Descargar

Introducción a Windows NT

Enviado por fpellegrini

    Windows NT presenta una arquitectura del tipo clienteservidor. Los programas de aplicación son contemplados por el sistema operativo como si fueran clientes a los que hay que servir, y para lo cual viene equipado con distintas entidades servidoras.

    Uno de los objetivos fundamentales de diseño fue el tener un núcleo tan pequeño como fuera posible, en el que estuvieran integrados módulos que dieran respuesta a aquellas llamadas al sistema que necesariamente se tuvieran que ejecutar en modo privilegiado (también llamado modo kernel, modo núcleo y modo supervisor). El resto de las llamadas se expulsarían del núcleo hacia otras entidades que se ejecutarían en modo no privilegiado (modo usuario), y de esta manera el núcleo resultaría una base compacta, robusta y estable. Por eso se dice que Windows NT es un sistema operativo basado en micro-kernel.

    Por tanto en un primer acercamiento a la arquitectura distinguimos un núcleo que se ejecuta en modo privilegiado, y se denomina Executive, y unos módulos que se ejecutan en modo no privilegiado, llamados subsistemas protegidos.

    Los programas de usuario (también llamados programas de aplicación) interaccionan con cualquier sistema operativo (s.o. en adelante) a través de un juego de llamadas al sistema propio de dicho sistema. En el mundo Windows en general, las llamadas al sistema se denominan API (Application Programming Interfaces, interfaces para la programación de aplicaciones). En Windows NT y en Windows 95 se usa una versión del API llamada API Win32.

    Los subsistemas protegidos.

    Son una serie de procesos servidores que se ejecutan en modo no privilegiado, al igual que los procesos de usuario, pero que tienen algunas características propias que los hacen distintos.

    Se inician al arrancar el s.o. y existen dos tipos: integrales y de entorno.

    Un subsistema integral es aquel servidor que ejecuta una función crítica del s.o. (como por ejemplo el que gestiona la seguridad). Un subsistema de entorno da soporte a aplicaciones procedentes de s.o. distintos, adaptándolas para su ejecución bajo Windows NT. Existen tres de este tipo:

    • Win32, que es el principal, y proporciona la interfaz para aplicaciones específicamente construidas para Windows NT.
    • POSIX, que soporta aplicaciones UNIX.
    • OS/2, que da el entorno a aplicaciones procedentes del s.o. del mismo nombre.

    El subsistema Win32.

    Es el más importante, ya que atiende no sólo a las aplicaciones nativas de Windows NT, sino que para aquellos programas no Win32, reconoce su tipo y los lanza hacia el subsistema correspondiente. En el caso de que la aplicación sea MS-DOS o Windows de 16 bits (Windows 3.11 e inferiores), lo que hace es crear un nuevo subsistema protegido. Así, la aplicación DOS o Win16 se ejecutaría en el contexto de un proceso llamado VDM (Virtual DOS Machine, máquina virtual DOS), que no es más que un simulador de un ordenador funcionando bajo MS-DOS. Las llamadas al API Win16 serían correspondidas con las homónimas en API Win32. Microsoft llama a esto WOW (Windows On Win32). El subsistema soporta una buena parte del API Win32. Así, se encarga de todo lo relacionado con la interfaz gráfica con el usuario (GUI), controlando las entradas del usuario y salidas de la aplicación. Por ejemplo, un buen número de funciones de las bibliotecas USER32 y GDI32 son atendidas por Win32, ayudándose del Executive cuando es necesario. El

    funcionamiento como servidor de Win32 lo veremos un poco más adelante, en el apartado de llamadas a procedimientos locales.

    El subsistema POSIX.

    La norma POSIX (Portable Operating System Interface for UNIX) fue elaborada por IEEE para conseguir la portabilidad de las aplicaciones entre distintos entornos UNIX. La norma se ha implementado no sólo en muchas versiones de UNIX, sino también en otros s.o. como Windows NT, VMS, etc. Se trata de un conjunto de 23 normas, identificadas como IEEE 1003.0 a IEEE 1003.22, o también POSIX.0 a POSIX.22, de las cuales el subsistema POSIX soporta la POSIX.1, que define un conjunto de llamadas al sistema en lenguaje C. El subsistema sirve las llamadas interaccionando con el Executive. Se encarga también de definir aspectos específicos del s.o. UNIX, como pueden ser las relaciones jerárquicas entre procesos padres e hijos (las cuales no existen en el subsistema Win32, por ejemplo, y que por consiguiente no aparecen implementadas directamente en el Executive).

    El subsistema OS/2.

    Igual que el subsistema POSIX proporciona un entorno para aplicaciones UNIX, este subsistema da soporte a las aplicaciones del s.o. OS/2. Proporciona la interfaz gráfica y las llamadas al sistema; las llamadas son servidas con ayuda del Executive.

    El subsistema proceso de inicio.

    El proceso de inicio (Logon Process) recibe las peticiones de conexión por parte de los usuarios. En realidad son dos procesos, cada uno encargándose de un tipo distinto de conexión: el proceso de inicio local, que gestiona la conexión de usuarios locales directamente a una máquina Windows NT; y el proceso de inicio remoto, el cual gestiona la conexión de usuarios remotos a procesos servidores de NT.

    El subsistema de seguridad.

    Este subsistema interacciona con el proceso de inicio y el llamado monitor de referencias de seguridad (del que trataremos en el Executive), de esta forma se construye el modelo de seguridad en Windows NT. El subsistema de seguridad interacciona con el proceso de inicio, atendiendo las peticiones de acceso al sistema. Consta de dos subcomponentes: la autoridad de seguridad local y el administrador de cuentas.

    El primero es el corazón del subsistema de seguridad, en general gestiona la política de seguridad local, así, se encarga de generar los permisos de acceso, de comprobar que el usuario que solicita conexión tiene acceso al sistema, de verificar todos los accesos sobre los objetos (para lo cual se ayuda del monitor de referencias a seguridad) y de controlar la política de auditorías, llevando la cuenta de los mensajes de auditoría generados por el monitor de referencias.

    El administrador de cuentas mantiene una base de datos con las cuentas de todos los usuarios (login, claves, identificaciones, etc.). Proporciona los servicios de validación de usuarios requeridos por el subcomponente anterior.

    BOOTEO DEL EQUIPO

    Todos los archivos que definiremos a continuación deben estar en el directorio raíz de la partición del sistema y son para tecnología INTEL x86:

    • NTLDR (H,R,S)
    • BOOT.INI (R,S)
    • BOOTSECT.DOS (H,S)
    • NTDETECT.COM (H,R,S)
    • NTBOOTDD.SYS ( Solamente para los sistemas que butean de un SCSI, en donde el BIOS en el adaptador SCSI se encuentra deshabilitado ).

    Los archivos que definiremos a continuación son necesarios para tecnologías RISC:

    • OSLOADER.EXE
    • *.PAL
    • NTOSKRNL.EXE
    • Pasos para el buteo en tecnologías INTEL x86:
    1. El archivo NTLDR cambia el procesador del modo real al modo 32-bits de la memoria plana. NTLDR como es el caso con código de 32-bits, requiere de este modo de memoria antes de que pueda llevar a cabo las funciones.
    2. NTLDR arranca el sistema de Drivers Minifile apropiado. Los sistemas de dispositivos Minifile se construyen en NTLDR para encontrar y cargar Windows NT de diferentes formatos de sistemas de archivos ( FAT o NTFS ).
    3. NTLDR lee el archivo BOOT.INI y muestra la selección del sistema operativo.
    4. NTLDR carga el sistema operativo cargado por el usuario. Uno de los dos siguientes eventos puede ocurrir:

    – Si el Windows NT es seleccionado, NTLDR corre el NTDETECT.COM.

    – Para otro sistema operativo, NTLDR carga y ejecuta el BOOTSECT.DOS y le pasa el control. Entonces el otro sistema operativo butea.

    • Pasos para el buteo en tecnologías RISC:

    – Luego de la secuencia del prebuteo:

    1. OSLOADER.EXE carga el NTOSKRNL, HAL.DLL los archivos *.PAL y el sistema HIVE.
    2. OSLOADER.EX Escanea el sistema y carga los drivers de los dispositivos configurados para que arranque en el tiempo de buteo.

    OSLOADER.EXE pasa el control a NTOSKRNL.EXE en el punto que el proceso de buteo termina y comienza las fases de carga.

