You are on page 1of 80

Documento de Buenas Prcticas Medidas de Seguridad (LOPD)

El CDI de educacin a travs de la actividad buenas prcticas ha realizado en un centro educativo la implantacin de las medidas de seguridad que se contemplan en la LOPD. Siguiendo lo establecido en la orden de regulacin del CDI en la relacin de la actividad Buenas Prcticas. De la actuacin realizada en un centro piloto se han obtenido una serie de recomendaciones genricas de utilidad para todos los centros.

La implantacin ha sido realizada por la empresa N-TRNCE diseo y Publicidad

A continuacin se procede a detallar estas recomendaciones:

41

1.Tecnologa aplicable a las medidas de seguridad

La seguridad en los sistemas operativos Windows 2000 y Windows XP se gestiona de forma bsica desde las aplicaciones Directiva de seguridad local para un ordenador aislado y

Directiva de seguridad de dominio para un sistema de ordenadores integrados en un dominio.


Estas aplicaciones son la base de actuacin y facilitan y aseguran el establecimiento de medidas de seguridad en un ordenador o en un grupo de ordenadores.

En un entorno de red, la utilizacin del Directorio Activo de Microsoft Windows 2000 producir un mayor control de la seguridad de todos los ordenadores integrantes con un menor coste administrativo gracias a la utilizacin de Directiva de seguridad de dominio y ofrecer sistemas de seguridad no existentes en ordenadores aislados, por lo que resulta altamente recomendable su utilizacin cuando el sistema de informacin contenedor de los datos se encuentre distribuido en una serie de ordenadores tal y como sucede normalmente en la actualidad.

La norma divide las medidas de seguridad en tres tipos dependiendo de la informacin contenida, de tal forma que los ficheros que contengan esta informacin cumplan las medidas correspondientes al tipo de informacin que guardan, y estas medidas han de cumplirse tanto en lo que respecta al almacenamiento y explotacin de los ficheros en local, como en lo que respecta a su utilizacin en red. Asimismo la norma requiere que los ficheros temporales generados por la explotacin de un fichero con datos de carcter personal cumplan las mismas medidas que el fichero original.

42

Tecnologa aplicable a las medidas de nivel bsico

Mediante el SO Windows 2000 o Windows XP se puede utilizar la atribucin de derechos de acceso y utilizacin de privilegios otorgados a los principales, usuarios o aplicaciones, sobre objetos y recursos existentes en el sistema; bsicamente ficheros, impresoras y dispositivos. El sistema se seguridad esta centralizado mediante una serie de herramientas denominadas

Security Configuration Tool Set, se trata de una serie de gestores de plantillas y polticas que
nos permiten definir la Directiva de seguridad local (Local Security Policy).

Todos los ordenadores con el SO Windows 2000 o Windows XP, excepto los controladores de dominio de un Directorio Activo, (que comparten una directiva entre todos, denominada Directiva de seguridad de los controladores de dominio), poseen una Directiva de seguridad local que se aplica cada vez que un ordenador se inicia. Esta poltica local se crea en la instalacin y se modifica bien manualmente, bien mediante la utilizacin de plantillas de seguridad, bien mediante la aplicacin de Objetos de Polticas de Grupo (Group Policy Object) cuando el ordenador est integrado en un Directorio Activo. En este ltimo caso con una comprobacin cada cierto tiempo de la adecuacin de los valores locales con los establecidos por el objeto de la poltica de grupo.

En la siguiente figura (en adelante Fig.) podemos ver la poltica de seguridad local de Windows 2000 y de Windows XP.

43

El acceso a la Directiva de seguridad local se realiza desde el botn Inicio, Panel de Control, Herramientas administrativas en ambos productos tal y como puede ver en la siguiente Fig.

44

La inclusin de los clientes Microsoft Windows 2000 y Microsoft Windows XP en un Directorio Activo posibilita la centralizacin de estas caractersticas de seguridad, la simplificacin de la administracin y la autentificacin nica posibilitando las funcionalidades de single sign on, logrando as, una mejor gestin del control de acceso. El Directorio Activo ofrece caractersticas de seguridad mucho ms avanzadas no disponibles en mquinas aisladas como son la posibilidad de la utilizacin de tarjetas inteligentes para el inicio de sesin, el uso del protocolo Kerberos para la autentificacin en la red y la posibilidad de implementacin de sistemas de infraestructuras de clave pblica (Public Key Infrastructure, en adelante PKI) .

1.1.1

Ficheros temporales en Microsoft Windows 2000 y Microsoft Windows XP

Las aplicaciones Microsoft que generan ficheros temporales, bien con motivo de copia de respaldo o con motivo de ejecutarse en un entorno multiusuario, borran stos una vez finalizada su utilizacin.

En la siguiente Fig. podemos ver la generacin de ficheros temporales de copias de seguridad y entorno de red ante la apertura de un fichero Microsoft Office XP.

45

Una vez terminada la edicin, los archivos temporales desaparecen, quedando nicamente los archivos que hemos creado voluntariamente. (Vid Fig.)

Debido a las propias caractersticas del SO, los ficheros temporales se generan siempre con los permisos que heredan del objeto que los crea. Esto es, si el usuario que tiene permiso a un fichero es nico y abre el fichero, los ficheros temporales que se creen tendrn los mismos permisos que el fichero origen por lo que ningn otro usuario podr leerlos aun cuando se quedaran sin borrar debido a un error de la aplicacin o a un apagado accidental del SO.

No obstante el administrador o usuario debe realizar una limpieza de mantenimiento respecto de los ficheros temporales que accidentalmente puedan quedar en el sistema, lo que puede hacer con la utilidad Liberador de espacio en disco, la cual nos eliminar tanto estos archivos temporales como otros tipos de archivos que ya no se pretenden utilizar, tales como: Pginas de Cach y programas obtenidos de Internet o archivos en la Papelera de Reciclaje.

46

En la pantalla de opciones de la utilidad a la cual podemos invocar desde el comando Accesorios del men Inicio (Vid Fig.)

Windows 2000 y superior utilizan parte del disco como extensin de la memoria fsica (memoria virtual) y almacena datos de la memoria voltil en disco mientras no son requeridos para liberar memoria y realizar otros procesos de clculo. Para asegurarnos que este fichero no contenga ningn tipo de datos podemos forzar al sistema para que lo borre cada vez que se apague, de tal forma que ningn dato de la memoria se almacenar en disco una vez apagado el sistema. Para lograr esto se deber utilizar la opcin Borrar el archivo de pginas de la memoria virtual

al apagar el sistema, de la directiva local o de dominio. (Vid Fig.)

47

En un entorno multiusuario (a travs de servicios de terminal), se encuentra definido por defecto que se eliminen los archivos temporales generados por las aplicaciones. No obstante, existe la posibilidad de deshabilitar esta opcin, hecho que no aconsejamos ya que pudieran no eliminarse archivos temporales que contuvieran datos de carcter personal.

Conocimiento de los procedimientos

El responsable del fichero adoptar las medidas necesarias para que el personal conozca
las normas de seguridad que afecten al desarrollo de sus funciones as como las consecuencias en que pudiera incurrir en caso de incumplimiento (Art. 9.2 del RMS).

Se puede introducir en el SO Windows 2000 o Windows XP un aviso legal que se presente cada vez que el usuario accede al sistema de forma interactiva y que asegure que el usuario validado conoce las normas de seguridad al remitirles a ellas.

48

Para introducir esto en la Directiva de seguridad local o Directiva de seguridad de dominio, en la carpeta Opciones de Seguridad haremos doble clic sobre la opcin Texto de mensaje para los usuarios que intentan conectarse introduciendo el mensaje apropiado (Vid Fig.).

(Opcin Texto del mensaje para los usuarios que intentan conectarse)

Cada vez que un usuario intente iniciar una sesin interactiva en el sistema, este mensaje le aparecer de forma previa, Lo que nos asegura el conocimiento y aceptacin de las polticas de acceso establecidas por el responsable de seguridad (Vid Fig.).

49

Registro de incidencias (Auditora)

El procedimiento de notificacin y gestin de incidencias contendr necesariamente un


registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificacin, a quin se le comunica y los efectos que se hubieran derivado de la misma (Art. 10 del RMS).

El sistema de registro de acciones Windows 2000 y Windows XP es muy potente y permite la obtencin de un registro detallado de acciones realizadas en el sistema configurables por el administrador que, junto con el servicio de alertas, puede ser utilizado para la creacin del sistema de registro y notificacin sealado por la norma.

Windows 2000 y Windows XP poseen varias categoras de auditora referidas a eventos de seguridad, para disear una estrategia de auditora, debemos definir cmo auditar los eventos referidos a: Eventos de inicio de sesin interactivo. Eventos de inicio de sesin en el dominio. Gestin de cuentas. 50

Acceso a objetos. Acceso al Directorio Activo si existe. Utilizacin de privilegios. Seguimiento de procesos. Eventos de sistema. Cambios de poltica de seguridad.

Al no indicarse en el RMS, para este nivel de seguridad bsico, qu eventos concretos son necesarios para cumplir con la norma, daremos ahora una visin global para posteriormente especificar los posibles eventos para poder realizar una definicin estratgica aplicada a cada caso concreto.

La configuracin de la captura de eventos y registro a travs de la poltica local se realiza a travs de la carpeta Directiva de auditora, contenida en la carpeta Directivas locales (Vid Fig.)

51

Podemos auditar cualquiera de las nueve categoras contempladas en la Fig. anterior tanto en su vertiente de xito como de fallo en su realizacin, aunque evidentemente lo que deseemos capturar depender del rol que el sistema tiene dentro de la red y de las necesidades de cumplimiento de la norma.

Vamos a detallar a continuacin las posibilidades de auditora que nos ofrecen cada una de estas categoras.

(i) .

Eventos de Inicio de sesin Cada vez que un usuario inicia o termina una sesin en un sistema, ya sea de forma interactiva o en un sistema remoto con una cuenta local, se genera un evento en el registro de seguridad del ordenador donde se ha producido el inicio de sesin. Igualmente se registran los inicios de sesin de mquina cuando la conexin se realiza desde un ordenador Microsoft Windows NT o superior.

