Directivas de Usuarios

La directiva de usuario es el nivel de directiva más bajo que se puede administrar. Cada usuario tiene un archivo de configuración de directiva individual. Los cambios que se hagan en este nivel de directiva sólo se aplican al usuario que ha iniciado la sesión actual. El nivel de directiva de usuario se restringe a lo que puede especificar.

Puesto que este nivel lo puede configurar el usuario que ha iniciado la sesión actual, los administradores del nivel de directiva de empresa deben ser conscientes de que el usuario puede alterar los cambios de directiva realizados en el nivel de directiva de usuario. El nivel de directiva de usuario no puede dar a un ensamblado más permisos que los especificados en los niveles de directiva superiores. Sin embargo, el nivel de directiva de usuario puede reducir los permisos, lo que podría ocasionar que las aplicaciones dejaran de funcionar correctamente. Si se aplica el atributo LevelFinal a un grupo de código en el nivel de equipo o de empresa, el nivel de usuario no puede endurecer las decisiones de directiva tomadas en esos niveles.

La administración del nivel de usuario es adecuada en algunas situaciones para endurecer la seguridad. Por ejemplo, un usuario puede decidir endurecer la directiva de seguridad para los ensamblados cuyo origen es la zona de la intranet local si allí se encuentra código que no es de confianza. Puede considerar la posibilidad de administrar la directiva en este nivel si es un usuario en una red corporativa y piensa que la configuración de la seguridad no es lo suficientemente estricta.

Directivas de grupo

Las directivas de grupo, son un conjunto de una o varias políticas de sistema y cada una de las políticas de sistema, actúa sobre un objeto, definiendo sus características. Por ejemplo podemos activar una política de grupo, que oculte los iconos del escritorio.

Windows Server 2003, permite configurar el sistema y el entorno del usuario gracias a las directivas de grupo. La configuración de las directivas de grupo se hace normalmente sobre la unidad organizativa, otorgándole al administrador un control más exhaustivo sobre la configuración del sistema y de los usuarios.
Puesto que las directivas de grupo, están diseñadas para aplicarlas sobre todos los usuarios de nuestra red, hacen que resulte más fácil el trabajo del administrador. Una vez configurada una directiva de grupo en una o varias cuentas de usuario, esta se aplica automáticamente a la unidad administrativa. Por ejemplo, podemos ocultar el icono Mi PC o la Papelera, aplicando las directivas de grupo.

Veamos un ejemplo:

Vamos a inicio, herramientas administrativas, usuarios y equipos de active directory.

 

 

Escogemos la unidad organizativa en nuestro caso “trabajadores”, le damos clic con el botón derecho del ratón y escogemos propiedades.

Pulsamos en el botón nuevo, le damos nombre al vinculo de objetos, que en mi caso coloco, limpieza de escritorio. Después pulsamos en editar.

 



Escogemos a nuestra izquierda, configuración de usuario, plantillas administrativas, escritorio y a nuestra derecha escogemos, quitar el asistente para limpieza de escritorio dándole doble clic.

Escogemos habilitada y pulsamos en aceptar.

 

Solo nos queda cerrar ventanas y aceptar los cambios.

Como podéis comprobar es muy sencillo modificar el comportamiento de los usuarios.

GESTION DE USUARIOS

GESTION DE USUARIOS

La gestión de los usuarios es, hoy en día, un área de entidad propia, en la medida en que la relación de éstos con los sistemas es crucial a la hora de asegurar un correcto funcionamiento de los servicios puestos a su disposición. En ocasiones, se da por supuesto que los usuarios son capaces de asumir cualquier incorporación tecnológica sin necesidad de soporte adicional, lo cual da lugar a problemáticas específicas.

Usuarios avanzados (Dominio)

Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero únicamente pueden modificar y eliminar las cuentas que creen. Pueden crear grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados.
No pueden modificar los grupos Administradores u Operadores de copia de seguridad, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoria y seguridad.

El usuario proporciona su contraseña y nombre de usuario durante el proceso de inicio y Active Directory dichos datos, una vez comprobado los datos ingresados se le concede el acceso a la red.

Usuarios (Locales)

Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar los grupos locales que hayan creado. No pueden compartir directorios ni crear impresoras locales.

Invitados
El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión con una cuenta de Invitado.

 

Administradores
Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.