    ADMINISTRACION DEL SISTEMA, INTERPRETE DE COMANDOS Y PANEL DE CONTROL

    La mayoría de la información del sistema se encuentra en el panel de control. A este se puede acceder haciendo click en inicio, configuración y panel de control.

    Fecha y hora

    El cuadro de diálogo Fecha y hora permite modificar la fecha y hora del sistema, así como la zona horaria en la que se haya el sistema. En caso de ser necesario, una utilidad del kit de recursos permite modificar y crear nuevas zonas horarias que complementen a las suministradas con el sistema.

    Para cambiar la hora y/o la fecha y/o la zona horaria, simplemente cliquear en la barra deslizante y seleccionar la zona horaria deseada. Para cambiar la fecha u hora, posicionarse con el mouse en el lugar deseado, hacer un click y con el tecleado lo cambiamos.

    Configuración regional

    NT, al igual que Windows, está preparado para soportar diversos idiomas y trabajar en diferentes países, con diferentes esquemas de ordenación alfabética, moneda y formas de escribir la fecha, hora y signos de puntuación en números y monedas. Se puede modificar:

    Configuración regional: Permite seleccionar las características del idioma de cada región.

    Número. Selecciona el formato para números y el sistema de medida.

    Moneda. Selecciona la representación de cantidades monetarias.

    Hora: Selecciona el formato para representar las horas

    Fecha: Selecciona el formato para representar las fechas.

    Idioma. Permite seleccionar y añadir diferentes idiomas, con sus correspondientes configuraciones de teclado. También permite habilitar atajos del teclado que intercambian las configuraciones del teclado.

    También permite cambiar los seteos de inicio y apagado. Esto es en la parte de propiedades del sistema, hacemos un click donde dice startup/shoutdown.

    Impresoras

    Normalmente la mayoría de las aplicaciones informáticas necesitan una impresora predeterminada para funcionar.

    Para instalar una nueva impresora al sistema NT dispone de un sencillo asistente que nos guía en el proceso de instalación. Para acceder a este asistente se utiliza el icono Agregar impresora del Panel de controlImpresoras.

    En NT la impresora puede estar instalada en el propio equipo o ser una impresora de red. El caso más sencillo consiste en que la impresora esté conectada a un servidor NT, que la ha compartido. En este caso para conectarnos a la impresora basta seleccionar en el asistente la opción Servidor de impresora de red. Al seleccionar esta opción aparece un cuadro de diálogo con las impresoras compartidas por los equipos. Las impresoras compartidas por los NT aparecen aparte, como elementos separados del equipo que las comparte, haciendo más fácil su localización.

    La opción instalar la impresora en el propio equipo conduce a una serie de asistentes que nos permiten configurar y compartir la impresora.

    Panel de Control, Impresoras, Asistente

    El primer paso consiste en seleccionar el puerto al que está conectada la impresora. Puede ser:

    Un puerto paralelo LPT, normalmente el LPT1

    Un puerto serie (los trazadores gráficos antiguos los suelen usar)

    Un puerto de red (cuando hay conexiones a impresoras de red)

    Un archivo. En este archivo se almacenarán los comandos necesarios para imprimir el documento en la impresora. Se suele usar para generar archivos Postcript.

    Un puerto nuevo, que quizás usa un hardware o software especial. Un ejemplo de este tipo son los puertos Jetdirect de red usados por las impresoras HP.

    En este cuadro de diálogo se puede activar la cola de impresión de NT (normalmente esta opción no se activa por defecto, sino que se imprime directamente en el puerto)

    Luego hay que elegir el modelo de la Impresora. El cuadro de diálogo está organizado por Fabricantes y modelos, por lo que se encuentran rápidamente los modelos adecuados. También se puede añadir una impresora no disponible en NT con los controladores proporcionados por el fabricante.

    Tras elegir el modelo hay que ponerle un nombre en el siguiente cuadro de diálogo. Normalmente NT elige un nombre adecuado, que coincide con el modelo de la impresora.

    El siguiente cuadro de diálogo permite compartir la impresora. Si se comparte NT se debe elegir:

    Un nombre para la impresora, que también sugiere el asistente.

    Los controladores que se van a compartir. Se puede añadir el soporte para otras plataformas NT y Windows, aunque hará falta tener los discos correspondientes. Esto permite que los clientes se conecten a

    nuestra impresora sin necesidad de instalar ellos ningún controlador de impresora. Al conectarse a la impresora los controladores se transfieren al cliente de forma automática.

    El proceso de instalación finaliza con la impresión de una página de prueba opcional, que permite verificar la correcta instalación de la impresora.

    Agregar o quitar programas

    En este icono podemos acceder a un cuadro de diálogo que nos permite realizar varias labores:

    -Instalar nuevas aplicaciones. El botón instalar lanza un asistente que busca en las unidades de disco y de CD-ROM ficheros con nombre típico de programas de instalación , como pueden ser instalar.exe y setup.exe y si los encuentra nos permite ejecutarlos.

    -Eliminar los programas instalados. Muchos programas para Windows 95 y NT traen sus propios programas de desinstalación automática. Estos programas saben como registrarse en el registro de NT, de manera que pulsando el botón de agregar o quitar se reinstalan o desinstalan automáticamente.

    -Instalar o eliminar componentes adicionales de NT. Durante el proceso de instalación, al elegir una de las posibles instalaciones (típica, portátil, a medida…) se seleccionan los componentes que se han de instalar. Con este cuadro de diálogo podemos añadir o eliminar componentes adicionales desde el CD-ROM de instalación.

    Desinstalación manual de aplicaciones.

    Ocurre a veces que el programa de instalación de una aplicación no es capaz de desinstalarla. Esto puede ocurrir por un fallo del propio programa o porque otra aplicación la ha alterado. En este caso se debe proceder manualmente. Para ello:

    -.Se deben eliminar todos los ficheros de la aplicación. Normalmente hay que borrar el directorio de la aplicación y algunos directorios de datos.

    – Se deben borrar los accesos directos creados por la aplicación. Esto se puede hacer con el explorador de NT, en el escritorio y en el menú de inicio.

    – Se deben borrar las librerías de haya dejado la aplicación en el sistema. En NT y 95 al instalar una librería se incrementa la clave del registro:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSharedDlls

    correspondiente a la librería

    -.Se deben eliminar las claves del registro que ha añadido la aplicación, normalmente en:

    HKEY_LOCAL_MACHINESoftwareCompañíaAplicación y en otras partes del registro. La clave del registro:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall

    Indica el nombre del programa de desinstalación para la aplicación.

    Dispositivos

    Este cuadro de diálogo permite ver el estado de los dispositivos instalados en el sistema. NT por defecto instala gran cantidad de dispositivos aunque no los utilice. En particular, el programa de instalación de NT carga los controladores SCSI y algunos controladores de dispositivos de pantalla. Esto es necesario ya que durante el proceso de instalación le puede pedir a NT que busque estos dispositivos. Para ello NT carga cada controlador de dispositivos e intenta iniciarlo. Si el controlador de dispositivo arranca quiere decir que el dispositivo está funcionando correctamente.

    Cada dispositivo puede tener:

    • Un tipo de inicio.
    • Inicio. Se utiliza para controladores de dispositivos que se cargan en las primeras etapas de carga del sistema, como por ejemplo el controlador ATAPI y el DISK.
    • Sistema. Son los dispositivos que se cargan después de cargar el sistema. Por ejemplo el controlador del ratón y de la disquetera (floppy)
    • Automático. Estos dispositivos se cargan de la carga completa del sistema.
    • Manual. Estos dispositivos los carga el usuario u otros controladores de dispositivos. Por ejemplo el controlador de la tarjeta de red normalmente lo carga los servicios de red.
    • Deshabilitado. Son controladores de dispositivos que no se pueden cargar normalmente, como por ejemplo los controladores SCSI de adaptadores no instalados. Hay algunos dispositivos que aparecen como deshabilitados pero están iniciados. Estos dispositivos se cargan en la primera fase de arranque del sistema operativo. Por ejemplo los controladores de sistemas de ficheros FastFAT y NTFS son un ejemplo.
    • Un estado. El dispositivo puede estar iniciado o no iniciado.
    • Un perfil asociado. NT permite definir perfiles del sistema diferentes. Cada perfil tiene su propia configuración del sistema. Normalmente se usa para equipos portátiles con unidades de expansión de puertos (docking stations), que permiten añadir periféricos al portátil al insertar el portátil en la ranura de expansión.