Este registro permitir saber quin y cundo intenta iniciar una sesin interactiva, si lo logra o no y los intentos de acceso realizados desde un ordenador predeterminado de la red. Igualmente los accesos va Terminal Service.

Cada evento tiene asociado un ID que seala una accin nica, en esta categora los eventos destacables son los sealados en la siguiente tabla:

ID 528 529

Descripcin Inicio de sesin en un ordenador Intento de inicio de sesin con cuenta o contrasea 52

errnea 530 531 532 533 534 535 536 537 538 539 540 682 683 Intento de inicio vlido fuera de las horas permitidas Intento de inicio utilizando una cuenta deshabilitada Intento de inicio utilizando una cuenta caducada Intento de inicio en un ordenador donde no est permitido Intento de inicio no permitido a la cuenta Contrasea caducada El Servicio Net Logon no est activo Inicio fall por otras causas La cuenta cerr sesin La cuenta se bloque Inicio de sesin de red Reconexin a Terminal Service Desconexin a Terminal Service

A continuacin detallaremos los principales eventos que permitirn diagnosticar los siguientes sucesos Fallos locales de inicio de sesin. Cualquiera de los eventos 529 a 534 y el 537 pueden indicar ataques que deben ser investigados si se producen repetidamente y segn las circunstancias. Mal uso de la cuenta. Los eventos 530 a 533 pueden indicar un mal uso de la cuenta o que la restriccin aplicada debe ser modificada. Bloqueo de cuenta. El evento 539 indica que una cuenta ha sido bloqueada por superar el nmero de intentos de inicio de sesin, lo que puede suponer un ataque de diccionario. Ataques a los servicios de terminal. El evento 683 indica cundo un usuario desconecta la sesin en un Terminal Service sin cerrarla y el 682 cundo se reconecta a esa sesin. 53

(ii) .

Eventos de Inicio de sesin en el dominio Cuando un usuario inicia una sesin en el dominio se registra un evento en el Controlador de dominio donde se le han verificado los credenciales. Esto nos sealar cundo un usuario intenta iniciar una sesin que le permita la utilizacin de los recursos del dominio.

Una herramienta para esta consolidacin y una monitorizacin activa es Microsoft

Operations Manager 2000 (ver en www.microsoft.com/mom.)

Los Eventos de esta categora son:

ID 672 673 674 675 676 677 678 680 681 682 683

Descripcin Un ticket de Servicio de Autentificacin (AS) ha sido exitosamente emitido y validado Un ticket de acceso a servicio (TGS) ha sido emitido Un principal renov su ticket AS TGS Fallo de pre-autentificacin Fallo en la peticin de ticket Un TGS no fue emitido Una cuenta fue satisfactoriamente mapeada a una cuenta de dominio Inicio de sesin vlido y paquete de autentificacin utilizado Un inicio de sesin de una cuenta de dominio fue intentada Un usuario reconect una sesin de Terminal Service desconectada Un usuario desconect una sesin de Terminal Service sin cerrar la sesin

54

Estos eventos nos permitirn diagnosticar: Fallos de inicio de sesin en el dominio. Los eventos 675 y 677, que habr que investigar si son repetidos. Problemas de sincronizacin de tiempo. Si aparece repetidamente un evento 675 puede producirse un error en el servicio de tiempo, el cual es necesario para el sistema Kerberos. Ataques de Servicios de Terminal (Vid caso anterior).

(iii) .

Gestin de cuentas La auditora de la gestin de cuentas es utilizada para determinar cundo los usuarios o grupos son creados, modificados o borrados y quin realiza esa tarea, lo que puede resultar til para la confeccin y mantenimiento de los listados exigidos por el RMS.

Los eventos de esta categora son los siguientes:

ID 624 625 626 627 628 629 630 631 632 633

Descripcin Una cuenta de usuario ha sido creada Una cuenta de usuario ha cambiado de tipo Una cuenta de usuario ha sido habilitada Se intent un cambio de contrasea Se estableci una contrasea de usuario Se deshabilit una cuenta Se borr una cuenta Se cre un grupo global Se aadi un miembro a un grupo global Se quit un miembro a un grupo global 55

634 635 636 637 638 639 641 642 643 644

Se borr un grupo global Se deshabilit un grupo local creado Se aadi un miembro a un grupo local Se borr un miembro de un grupo local Se borr un grupo local Se modific un grupo local Se modific un grupo global Se modific una cuenta Se modific una poltica de dominio Se bloque una cuenta

Estos eventos nos permitirn diagnosticar: Creaciones de cuentas Cambios de contrasea Cambios de estado de una cuenta Modificaciones de los grupos de seguridad Bloqueos de cuenta

(iv) .

Acceso a objetos La auditora de acceso a objetos se utiliza para saber quin, cundo y cmo ha accedido a un objeto o recurso del sistema y puede realizarse siempre que el objeto tenga habilitada la Lista de Control de Accesos de Sistema (en adelante SACL)

La SACL es una lista que contiene el mismo objeto donde se registra:

El principal que va a ser auditado El tipo especfico de acceso que va a ser auditado 56

Si lo que vamos a auditar, dado el principal y el tipo, es la generacin de un evento de error o de fallo

Previamente a que los eventos aparezcan en el visor de sucesos de seguridad resulta necesario habilitar esta auditora mediante la definicin de la caracterstica Auditar el acceso a objetos (Vid Fig.).

Realizado lo anterior, debemos acudir al objeto y sealar la auditora que queremos establecer sobre cada objeto. En la siguiente observar un ejemplo de configuracin de la SACL. 57 Fig. podemos

Establecer una buena estrategia de auditora de este tipo de eventos es vital debido a la importancia que puede tener sobre el rendimiento del servidor y en la carga administrativa. No obstante lo anterior, en un sistema basado en Directorio Activo podemos minimizar esta carga administrativa mediante el empleo de polticas de grupo.

Los eventos relacionados con esta categora son los siguientes.

ID 560 562 563 564 565

Descripcin Se permiti el acceso a un objeto Se cerr el acceso a un objeto Se realiz un intento de borrado Un objeto fue borrado Se permiti un tipo de acceso a un objeto

58

(v) .

Acceso al servicio de Directorio Los objetos del Directorio Activo tambin tienen una SACL asociada que puede ser configurada para auditar. La configuracin de la SACL de los objetos del Directorio Activo se realiza con la herramienta de consola ADSIEDIT incluida en las herramientas de soporte existentes en el CD de instalacin, a travs del dilogo Advanced Security Settings que podemos observar en las prximas Figs.

59

La auditora del Directorio Activo es compleja debido a la gran cantidad de eventos que pueden generarse, la mayora de los cuales sern poco importantes. Auditaremos eventos que producen un fallo de acceso lo que ayuda a identificar intentos de acceso no autorizado. Estos eventos se muestran con el ID 565 en el visor de sucesos de seguridad y slo mirando los detalles podemos determinar a qu objeto corresponden.

(vi) .

Utilizacin de privilegios Cada usuario que se encuentre trabajando en un sistema de informacin tendr una serie de privilegios (los veremos posteriormente), que pueden ir desde el tipo de sesin que pueden realizar hasta las posibilidades de realizar tareas administrativas (p.ej. la realizacin de una copia de respaldo).

En la siguiente Fig. podemos observar, en la consola local de seguridad, los privilegios asociados a los distintos usuarios y grupos de un controlador de dominio por defecto. 60

Este tipo de auditora monitoriza la utilizacin de estos privilegios, lo que en algn caso ser un requerimiento de la norma para niveles de proteccin superiores.

A continuacin se muestran los eventos que genera este tipo de auditora

ID 576 577 578

Descripcin El privilegio especificado se agreg a un token de un usuario(Este evento se genera cuando un usuario con determinado privilegio inicia sesin) Un usuario intent realizar una operacin de privilegio Un privilegio fue utilizado sobre un objeto

Estos eventos nos permitirn diagnosticar: Un intento de elevacin de privilegio. Cuando un usuario produce eventos 577 y 578 sobre el privilegio SeTcbPrivilege puede indicarnos un intento de elevacin de privilegios (el ataque conocido como

61

GetAdmin produce este tipo de eventos). El nico usuario que debera


utilizar este privilegio debera ser la cuenta de Sistema y las cuentas de aquellos servicios a los que se ha asignado el privilegio Act as part

of the operating system.


Un intento de cambio de hora del sistema. Eventos 577 y 578 sobre el privilegio SeSystemtimePrivilege indica el intento de un cambio de hora en el sistema, lo que podra servir para enmascarar una accin no autorizada. Apagado del sistema. Eventos 577 y 578 con el privilegio

SeRemoteShutdownPrivilege indican el usuario que ha intentado


apagar el sistema de forma remota. Si el intento de apagado es local slo se generar un evento 577 sobre el privilegio

SeShutdownPrivilege.
Carga y descarga de controladores de dispositivo. Los eventos 577 y 578 con el privilegio SeLoadDriverPrivilege pueden indicar un intento de cargar un virus troyano en el sistema Gestin de eventos y de registros de seguridad. Los eventos 577 y 578 con el privilegio SeSecurityPrivilege indican la modificacin de estos registros, lo que puede suponer un intento de borrar pruebas de un acceso no autorizado. Toma de la propiedad de un objeto. Un evento 577 578 con el privilegio SeTakeOwnershipPrivilege indica el intento de un usuario por obtener el derecho de saltarse la seguridad de acceso a un objeto mediante la adquisicin de su propiedad. Veremos esta accin

62

posteriormente en los prrafos dedicados al control de acceso a los ficheros.

(vii) .

Seguimiento de procesos El seguimiento de procesos se utiliza sobretodo por los desarrolladores para comprobar cmo se generan y finalizan los procesos que una aplicacin realiza. Su activacin no resulta recomendable por el alto nmero de eventos que plantea si no es para el propsito antes sealado. Los eventos que genera son los siguientes.

ID 592 593 594 595

Descripcin Un nuevo proceso se ha creado Un proceso ha finalizado Un handle a un objeto fue duplicado Un acceso indirecto a un objeto fue obtenido

(viii) .