 

 CUENTAS DE USUARIOS LOCALES Y DE DOMINIO

Todos los usuarios pertenecen a uno o más grupos,de forma que se asignan derechos y privilegios a los grupos incorporados o personalizados y el usuario recibe estos derechos al convertirse miembro de un grupo.

Para acceder a Windows Server 2003,el usuario debe tener una cuenta de usuario válida.Una cuenta de usuario determina tres importantes factores:cuándo es posible que inicie sesión un usuario,dentro de qué dominio o grupo de trabajo puede iniciar sesión un usuario y el nivel de privilegios que tiene asignado.Los elementos principales de una cuenta de usuario son el nombre de inicio de sesión,la contraseña,el estado de miembro de grupo y las horas permitidas para el inicio de sesión.

Windows Server 2003 permite dos tipos de cuenta de usuario:local y de dominio.Las cuentas locales son compatibles con todos los sistemas de Windows Server 2003 excepto los controladores de dominio,que se mantienen en el sistema local y no se distribuyen a otros sistemas.La base de datos de seguridad local administra la información de la cuenta de usuario.La cuenta de usuario de dominio permite el acceso en un dominio y proporciona administración de cuenta de usuario centralizada utilizando los elementos de Active Directory.

• CUENTAS DE USUARIOS LOCALES

Como mínimo,las cuentas de administrador y de invitado ya existirían como cuentas locales,ya que está incorporadas en el sistema operativo.La cuenta de administrador permite la administración de cuentas de usuario,la adminstración de grupos y directivas para los sistemas locales.La cuenta de invitado está diseñada para usuarios temporales que requieren un acceso limitado al sistema.

Creación de una cuenta de usuario local

Las cuentas de usuarios están constituidas por dos datos obligatorios:el nombre de usuario y la contraseña.Otra información personal es opcional.A continuación presentamos algunas restricciones y sugerencias para la creación de nombres de usuario y contraseñas:

• Los nombres de usuario y de inicio son intransferibles.Los nombres de las cuentas de dominio deben ser únicos en el dominio,aunque se pueda utilizar el mismo nombre de inicio de sesión local.Los nombre de inicio de sesión no distinguen entre mayúsculas y minúsculas,no deben contener más de 20 caractéres,de entre los cuales no se pueden encontrar los siguientes: + , * , < , > , / , \ , [ , ] , : y ; .
• Las contraseñas no deben ser o contener elementos como palabras completas,nombres de familiares,referencias de la cultura popular,mascotas y lugares.Deben contener caracteres numéricos y alfanuméricos y no deben ser iguales que el nombre del usuario.El número máximo de caracteres es de 128 y el mínimo está determinado por la directiva de grupo.

Creación:

Inicio --> Programas --> Herramientas administrativas --> Administración de equipos

En el complemento Administración de equipos,haremos clic en Herramientas del sistema --> Usuarios y grupos locales.Hacemos clic con el botón derecho sobre Usuarios y seleccionamos Usuario nuevo...,apareciendo el cuadro de diálogo Usuario Nuevo.

El campo Nombre de usuario debe contener el nombre de inicio de sesión del usuario.Introduce el nombre de usuario,el nombre completo y la descripción del usuario.Haz clic en Cerrar para finalizar la creación del nuevo usuario.

• CUENTAS DE USUARIO DE DOMINIO

Una cuenta de usuario de dominio permite el acceso a los recursos de un dominio o árbol de dominio.Esta cuenta se crea en un contenedor de dominios en la base de datos de Active Directory y después se propaga a todos los demás controladores de dominio,permitiendo al usuario acceder a cualquier sistema o recurso del dominio.

Creación

NOTA: Para realizar la creación de este tipo de cuentas es necesario tener instalado el Active Directory.

- Hay que iniciar sesión con privilegios administrativos.

-Inicio --> Programas --> Herramientas administrativas --> Usuarios y equipos de Active Directory .

Señalamos,en este caso,el apartado Users dentro de nuestro dominio.Con el botón derecho seleccionamos Nuevo --> Usuario.

En esta ocasión,el cuadro de diálogo se llama Nuevo objeto con algunas ligeras diferencias respecto a la creación de usuarios locales.