    Dispositivos de cinta

    Este cuadro de diálogo permite agregar dispositivos de cinta. El funcionamiento es análogo al de Adaptadores SCSI, aunque se ha incluido un botón para detectar los dispositivos de cinta instalado.

    MEMORIA

    Windows NT y UNIX implementan un direccionamiento lineal de 32 bits y memoria virtual paginada bajo demanda. El VMM se encarga de todo lo relacionado con la política de gestión de la memoria.

    Determina los conjuntos de trabajo de cada proceso, mantiene un conjunto de páginas libres, elige páginas víctima, sube y baja páginas entre la memoria RAM y el archivo de intercambio en disco, etc.

    El cuadro de diálogo de Memoria virtual nos permite ajustar los archivos de paginación y de registro.

    Este cuadro de diálogo permite ver todos los ficheros de intercambio creados. Para cada unidad de disco se puede establecer un fichero de intercambio, que tendrá un tamaño mínimo y máximo. Este cuadro de diálogo nos indica el total de espacio de intercambio disponible para el sistema y las aplicaciones.

    También en este cuadro de diálogo se puede establecer el tamaño del registro máximo. Esto evita que el mal funcionamiento de una aplicación pueda desbordar el registro. Normalmente no hace falta modificar el tamaño sugerido por el sistema.

    El Windows NT utiliza un proceso llamado demanda de página para intercambiar datos entre la RAM y uno o más páginas memoria. Cuando el Windows NT es instalado crea una memoria virtual de estas páginas de memoria llamada PageFile.SYS.

    Para acceder a este ítem se cliquea dentro del panel de control propiedades del sistema y luego en la barra memoria virtual.

    Administrador de Procesos

    Se encarga (en colaboración con el administrador de objetos) de crear, destruir y gestionar los procesos y subprocesos. Una de sus funciones es la de repartir el tiempo de CPU entre los distintos subprocesos. Suministra sólo las relaciones más básicas entre procesos y subprocesos, dejando el resto de las interrelaciones entre ellos a cada subsistema protegido concreto. Por ejemplo, en el entorno POSIX existe una relación filial entre los procesos que no existe en Win32, de manera que se constituye una jerarquía de procesos. Como esto sólo es específico de ese subsistema, el administrador de objetos no se entromete en ese trabajo y lo deja en manos del subsistema.

    El administrador de entrada/salida (I/O Manager).

    Consta de varios subcomponentes: el administrador del sistema de ficheros, el servidor de red, el redirector de red, los drivers de dispositivo del sistema y el administrador de cachés.

    Buena parte de su trabajo es la gestión de la comunicación entre los distintos drivers de dispositivo, para lo cual implementa una interfaz bien definida que permite el tratamiento de todos los drivers de una manera homogénea, sin preocuparse del funcionamiento específico de cada uno. Trabaja en conjunción con otros componentes del Executive, sobre todo con el VMM. Le proporciona la E/S síncrona y asíncrona, la E/S a archivos asignados en memoria y las caches de los ficheros. El administrador de caches no se limita a gestionar unos cuantos buffers de tamaño fijo para cada fichero abierto, sino que es capaz de estudiar las estadísticas sobre la carga del sistema y variar dinámicamente esos tamaños de acuerdo con la carga. El VMM realiza algo parecido en su trabajo.

    Administración de discos

    Para llegar al administrador de discos, debemos cliquear en inicio, luego señalamos programas y luego el menú herramientas administrativas (común). Allí encontraremos el administrador de discos el cual nos permite administrar los recursos del disco, realizar cambios a mi disco duro, o para crear particiones en un disco duro adicional.

    Para la administración de usuarios también en las herramientas administrativas se encuentra un administrador de usuarios para dominio. Este nos permite establecer, eliminar o desactivar cuentas de usuarios del dominio. También puede establecer directivas de seguridad y agregar cuentas de usuarios a grupos.

    El Windows NT permite al administrador y el cliente manejar las aplicaciones bajo este sistema operativo.

    Command Prompt. Se encuentra en inicio y programas. Desde el Command Prompt un usuario puede hacer entre otras cosas:

    Ejecutar cualquier archivo batch, ya sea .Bat o Cmd

    Comenzar cualquier Windows NT (32-bit), Windows 3.x (16-bit), Ms-Dos, OS/2 1.x.

    Administrar o usar los recursos de la red.

    Copia y pegar información entre las aplicaciones, aun cuando las aplicaciones corran bajo distintos subsistemas.

    También nos permite configurar el Command Prompt, mediante las propiedades de la consola de la ventana.

    Windows NT prioriza las aplicaciones y distribuye el tiempo de proceso entre las mismas. La base de la prioridad puede ser ajustada para aumentar o disminuir la performance.

    Los niveles de las prioridades van desde 0 a 31.

    Prioridad

    0-15 aplicaciones dinámicas

    16-31 aplicaciones de tiempo real.

    Comenzar una aplicación con una prioridad específica:

    Para cambiar la base de la prioridad de una aplicación.

    Usar el comando Start y alguna de estas opciones.

    /realtime (establecer la base de la prioridad a 24)

    /high (establecer la base de la prioridad a 13)

    /normal (establecer la base de la prioridad a 7)

    /low (establecer la base de la prioridad a 4).

    Para dar un ejemplo. Si se quiere comenzar el Notepad con una prioridad alta, en el Command Prompt

    Star/High Notepad.

    MANEJO DE ARCHIVOS, DIRECTORIOS, ETC

    Para el manejo de directorios, archivos, creación, eliminación, etcétera existen varias formas:

    • Para crear una carpeta o directorio:

    a) Hacer doble click en mi PC y luego hacer doble click en la unidad o carpeta en la que se quiere colocar la nueva carpeta.

    b) En el menú archivo señalar nuevo y hacer click en carpeta.

    c) Escribir el nombre de la carpeta y presionar enter.

    • Para mover o copiar un archivo o carpetas:

    a) Hacer doble click en mi pc. Buscar el archivo o carpeta que se quiere mover o copiar y hacer click en el mismo.

    b) Hacer click en edición. Para mover el archivo, hacer click en cortar para hacer una copia del archivo, hacer click en copiar.

    c) Abrir la carpeta donde se quiere colocar el archivo, hacer click en edicion y luego hacer click en pegar.

    • Para eliminar un archivo una carpeta.

    a) Hacer doble click en Mi pc. Buscar la carpeta o el archivo que se quiera eliminar y cliquearlo.

    b) En el menú archivo hacer click en eliminar.

    • Para copiar un archivo a un disquete.

    a) Hacer doble click en Mi Pc. Buque el archivo o la carpeta la que se quiere copiar y hacer doble click en el.

    b) En el menú archivo, señalar a enviar y hacer click en la unidad en la que se desea el archivo o la carpeta.

    * Forma alternativa

    Otra forma de mover, copiar o eliminar la información deseada es arrastrarla de un lugar a otro usando el mouse.

    1. En el Explorador de Windows NT, abra la Carpeta que contiene el archivo o la Carpeta que se quiera mover o copiar.
    2. Presionar el botón del mouse y mantenerlo presionado mientras arrastramos el icono a la carpeta donde se quiere moverlo o copiarlo. Luego soltar el botón del mouse.
    3. Hacer click en mover aquí o copiar aquí.

    * Forma Alternativa II

    Otra de las formas es utilizando el explorador de Windows, que es idéntico al de Windows 95.

    Copias de Resguardo

    1. Hacer clic en el botón inicio, señalar a programas y luego a herramientas administrativas ( común )
    2. Hacer clic en copias de seguridad.

    Desde esa ventana se puede seleccionar los archivos de los que desea hacer copias de seguridad, comprobar el estado de la copia de seguridad y establecer diversas opciones.

    El Administrador de usuarios

    En NT hay dos tipos de usuarios, aquellos que pertenecen a una máquina que corre NT WK o Server y aquellos que pertenecen a un dominio NT. Para cada uno de estos tipos de usuarios existe una herramienta de administración: el administrador de usuarios incluido en NT Workstation y el administrador de usuarios para dominios incluido en NT Server. El funcionamiento de ambos es muy similar, pero el administrador de usuarios para dominios dispone de más opciones. Por ello, se describirá el administrador de usuarios para dominios.

    Las tareas que se pueden realizar con el administrador de usuarios:

    – Añadir, modificar y eliminar usuarios del dominio.

    – Añadir, modificar y eliminar grupos locales y globales del dominio.

    – Fijar el plan de cuentas y contraseñas en el dominio.