Eventos del sistema Los eventos de sistema se generan cuando un usuario o proceso altera aspectos del entorno del ordenador.

La descripcin de los eventos es la siguiente:

ID 512 513 514

Descripcin El sistema se inici El sistema se apag Un paquete de autentificacin fue cargado por la LSA. 63

515 516 517 518

Un proceso de confianza fue registrado por la LSA. No existen recursos para almacenar ms registros de auditoria de seguridad El registro de seguridad fue limpiado Un paquete de notificacin fue cargado por la SAM

Especial importancia en este tipo de eventos 516 y el 517 para medidas de proteccin ms altas.

(ix) .

Cambios en la poltica de seguridad Es necesario establecer la auditora del intento de realizar modificaciones en la poltica para cumplir los requisitos de la norma de comunicacin de incidencias.

Los eventos que genera esta categora se detallen a continuacin:

ID 608 609 610 611 612 768

Descripcin Se asign un derecho a un usuario Se quit un derecho a un usuario Se estableci una relacin de confianza con otro dominio Se elimin una relacin de confianza con otro dominio Se modific la poltica de auditora Se produjo una colisin de espacio de nombres entre dos bosques

Los eventos ms importantes a destacar en este aspecto son los numerados como 608 609 y su importancia reside en el privilegio otorgado o eliminado.

64

(x) .

Proteccin de los registros La proteccin de registros se realiza mediante el establecimiento de una poltica de operaciones de auditora que defina quin tiene acceso a los archivos de registro y a sus parmetros de mantenimiento, qu tamao alcanzarn los archivos de registro, el tiempo que se mantendrn, las acciones a tomar cuando un archivo se llene. El Visor de Sucesos permite gestionar las propiedades de cada tipo de eventos (Vid Fig.).

65

En sistemas integrados en un Directorio Activo podremos gestionar toda esta configuracin en la poltica de grupo abriendo la carpeta Registro de Sucesos y seleccionando la subcarpeta Configuracin para Registro de Sucesos, donde por defecto podremos sealar tanto los tamaos mximos que ocuparn en el disco los distintos registros de sucesos, la restriccin de acceso a determinadas cuentas, el tiempo y el mtodo de retencin de los registros e incluso obligar a parar la mquina ante cualquier incidencia en el registro de seguridad.

(xi) .

Auditora en Microsoft SQL Server 2000 Las entidades que trabajen con SQL Server 2000 debern elegir, configurar e implementar alguna o todas estas herramientas en funcin de sus necesidades concretas en relacin con las labores auditoras que deban realizar (o deban ser realizadas por terceros).

Para cumplir esta funcin podramos utilizar el servicio SQL profiler.

(xii) .

Auditora en Microsoft Exchange Server 2000 En el registro de sucesos de Microsoft Windows 2000 se informa de los buzones a los que obtiene acceso cualquier persona que no sea el propietario principal del mismo. Siempre que sea posible, debe asegurarse de que se le notifica siempre que se active un descriptor de seguridad de un buzn. Si mantiene tambin una lista de los usuarios que pueden tener acceso a cada buzn, podr contrastar en la lista cualquier cambio efectuado. Como mnimo, debe recopilar informacin del registro de sucesos que pueda consultar en caso de que surja un problema de seguridad. 66

Por motivos de seguridad uno de los grupos crticos que debe supervisar es el de servidores de dominio de Exchange. Cualquier cuenta de usuario o de equipo que pertenezca a la cuenta de servidores de dominio de Exchange tiene pleno control de la organizacin de Exchange, por lo que es de extrema importancia controlar la pertenencia a este grupo. Tambin debe comprobar el bloqueo de la pertenencia al grupo de administradores integrados de los equipos con Exchange Server. Para realizar este control se utilizarn las directivas de grupo.

Sera recomendable auditar los cambios de configuracin aplicados a Exchange, mediante la comprobacin sistemtica del registro de sucesos (o cualquier otro sistema de supervisin que haya elegido), as se podr ver si se han realizado cambios no autorizados.

Autenticacin

El responsable del fichero se encargar de que exista una relacin actualizada de usuarios que tengan acceso autorizado al sistema de informacin y de establecer procedimientos de identificacin y autenticacin para dicho acceso. (Art. 11.1 del RMS)
Windows 2000 y Windows XP ofrecen un sistema de relacin de usuarios con acceso al sistema y diversos procedimientos de autentificacin tanto mediante acceso interactivo como mediante acceso desde la red. Todo proceso se realiza en el entorno de una cuenta sin que 67

existan procesos annimos. Se pueden ver los procesos y la cuenta en cuyo contexto se estn realizando los procesos (Vid Fig.).

El sistema de identidad para un entorno de red se basa en el Directorio Activo de Windows 2000, y para un sistema local en el archivo local de cuentas (Security Account Manager, en adelante SAM). Aunque podemos mantener un entorno de red sin utilizar el Directorio Activo, esto podra complicar la administracin, perdiendo as algunas de las caractersticas de seguridad y operaciones que ste nos ofrece.

La gestin de usuarios en ambos casos es muy similar, aunque las posibilidades de atributos que identifiquen al usuario son absolutamente flexibles en al mbito del Directorio Activo mientras que son limitadas en la SAM local.

Esta limitacin de la SAM local no impide la identificacin del usuario de forma unvoca. La SAM local, como el Directorio Activo, identificaa de forma nica al usuario mediante un identificador de seguridad (Security Identifiers, en adelante SID). Este SID lleva asociados unos

68

atributos que el Administrador de cuentas puede utilizar para identificar inequvocamente al usuario que pertenece la cuenta. Estos atributos para la SAM local son:

Nombre de la cuenta, que ser la palabra que identificar al usuario en el sistema. Nombre completo, en el que el Administrador de cuentas puede poner el nombre completo del usuario al que se le ofrece la cuenta.

Descripcin, un campo de texto en que el Administrador de cuentas puede sealar cualquier otra informacin que considere necesaria para la identificacin correcta del usuario.

Contrasea, palabra clave slo conocida por el usuario que junto con el nombre de la cuenta le da acceso al sistema y le autentifica.

En el Directorio Activo estos atributos pueden ser configurados para cumplir cualquier tipo de necesidad de identificacin mediante la extensin del esquema. A diferencia de la SAM, podemos establecer un control de acceso a estos atributos, p.ej. para que slo determinados usuarios puedan ver uno determinado de una cuenta.

Los siguientes atributos son los que, por defecto, contiene el Directorio Activo visibles en la ventana de propiedades:

Nombre Segundo nombre Apellidos Nombre completo Descripcin Oficina

Cdigo Postal Pas Telfono privado Buscapersonas Telfono mvil Fax 69

Nmero de telfono Direccin de correo electrnico Pgina web Direccin completa Apartado de correos Ciudad Provincia

Telfono IP Notas Cargo Departamento Compaa Responsable Subordinados

Respecto al procedimiento de autentificacin Windows 2000 y Windows XP, ste siempre es realizado a nivel local por el componente de autoridad de la seguridad local (Local Security

Authority, en adelante LSA) el cual recoger los credenciales introducidos y comprobar su


veracidad contra una base de datos de autentificacin, la SAM local, o el Directorio Activo, a travs de un componente de autentificacin (Authentication Package).

Si queremos exigir que siempre se produzca la autentificacin en el dominio, deberemos establecerlo en la Directiva de seguridad mediante la habilitacin de esta opcin (Vid Fig.).

70

Cuando el proceso de autentificacin se realiza contra un recurso de la red, se utiliza el componente Security Support Provider (en adelante SSP) que facilitar paquetes de autentificacin a las aplicaciones de red que pueden interactuar con la LSA para autentificarse. Los paquetes que por defecto proporcionan Windows 2000 Windows XP son Kerberos, NTLM y SSL. Mediante estos paquetes, la aplicacin pasa a la mquina de forma segura los credenciales necesarios para autentificarse, la cual utilizar estos credenciales para remitirlos a la LSA que finalizar la autentificacin apoyndose en los paquetes de autentificacin Kerberos y MSV1_0 de la misma forma que anteriormente hemos visto. Si el acceso a travs de red se realiza con una cuenta de dominio, el protocolo por defecto ser Kerberos. Si se realiza con una cuenta local nicamente podremos utilizar la interfaz NTLM la cual podr utilizar:

Contraseas de funciones de aplicacin: las funciones de aplicacin permiten a los administradores de SQL Server restringir el acceso a la base de datos a una aplicacin 71

concreta. Los usuarios que activen la funcin de aplicacin pierden sus permisos actuales para la sesin y obtienen los permisos concedidos a la funcin de aplicacin. La funcin de aplicacin se activa con sp_setapprole. Cuando se activa una funcin de aplicacin, la contrasea puede protegerse de varias maneras. Puede colocarse de manera segura en el registro de manera que slo la aplicacin pueda recuperarla. De manera alternativa, la contrasea puede cifrarse en el momento en que se active la funcin de aplicacin con la funcin de cifrado OLE-DB (Base de datos de vinculacin e incrustacin de objetos) u ODBC (Conectividad abierta de bases de datos). La contrasea tambin puede cifrarse como parte del proceso de comunicacin entre el servidor y el cliente con SSL/TLS (Nivel de Sockets seguros/Seguridad de nivel de transporte) o con el cifrado de protocolos.

Restablecer contraseas: las contraseas pueden modificarse de una o dos maneras, dependiendo del tipo de cuenta de inicio de sesin. Para las cuentas de usuario de

Windows, cualquier usuario de red o cualquier administrador puede cambiar la


contrasea con el privilegio apropiado para restablecer contraseas. No es necesario realizar ningn cambio en SQL Server 2000 para reflejar esto ya que Windows 2000 valida al usuario.

Para las cuentas de inicio de sesin de SQL Server, los miembros de las funciones fijas de servidor sysadmin y securityadmin o el usuario, si ejecuta sp_password, pueden cambiar la contrasea de un usuario. Los miembros de las funciones sysadmin,

db_owner y db_securityadmin pueden cambiar las contraseas de aplicacin


almacenadas en la tabla de sistema sysusers de la base de datos.