Introducimos el nombre y apellidos del usuario en los respectivos apartados,además del nombre de usuario en el cuadro Nombre de inicio de sesión de usuario.Este nombre,junto con el nombre de dominio del usuario (ejemplo: nombre@gisela.org) identifica de manera exclusiva a un usuario en un dominio,árbol o bosque.No se debe confundir esto con un nombre de dominio DNS de Internet externo.Una vez rellenados los campos haremos clic en Siguiente>

Introducimos una contraseña para el usuario en el cuadro Contraseña ,confirmandola nuevamente justo debajo.Justo debajo aparecen una serie de opciones de contraseña:

- El usuario debe cambiar la contraseña en el siguiente inicio de sesión: La contraseña que se acaba de asignar cambiará la próxima vez que el usuario inicie sesión.

- El usuario no puede cambiar la contraseña: La contraseña de la cuenta sólo se puede cambiar con privilegios de administrador.

- La contraseña nunca caduca: El usuario no tiene que cambiar la contraseña periodicamente.

- La cuenta está deshabilitada: Desactiva una cuenta cuando el usuario no la necesita.Puede ser útil en caso de ausencias prolongadas o si tiene planificadas cuentas en un futuro.

Una vez elegidas las opciones oportunas,pulsaremos Siguiente > para acceder a la pantalla de confirmación y finalmente Finalizar.

Ya aparecerá el nuevo usuario en el contenedor de Active Directory.

• GRUPOS

Un grupo es una colección de usuarios,equipos y otras entidades.Puede tratarse de un grupo incorporado de Windows Server 2003 o uno creado por el administrador de sistemas para ajustarse a los atributos requeridos.Dichos grupos están incorporados en el sistema operativo de forma que las tareas comunes se puedan asignar a los usuarios con un conjunto definido de especificaciones y permisos.

Los grupos imponen permisos de seguridad o llevan a cabo funciones de distribución.Realizan tres tareas principales:

1. Los grupos de seguridad asignan principalmente permisos limitados a los grupos que necesitan acceso a ciertas carpetas,aplicaciones y equipos.
2. Los grupos de seguridad también filtran el efecto de directivas de grupo asignado a sus miembros por medio del Objeto de directiva de grupo (GPO).
3. Los grupos de distribución facilitan la información de correo electronico y de contacto.

  

Para crear un grupo en un equipo local

1. Abra Administración de equipos.
2. En el árbol de la consola, haga clic en Grupos.
   ¿Dónde?
   
   • Administración de equipos/Herramientas del sistema/Usuarios y grupos locales/Grupos
3. En el menú Acción, haga clic en Grupo nuevo.
4. En Nombre de grupo, escriba un nombre para el nuevo grupo.
5. En Descripción, escriba la descripción del nuevo grupo.
6. Para agregar uno o varios usuarios a un grupo nuevo, haga clic en Agregar.
7. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos realice las acciones siguientes:
   
   • Para agregar al grupo una cuenta de usuario o de grupo, escriba su nombre en Escriba los nombres de objeto que desea seleccionar y, después, haga clic en Aceptar.
   • Para agregar una cuenta de equipo a este grupo, haga clic en Tipos de objetos, active la casilla de verificación Equipos y, a continuación, haga clic en Aceptar. En Escriba los nombres de objeto que desea seleccionar, escriba el nombre de la cuenta de equipo que desee agregar y, después, haga clic en Aceptar.
8. En el cuadro de diálogo Grupo nuevo, haga clic en Crear y, a continuación, en Cerrar.

Guia de instalacion de windows server 2003

Instalación del servidor

Para empezar el procedimiento de instalación, inicie directamente desde el CD de Windows Server 2003. El CD-ROM debe admitir CD de inicio.
Nota: al configurar particiones y dar formato a las unidades, se destruirán todos los datos de la unidad de disco duro del servidor.

Iniciar la instalación

El programa de instalación crea las particiones del disco en el equipo que ejecuta Windows Server 2003, da formato a la unidad y copia los archivos de instalación del CD al servidor.
Nota: en estas instrucciones se da por supuesto que está instalando Windows Server 2003 en un equipo que no utiliza Windows. Si va a actualizar una versión anterior de Windows, algunos pasos de la instalación pueden ser diferentes.
Para comenzar la instalación:

1.	Inserte el CD de Windows Server 2003 en la unidad de CD-ROM.
2.	Reinicie el equipo. Si se le indica, presione cualquier tecla para iniciar desde el CD. Comenzará entonces la instalación de Windows Server 2003.
3.	En la pantalla Programa de instalación, presione ENTRAR.
4.	Revise y, si procede, acepte el contrato de licencia presionando F8. Nota: si tiene una versión anterior de Windows Server 2003 instalada en este servidor, podría recibir un mensaje en el que se pregunta si desea reparar la unidad. Presione ESC para continuar y no reparar la unidad.
5.	Siga las instrucciones para eliminar todas las particiones del disco existentes. Los pasos exactos variarán según el número y el tipo de particiones que tenga ya el equipo. Siga eliminando particiones hasta que todo el espacio del disco tenga la etiqueta Espacio no particionado.
6.	Cuando todo el espacio del disco tenga la etiqueta Espacio no particionado, presione C para crear una partición en el espacio no particionado de la primera unidad de disco (si procede).
7.	Si su servidor tiene una única unidad de disco, divida el espacio en disco disponible por la mitad para crear dos particiones de igual tamaño. Elimine el valor predeterminado de espacio total. Escriba el valor de la mitad del espacio en disco total en el símbolo del sistema Crear partición de tamaño (en MB) y presione ENTRAR. (Si su servidor tiene dos unidades de disco, escriba el tamaño total de la primera unidad en este símbolo del sistema.)
8.	Cuando haya creado la partición Nueva <original>, presione ENTRAR.
9.	Seleccione Formatear la partición utilizando el sistema de archivos NTFS <rápido> y, a continuación, presione ENTRAR.

El programa de instalación de Windows Server 2003 dará formato a la partición y copiará los archivos del CD de Windows Server 2003 a la unidad de disco duro. Se reiniciará el equipo y continuará el programa de instalación de Windows Server 2003.

Completar la instalación

Para continuar la instalación con el Asistente para la instalación de Windows Server 2003

1.	El Asistente para la instalación de Windows Server 2003 detecta e instala los dispositivos. Esta operación puede durar varios minutos y puede que la pantalla parpadee durante el proceso.
2.	En el cuadro de diálogo Configuración regional y de idioma, realice los cambios necesarios para su configuración regional (por lo general, para Estados Unidos no es necesario realizar ningún cambio) y, a continuación, haga clic en Siguiente.
3.	En el cuadro de diálogo Personalice su software, escriba Mike Nash en el cuadro Nombre y Reskit en el cuadro Organización. Haga clic en Siguiente.
4.	Escriba la Clave del producto (la encontrará en el dorso de la caja del CD de Windows Server 2003) en los cuadros de texto provistos para ello y, después, haga clic en Siguiente.
5.	En el cuadro de diálogo Modos de licencia, seleccione el modo de licencia adecuado para su organización y, a continuación, haga clic en Siguiente.
6.	En el cuadro de diálogo Nombre del equipo y contraseña del administrador, escriba el nuevo nombre del equipo HQ-CON-DC-01 en el cuadro de nombre del equipo y, a continuación, haga clic en Siguiente. Recomendación:  para facilitar los pasos de estas guías, el cuadro de contraseña de administrador se deja en blanco. Ésta no es una práctica de seguridad recomendable. Siempre que instale un servidor para una red de producción debe definir una contraseña. Windows Server 2003 requiere contraseñas complejas de manera predeterminada.
7.	Cuando el programa de instalación de Windows se lo indique, haga clic en Sí para confirmar que desea dejar la contraseña de administrador en blanco.
8.	En el cuadro de diálogo Configuración de fecha y hora, corrija, si es necesario, la fecha y la hora actuales y, después, haga clic en Siguiente.
9.	En el cuadro de diálogo Configuración de red, asegúrese de que la opción Configuración típica está seleccionada y, a continuación, haga clic en Siguiente.
10.	En el cuadro de diálogo Grupo de trabajo o dominio del equipo (está seleccionado No de manera predeterminada), haga clic en Siguiente. Nota: llegado a este punto se debe haber especificado un nombre de dominio, pero esta guía utiliza el Asistente para configurar su servidor con el fin de crear el nombre de dominio posteriormente. La instalación de Windows Server 2003 continúa con la configuración de los componentes necesarios. Esta operación puede durar unos minutos.
11.	Se reinicia el servidor y se carga el sistema operativo desde la unidad de disco duro.

CUESTIONARIO

                                                                         CUESTIONARIO

1.      ¿Cuántas leyes inmutables de inseguridad existen?
diez.