    – Fijar la política de derechos de usuario en el dominio.

    – Establecer el sistema de auditoria en el dominio.

    – Establecer relaciones de confianza entre dominios.

    Creación y modificación de usuarios en el dominio.

    Para crear un usuario se pulsa UsuariosNuevo y se completa el cuadro de diálogo.

    Usuario nuevo

    En este cuadro hay que rellenar una serie de campos:

    Nombre de usuario: Es el identificador que representa al usuario en el dominio. Debe ser una palabra completa, sin espacios en blanco ni caracteres especiales, de hasta14 caracteres [verificar]. este identificador debe ser único en el dominio. Se le suele conocer también como nombre de cuenta o login. Este identificador es el que se debe suministrar, junto con la contraseña, para iniciar sesión en un dominio NT.

    Nombre completo: Es el nombre completo del usuario. Si este usuario es una persona se suele escribir el nombre u apellidos.

    Descripción. Conviene añadir una descripción de la labor, grupo de personas o

    departamento al que pertenecen el usuario, sobre todo si la base de datos de usuarios en el dominio es grande. Contraseña. Aquí se debe escribir la contraseña para el usuario. Puede incluir espacios, mayúsculas y minúsculas, e incluso caracteres especiales. NT admite hasta 14 caracteres. Cuando se va escribiendo aparecen asteriscos, y una vez completada en el cuadro aparece una línea de asteriscos, siempre de la misma longitud.

    Repetir contraseña. Hay que introducir de nuevo la contraseña, para comprobar que se ha escrito correctamente.

    Tras estos campos aparecen una serie de botones activables:

    El usuario debe cambiar su contraseña. La primera vez que inicia sesión en NT se va a solicitar que introduzca una nueva contraseña. Habitualmente los administradores crean los usuarios nuevos con contraseñas del tipo "cámbiame", que obligan al nuevo usuario a cambiar su contraseña al iniciar sesión por primera vez.

    El usuario no puede cambiar su contraseña. Se utiliza en tareas administrativas especiales,

    y bloquea el cambio de contraseña por parte del usuario.

    La contraseña nunca caduca. Desactiva la caducidad de contraseñas para esta usuario. Se utiliza normalmente sólo para algunos usuarios que lo necesitan.

    Cuenta desactivada. Permite bloquear la cuenta fácilmente sin borrarla. Se suele utilizar cuando el usuario no va a iniciar sesión durante un periodo de tiempo o cuando se va a cambiar la configuración o entorno del usuario y se necesita que no pueda acceder temporalmente al sistema.

    Administrador de Usuarios, Usuario nuevo, Grupos

    Al final del cuadro de diálogo aparecen varios botones:

    Grupos. Permite establecer los grupos a los que pertenece un usuario. En NT hay dos tipos de grupos:

    • Grupos globales. Válidos para dominios en los que se confían. Aparecen marcados con el icono de grupo global.
    • Grupos locales. Son grupos locales al servidor o estación de trabajo.

    Además se puede asignar un grupo primario para el usuario [Este grupo es utilizado en entornos Macintosh]

    Administrador de Usuarios, Usuario nuevo, Perfiles

    Perfil. Permite controlar las características del entorno de un usuario.

    Se puede establecer:

    Perfil. Nombre del fichero que representa el perfil del usuario para NT. Hay que escribir un fichero en formato UNC (Univer name convention), es decir: /servidorrecursodirectoriofichero.bat.

    Archivo de inicio. Asigna un archivo que se ejecutará al iniciar la sesión de red en el dominio. El archivo debe residir en el servidor que valida el inicio de sesión. Este fichero se debe hallar en la carpeta NETLOGON del servidor que valida el inicio de sesión.

    Directorio de trabajo. Admite dos modalidades de uso.

    Ruta de acceso local. Utilizar una ruta local al ordenador en que se inicia la sesión.

    Conectar una letra de unidad a una unidad de red del tipo /servidorrecurso.

    A. El directorio de trabajo es el que aparece por defecto en los cuadros de diálogo de guardar un fichero en una aplicación Windows.

    Horas. En el botón Horas podemos acceder al cuadro de diálogo de Horas de inicio de sesión.

    Administrador de Usuarios, Usuario nuevo, Horas de inicio

    En este cuadro de diálogo se pueden fijar las horas de inicio de sesión en los servidores del dominio, en intervalos de 1 hora, para cada día de la semana. En principio una vez iniciada la sesión el usuario puede seguir trabajando en los servidores, aunque se puede modificar esto para que los servidores cierren la sesión del usuario al terminar las horas permitidas, mediante el cuadro de diálogo Plan de cuentas en el menú de Directivas del Administrador de Usuarios.

    Iniciar desde. Este cuadro de diálogo permite seleccionar los ordenadores desde los cuales un usuario puede iniciar sesión. Se pueden especificar hasta 8 ordenadores que ejecuten NT, o permitir el inicio en todos los ordenadores del dominio.

    Administrador de Usuarios, Usuario nuevo, Cuenta

    Cuenta. El cuadro de diálogo Información de cuenta permite especificar el tipo de cuenta y su duración. Se puede elegir que la cuenta caduque en una fecha determinada o que no tenga caducidad. También se puede especificar si es una cuenta global o local.

    Administrador de Usuarios, Usuario nuevo, Marcado

    Marcado. El cuadro de diálogo de Marcado permite especificar las propiedades de marcado para el usuario.

    Modificar un usuario.

    Utilizando el menú UsuarioPropiedades o haciendo doble clic sobre un usuario o grupo se puede modificar el mismo.

    Al modificar un usuario se acceden a los mismos cuadros de diálogo empleados al crearlo salvo que ahora aparece una casilla para cuentas bloqueadas. Si el bloqueo de cuentas está activado en el dominio y el usuario ha fallado el número de veces limitado para ese dominio, esta casilla aparece activada. Al desactivarla, la cuenta del usuario es desbloqueada.

    Nota importante: existe una ligera demora al cambiar las propiedades de un usuario o grupo del dominio, debido a que la base de datos de usuarios del dominio tarda unos minutos en actualizarse en los controladores secundarios. Se puede forzar la actualización inmediata mediante la sincronización manual de los servidores.

    Creación de Grupos

    Para un NT Workstation (o Server configurado como servidor) el administrador de usuarios permite crear grupos locales, que sólo tienen validez en el propio ordenador. El administrador de usuarios para dominios permite crear dos tipos de grupos: globales y locales.

    Los grupos locales pueden obtener permisos en los servidores del dominio propio. Pueden ser miembros de los grupos locales los miembros del dominio, los grupos globales del dominio y los grupos globales de otros dominios en los que se confía. Los grupos globales tienen como miembros a los usuarios del dominio y se pueden utilizar tanto en los servidores del dominio como en las estaciones de trabajo del dominio. También se pueden usar en otros dominios en los que se confía.

    Creación de un Grupo Global nuevo.

    Para añadir un grupo global nuevo se selecciona el menú UsuarioGrupo Global nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional. Podemos además añadir usuarios al grupo.

    Creación de un Grupo Local nuevo

    Para añadir un grupo local nuevo se selecciona el menú UsuarioGrupo Local nuevo y se proporcionan en el cuadro de diálogo el nombre del grupo y una descripción opcional. Podemos además añadir usuarios al grupo.

    Usos de grupos locales y globales.

    Cuando se crea un dominio el programa de instalación de NT crea una serie de grupos globales y locales del dominio. También se crea la cuenta del administrador del dominio, y se añade al grupo administradores del dominio.

    El grupo administradores que se ha creado permite administrar todos los servidores del dominio. NT añade al grupo local administradores el grupo administradores del dominio. De igual manera ocurre con el grupo de usuarios e invitados.

    Cuando una estación de trabajo es añadida al dominio, NT añade automáticamente los tres grupos globales del dominio (administradores, usuario e invitados del dominio) a los grupos locales correspondientes de la estación de trabajo.

    Los grupos locales se utilizan para asignar tareas especiales en las estaciones de trabajo o servidores del dominio. Por ejemplo se pueden crear los grupos especiales para trabajar con el recurso como una impresora láser en color, cuyo acceso queremos restringir. Uno lo podemos llamar "Administradores de láser color" y otro "Usuarios de láser color". Ahora basta dar permisos de impresión al grupo "Usuarios de láser color" y control total al grupo "Administradores de láser color".

