar los servicios automáticamente en caso de ser necesario cuando se genere algún error. • Mejoras en las actualizaciones de seguridad. Permite ver el estado de seguridad utilizando un agente del lado del cliente y reduce la cantidad de reinicios necesarios para las revisiones de seguridad. • Inicio seguro. Esta característica garantiza que ningún usuario malicioso pueda iniciar el equipo con un sistema operativo diferente con el fin de afectar la instalación de Windows Vista. Sistema de archivos de Windows Vista. Un sistema de archivos es el método para nombrar, almacenar y organizar archivos en el equipo. En los sistemas operativos de Windows han existido varios sistemas de archivos como: Fat12 (sistema de archivos de DOS), Fat16 (que requería un disco duro menor a 2 GB), Fat32 (Windows 98/Milenium) y NTFS (Windows NT/2000/XP/2003). NTFS es el sistema de archivos utilizado en plataformas con núcleo de Windows NT. Proporciona características de seguridad que lo hacen mejor a los otros sistemas de archivos, ya que no tiene limitaciones con el tamaño de los clusters y se organiza en una estructura de base de datos relacional. Versión NTFS Versión de Windows 4.0 NT 3.51, NT 4 5.0 2000 XP, Windows Server 5.1 2003 Tabla 1.1. Diferentes versiones de NTFS. Windows Vista tendrá compatibilidad con Windows NTFS, pero en un futuro se utilizará WinFS que es el nombre código para la siguiente generación del subsistema de almacenamiento de Windows. WinFS es una plataforma de almacenamiento para organizar, buscar, y compartir grandes cantidades de información. Representa un complemento para el sistema de archivos, tomando como punto de partida los avances y ventajas de las bases de datos para realizar búsquedas en dispositivos que día con día incrementan sus capacidades de almacenamiento. La mayoría de las ocasiones resulta complicado realizar búsquedas en algún dispositivo de gran capacidad, ya que en la actualidad se tienen algunas limitaciones para hacer más fácil esta tarea como son: realizar búsquedas por contenidos, búsquedas por tipo de archivo, búsquedas por tipo de aplicación que generó el archivo, entre otras. WinFS tendrá adicionalmente tipos de servicios, eventos de cambios de datos, transacciones, sincronización, acceso a la información desde búsquedas XML. Permitirá organizar y recuperar datos basándose en sus propiedades (como por ejemplo: autor, título, etc.), de tal forma los usuarios podrán localizar los archivos más rápidamente. Todo lo almacenado en WinFS se crea como un ítem (son las unidades de datos más pequeñas que pueden ser replicados, están contenidos en un directorio), cada ítem tiene propiedades de metadatos que se describen por un esquema y pueden contener links a otros ítems. Estos se basan en un esquema y se almacenan como objetos de Microsoft .Net que pueden ser consultados usando Vistas de T-SQL para poder acceder a las propiedades de cada ítem, para lo cual utiliza un motor de base de datos basado en la actual versión de SQL-Server. Este nuevo sistema no es la evolución de NTFS, pues presenta otras ventajas que estarán disponibles para los usuarios de Windows que utilicen versiones anteriores a Vista, (nuevas formas de buscar, relacionar y actuar con su información), por lo tanto no suplanta al NTFS, ya que computadoras con Windows Vista podrán tener unidades NTFS. Servicios que proporciona. • Notificaciones. Es un mecanismo que mantiene informado al usuario de la modificación de un ítem. WinFS usa el modelo de eventos de Microsoft .NET para realizar las notificaciones, haciendo uso de Ítem Watcher puede crear un monitor particular para cada ítem, capaz de informar al momento de realizar modificaciones en algún ítem a través de una aplicación, un proceso o una máquina remota. • Sincronización. Este servicio se relaciona con la replicación a otras maquinas cuando se realiza alguna modificación en un ítem. Para poder hacer uso de la sincronización se requiere determinar qué puede modificarse y determinar qué datos pueden replicarse. Estos servicios se pueden integrar con otras tecnologías como Active Directory, para compartir datos. Modelo de WinFS Figura 1.1. Modelo de WinFS WinFS está integrado por 5 componentes: Core WinFS, Data Model, Schemas, Services, y API's: • Núcleo de WinFS. Es en donde se encuentran los servicios generales de un sistema de archivos, como la seguridad, cuotas, importar, exportar, copiar, pegar, etc. • Modelo de datos. Es en donde se maneja la estructura de los datos y las relaciones entre ellos. • Esquemas. Sin esquemas integrados WinFS no se distinguiría del sistema de archivos existente, usa esquemas para manejar tanto la información común como diaria, documentos, agenda, sonido, video, información sobre los programas (aplicaciones), configuración del sistema operativo, en general, aportan un modo más estructurado de controlar los metadatos. • Servicios. Estas tecnologías están sobre WinFS para ofrecer la capacidad de extender los fundamentos del sistema operativo. La sincronización permitirá mantener los datos actualizados con otros sistemas u otros equipos en la red para