72

Autentificacin en Microsoft Office XP Una de las grandes novedades de Office XP es la posibilidad de firmar digitalmente ciertos documentos. Una de las caractersticas principales de la firma electrnica es que permite la identificacin del autor de dicha firma. La firma electrnica se basa en la PKI y en los Certificados Digitales.

La firma digital utiliza las claves de un certificado digital para proteger datos contra falsificaciones y asegurar la autentificacin del remitente. Para ello, el Software de firma genera una huella digital nica que representa un bloque de datos (p.ej., un documento o un paquete de red). La firma digital garantiza al usuario final que stos no han sido modificados.

Office XP utiliza tecnologa de firma digital para firmar archivos, documentos, presentaciones, libros de trabajo y macros. Si se firma todo el archivo, la firma asegura que el archivo no ha sido modificado desde que se firm. Del mismo modo, si el archivo contiene macros firmadas, el certificado utilizado para firmarlas garantiza que no han sido manipuladas desde el momento de su firma.

Cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad. (Art. 11.2 del RMS)

Tanto la SAM local como el Directorio Activo permiten garantizar la integridad de la contrasea y su conocimiento exclusivo por el usuario de la cuenta. Al crearse la cuenta, el Administrador puede indicar que el usuario deber cambiar la contrasea en el primer inicio de sesin que

73

realice de tal forma que el Administrador, que en un primer momento le haba asignado contrasea, ya no la conocer.

Igualmente, por defecto, las contraseas se almacenan encriptadas. Si se utiliza el protocolo

Kerberos, la informacin que viaja por la red nunca contiene la contrasea, de manera que la
integridad de sta es absoluta. Si no utilizamos Kerberos por no disponer de un Directorio Activo, la autentificacin para acceder a los recursos de red ser NTLM. En este caso tampoco viaja la contrasea. Para mantener compatibilidad con el sistema LAN Manager, el paquete de autentificacin NTLM permite autentificarse con los protocolos LM, NTLM y NTLMv2. La mayor seguridad en la autentificacin nos la ofrece este ltimo por lo que ser conveniente en la medida de lo posible evitar el uso de los dos primeros.

Para limitar los protocolos que el paquete de autentificacin NTLM puede emplear, estableceremos en la Directiva de seguridad local o de dominio, en el parmetro LAN Manager

Authentication Level contenido en la subcarpeta Opciones de Seguridad de la carpeta


Directivas Locales, la opcin Enviar slo respuesta NTLMv2\ rechazar LM (Vid Fig.).

74

Las contraseas se cambiarn con la periodicidad que se determine en el documento de seguridad y mientras estn vigentes se almacenarn en forma ininteligible. (Art. 11.3 del
RMS)

Es posible establecer una poltica adecuada de contraseas en Windows 2000 o Windows XP a travs de la Directiva de seguridad local o de dominio. En la subcarpeta Directiva de Contraseas contenida en la carpeta Directivas de Cuenta, podemos establecer el tiempo mximo de validez de la contrasea, el tiempo mnimo, su longitud mnima, su complejidad y evitar la repeticin de contraseas (Vid Fig.).

75

Las contraseas se almacenan encriptadas tanto en la SAM como en el Directorio Activo. Windows 2000 y Windows XP utilizan la tecnologa Syskey para asegurar la integridad de las contraseas. La tecnologa Syskey utiliza una clave startup key para encriptar toda la informacin importante que puede contener una mquina. Esta clave, por defecto, se almacena en la misma mquina mediante un complejo algoritmo de ocultacin que la coloca en algn lugar del registro, pero si la clave se encuentra fsicamente en la misma mquina puede terminar siendo encontrada, por lo que Syskey permite, en sistemas que requieran mayor seguridad, la posibilidad de almacenar esta clave fuera de la mquina, bien mediante un dispositivo fsico, bien mediante el uso como clave de una generada mediante la contrasea introducida por un administrador previamente a que inicie el sistema (Vid Fig.).

76

Para seleccionar el modo de actuar de Syskey simplemente ejecutaremos el comando syskey y nos aparecer una pantalla sealndonos el estado de habilitacin de esta funcionalidad. Si queremos establecer un estado distinto al actual pulsaremos el botn Actualizacin y nos aparecer la pantalla donde definiremos la opcin que estimemos conveniente (Vid Fig.).

Adems del almacenamiento descrito anteriormente que hace ininteligible la contrasea, tanto la SAM local como el Directorio Activo permiten la gestin de cuentas de manera avanzada, esto es: el cambio peridico de contrasea mediante polticas y otras funciones de la contrasea como longitud, complejidad, evitacin de repeticin de contraseas, expiracin de cuentas, etc.

77

Autorizacin

El responsable del fichero establecer mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. (Art. 12.2 del RMS)

El mecanismo de autorizacin de Windows 2000 y Windows XP se basa en las listas de control de acceso. Para su utilizacin, lo primero que requerimos es que al instalar la mquina el sistema de ficheros establecido sea NTFS. Se puede ver en la siguiente Fig.

Si instalamos un disco con otro sistema de ficheros distinto a NTFS, podemos convertirlo utilizando el comando convert.exe (Vid Fig.).

32

32

Nunca podemos convertir un sistema de ficheros NTFS a otro sistema como FAT o FAT 32 sin realizar un formato

previo del disco.

78

Establecido el sistema NTFS nos aseguramos que el acceso a los recursos nicamente se produce por los usuarios que se describen y en la forma en que se describen en el fichero (Vid Fig.).

Para facilitar esta labor en entornos con muchos usuarios, Windows 2000 y Windows XP ofrecen grupos administrativos, lo que nos permite facilitar esta tarea al centrarnos sobre el grupo en vez de realizar esta tarea de forma individual. Los usuarios pertenecientes al grupo son ms fcilmente manejables. Permitindonos extender estos grupos a multitud de ficheros. 79

Esto tambin nos permite realizar excepciones sin sacar a un usuario de un grupo denegndole un tipo de acceso de forma explcita, o sacndole del grupo si en algn momento le tenemos que quitar el acceso sin bloquearle la cuenta (Vid Fig.).

Control de acceso en Microsoft SQL Server 2000 El control de accesos en Microsoft SQL Server 2000 se ejerce a travs de permisos. stos pueden concederse en un nmero seleccionado de columnas de una tabla. La seguridad de las

80

filas puede implementarse nicamente mediante una vista, un procedimiento almacenado o una funcin. Puesto que la administracin de los permisos de las columnas puede ser compleja, se recomienda que la seguridad de filas y columnas se administre creando vistas o, de manera alternativa, procedimientos almacenados o funciones. Estos objetos especificarn las columnas y filas a las que se tendr acceso. Los permisos deben concederse en el objeto en lugar de en la tabla subyacente.

(i)

Tipos de permisos Existen varios tipos de permisos en SQL Server 2000. Debemos resaltar que debe crearse una cuenta de usuario en cada una de las bases de datos a la que tendr acceso la cuenta de inicio de sesin.

Los tipos de permisos son los siguientes:

Permisos del objeto: se otorgan a un usuario en un objeto de base de datos existente, como una tabla, una vista, un procedimiento almacenado o una funcin. Estos permisos incluyen SELECT, INSERT, UPDATE, DELETE, REFERENCES y EXECUTE (Vid Fig.).

Permisos de la instruccin: permiten a un usuario crear objetos en la base de datos. Estos permisos incluyen CREATE DATA BASE, CREATE DEFAULT, CREATE FUNCTION, CREATE INDEX, CREATE

PROCEDURE, CREATE RULE, CREATE SCHEMA, CREATE TABLE, CREATE TRIGGER, CREATE VIEW, BACKUP DATABASE y BACKUP LOG.

81

Permisos predefinidos: se dan con la pertenencia a grupos en funciones fijas de servidor o de base de datos. Estos permisos forman parte de la definicin de funciones y no pueden modificarse.

Permisos implcitos o derivados: se dan cuando el usuario es el propietario del objeto. P.ej. el propietario de una tabla puede crear un

desencadenador, conceder permisos o modificar una tabla que pertenece al usuario.

Permisos efectivos: son otorgados a los usuarios y a las funciones y son especficos de una base de datos. Todos los permisos son acumulativos a excepcin de DENY. 82

Los permisos deben concederse con secuencias T-SQL de tal manera que puedan realizarse auditoras. Todas las operaciones, desde la creacin de la cuenta de inicio de sesin hasta la concesin de permisos, deben documentarse en tablas de auditora que registran quin agreg una determinada cuenta de inicio de sesin o de usuario, en qu momento, dnde y la razn por la que se cre cada inicio de sesin. Las secuencias T-SQL para todas las operaciones deben guardarse en una ubicacin segura. Es imprescindible que sta y otras operaciones administrativas se estandaricen.

(ii)

Concesin, revocacin y denegacin de permisos Los permisos pueden concederse, revocarse o denegarse de dos formas: (i) como Administrador corporativo; y (ii) a travs de los comandos Grant/Revoke/Deny de T-SQL. La informacin relativa a los permisos se encuentra en la tabla syspermissions de cada base de datos. Los administradores pueden realizar ms fcilmente un seguimiento de la informacin adicional sobre permisos si realizan solicitudes a la

pseudotabla sysprotects, creada dinmicamente.

Un permiso GRANT muestra en la columna protecttype de sysprotects la entrada positiva 204 para grant_w_grant (permite a los usuarios con permisos conceder el permiso otorgado; requiere el uso del comando grant de T-SQL) 205 para una concesin estndar. Un permiso DENY muestra la entrada negativa 206. Un permiso REVOKE elimina un permiso concedido o deniega el permiso y no aparece ninguna entrada en sysprotects. Esto significa que el usuario o el grupo al 83

que se revoc el permiso ya no tiene acceso. De nuevo, la excepcin seran los permisos concedidos mediante la pertenencia a grupos de funciones.

Los permisos son acumulativos, de manera que los permisos eficaces de un usuario de la base de datos son ms permisivos que los concedidos a la cuenta de usuario de la base de datos o a cualquier funcin dentro de la base de datos a la que pertenece el usuario. Esto no incluye las funciones de las aplicaciones ya que no contienen ni usuarios ni funciones.