    Para añadir usuarios a estos grupos bastaría añadir al grupo "Administradores de láser color" el grupo "Administradores del dominio" y al grupo "Usuarios de láser color" los miembros del dominio autorizados a imprimir en ella. Este último paso lo podemos hacer de un medio más eficiente si creamos un grupo global "Usuarios de impresora láser color" y añadimos este grupo al grupo local "Usuarios de láser color". Para dar permisos de impresión a los usuarios y grupos utilizaremos elAdministrador de Impresión de dicha impresora, accesible desde el menú de inicio ConfiguraciónImpresoras.

    Cada usuario en NT debe pertenecer a uno o varios grupos globales o locales, indistintamente. Los grupos locales se definen en cada estación de trabajo NT o en cada servidor. Para los servidores hay dos posibles configuraciones : si el servidor está configurado como controlador de dominio, primario o secundario, los grupos locales son los que se definen para todos los servidores controladores del dominio. Es decir, todos los controladores del dominio comparten la misma lista de grupos locales. Para los servidores configurados como servidor, los grupos locales se definen en el propio servidor, del mismo modo en que se hacen con las estaciones de trabajo.

    La siguiente tabla muestra los grupos de que se pueden crear en NT y los usuarios y grupos que les pueden añadir.

    Usuarios que se pueden crear en NT Work-

    Station y Server ( no controlador de dominio).

    Usuarios y grupos que se pueden añadir a los grupos.

    Grupos Locales

    • Usuarios Locales.
    • Usuarios del Dominio.
    • Grupos Globales del Dominio.
    • Grupos Globales y Usuarios Globales de otros dominios en los que se confia.

    Usuarios Locales.

     

    Usuarios que se pueden crear en NT Server controlador de dominio.

    Usuarios y grupos que se pueden añadir a los grupos.

    Grupos Locales

     

    • Usuarios Locales.
    • Usuarios del Dominio.
    • Grupos Globales del Dominio.
    • Grupos Globales y Usuarios Globales de otros dominios en los que se confia.

    Usuarios Locales.

     

    Grupos Globales.

    Usuarios del dominio.

    Usuarios del dominio.

     

    Administración del plan de seguridad.

    En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria, que permite activar los elementos del sistema de auditoria en el dominio.

    Administración del plan de cuentas.

    Desde el menú DirectivasCuentas podemos acceder al cuadro de diálogo "Plan de cuentas".

    En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de bloque de cuentas.

    Cuando se ha seleccionado caducidad para la contraseña de un usuario, la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir:

    • Duración máxima de la contraseña, en días.
    • Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseña
    • y vuelva a usar la contraseña antigua.
    • Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres son
    • difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerza bruta". Esto es útil en redes conectadas a Internet.
    • Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.
    • Bloqueo de Cuentas

    El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada. Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o manual, con intervención del administrador del dominio.

    También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán

    desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe iniciar sesión en una estación de trabajo para poder cambiar su contraseña.

    Administración del plan de derechos de usuarios.

    Los derechos de usuarios son una serie de permisos que no se aplican sobre un objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de usuarios a los que se necesite otorgar ese derecho.

    Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan de derechos de usuarios" accesible desde el menú DirectivasDerechos de usuarios.

    Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver algunos derechos de usuarios más específicos. Normalmente los derechos de usuario asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT. Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser:

    • Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuario en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También lo usa el servicio de duplicación de directorios.
    • Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios que atienden las peticiones de usuarios en forma de transacciones, como por ejemplo servidores POP3 y otros. Actualmente no está implementado en el sistema operativo, pero algunos servicios verifican que el usuario posea este derecho antes de atender su petición.

    Seguridad

    La seguridad en Windows NT es una combinación de técnicas que aseguran un nivel de protección consistente contra los accesos no deseados. Para implementar la seguridad, tendremos que proteger la red, el sistema operativo y los datos. Para eso, disponemos de la autentificación de acceso propia de Windows NT, seguridad a nivel de objeto y derechos de usuarios. Para sacar provecho de los más altos niveles de seguridad que permite Windows NT, el nivel de seguridad C2, necesitaremos tanto el hardware como el software adecuados. NT dispone de herramientas de auditoría que nos permitirán conocer nuestros niveles de seguridad, pero tendremos que tener muy presentes los temas relativos a la seguridad cuando entran en juego las comunicaciones sobre la Internet. Para estar seguro que estamos protegidos en todos los frentes, nos es necesario conocer determinadas técnicas.

    La seguridad

    La seguridad puede ser clasificada en tres diferentes áreas funcionales: seguridad a nivel de red, seguridad del sistema operativo y encriptación de datos.

    -La Seguridad de red ofrece autentificación (verificando que el servidor de datos y que el receptor de los mismos son correctos) y verificando la integridad de la información (de forma que los datos enviados y los recibidos sean los mismos). Conseguir este nivel de seguridad a nivel de red significa haber implementado un protocolo de red, como NetBEUI o TCP/IP, ajustado a las necesidades de la red.

    Esos protocolos ofrecen varios niveles de seguridad, rendimiento (conseguidos reduciendo al mínimo la carga derivada de la seguridad), flexibilidad, y disponibilidad sobre múltiples plataformas.

    Tras haber definido e instalado una determinada infraestructura de red, añadir y extender protocolos de seguridad es algo teóricamente muy simple. Todo lo que necesita es un llegar a un consenso entre los miembros de su equipo.

    -La seguridad a nivel de sistema operativo debe estar integrada con el mismo desde un buen principio. Si esas funciones básicas de seguridad no han sido implementadas al propio sistema operativo desde un principio, implementarlas con posterioridad será casi imposible. Por ejemplo, Microsoft no fue capaz de implementar una seguridad seria a sus versiones de 16 bits de Windows tras su fase de desarrollo. Fue necesario un nuevo sistema operativo de 32 bits, y un nuevo modelo de programación (la API Win32) para poder hacerlo. Windows NT dispone de unas robustas funciones de seguridad que controla el acceso de los usuarios a los objetos como archivos, directorios, registro de sistema e impresoras.

    También incluye un sistema de auditoría que permite a los administradores rastrear los accesos a los archivos u a otros objetos, reintentos de inicio de sesión, apagados y encendidos del sistema, etc… En cambio, Windows 95 dispone únicamente de un rudimentario sistema de seguridad en el inicio de sesión, y no dispone de seguridad a nivel de objetos.

    -Encriptación de datos. Puede operar de distintas formas. Muchas aplicaciones disponen de encriptación por sí mismas. Algunos protocolos, como SSMTP (Secure Simple Mail Transfer Protocol) soportan encriptación automática. La encriptación ofrecida por terceras compañías, como PGP (Pretty Good Privacy) también está disponible. Incluso Microsoft ha añadido un sistema de encriptación básico, CAPI (Cryptography API) a la API Win32.

    CAPI consiste en un juego de funciones que permiten a las aplicaciones y a los desarrolladores de sistemas de software acceder de forma independiente a los servicios de criptografía. NT dispone de un servicio básico de criptografía que nos permite codificar los datos facilitando así el almacenamiento seguro y una transmisión segura combinando claves públicas y privadas. El método de encriptación es similar al PGP.

    Aspectos de la seguridad NT

    NT ofrece seguridad en tres áreas fundamentales. Se trata de autentificación en el inicio de sesión, seguridad a nivel de objetos y derechos de los usuarios.

    La "Local Security Authority" efectúa validaciones interactivas y remotas (a través del RAS), inicios de sesión locales y globales (en dominios) verificándolo contra SAM (Security Account Manager), la base de datos donde se almacenan los nombres de los usuarios y sus contraseñas. La "Local Security Authority" también gestiona los mensajes de auditoría.

    El "Security Reference Monitor" verifica si un usuario tiene derecho a acceder a un objeto y ejecutar la acción solicitada. Además, es el responsable de los mensajes de auditoría. Con el diálogo permisos del Administrador de archivos (si se encuentra en NT 3.51) o el Explorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de la mayoría de los objetos. Por ejemplo, la activación y el acceso al objeto servidor del DCOM (en Windows NT 4.0) están completamente integrados con el modelo de seguridad de Windows NT.

    Aparte de la seguridad de los objetos, el NT permite controlar, y monitorizar funciones de sistema.

    Con el Administrador de usuarios podrá controlar qué cuenta de usuario o grupo puede, por ejemplo, añadir estaciones de trabajo a un dominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema, iniciar una sesión localmente, gestionar las registros de auditoría y seguridad y cerrar el sistema. La Local Security Authority mantiene la Planificación de cuentas de usuario.