poder crear relaciones con datos de su propio equipo, logrando con esto crear información de utilidad para usted, lo que sería imposible con el sistema de archivos actual. • APIs. Se integran dentro del nuevo modelo de programación de Windows Vista, las API's permiten el acceso para poder seguir utilizando en las aplicaciones: las relaciones de datos, reglas WinFS, la sincronización y el Data Model. Comparación entre Windows NTFS y WINFS A continuación se muestra una tabla comparativa de las principales características entre Windows NTFS y WinFS. Windows WinFS Windows NTFS • Funciona como una base de datos con todo indexado. • Permite hacer búsquedas XML. • Control de eventos de cambios de datos. • Sincronización. • Compatibilidad con NTFS. • Uso de directorios dinámicos. • Notificación. • Almacenamiento unificado. • Modelo común de seguridad. • Integración con otras tecnologías como redes punto a punto (P2P). • Relación jerárquica directorio-archivo. • Sistema de archivos NTFS. • Estructuras de datos de árbol B. • Permite cifrar archivos y directorios con EFS y establecer restricciones de acceso a los archivos. • Administración de EFS mediante Directivas de grupo y utilidades de la línea de comandos. • Cuotas de disco. • Montaje de volúmenes. • Archivos dispersos. • HSM (Administración jerárquica de almacenamiento). Tabla 1.2. Comparación entre NTFS y WinFS. Pruebas de la versión Beta 1 de WinFS Actualmente existe una versión Beta 1 para desarrolladores de WinFS que puede instalarse en Windows XP Service Pack 2 y que está disponible en el sitio de desarrolladores de Microsoft en: http://msdn.microsoft.com/subscriptions/ WinFS agrega la funcionalidad al sistema de archivos para realizar búsquedas de manera indexada, hay que tener en cuenta que es una versión beta y que puede generar errores e incluso en algunos sistemas Windows XP puede provocar que el sistema se haga más lento por el módulo que se carga. Instalación de WinFS La versión Beta 1 de WinFS necesita contar con los siguientes requerimientos para su instalación: • Velocidad del procesador a 1.5 GHz o superior. • 512 MB de memoria RAM como mínimo. • Espacio libre en disco de 700 MB o más. • Sistema operativo Windows XP • .Net Framework 2.0. Al ser ejecutado el archivo de instalación pide la ruta en la que se van a extraer los archivos contenidos en el mismo. Después de terminar el proceso de extracción, debemos dirigimos a la ruta que proporcionamos y ejecutar el archivo Setup. A continuación se inicia la instalación mostrándonos la pantalla de bienvenida y debemos seleccionar las opciones en pantalla hasta concluir la instalación. Figura 1.2. Instalación de WinFS Los cambios realizados en la instalación del equipo muestran al ir a Mi PC, donde se puede observar la existencia de un directorio llamado WinFS Stores, el cual presenta las características de WinFS. Figura 1.3. Directorio WinFS Stores Para agregar ítems en este directorio damos clic derecho en el directorio WinFS Stores y seleccionamos Create new WinFS Store. Figura 1.4. Agregar items a WinFS Stores Debemos de asignar el nombre al directorio y un comentario. Por ejemplo, Nombre: UNAM-CERT y Comentario: Documentos UNAM-CERT. Figura 1.5. Establecer propiedades en ítems En el interior de WinFS Stores podemos observar en donde se van generando los directorios indexados; cabe destacar que de manera predeterminada se genera automáticamente durante la instalación un directorio llamado DefaultStore, y está asociado a los usuarios del sistema. Figura 1.6. Directorio DefaultStore Para agregar ítems se deben copiar los archivos en el interior de algún directorio indexado. Figura 1.7. Directorio indexado Después de realizar la instalación y crear algunos directorios, se realiza una verificación de los permisos asignados al momento de crearse. Es importante mencionar que el permiso Full Control es asignado para el grupo Administradores y sólo los integrantes de éste tienen permisos para crear y borrar directorios, los usuarios del sistema en estos directorios sólo tienen permisos especiales para: listar el contenido de los directorios y para poder leer el contenido de los archivos, además de que no pueden crear ni borrar directorios. Una característica importante es que cuando un administrador elimina un directorio, éste es eliminado del sistema sin ser enviado a la papelera de reciclaje. Cuando un ítem es creado en el sistema se guarda información relacionada a él y se hace uso de las API's de Microsoft .NET para programar bloques de operación de datos, manejo de la sincronización, reglas, así como el modelado de datos. Conclusiones. La segunda versión Beta de Windows Vista no incluye WinFS, continúa trabajando con NTFS, lo que representa una estrategia por parte de Microsoft para garantizar la compatibilidad con otros sistemas operativos como: Windows XP y Windows 2003. De acuerdo a las características que proporciona WinFS sólo representa un módulo que agrega funcionalidad a NTFS para realizar búsquedas, se aplica a los directorios ubicados en Documents and Settings, los demás directorios siguen estando bajo el