Un permiso denegado a nivel de usuario o de funcin tiene prioridad sobre el resto de los permisos concedidos. P.ej., un empleado es un miembro de la

Funcin_Nminas de la base de datos Trabajadores. Al empleado se le han


otorgado permisos para realizar selecciones en la tabla tblConfeccionNominas. A la

Funcin_Nominas tambin se le han otorgado permisos para realizar selecciones


en la misma tabla. Si se revocan los permisos individuales del empleado, le seguir quedando el permiso gracias a su pertenencia a la funcin. Por otra parte, si slo se ha revocado el permiso a la Funcin_Nominas, el empleado seguir teniendo su propio acceso a la tabla tbl_ConfeccionNominas. El resto de los usuarios de la funcin perdern los permisos concedidos mediante la Funcin_Nominas. Los usuarios de esta funcin pueden seguir realizando selecciones en la tabla

tbl_ConfeccionNominas ya que se les ha concedido explcitamente el permiso o


pertenecen a otro grupo con dicho permiso y no se les ha denegado el acceso a este nivel. Sin embargo, si los permisos del empleado son denegados, no tendr acceso, independientemente de los permisos para las funciones a las que pertenece. Los usuarios de la Funcin_Nominas seguirn teniendo acceso. Si se 84

deniega el permiso de Funcin_Nominas, el empleado y cualquier miembro de la funcin ya no tendrn acceso, independientemente de cualquier otro permiso de funcin para realizar selecciones en tbl_ConfeccionNominas.

Control de Acceso en Microsoft Exchange 2000 Microsoft Exchange Server 2000 basa sus caractersticas de seguridad en las establecidas por Windows 2000 y posee ciertas caractersticas especficas. La principal consiste en que para obtener acceso a la cuenta de correo electrnico de otro usuario es necesario iniciar sesin del mismo modo que dicha persona o conseguir acceso administrativo al servicio de Directorio Activo, lo que le permite otorgar los permisos para enviar y recibir como en el buzn.

Control de acceso a Archivos Microsoft Office XP Office XP permite administrar la seguridad de las aplicaciones y documentos a travs de diversos mtodos de control de acceso relacionados. Conocer la forma de establecer los controles de acceso de seguridad facilitar la creacin de un entorno seguro para las aplicaciones y los datos de los usuarios. En Office, al margen de los mecanismos que proporciona el SO, es posible establecer contraseas para acceder a los documentos,

estableciendo as una funcionalidad adicional a esta medida de Nivel Bsico. De este forma se garantiza el acceso a los datos por parte de usuarios que conozcan la contrasea y previamente hayan cumplido con los requisitos de seguridad del SO. Este nivel de autenticacin y control de acceso se ve complementado en gran medida en Office XP con la capacidad de firma electrnica que, adems de estas capacidades, garantiza implcitamente la integridad de la informacin firmada.

La informacin que se guarda en formato web no permite ser protegida por contrasea. 85

OFFICE XP, y ms concretamente en Word, Excel y PowerPoint, se habilitan una serie de medidas de proteccin relacionadas con el control de acceso. Estas medidas son:

Proteccin de la apertura de archivos: requiere que el usuario especifique una contrasea para abrir el archivo. El documento se cifra de modo que no se pueda leer sin conocer la contrasea.

Proteccin de la modificacin de archivos: permite a los usuarios abrir el documento sin la contrasea pero, en caso de no especificarla, no podrn realizar cambios ni guardarlos en el documento.

Proteccin de recomendacin de slo lectura: se solicita al usuario que abra el archivo en modo de slo lectura pero se le permite que lo abra para lectura y escritura sin contrasea.

Word XP. Para evitar cierto tipo de cambios en un documento, Word XP ofrece la opcin de proteccin de documentos. Para ello deber ir al men Herramientas, hacer clic en Opciones y, a continuacin, en la ficha Seguridad, hacer clic en Proteger documento. Los cdigos de campo pueden verse en un procesador de texto, del mismo modo que el Bloc de notas y las celdas ocultas de una hoja de clculo de Excel se pueden ver si un usuario copia un rango de celdas que las incluya, lo pega en una nueva hoja de clculo y aplica el comando Mostrar. Los controles del cuadro de dilogo permiten proteger el documento (Vid Fig.):

86

Cambios realizados: cuando se selecciona, esta opcin permite a los usuarios efectuar cambios en el documento, pero los resalta para que el autor pueda controlarlos y decidir si los acepta o los rechaza. Cuando un documento se protege ante los cambios realizados, el usuario no puede desactivar este control, ni aceptar o rechazar los cambios.

Comentarios: cuando se selecciona, esta opcin permite a un usuario especificar comentarios, pero no cambiar el contenido del documento.

Formularios: cuando se selecciona, protege el documento frente a cambios, excepto en campos de formularios o secciones sin proteger.

Secciones: cuando se selecciona, permite activar la proteccin de una seccin especfica.

Microsoft Excel XP. Permite proteger elementos adicionales dentro de una misma hoja de clculo o libro. El men Herramientas | Proteccin cuenta con cuatro comandos.

87

Proteger hoja: permite proteger celdas seleccionadas de la hoja de clculo e impide modificar tanto las celdas bloqueadas como las que no lo estn. El usuario puede bloquear celdas con el comando Formato de celdas. La proteccin de hojas tambin permite otorgar acceso a operaciones especficas dentro de cada hoja, como el formato de celdas, filas y columnas, la insercin y eliminacin de columnas y filas, la modificacin o insercin de hipervnculos, y la modificacin de objetos de diversos tipos.

Permitir: permite conceder permisos a grupos, usuarios o equipos especficos para que tengan acceso y puedan modificar celdas y rangos especficos de la hoja de clculo protegida.

Proteger libro: permite especificar los elementos de un libro que se desea proteger, as como una contrasea para impedir a los usuarios no autorizados retirar la proteccin.

Proteger y compartir libro: permite compartir un libro y activa el control de cambios. De este modo, otros usuarios pueden hacer cambios que deben controlarse, aunque tambin puede especificar una contrasea para desactivar el control de cambios. Cuando se comparte un libro es posible activar la 88

proteccin para compartir y controlar los cambios, pero no se puede asignar una contrasea hasta haber dejado de compartirlo.

Microsoft Access XP. Access XP incluye diversos mtodos para controlar el nivel de acceso que los usuarios tienen a una base de datos de Access y a sus objetos:

Mostrar u ocultar objetos en la ventana Base de datos: es el ms sencillo de los mtodos de proteccin, permite ocultar los objetos de la base de datos en la ventana Base de datos para protegerlos de otros usuarios. Es el menos seguro porque resulta relativamente sencillo mostrar cualquier objeto oculto.

Cifrado y descifrado de bases de datos de Access: el cifrado de una base de datos de Access comprime el archivo de base de datos y lo hace ilegible para programas de utilidades, procesadores de texto y aplicaciones similares. El descifrado de la base de datos invierte el cifrado. Sin embargo, cifrar una base de datos que no est protegida de otro modo supone un nivel de seguridad relativamente reducido, ya que cualquier usuario que conozca la contrasea tendr un acceso completo a todos los objetos. Aun siendo este un nivel de seguridad bajo, recomendamos cifrar la BD al enviarla por correo electrnico o al almacenarla en un disco, cinta o CD.

Para poder cifrar o descifrar una base de datos de Microsoft Access, el usuario debe ser su propietario o bien, si la base de datos est protegida, miembro del grupo Administradores del archivo de informacin de grupos de trabajo que contenga las cuentas utilizadas para proteger la base de datos. Igualmente, 89

debe disponer de los permisos Abrir o ejecutar y Abrir en modo exclusivo para poder abrir la base de datos en modo exclusivo.

Proteccin mediante contrasea: consiste en establecer una contrasea para el acceso a la base de datos de Access. Una vez establecida una contrasea, aparece un cuadro de dilogo que la solicita siempre que se intenta el acceso a la base de datos. Este mtodo es relativamente seguro porque Access cifra la contrasea de modo que no es posible observarla mediante la lectura directa del archivo de base de datos. La proteccin mediante contrasea slo se aplica al abrir la base de datos. Una vez abierta, el usuario puede disponer de todos los objetos, salvo que se definan otros mecanismos de seguridad. Este mtodo puede aplicarse cuando un grupo reducido de usuarios compartan una base de datos en un solo equipo.
33

Seguridad para el usuario: el mejor modo de proteger una base de datos es aplicar la seguridad para el usuario, lo que permite establecer distintos niveles de acceso a los datos y objetos reservados. Para utilizar una base de datos protegida para los usuarios, stos deben especificar una contrasea al iniciar Access. Access lee un archivo de informacin de grupos de trabajo en el que se identifica a cada usuario con un cdigo nico. El nivel de acceso y los objetos a los que un usuario tiene acceso pueden establecerse en funcin de este cdigo de identificacin y de una contrasea.

33

No utilice una contrasea para la base de datos si la va a replicar. Las bases de datos replicadas no se pueden

sincronizar cuando se utilizan contraseas en la base de datos.

90

El asistente para configurar esta opcin, permite proteger una base de datos de Access en un solo paso. Adems, al implementar esquemas de seguridad comunes, el asistente reduce lo mximo posible, y puede incluso eliminar la necesidad de utilizar el comando Seguridad del men Herramientas.

Una vez ejecutado el Asistente para seguridad por usuarios, puede crear sus propios grupos de usuarios y asignarles o retirarles permisos para una base de datos y sus tablas, consultas, formularios, informes o macros. Igualmente, puede establecer los permisos predeterminados que Microsoft Access debe asignar a las nuevas tablas, consultas, formularios, informes y macros creados en una base de datos.

Impedir que los usuarios repliquen una base de datos, establezcan contraseas o configuren opciones de inicio: en un entorno multiusuario hay numerosas situaciones en las que es deseable evitar que los usuarios puedan copiar la base de datos. Al copiar una base de datos, un usuario puede copiar la base de datos compartida e incluso agregarle campos y hacer cambios como establecer una contrasea, retirar la proteccin mediante contrasea o cambiar las propiedades de inicio. Al dejar que los usuarios realicen este tipo de cambios, se les est permitiendo impedir el acceso adecuado de otros usuarios o que la base de datos funcione del modo para el que fue diseada.