    Administración de cuentas: Autentificación de inicio de sesión

    El NT gestiona tanto a usuarios como máquinas. De forma que deberá validar a los usuarios autorizados y proveerlos de lo necesario para acceder al sistema.

    A un nivel general, un dominio NT es una colección de máquinas, a las cuales el controlador de dominio administra como si se tratase de una única máquina, compartiendo una misma base de datos de seguridad. Dicha base de datos mantiene información de todos los usuarios y grupos de ese dominio. Una cuenta de dominio, llamado de otra forma cuenta global, tiene el formato dominiousuario. Si iniciamos una sesión en una máquina del dominio e intentamos conectarnos a una unidad de red, tendremos que introducir nuestros datos con ese formato.

    Además de las cuentas de usuarios, cada máquina puede disponer de una base de datos de seguridad local que contendrá la información de los usuarios y grupos de usuarios exclusivos de ese sistema. De hecho, las máquinas locales funcionan como dominios independientes. Las cuentas de usuarios o grupos en esas máquinas locales tiene el formato maquinausuario y serán exclusivas de esa máquina.

    La herramienta básica para administrar los usuarios y grupos de un dominio es el programa USRMGR.EXE, conocido por Administrador de Usuarios para dominios. Windows NT Workstation incluye una versión reducida de este programa y permite la gestión únicamente de esa máquina. En la figura 1 podemos ver la pantalla resultante de la ejecución de USRMGR.EXE, la cual puede visualizar información local y del dominio, dependiendo de si añadimos parámetros o no al ejecutar el programa. Ejecutar USRMGR sin parámetros, gestionará el dominio al cual es usuario esté conectado en ese momento. Si ejecutamos USRMGR nombre_dominio como parámetro, se gestionará ese dominio en concreto, y si se ejecuta USRMGR /nombre_máquina, se gestionarán los usuarios de esa máquina en concreto.

    Cargar los dominios puede ser cuestión de minutos si se trata de organizaciones con muchos dominios, por lo que se agradece a la larga la posibilidad de parametrizar y gestionar un dominio o máquina en concreto. El programa también permite a los administradores gestionar las relaciones de confianza de los dominios, de forma que el usuarios del dominio A puedan acceder a los recursos del dominio B como si fueran usuarios del segundo.

    Un valor único y permanente, el SID (Security Identifier) identifica usuarios individuales y grupos de usuarios. Después de que el sistema asigne un SID, no lo volverá a utilizar, por lo que si por lo que sea borramos un usuario o grupo y más tarde nos vemos en la necesidad de volverlo a crear, se le asignará un nuevo SID. Será necesario volver a reestablecer de nuevo los derechos de acceso sobre los objetos para ese nuevo SID.

    Acceso a través de APIs: Seguridad de objectos

    NT asegura la seguridad a nivel de objetos verificando todas las peticiones sobre los objetos a través de un mecanismo de seguridad integrado. Muchas de las funciones de la API Win32 disponen de parámetros de seguridad opcionales, y todos los programas que se ejecuten deben utilizar esas APIs para acceder a los objetos. Si pudiésemos ejecutar el interfaz de mandatos y desde allí copiar, renombrar o borrar archivos sin utilizar esas funciones, la seguridad en Windows NT quedaría más que en entredicho. De hecho, la capacidad de manipular el hardware directamente desde Windows 16 bits o desde el DOS era el escollo más importante para ofrecer un sistema de seguridad en esos entornos.

    Los parámetros de seguridad en las funciones de la API Win32 son opcionales, pero normalmente el NT echa mano de ellas cuando un programa accede a un recurso general de sistema, como por ejemplo, cambiar la hora del sistema. Algunas aplicaciones pueden implementar niveles de seguridad si trabajan con archivos de usuario o directorios (el impacto sobre el rendimiento es insignificante) pero muchas de las APIs no especifican información de seguridad.

    En cambio Windows 95 no tiene en cuenta temas relativos a la seguridad e ignora todos los parámetros de seguridad posibles existentes en la API Win32. Esta "ceguera" de Windows 95 frente a Windows NT puede comportar una sutil diferencia a la hora de programar para un sistema operativo u otro. Precisamente, es esta una de las razones por las cuales es conveniente verificar el adecuado funcionamiento de las aplicaciones en ambas plataformas.

    Pero implementar seguridad a nivel de APIs también comporta otra sutileza. En aplicaciones Cliente/Servidor, la aplicación servidor acostumbra a controlar el acceso a los objetos. Puesto que la aplicación cliente, normalmente, no gestiona la seguridad directamente, la aplicación servidor se ve a menudo obligado a trabajar como proxy de la parte cliente. También podría despersonalizar al cliente utilizando APIs del tipo Impersonate…() o iniciar una sesión como cliente (si la aplicación servidor conoce el nombre del usuario y su contraseña.

    Asegurar los objetos

    Además de archivos y directorios, Windows NT controla la seguridad de otros objetos. La API Win32 implementa cinco grupos de funciones que operan con cinco tipos de objetos distintos.

    1. Objetos de archivos y directorios: NT almacena la información relativa a la seguridad. Sólo está disponible en volúmenes formateados NTFS.

    2. Objetos de usuario (objetos de gestión de ventanas): Estos objetos incluyen los objetos del escritorio y las ventanas. Estos objetos de usuario residen siempre en memoria y nunca son salvados a disco (no son persistentes).

    3. Objetos del Kernel: El kernel del Windows utiliza estos objetos, entre los que se incluyen procesos, hebras, semáforos y "mutes". Al igual que los objetos de usuario, tampoco son persistentes.

    4. Objetos de servicio: Estos objetos, entre los que se incluyen todos los servicios que podamos encontrar en el icono Servicios del Panel de Control, se encuentran bajo el control del SMC (Service Control Manager) y tampoco son persistentes.

    5. Objetos privados: Los programas de las aplicaciones pueden implementar y deben mantener su propia seguridad, siendo los objetos privados los encargados de interactuar con el sistema de seguridad de la API Win32. Por ejemplo, un sistema de base de datos, como SQL Server, puede necesitar almacenar información de seguridad internamente y utilizar la validación de usuarios por dominios del NT. El Registro es una implementación Win32 de esos objetos privados. La información relativa a la seguridad está almacenada en el Registro del Sistema.

    Un SD (Security Descriptor) describe los atributos de seguridad de cada objeto susceptible de ser protegido. Estos atributos identifican el propietario del objeto y dos ACL (Access Control List), una para el acceso al objeto propiamente dicho y otro para las funciones de auditoría. La ACL para el acceso a los objetos se llama DACL

    (Discretionary Access Control List) e incluye varias entradas de control de acceso (ACE,

    Access-Control Entries). Cada ACE identifica un SID y si es accesible o no. La otra ACL es la SACL (System Access Control List) la cual controla la auditoría de eventos.

    Los derechos de los usuarios

    Además de los derechos de acceso, los cuales están asociados con los objetos, Windows NT implementa también privilegios. Para asignar derecho a objetos, utilizaremos el Administrador de archivos o el Explorador, dependiendo de la versión de Windows NT. Para asignar privilegios, utilizaremos el Administrador de Usuarios. Los privilegios forman parte del identificador que se asigna al usuario cuando inicia una sesión en el sistema. Es el Sistema Operativo quien determina los privilegios de los usuarios, y no las aplicaciones. En la Tabla 1 podemos ver los privilegios que son reconocidos por NT 4.0.

    Los privilegios son siempre fuente de frustración. ¿Se ha encontrado alguna vez que tras crear una cuenta de usuario, al intentar iniciar una sesión local con ese perfil, ha recibido el mensaje "las directivas locales de este sistema no le permiten iniciar una sesión interactiva"? Por defecto, NT asigna los nuevos usuarios al grupo de Usuarios, pero este grupo, también por defecto, no dispone de permisos para iniciar una sesión local.

    Con Microsoft Internet Information Server (IIS), nos podemos encontrar con un problema similar.

    La cuenta de usuario predefinida IUSR_maquina, es una cuenta local con unos pocos privilegios, de forma que no puede ser utilizada de inicio de sesión anónimo si se especifica autentificación básica HTTP.

    Si echa un vistazo con detenimiento a USRMGR.EXE, verá el grupo "Todos" bajo la opción "Acceder a este ordenador desde la red", aunque este grupo no aparezca después como tal. NT define un grupo de SID, como Todos o Interactivo para ayudar así al administrador de la red con los más frecuentes derechos de acceso.