2.¿Porqué se dice que un escáner de virus desactualizado sólo es ligeramente mejor que ningún escáner de virus en absoluto?
 Ya que en Internet van apareciendo y mutando nuevos virus y malware a un ritmo muy alto. Por eso hoy más que nunca, cuando pasamos más tiempo conectados a Internet, es muy importante disponer de un antivirus actualizado. Uno que no esté puesto al día nos protegerá solamente de amenazas obsoletas pero no será una herramienta de protección fiable.

3.¿Cuáles son las 2 principales vías de transmisión o infección de los peligros de internet? 
La navegación y el correo electrónico. Ambos caminos son utilizados por "piratas informáticos" (crackers) para cometer sus delitos.

4.-¿Qué es un virus?
Es un pequeño programa capaz de reproducirse a sí mismo, infectando cualquier tipo de archivo ejecutable, sin conocimiento del usuario. El virus tiene la misión que le ha encomendado su programador, ésta puede ser desde un simple mensaje, hasta la destrucción total de los datos almacenados en el ordenador.

 

5.¿Quienes son los hackers y qué hacen?
La palabra hacker, en un principio, se refería al experto en programación cuya meta era compartir sus conocimientos y experiencias con otros hackers. Actualmente, aplicamos este distintivo a todos aquellos que realizan piratería informática y delitos en Internet, cuando en realidad deberíamos decir crackers. La finalidad de estos últimos, es causar el mayor daño posible y robar información para uso propio en ordenadores personales o redes empresariales.

6.¿Qué son los troyanos?
Es un programa potencialmente peligroso que se oculta dentro de otro para evitar ser detectado, e instalarse de forma permanente en nuestro sistema.
Este tipo de software no suele realizar acciones destructivas por sí mismo, pero entre muchas otras funciones, tienen la capacidad de capturar datos, generalmente contraseñas e información privada, enviándolos a otro sitio.
Otra de sus funciones es dejar indefenso nuestro sistema, abriendo brechas en la seguridad, de esta forma se puede tomar el control total de forma remota, como si realmente se estuviera trabajando delante de nuestra pantalla 

7.¿cuántos y cuáles son los objetivos de la seguridad informática?
* Integridad: garantizar que los datos sean los que se supone que son
*Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian 
*Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
* Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
*Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

8.-¿Qué es la encriptación?

La encriptación es básicamente transformar datos en  alguna  forma  que  no  sea  legible  sin el conocimiento  de  la clave o algoritmo adecuado.

9.-¿Cuál es su propósito?

El  propósito  de  esta  es  mantener  oculta la información que consideramos privada a cualquier persona o sistema que no tenga permitido  verla.

10.-¿ cuantos tipos de encriptación hay mencionalos?

Encriptación mediante claves simétricas  Encriptación mediante claves asimétricas o públicas    Encriptación mediante firma digital:

11.-¿Cómo funciona la encriptación mediante claves asimétricas o publicas?

existen también sistemas asimétricos de cifrado o de clave pública, cada usuario dispone de dos claves, una pública, que debe revelar o publicar para que los demás puedan comunicarse con él, y una privada que debe mantener en secreto..

12.-¿En que se basa la arquitectura de Windows?

·  Modo usuario: Cuyos programas y subsistemas están limitados a los recursos del sistema a los que tienen acceso.

·  Modo núcleo: Tiene acceso total a la memoria del sistema y los dispositivos externos. Los núcleos de los sistemas operativos de esta línea son todos conocidos como núcleos híbridos, aunque hay que aclarar que este término está en discusión ya que este núcleo es esencialmente un núcleo monolítico que está estructurado

13.-¿Qué dice la ley numero 4 de seguridad?

Si permites que un maloso suba programas a tu sitio web, ya no es más tu sitio web.

14.-¿Qué es el EncryptionString?

Consiste en tomar un mensaje y una clave de usuario, después sigue la combinación de estos y se produce una cadena modificada.

15.-¿Qué es Transposition?

En este método los mismos caracteres que son usados para la creación del mensaje, son también usados para  la encriptación.

¿Que es Encriptación?

La encriptación es básicamente transformar datos en  alguna  forma  que  no  sea  legible  sin el conocimiento  de  la clave o algoritmo adecuado. El  propósito  de  esta  es  mantener  oculta la información que consideramos privada a cualquier persona o sistema que no tenga permitido  verla.

La  encriptación  en  general requiere el uso de información   secreta  para su funcionamiento la  cual  es  llamada  "llave". Algunos  sistemas de encriptación   utilizan   la  misma  llave  para codificar   y   descodificar  los  datos,  otros  utilizan llaves diferentes.