Si una base de datos compartida no tiene definida la seguridad para los usuarios, no es posible evitar que un usuario efecte estos cambios. Cuando se define la seguridad para los usuarios, un usuario o grupo debe disponer del 91

permiso Administrar para replicar la base de datos, establecer una contrasea o cambiar las propiedades de inicio. Slo los miembros del grupo Administradores del grupo de trabajo tiene el permiso Administrar.

Si un usuario o grupo dispone de ese permiso para una base de datos, al retirrselo se le impide llevar a cabo los cambios descritos. Si se requiere que un usuario o grupo pueda realizar alguna de estas tareas puede asignrsele el permiso Administrar. No puede controlar el acceso a cada una de estas tres tareas independientemente.

Zonas de seguridad: Access ha agregado las caractersticas necesarias para aplicar zonas de seguridad en el acceso a bases de datos a travs de la web. Access utiliza las opciones de seguridad de Internet Explorer (disponibles en Internet Explorer 4.0 y posteriores) para determinar si una base de datos remota se encuentra en una zona de seguridad de confianza. Internet Explorer divide Internet en zonas, de forma que es posible asignar cada sitio web a la zona con el nivel de seguridad que le corresponda.

Administrador de seguridad de Internet Explorer Existen cuatro zonas distintas:

34

34

De inters para abrir o descargar bases de datos desde la web, utilizado por Access.

92

(i)

Zona Internet: de forma predeterminada, esta zona contiene todo lo que no se encuentre en su propio equipo o en una intranet, y que no est asignado a otra zona. El nivel de seguridad predeterminado para la zona Internet es Medio.

(ii)

Zona Intranet local: normalmente, esta zona contiene las direcciones que no requieren un servidor proxy, definidas por el Administrador del sistema. Entre ellas se encuentran los sitios especificados en la ficha Conexiones, las rutas de red (como, \\servidor\recurso) y los sitios de la intranet local (normalmente, direcciones que no contienen puntos, como http://interno). Si lo desea, puede asignar sitios a esta zona. El nivel de seguridad predeterminado para la zona Intranet local es Medio-Bajo.

(iii)

Zona Sitios de confianza: contiene los sitios de confianza, es decir, aquellos desde los que cree poder descargar o ejecutar archivos sin preocuparse de que puedan causar daos en el equipo o en los datos. Si lo desea, puede asignar sitios a esta zona. El nivel de seguridad predeterminado para la zona Sitios de confianza es Bajo.

(iv)

Zona Sitios restringidos: contiene sitios de los que duda si puede descargar o ejecutar archivos sin daar el equipo o los datos. Si lo desea, puede asignar sitios a esta zona. El nivel de seguridad predeterminado para la zona Sitios restringidos es Alto.

Access slo abre archivos que se encuentren en las zonas Intranet local o Sitios de confianza. No abrir ningn archivo de las zonas Internet o Sitios restringidos. Access no se ve afectado por el cambio del nivel de seguridad de una zona.

93

La relacin de usuarios a que se refiere el artculo 11.1 de este Reglamento contendr el

acceso autorizado para cada uno de ellos. (Art. 12.3 del RMS)

Tanto Windows 2000 como Windows XP poseen la ventana de seguridad en cada objeto almacenado que nos permite ver en el mbito de archivo o carpeta la seguridad aplicada. Windows XP, adems, posee la opcin de obtener una relacin de derechos para determinado grupo de usuarios respecto de un objeto determinado.

Existen utilidades que permiten saber los permisos que sobre determinadas carpetas y ficheros tiene un usuario. Por ejemplo, la utilidad gratuita DumpSec (aka DumpACL) de Somarsoft, (www.somarsoft.com) nos vuelca todos los permisos respecto de ficheros, claves de registro o carpetas concretas de forma fcil y rpida (Vid Fig.).

94

Estas utilidades permitirn obtener la informacin necesaria para el posterior cumplimiento de la norma (el RMS exige que los usuarios han de estar claramente identificados y autorizados para acceder a los datos).

Exclusivamente el personal autorizado para ello en el documento de seguridad podr conceder, alterar o anular el acceso autorizado sobre datos y recursos, conforme a los criterios establecidos por el responsable del fichero. (Art. 12.4 del RMS)

La administracin de permisos se realiza a travs de ACLs, como anteriormente hemos visto. Esta labor se realiza especficamente con los permisos Cambiar permisos y Tomar posesin los cuales son igualmente aplicables (Vid. Fig. Anterior).

Gestin de soportes

Los soportes informticos que contengan datos de carcter personal debern permitir identificar el tipo de informacin que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. (Art. 13.1 del RMS)

Windows 2000 y Windows XP poseen la capacidad de etiquetado de discos y medios y ofrecen un servicio de inventario y gestin de archivos denominados Removable Storage.

95

Este servicio facilita la gestin de los medios desmontables y el manejo de los dispositivos que los utilizan. Removable Storage cataloga, etiqueta y contabiliza los datos escritos en el medio, adems de controlar los dispositivos. Funciona siempre asociado a una aplicacin de gestin de datos y es capaz de compartir el medio con datos de diversas aplicaciones requiriendo el montaje y desmontaje de dispositivos segn va necesitando acceder a ellos para escribir o recuperar datos. Adems de esto Microsoft Windows 2000 Server ofrece el servicio Remote Storage que complementa al anterior ofreciendo capacidades de gestin de volmenes y ficheros.

Copias de respaldo Los procedimientos establecidos para la realizacin de copias de respaldo y para la

recuperacin de los datos deber garantizar su reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida o destruccin. (Art. 14.2 del RMS)

Windows 2000 y Windows XP poseen una utilidad, llamada copia de seguridad, para la realizacin de copias de seguridad y para la restauracin de las mismas. Esta herramienta permite realizar una copia (o restaurar en su caso) uno o varios archivos concretos o uno o varios directorios.

El proceso para la realizacin de la copia de seguridad es relativamente sencillo:

Abrir la utilidad de copia de seguridad siguiendo los siguientes pasos: o o Hacer clic en Inicio y seleccionar todos los programas Elegir Accesorios y, a continuacin, Herramientas del sistema

96

Hacer clic en Copia de seguridad

Seleccionar los archivos o los directorios de los que se quiera realizar la copia de seguridad

Seleccionar el medio donde se quiera guardar la copia de seguridad. Seleccionar el tipo de copia de seguridad deseada. Se inicia el procedimiento de copia de seguridad.

Para realizar la restauracin, el procedimiento es similar al anterior: Seleccionar la copia de seguridad que se desee restaurar. Seleccionar seguridad. Se inicia el procedimiento de restauracin de copias de seguridad. el destino donde se quiera restaurar esa copia de

Es importante sealar que, tanto el procedimiento de copias de seguridad como la restauracin de las mismas, deben ser realizados por una persona debidamente autorizada.

97

Windows 2000 y Windows XP tratan como un privilegio restringido las acciones de realizar copias de seguridad y restaurarlas que, por defecto, nicamente se da a los grupos locales Operadores de copia, Operadores de Servidor y Administradores.

Copias de respaldo en Microsoft SQL Server 2000 Microsoft SQL Server 2000 proporciona las herramientas necesarias para hacer copias de seguridad y restaurar tanto las bases de datos del sistema como las definidas por el usuario. Entre estas herramientas se incluye el Administrador corporativo, los Asistentes para planes de mantenimiento de bases de datos y los comandos Backup y Restore de Transact-SQL.

El administrador de bases de datos puede utilizar una contrasea para el conjunto de copias de seguridad o para el conjunto de medios. Con la primera se evita que se realicen restauraciones no autorizadas del conjunto de copias de seguridad y, con la segunda se impide el mismo proceso pero en los conjuntos de copias de seguridad contenido en los medios. El uso de contraseas tambin evita que se hagan copias de seguridad no autorizadas de los propios medios. Agregar una contrasea para el conjunto de medios evita que las copias de seguridad de otros productos, como las de Microsoft Windows 2000, se anexen a los medios.

Para realizar la recuperacin de las bases de datos, existen diversas maneras de revertir una base de datos a un momento determinado para reconstruir los datos en el estado en que se encontraban en el caso en que se desee. Cuando se trabaja con copias de seguridad del registro de transacciones, la base de datos se puede restaurar al estado en que se encontraba en un momento determinado o cuando se produjo una transaccin marcada. Este proceso depende de la poltica de copia de seguridad elegida. A continuacin realizaremos una breve descripcin de los diversos tipos de polticas de seguridad junto son sus implicaciones. 98

(i)

Polticas de copias de seguridad Copias de seguridad completas: se captura toda la base de datos. Este tipo de copia de seguridad se debe realizar de forma peridica en bases de datos del sistema y en las definidas por el usuario. Se debe realizar copia de seguridad de las bases de datos master y msdb siempre que se produzca algn cambio que les afecte. Habr que realizar una copia de seguridad de la base de datos

master cuando cree o altere bases de datos, inicios de sesin, servidores


vinculados, cambios de configuracin, etc. Se deber realizar una copia de seguridad de la base de datos msdb cuando cree o altere trabajos, alertas, operadores, programaciones, etc. Tambin debe hacer copia de seguridad de la base de datos distribution si el servidor est realizando la funcin de distribucin. De la base de datos model tambin se debe hacer copia de seguridad si en ella se han efectuado cambios significativos. Las copias de seguridad completas de las bases de datos definidas por el usuario se deben realizar despus de crearlas para proporcionar un punto de partida al proceso de recuperacin. Adems se debe realizar de forma peridica una copia de seguridad completa.