    En general, los privilegios sobreescriben la seguridad individual de los objetos. Un ejemplo de esta sobreescritura se da cuando un administrador de copias de seguridad cambia el indicador (o "flag") a todos los archivos de un volumen. Sin los correspondientes privilegios, el administrador tendría que añadir otro ACE a cada archivo para que el programa de copias de seguridad pudiera modificar sus indicadores. Si añadimos un nuevo SID al grupo Todos, la seguridad del NT no tendrá que verificar si tiene derechos o no, por lo que determinadas operaciones se ejecutarán más rápido.

    Acceso a travez de RAS ( remote access sevice )

    El Windows NT RAS ( remote access service ) o servicio de acceso remoto implementa un número de medidas de seguridad para validar acceso remoto de un cliente a la red.

    En algunas ocasiones conectarse a la red a través de un RAS es más seguro que acceder a través de una colección local.

    El Windows NT Server provee para empresas un método de seguridad usando un dominio confiable. Este método elimina la necesidad de duplicar las cuentas de usuario trabajando en redes de múltiple server. El Single-Network modelo de logearse se extiende para usuarios de RAS.

    El servidor de usuarios RAS utiliza la misma base de datos para las cuentas de usuario que el Windows NT. Esto permite una administración más fácil, porque los clientes se pueden logear con la misma cuenta de usuario que usan en la oficina esta característica asegura que los clientes tengan los mismos privilegios y permisos que normalmente tienen en la oficina.

    Para conectarse a un servidor RAS, el cliente debe tener una cuenta de usuario válida, así como un permiso de discado RAS.

    Los clientes deben ser auténtificados por el RAS antes de que ellos intenten logearse al Windows NT.

    Encriptado automático y proceso de logeo.

    Todas las autentificaciones e información de logeo, son encriptadas cuando se transmiten a través del RAS. De todas formas como complemento, es posible configurar el discado de la red (Dial-up-Networking ) y el RAS, para que todos los datos que pasan entre un cliente y un servidor sean encriptados.

    Hosts de seguridad intermedia

    Es posible agregar otro nivel de seguridad a la configuración de un RAS mediante la conexión de una tercer pared intermediaria de seguridad de un Host, entre el cliente/s de un RAS y el RAS del servidor/es. Cuando un Host de intermediario de seguridad es usado, los clientes deben tipear una clave o un código para pasar el dispositivo de seguridad, antes de que una conexión se establezca con el servidor RAS.

    Seguridad C2

    De acuerdo con la TCSEC (Trusted Computer System Evaluation Criteria) publicado por la NCSC (National Computer Security Center), la seguridad C2 requiere una específica combinación y configuración de software y hardware. NT no es "per se" un sistema operativo que cumpla con el nivel C2 de seguridad, pero podemos hacer que lo sea. Microsoft diseñó esta posibilidad dentro del modelo de seguridad del NT desde los primeros momentos. El nivel C2 de seguridad requiere lo siguiente:

    • Cada recurso tiene un propietario que debe controlar el acceso al recurso.

    • Cada usuario debe iniciar la sesión con un identificador y contraseña exclusivos antes de poder acceder al sistema.

    • El sistema monitoriza toda actividad de los usuarios.

    • Los administradores de sistema deben auditar los eventos relativos a la seguridad del sistema, y el acceso a los datos de auditoría deben ser seguros.

    • El sistema debe poder protegerse a sí mismo de interferencias externas.

    El Resource Kit de Windows NT incluye el programa C2CONFIG.EXE (C2 Configuration Manager), que verifica que el sistema cumpla con los requisitos C2, de la forma en que podemos verlo en las figuras 2 y 3.

    Auditoría de eventos

    La auditoría nos puede descubrir intentos de acceso no autorizados. Tendría que buscar un equilibrio entre los costes y los beneficios derivados de la utilización de la auditoría. Los costes incluyen el impacto en el rendimiento del sistema y en el espacio del disco, además de los esfuerzos que significan escarbar entre grandes cantidades de transacciones, intentando encontrar información interesante.

    La herramienta básica de auditoría de Windows NT es el Visor de Eventos. Nos permite auditar accesos a objetos tanto fallidos como efectuados, además de los eventos relativos a los derechos de los usuarios. El diálogo Auditoría en el Explorador del NT, por ejemplo, permite controlar eventos de lectura, escritura, ejecución, borrado, cambio de permisos y adjudicación de propiedad del objeto y del directorio. En la figura 4 podemos ver la información que ofrece el registro de eventos.

    Con el programa USRMGR.EXE podemos activar o desactivar la auditoría sobre inicios y fin de sesión, acceso a objetos y archivos, uso de los permisos de los usuarios, gestión de usuarios y grupos, cambios en la directivas de seguridad, reinicialización y apagado del sistema y rastreo de los procesos del mismo. Obviamente, si no asigna a ningún usuario derechos para "Administrar los registros de auditoría y seguridad" (vea la tabla 1 para la lista de derechos), no podrá cambiar nada.

    Seguridad e Internet

    A diferencia del bien definido sistema de seguridad del NT, el modelo de seguridad de Microsoft respecto a Internet se encuentra sometido al continuo proceso de cambio al que a su vez se encuentra la misma Internet. El ISF (Internet Security Framework) es hoy por hoy más un compendio de protocolos que una definición de normas de seguridad.

    ISF ofrece diversos protocolos de red especializados sobre el estándar de criptografía CAPI de Microsoft y sobre lo que Microsoft denomina Authenticode, un sistema de verificación por firma de objetos instalables, que garantizan que estos módulos u objetos no han sido manipulados y que tienen un autor determinado que de alguna forma, responde de la actuación de dicho objeto software. Para más información acerca de Authenticode, vea http://www.microsoft.com/intdev/signcode.

    Los protocolos IFS incluyen:

    • PPTP (Point to Point Tunneling Protocol), el cual permite establecer redes seguras sobre segmentos de redes inseguras, creando líneas seguras virtuales.

    • SSL (Secure Sockets Layer) y su versión ampliada PTC (Private Communications Technology) que ofrecen autentificación de servidores, encriptación e integridad de datos.

    • SET (Secure Electronic Transaction) que permite autentificación y confidencialidad de tarjetas de crédito, vendedores y clientes. SET dispone de un amplio soporte por parte de la industria (Microsoft, IBM, Netscape, etc…) y las últimas especificaciones están disponibles en los sitios web de VISA (http://www.visa.com) y Mastercard (http://www.mastercard.com)

    • PFX (Personal Information Exchange) que transfiere información personal entre ordenadores y plataformas.

    ISF encripta todos los paquetes de la red. De todas maneras, las aplicaciones pueden disponer de funciones de encriptación adicionales. Por ejemplo, con el código que Microsoft ha licenciado de Nortel (antes Northern Telecomm) y de RSA, Microsoft Exchange puede proteger el correo electrónico con firma/encriptación. La versión estadounidense de MS Exchange también puede utilizar encriptaciones de 56 bits o hasta encriptaciones de 64 bits. Otras versiones, como la española, únicamente pueden utilizar encriptación de 40 bits.

    Accidentes

    NT emplea una variedad de tecnologías para mantener la seguridad. La naturaleza de las aplicaciones actuales, cada vez más distribuidas, además del crecimiento de las comunicaciones externas fuera de la empresa (el método más frecuente, la Internet), complican sobremanera determinar qué es seguro y qué no. Aunque cada situación en concreto dispone de el método más adecuado, es necesario conocer qué soluciones están disponibles en el mercado en cada momento, de forma que podamos proteger nuestro sistema antes de que nos pase.

    Microsoft Exchange

    La principal característica del cliente de Exchange es que combina una interfaz única de usuario para correo electrónico, compartición de información, acceso a Internet, proceso de textos, fax, etc.y éste es personalizable y extensible.

    Exchange define dos tipos de carpetas de información: Personal Folders y Public Folders.

    Los Personal Folders o carpetas personales se usan para almacenar mensajes y documentos que el usuario no desea compartir con los demás miembros de la organización. Las carpetas personales pueden residir tanto en el servidor de Exchange como en el disco duro local de la máquina del usuario o en cualquier otro servidor de ficheros de la red.

    Los Public Folders o carpetas públicas son almacenados en el servidor de Exchange y proporcionan la capacidad de que todos o determinados miembros de la organización puedan compartir todo tipo de información: mensajes, documentos o aplicaciones. Una carpeta pública es una aplicación del tipo de una BBS (Bulletin Board Service) a la cual varios usuarios pueden acceder e interactuar con la información.