control de NTFS y en particular %systemroot% y Program Files. WinFS estará disponible muy posiblemente en el Service Pack 3 para Windows XP y posteriormente a su lanzamiento en Windows Vista. WinFS representa un avance de las capacidades que en un futuro se implementarán para mejorar las búsquedas de información basadas en las necesidades actuales de los usuarios, ya que día con día los volúmenes de datos son mayores y realizar exploraciones resulta una tarea complicada. Después de 10 años en los que Windows ha utilizado el mismo sistema de archivos, esta versión beta de WinFS será una muestra de las características implementadas en el sistema de archivos de Windows Vista. Por el momento, hay que tener presente que esta versión beta sólo es una versión para desarrolladores, que requiere un mínimo de 512 de memoria RAM, procesador de 1.5 GHz, así como tener instalado Framework 2.0. A través de las pruebas se pudo observar que WinFS no es muy estable, durante su ejecución el sistema genera varios errores. Algunos sistemas pueden parecer lentos debido a la carga del módulo y los procesos requeridos en el uso del procesador mientras inicia el sistema operativo y cuando se realizan búsquedas en el sistema de archivos, por lo tanto, las características del hardware afectan el rendimiento de WinFS. A pesar de que su objetivo sea mejorar las búsquedas de información para los sistemas Windows, por el momento esta versión beta de WinFS sólo representa un conjunto de catálogos clasificados de ítems o archivos en el sistema resguardados en un directorio, aunque para los desarrolladores represente un acercamiento a la manera en que van a poder interactuar con estos ítems a través de objetos de Microsoft .Net. Un aspecto que el administrador debe de considerar en un directorio indexado es que se convierte de manera predeterminada en un recurso compartido para ser accedido desde otro equipo de la red, lo que puede poner en riesgo la seguridad del sistema en caso de que el administrador realice modificaciones en la configuración de los permisos y éstos otorguen demasiados privilegios a los usuarios. Lo anterior tendría como resultado el riesgo de que un usuario malicioso tenga acceso a los archivos críticos del sistema u ofrecer un mecanismo para que un intruso pueda controlar el equipo de la víctima. Respecto al uso de WinFS no es tan complicado una vez instalado, lo único que se debe hacer es crear directorios indexados en WinFS Stores , la cual se ubica en Mi PC y agregar archivos en esos directorios. Este trabajo es actualmente para el grupo Administradores pues son los usuarios que tienen permisos de Full Control y los únicos autorizados para crear directorios, agregar y borrar ítems, esto puede resultar molesto para el administrador en caso de que un usuario necesite indexar algún directorio o agregar archivos dado que el administrador realizaría estar tarea. En cuanto a los aspectos de seguridad proporcionados por WinFS , cabe mencionar que los permisos establecidos de forma predeterminada a los directorios indexados son seguros pues a los usuarios autenticados se les otorgan permisos únicamente para ver el contenido de los directorios, permisos de lectura e información de los archivos. En algún momento, esta característica puede representar un problema de seguridad si el administrador coloca archivos que no deberían de estar disponibles para todos los usuarios del sistema. De la seguridad del sistema de archivos podemos mencionar que al parecer por el momento lo más preocupante para Microsoft es mejorar sus búsquedas; en esta versión beta se observa que sólo se piensa en indexar directorios y de manera predeterminada compartir en la red. Esta característica de compartirse al indexarse no debe de establecerse para Documents and Settings de manera predeterminada, solamente se debe de aplicar la parte de indexación para mejorar las búsquedas pero sin que la información de los usuarios del sistema quede como un recurso compartido, así en este aspecto, toca esperar para ver cómo es que Microsoft implementa está característica sin poner en riesgo la información de los usurarios y del sistema. Referencias MSDN http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnwinfs/html/winfs03112004.asp Windows Vista http://www.microsoft.com/latam/windowsvista/basics/security.mspx WinFS http://www.c-sharpcorner.com/Longhorn/WinFS/WinFSDataModel.asp MSDN Magazine http://msdn.microsoft.com/en-us/magazine/cc164028.aspx Revisión histórica • Liberación original: 22 de Mayo de 2006 • Última revisión: 7 de octubre de 2010 La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a: • Christian Calderón Hernández • Jesús Ramón Jiménez Rojas • Galvy Cruz Valencia • Andrés Leonardo Hernández Bermúdez Para mayor información acerca de éste documento de seguridad contactar a: UNAM-CERT Equipo de Respuesta a Incidentes UNAM Subdirección de Seguridad de la Información Dirección General de Cómputo y de Tecnologías de Información y Comunicación Universidad Naciónal Autónoma de México E-Mail: [email protected] http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 43