Copias de seguridad diferenciales: Capturan todos los datos que hayan cambiado desde la ltima copia de seguridad completa. Debido a que slo se capturan las extensiones recin asignadas o que hayan cambiado (seguimiento de mapas de bits), las copias de seguridad diferenciales son ms rpidas y menores que las completas. Las copias de seguridad diferenciales no permiten recuperar el registro hasta una marca ni hasta un momento concreto 99

Copias de seguridad del registro de transacciones: capturan las modificaciones de la BD. El registro de transacciones graba estas modificaciones en serie. Este tipo de copias proporciona un historial de las transacciones que han tenido lugar en la BD. Las copias de seguridad del registro se utilizan entonces en el proceso de recuperacin para restaurar la BD completamente, en un momento determinado (STOPAT) o en una marca del registro (STOPATMARK o STOPBEFOREMARK), y se aplican para recuperar una BD al completar (rehacer) los cambios confirmados que no se reflejan en la BD y revertir (deshacer) las transacciones sin confirmar. Adems, estas copias de seguridad son ms pequeas y se realizan con ms frecuencia que las completas y las diferenciales

En cuanto a la recuperacin de las bases de datos, la copia de seguridad de la base de datos, ya sea diferencial o del registro de transacciones, se puede restaurar con la opcin WITH RECOVERY y revertir as la base de datos al estado en que se encontraba en el momento de realizar la copia de seguridad. A 100

continuacin realizaremos una breve descripcin de los diversos tipos de polticas de seguridad junto son sus implicaciones.

(ii)

Mtodos de recuperacin Recuperacin hasta un momento determinado: Solo es posible aplicar este mtodo a copias de seguridad del registro de transacciones. Utilizando el argumento STOPAT de la instruccin RESTORE para especificar una fecha y una hora que determine el momento hasta el que recuperar la base de datos. A la transaccin se le asigna un nombre mediante la instruccin BEGIN TRAN y el nombre se almacena en el registro con el argumento WITH MARK. Si se hacen copias de seguridad del registro de transacciones con frecuencia, se puede reducir la prdida de datos. Tambin se deben implementar en este escenario copias de seguridad diferenciales para disminuir el tiempo de recuperacin y la prdida de datos.

Modelo de recuperacin de registro masivo: este modelo es similar al de recuperacin completa en que se registran todas las operaciones, incluidas las masivas. La diferencia entre ellos radica en que en la recuperacin de registro masivo se registran y mantienen slo las asignaciones de pgina de ciertas operaciones y no las filas individuales. Entre estas operaciones se incluyen las de texto e imgenes: CREATE INDEX, SELECT INTO, BCP.EXE o BULK

INSERT. El resultado de este proceso es que se registran menos entradas y el


archivo de registro es menor.

101

Modelo de recuperacin simple: en este modelo se utilizan copias de seguridad completas de base de datos y, opcionalmente, copias de seguridad diferenciales; las copias de seguridad de registro de transacciones no estn disponibles. Por tanto, no se puede realizar la recuperacin hasta un momento determinado ni hasta una marca en el registro. Las bases de datos slo se pueden recuperar hasta el momento de la ltima copia de seguridad completa o diferencial: la que est disponible. No obstante, el modelo de recuperacin simple es el ms fcil de administrar y mejora el rendimiento de ciertas operaciones masivas, y de otras operaciones, al reducir la cantidad de registros y reutilizar automticamente el espacio del registro

Los administradores pueden ejecutar la instruccin RESTORE VERIFYONLY para comprobar la copia de seguridad. Esta instruccin examina el dispositivo o dispositivos de copia de seguridad para asegurarse de que estn todos los archivos y que se pueden leer. Esta instruccin no comprueba si los datos estn daados.

102

Debern realizarse copias de respaldo, al menos semanalmente, salvo que en dicho periodo no se hubiera producido ninguna actualizacin de los datos. (Art. 14.3 del RMS)

Se puede establecer el calendario de realizacin de copias en la pestaa Tareas Programadas

Otras aplicaciones de copia de seguridad que no tengan su propio sistema de lanzamiento automtico pueden ser invocadas desde la aplicacin Tareas Programadas de Microsoft Windows 2000 o Microsoft Windows XP.

Tecnologa aplicable a las medidas de nivel medio

Cuando existan datos de nivel medio, adems de las medidas de nivel bsico, tendremos que aplicar medidas ms restrictivas en los siguientes aspectos que a continuacin detallamos.

Identificacin y autenticacin 103

El responsable del fichero establecer un mecanismo que permita la identificacin de

forma inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y la verificacin de que est autorizado. (Art. 18.1 del RMS)

La necesidad de autentificacin para el usuario, la cual entendemos se cumple mediante la utilizacin de cuenta y contrasea debidamente gestionada en el tiempo, tal y como se seala en el apartado de medidas de nivel bsico. La gestin de la cuenta en el tiempo incluye aquellos mtodos que permitan asegurarnos que el usuario es el nico conocedor de la contrasea, esto lo logramos mediante el cambio de la contrasea, la evitacin de repeticiones, etc35.

La verificabilidad necesita de la activacin de la auditora de seguridad que nos indicar el buen o mal uso por parte de los usuarios de los privilegios y accesos que tienen.

Windows 2000 y Windows XP, al requerir que cada proceso se realice en el entorno de una cuenta, crean por defecto una serie de cuentas con derechos restringidos para realizar tareas internas de proceso requeridas por el sistema operativo. Estas cuentas no son utilizadas para el acceso a datos ni son identificadas con respecto a un usuario, por lo que las excluiremos de los derechos de acceso a estos archivos para que, aun en el hipottico caso de su uso fraudulento por un usuario el acceso, les sea denegado.

Estas cuentas, denominadas Built-in Security Principals son en Microsoft Windows 2000 la cuenta System o Local System Account, y en Microsoft Windows XP, adems de la anterior, las cuentas NetworkService y LocalService.

35

Vid apartado 3.2.3.1. (Tecnologa aplicable a las medidas de nivel bsico).

104

Igualmente, distintas aplicaciones pueden crear otras cuentas de las que tambin deberemos verificar el acceso que tienen a los archivos a proteger sin olvidarnos de su adscripcin a distintos grupos con acceso o privilegios.

Como regla general, a los archivos que seala la norma slo concederemos acceso a cuentas identificadas y grupos que nicamente contengan estas cuentas autentificadas.

Hay que destacar que respecto a las cuentas por defecto creadas por Windows 2000 y Windows XP, (Administrador e Invitado) para mayor seguridad la contrasea de Administrador slo es conocida por el responsable de seguridad y ser almacenada en un lugar seguro, la cuenta de Invitado se deber deshabilitar. Ninguna de estas dos cuentas deber tener tampoco acceso a los archivos a proteger. Sealando explcitamente una denegacin de acceso. (Vid Fig.)

105

Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de informacin. (Art. 18.2 del RMS)

La utilidad de bloqueo de cuentas al sistema es la ms adecuada para el cumplimiento de este precepto. Por defecto podremos bloquear las cuentas cuando, transcurridos varios intentos, en un tiempo determinado, no se haya introducido una contrasea correcta. En este caso, la cuenta quedar bloqueada durante un determinado tiempo o hasta que un administrador la desbloquee. La cuenta bloqueada supone la denegacin de acceso al sistema aun cuando la contrasea sea correcta.

Para establecer esto en la poltica local o en la poltica de grupo tenemos la subcarpeta

Directiva de bloqueo de cuentas en la subcarpeta Directivas de cuenta donde podemos definir


el nmero de intentos de acceso permitidos, el intervalo de tiempo en el que se contabilizar ese nmero y la duracin del bloqueo de la cuenta una vez realizados los intentos sealados (Vid Fig.).

106

Gestin de soportes

Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarn las medidas necesarias para impedir cualquier recuperacin indebida de la informacin almacenada en ellos. (Art. 20.4 del RMS)

Los sistemas de seguridad basados en la autentificacin protegen los recursos a nivel de acceso, bien interactivo, bien a travs de la red, controlando el acceso y evitando el acceso no autorizado mediante componentes de bajo nivel del SO.

Si un usuario tiene acceso fsico al depsito de datos, la mquina o un dispositivo de medios, y es capaz de acceder a los datos sin utilizar el sistema operativo original puede saltarse las 107

funcionalidades de seguridad que este ofrece y por consiguiente tener acceso a datos sensibles. Para prevenir esto se debern cifrar los archivos con datos sensibles. El SO Windows 2000 y Windows XP disponen de un sistema de cifrado de ficheros que mediante la utilizacin de criptografa avanzada, permiten asegurar los datos an cuando se haya accedido al almacenamiento de stos saltndose la seguridad que ofrece el SO. A este sistema le denominamos Sistema de Ficheros Cifrados (en adelante EFS). Se encuentra integrado directamente con el sistema de ficheros NTFS, por tanto, se encuentra a ms bajo nivel que el mdulo de seguridad del SO. Esta integracin tan baja permite asegurar el cifrado del sistema de almacenamiento de forma totalmente transparente al usuario, de tal forma que un atacante, aun apropindose del sistema de almacenamiento y cargndolo en otro sistema, slo accedera a datos ininteligibles.

Su integracin tambin provoca que para el usuario que quiere el cifrado sobre ciertos documentos o discos sea tan simple como marcar una casilla en las propiedades de la carpeta o fichero. EFS descifra los datos cuando los lee del disco y los cifra cuando los escribe en el disco sin que el usuario reciba ninguna percepcin de esto. Adems, EFS:

Utiliza una clave nica por fichero para cifrarlo y descifrarlo. Esta clave, denominada Clave de Cifrado de Fichero (File Encryption Key, en adelante FEK), se genera cuando se cifra un fichero y se almacena en el mismo fichero. Este FEK a su vez es cifrado con la clave pblica del usuario antes de almacenarlo. De esta forma, para conseguir descifrar el fichero, el usuario utilizar su clave privada para acceder al FEK cifrado, descifrarlo y, una vez realizado, descifrar el fichero con ese FEK.

No afecta a otros atributos del fichero como los permisos inherentes al fichero. 108

Slo funciona la encriptacin si el sistema de ficheros es NTFS de Microsoft Windows 2000 o Microsoft Windows XP.

Permite encriptar y desencriptar ficheros en remoto pero el fichero en su viaje a travs de la red no va encriptado.

No permite encriptar archivos o carpetas de sistema. No permite encriptar archivos o carpetas comprimidos. La encriptacin de una carpeta nos asegura que cualquier fichero que se cree o copie desde el mismo sistema en esa carpeta se encripta de forma automtica.

Si queremos asegurarnos que los ficheros temporales generados por una aplicacin tambin se encriptan, la mejor opcin es sealar la encriptacin a nivel de carpetas.