    Este tipo de aplicaciones pueden ser diseñadas en Exchange sin necesidad de programar; los usuarios simplemente seleccionan opciones desde ventanas de diálogo que describirán el tipo de información y como ésta va a estar organizada.

    Además del sistema de organización por carpetas, el Cliente de Exchange proporciona nuevas características que facilitan tanto el acceso, como la visualización y organización de la información.

    Cuando instala Microsoft Exchange Server 5.0, el soporte de POP3 (Post Office Protocol 3) esta activado de forma predeterminada, permitiendo a los clientes POP3 recuperar su correo electrónico tan pronto como se configura el servidor.

    La administración del POP3 se encuentra completamente integrada con la del Exchange Server, proporcionando una única e intuitiva interfaz de administración centralizada. El servicio de Internet Mail puede servir de guía para los administradores principiantes para configurara el protocolo SMTP.

    Las actividades de monitoreo se realizaran integradas con los mensajes de Exchange, el Visor de Eventos y el Monitor de rendimiento que Windows NT Server 4.0 provee.

    La característica Key Manager Server de Exchange 4.0 ha permitido que los usuarios de una empresa puedan intercambiar mensajes firmados y encriptados para proteger su seguridad, confidencialidad y autenticidad.

    Sin embargo, la transferencia de correo electrónico a través de Internet ha resultado mucho menos segura, pero con Exchange Server 5.0, es posible intercambiar individualmente claves y certificados de seguridad, incluso entre empresas diferentes, lo que permite intercambiar mensajes firmados y encriptados en forma segura a través de Internet.

    Microsoft diseño Exchange Server 5.0 para la satisfacción de las necesidades de correo electrónico de los clientes internacionales al incluir los juegos de caracteres para los lenguajes:

    Swedish IA5

    Norwegian IA5

    Latin-1 (ISO ((%)-1)

    Japan-JIS (ISO -2022-JP) per RCF 1468

    Japan EUC

    Japan Shift-JIS

    Korean (RCF 1557)

    Chinese GB 2312 (RFC 1842)

    Taiwanese (BIG5) (RFC 1842)

    Exchange Server 5.0 amplia más estas opciones incluyendo mas de 30 juegos de caracteres configurados durante la instalación. Además los administradores podrán seleccionar una fuente de tamaño proporcional o fijo en cada uno de los mensajes entrantes.

    El soporte de RFC 1521 permite agregar a los mensajes una etiqueta de juego de caracteres y con RFC 1522 se puede especificar la información del encabezado, como por ejemplo las direcciones de correo electrónico y asuntos.

    FTP

    La mayoría de las veces cuando pensamos en Internet pensamos en el Word Wide Web, pero uno de los servicios más interesantes para una aplicación es el File Transfer. Por medio de este servicio podemos construir un sistema de actualización automática de nuestro software, recepción de pedidos de nuestros clientes o recogida de informes desde oficinas remotas. Las posibilidades son muchas y no es muy complicado.

    Servidores y Clientes FTP

    Como la mayoría de los protocolos de Internet el FTP requiere la existencia de un servidor que nos permita recoger (y en algunos casos enviar) ficheros desde un cliente. También, como la mayoría de protocolos de Internet, el servidor FTP sólo actúa bajo las peticiones del cliente y no es posible enviar un fichero si este no ha sido solicitado.

    Para nuestro sistema necesitaremos utilizar un servidor FTP. La mayoría de los servidores FTP públicos de Internet sólo permiten conexiones anónimas para extraer ficheros y no permiten recibirlos. Si queremos aprovechar todas las posibilidades deberemos hacernos con un servidor FTP.

    Windows NT trae dos servidores FTP, el incorporado dentro de sus servicios TCP/IP y el incluido con el servidor Microsoft Internet Information Server. Existe una buena colección de servidores FTP para Windows NT.

    En el mundo de los programas comerciales, shareware y freeware existen algunos servidores FTP para Windows 95 excelentes. Deberemos pensar en alguno de ellos si queremos utilizar Windows 95 como un servidor FTP más allá de unas pocas peticiones.

    Windows NT y Windows 95 disponen de un cliente FTP por medio de órdenes de comando. Este cliente es muy similar al que se dispone en la mayoría de los sistemas UNIX, pero bastante pobre para los usuarios acostumbrados a la interface gráfica, que preferirán hacer uso del Browser de WWW como cliente FTP. Otra posibilidad es utilizar algún programa FTP gráfico shareware y freeware como CuteFTP o WsFTP, programas muy difundidos entre los usuarios de Internet.

    Usuario y Password

    En FTP, a diferencia de otros protocolos, entre el servidor y el cliente se establece una sesión en la que se permite al cliente, dependiendo de su usuario y password, acceder a unos determinados ficheros y/o directorios, en sólo lectura o en escritura y lectura. No es posible realizar una sesión FTP sin una identificación de usuario. La mayoría de los servidores de Internet permiten el acceso de un usuario llamado anonymous cuya password es simplemente la dirección de correo del que se conecta (en la práctica puede ser cualquier cosa) que permite acceder a la parte pública del servidor.

    Deberemos tener clara una cierta política de usuarios si tenemos intención de recibir ficheros en un servidor FTP, pues no sería buena idea dar al usuario anonymous estos privilegios. Si sólo va a servir ficheros es posible utilizar únicamente este usuario genérico.

    La orden FTP

    Como hemos dicho, Windows 95 y Windows NT disponen de una orden FTP en modo comando que nos permite realizar todas las operaciones del cliente FTP. Para arrancarlo debemos abrir una ventana de Interfaz de Comando (DOS) y escribir simplemente FTP. Nos aparecerá una especie de símbolo del sistema con el texto ftp>. Una vez en este punto podemos escribir ordenes FTP.

    ftp> open ftp.server1.es

    Connected to ftp.server1.es.

    220 server1 Microsoft FTP Service

    User (ftp.server1.es:(none)): anonymous

    331 Anonymous access allowed, send identity (e-mail name) as password.

    Password:

    230-Windows NT FTP Service.

    230 Anonymous user logged in as anonymous.

    ftp> binary

    200 Type set to I.

    ftp> get parche.exe

    200 PORT command successful.

    150 Opening BINARY mode data connection for parche.exe(48790 bytes).

    226 Transfer complete.

    48790 bytes received in 1,43 seconds (34,12 Kbytes/sec)

    ftp> quit

    221 Bye.

    Se pueden observar algunas de las ordenes comprensibles por el cliente FTP para conectarse (OPEN), configurar (BINARY) o recibir los ficheros (GET). Es importante fijarse en la necesidad de configurar la trasferencia como binaria si vamos a trasmitir un fichero que no sea sólo texto.

    Desde un programa como FoxPro 2.x o Visual FoxPro podemos utilizar este sistema con un fichero en el que pasamos las operaciones que deseamos realizar y uno de los parámetros que este programa admite en Windows 95 y en Windows NT.

    RUN FTP -s:fichero.ftp >resultado.txt

    Aquí se puede ver un programa FoxPro que baja el fichero con el índice de la Knowledge Base de FoxPro del servidor FTP de Microsoft:

    *** Construir el fichero para ftp

    SET ALTERNATE TO indexkb.ftp

    SET ALTERNATE ON

    SET CONSOLE OFF

    ? "open ftp.microsoft.com"

    ? "anonymous"

    ? "usuario[arroba]servidor.es"

    ? "cd /developr/fox/kb"

    ? "get index.txt"

    ? "quit"

    SET CONSOLE ON

    SET ALTERNATE OFF

    SET ALTERNATE TO

    *** Llamar al comando ftp

    RUN ftp -s:indexkb.ftp >resultado.txt

    Al ejecutar este programa se muestra una ventana donde aparecen las distintas órdenes que hemos pasado. Desde luego no es un sistema muy elegante, pero funciona. Podríamos mejorarlo haciendo que la ventana de comandos no se visualizara, leyendo de un fichero el resultado de la orden, etc. De todas formas está es la forma más sencilla, y posiblemente más formativa, de utilizar el FTP.

    Cada cliente FTP permite incluir más o menos órdenes, pero las principales están en todos los programas. Para saber más sobre la orden FTP y sus posibilidades se puede consultar el comando por medio del parámetro /? o desde su prompt por medio de la orden HELP.

    Trabajo enviado por:

    Facundo Pellegrini

    fpellegrini[arroba]logitron.com.ar