El mover o copiar un fichero encriptado a otro sistema elimina la encriptacin. Hacer una copia de respaldo de un fichero encriptado supone el mantenerlo encriptado si el programa de encriptacin est certificado para Microsoft Windows 2000.

Encriptar una carpeta no supone su encriptacin sino automatizar la encriptacin de los ficheros que contiene.

Por lo que respecta a medios removibles, EFS ser capaz de encriptar el contenido sin que en el medio permanezca clave alguna del usuario o del agente de recuperacin, con lo que la seguridad ser muy alta. Esto se realiza de forma automtica en los medios en los que se puede utilizar NTFS.

El sistema de cifrado utilizado en Microsoft Windows 2000 es DESX, mientras que en Microsoft Windows XP puede elegirse entre DESX y 3DES.

Caractersticas adicionales de Windows XP: Usuarios adicionales pueden ser autorizados a acceder a ficheros cifrados. 109

Los ficheros Off-line pueden ser cifrados. Los agentes de recuperacin son recomendables pero no obligatorios. Los ficheros cifrados pueden almacenarse en Webfolders.

Registro de incidencias

En el registro regulado en el artculo 10 debern consignarse, adems, los procedimientos realizados de recuperacin de los datos, indicando la persona que ejecut el proceso, los datos restaurados y, en su caso, qu datos ha sido necesario grabar manualmente en el proceso de recuperacin. (Art. 21 del RMS)

Se deber establecer que se auditen las acciones de copia de respaldo y recuperacin en el sistema y utilizando para ello los registros de las aplicaciones de copia de respaldo para conocer que ha sido lo respaldado o restaurado.

Se deber habilitar la opcin Auditar el uso del privilegio de copia de seguridad y restauracin en la subcarpeta Opciones de Seguridad de la carpeta Directivas locales correspondientes a la Directiva de seguridad local o de dominio.

Tecnologa aplicable a las medidas de nivel alto

Cuando existan datos de nivel alto, adems de las medidas de nivel bsico y medio tendremos que aplicar medidas ms restrictivas en los siguientes aspectos que a continuacin detallamos.

Distribucin de soportes

110

La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha informacin, no sea inteligible ni manipulada durante su transporte. (Art. 23 del RMS)

EFS nos facilita esta labor al posibilitarnos el cifrado completo de un dispositivo que soporte NTFS. En dispositivos que no soporten el sistema de ficheros NTFS podemos utilizar EFS realizando una copia de respaldo de ficheros cifrados y almacenndola en dicho dispositivo.

En estos casos resulta importante establecer una correcta gestin de claves y certificados y, para una correcta gestin de certificados, nada mejor que la utilizacin de la caracterstica de PKI que ofrece Microsoft Windows 2000 Server.

La utilizacin de la PKI tambin permite emitir otros certificados para aadir ms seguridad a la autentificacin mediante la utilizacin de tarjetas inteligentes y la emisin de certificados para la firma y encriptacin del correo electrnico, adems de certificados para la simple autentificacin de usuarios y mquinas pertenecientes al dominio.

Encriptacin en Microsoft Office XP Adems de la firma digital (Vid medidas de nivel bsico), los archivos individuales de Word, PowerPoint y Excel pueden firmarse digitalmente, cifrarse o ambas cosas a travs de la ficha

Seguridad del cuadro de dilogo Opciones.

111

Registro de accesos

De cada acceso se guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
(Art. 24 del RMS)

La auditora que ofrecen Microsoft Windows 2000 y Microsoft Windows XP nos permite el registro detallado de eventos ocurridos en el sistema. Deberemos activar la auditora de objetos, tanto para los accesos autorizados como para los denegados. Esto lo realizamos en la subcarpeta Directiva de auditora contenida en la carpeta Directivas locales (Vid Fig.).

112

Con un doble clic se nos abrir una ventana donde sealaremos que vamos a auditar tanto los accesos autorizados como denegados activando las casillas Correcto y Error como podemos observar seguidamente (Vid Fig.).

Realizado lo anterior nos desplazaremos con el explorador hacia la carpeta o fichero que, por su nivel de proteccin, debamos auditar y marcndolo con el botn derecho del ratn ejecutaremos el comando Propiedades y seleccionaremos la pestaa Seguridad (Vid Fig.).

En esta ventana pulsaremos el botn Avanzadas y en la ventana que nos aparece seleccionamos la pestaa Auditora. 113

En esta nueva ventana pulsaremos el botn Aadir y, en la nueva ventana, dado que debemos auditar cualquier tipo de acceso, introduciremos al grupo Todos y pulsaremos el botn Aceptar, con lo que nos aparecer la siguiente pantalla (Vid Fig.).

114

Como igualmente deberemos auditar cualquier tipo de acceso en la opcin Control Total habilitaremos tanto la casilla de xito como la de Fallo y pulsaremos el botn Aceptar.

A partir de este momento, cualquier tipo de acceso al objeto por parte de cualquier principal queda registrado en el Visor de sucesos de seguridad con los parmetros exigidos por la norma.

115

En caso de que el acceso haya sido autorizado, ser preciso guardar la informacin que

permita identificar el registro accedido. (Art. 24.2 del RMS)

Este artculo esta orientado a ficheros de bases de datos. Microsoft SQL Server 2000 permite la auditora de accesos mediante el servicio SQL Profiler.

Responsable de los registros Los mecanismos que permiten el registro de los datos detallados en los prrafos anteriores estarn bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningn caso, la desactivacin de los mismos. (Art. 24.3 del RMS)

Los derechos de acceso de los archivos que almacenan los registros debern estar limitados a los administradores de estos sucesos y al propio sistema con el privilegio mnimo para introducirlos. Se deber comprobar que el archivo de registro de seguridad, el cual se encuentra en %system%\system32\config\secevent.evt, limita el acceso nicamente a los responsables de seguridad y al sistema para la escritura de los eventos.

Para evitar la desactivacin de los mismos, existe la opcin de indicar que el sistema se apague cuando el registro se encuentre lleno, o cuando por cualquier motivo el sistema no pueda grabar algn evento de seguridad. Para esto ltimo en la subcarpeta Opciones de Seguridad de la carpeta Directivas locales habilitaremos la opcin Apagar el sistema de inmediato si no se puede registrar auditoras de seguridad.

116

Copias de respaldo y recuperacin

Deber conservarse una copia de respaldo y de los procedimientos de recuperacin de los datos en un lugar diferente de aqul en que se encuentren los equipos informticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento.
(Art. 25 del RMS)

Los sistemas de copia de respaldo compatibles con Microsoft Windows 2000 y Microsoft Windows XP, incluyendo la propia herramienta de realizacin de copias de respaldo que acompaa al sistema operativo, permite la realizacin de copias de respaldo de archivos cifrados mediante EFS manteniendo el cifrado.

Telecomunicaciones

La transmisin de datos de carcter personal a travs de redes de telecomunicaciones se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros. (Art. 26 del RMS)

Para comunicaciones a travs de Internet realizadas mediante correo electrnico podemos utilizar certificados generados por la propia PKI de Windows 2000 o de terceros que cumplan la especificacin S/MIME tanto utilizando Microsoft Outlook XP como Microsoft Outlook Express que acompaa al explorador Microsoft Internet Explorer.

Para comunicaciones punto a punto podemos utilizar el protocolo SSL para autentificarnos ante el servidor que contiene los ficheros y establecer un canal encriptado de transferencia.

117

Para el acceso a servicios de red como Microsoft SQL Server 2000, podemos utilizar el estndar IPSec que permite establecer sobre un adaptador de red polticas que autentifiquen y garanticen la integridad y verificabilidad de cualquier comunicacin entre varios servidores.

La poltica IPSec puede ser gestionada a nivel centralizado como una poltica ms de dominio mediante las polticas de grupo y tambin su despliegue se beneficia de la gestin integrada de certificados que ofrece la PKI de Microsoft Windows 2000.

IPSec tambin lo podemos utilizar directamente con ordenadores conectados a Internet tanto para el establecimiento de conexiones punto a punto como para el establecimiento de conexiones que creen un tnel que pueda conectarnos dos redes propias a travs de Internet con la seguridad que nos ofrecen las tecnologas de encriptacin e integridad sealadas.

Para el usuario que accede remotamente a las instalaciones Windows 2000 y Windows XP ofrecen adems de PPTP, el protocolo estndar L2TP sobre IPSec que, adems de las ventajas que nos ofrece IPSec, nos permite el establecimiento de accesos a la red y la autentificacin del usuario incluso mediante el uso de certificados y tarjetas inteligentes

118

Para comunicaciones inalmbricas, Windows XP ofrece soporte total del protocolo estndar IEEE 802.1x con autentificacin EAP/TLS que permite el control de acceso a la red y la comunicacin cifrada con gestin dinmica de claves.

Telecomunicaciones en Microsoft SQL Server 2000 Adems del uso de las capacidades anteriormente descritas, Microsoft SQL Server 2000 permite la encriptacin de las telecomunicaciones entre servidor y cliente mediante la opcin comunicacin Multiprotocolo. Para ello en la utilidad de red de cliente simplemente tendremos que marcar la casilla Force Protocol Encryption y, a partir de este momento, todas las comunicaciones entre el cliente y el servidor utilizarn para comunicarse el protocolo SSL.

Microsoft Outlook XP y correo electrnico Microsoft Outlook asegura la encriptacin mediante: La encriptacin de la conexin MAPI desde Outlook 2002 al servidor de Exchange. La firma y encriptacin de mensajes mediante S/MIME.

Si desea que los usuarios de su organizacin de Exchange se enven mensajes firmados y cifrados de forma habitual, considere la posibilidad de utilizar el servicio de administracin de 119

claves incluido en Microsoft Exchange 2000. Este servicio utiliza los servicios de PKI de Microsoft Windows 2000 y proporciona acceso a las claves pblicas y acceso seguro y centralizado a las claves privadas. De esta manera, el cliente tiene acceso sin problemas a los mensajes firmados y cifrados y puede enviar estos mensajes a cualquier otro destinatario de la lista global de direcciones que tenga la seguridad habilitada.

120

You might also like