La  técnica de encriptación a aplicar se basa en la  complejidad  de la información a ocultar, es decir, entre  más compleja.

Tipos de Encriptación:

Encriptación mediante claves simétricas: son las funciones más clásicas, es decir, se utiliza una determinada clave en la transformación de la información encriptada para conseguir desencriptarla, el problema reside en la necesidad de que todas las partes conozcan la clave. 

Encriptación mediante claves asimétricas o públicas: existen también sistemas asimétricos de cifrado o de clave pública, cada usuario dispone de dos claves, una pública, que debe revelar o publicar para que los demás puedan comunicarse con él, y una privada que debe mantener en secreto..

Encriptación mediante firma digital: Dado un mensaje, basta calcular su huella digital y cifrarla con la clave secreta del remitente para obtener simultáneamente la seguridad de que el contenido no se manipula (integridad), y de que el firmante es quien dice ser autenticación). 

Existen muchos tipos de encriptación, que por el momento solamente mencionaremos su nombre.

•       Substitution

•       Caesar Chipre

•       Monoalphabetic Substitutions

•       Gronsfeld

•       RSA

•       DES

•       Chaffing & Winnowing 

•       SKIPJACK

•       BÍFIDO

•       WLBYKYAAOTB

•       Cifrado exponencial

•        Blowfish

Procesos de Encriptacion

•       EncryptionString

•       Consiste en tomar un mensaje y una clave de usuario, después sigue la combinación de estos y se produce una cadena modificada.

•       Texto a codificar:         ENCRYPTION

•       Caracteres del Texto:      E   N   C   R   Y   P   T   I   O   NCódigos ASCII:   69  78  67  82  89  80  84  73  79  78

•       Contraseña KEY:            K   E   Y   K   E   Y   K   E   Y   K

•       Caracteres de KEY:         75  69  89  75  69  89  75  69  89  75

•       Suma de Códigos ASCII:     144 147 156 157 158 169 159 142 168 153

•       En caracteres:             �   “   œ   �   ?   ©   Ÿ   ?   ¨   ™

•       Texto codificado:          �“œ�?©Ÿ?¨™

Transposition

En este método los mismos caracteres que son usados para la creación del mensaje, son también usados para  la encriptación.

Las 10 Leyes Inmutables de la Seguridad

La gente del área de seguridad en Microsoft tiene un decálogo que llaman: las 10 leyes inmutables de la seguridad, que es el resultado de años de atención a sus clientes con todo tipo de problemáticas. Si bien el adjetivo “inmutables” suena pretencioso, pues nada es definitivo cuando se habla de seguridad informática, estos diez puntos son una guía estupenda para ser más conscientes al respecto. Mi recomendación es que los imprimas –en papel reciclando, por supuesto– y los pegues al lado de tu computadora para darles un repaso de cuando en cuando, como un pequeño Zen; tal vez un día te conviertas en un experto –un buen hacker, por qué no– que cree su propio decálogo y lo comparta con los demás. Sin más preámbulo, aquí los tienes:

Ley #1. Si un maloso puede persuadirte de ejecutar su programa en tu computadora, ya no es más tu computadora.

Ley #2. Si un maloso puede alterar el sistema operativo de tu computadora, ya no es más tu computadora.

Ley #3. Si un maloso tienes acceso físico sin restricciones a tu computadora, ya no es más tu computadora.

Ley #4. Si permites que un maloso suba programas a tu sitio web, ya no es más tu sitio web.

Ley #5. Las contraseñas débiles triunfan sobre la seguridad fuerte.

Ley #6. Una computadora es tan segura como digno de confianza sea su administrador.

Ley #7. Los datos cifrados son tan seguros como la llave que los descifra.

Ley #8. Un antivirus desactualizado es apenas mejor que no tener antivirus.

Ley #9. El anonimato absoluto no existe, ni en la vida real ni en la red.

Ley #10. La tecnología no es la solución a todas las cosas.

Conceptos Básicos de Seguridad

Seguridad: Sector de la informática cuya función es establecer medidas de protección y/o seguridad para garantizar el correcto funcionamiento de un sistema informático.

Whackers: expertos especializados. Se mueven por dinero y fama. Provocan daños al sistema.

Crackers: expertos especializados. Se mueven por fama y satisfacción personal. Causan daño.

Crashers: Inhabilitan el sistema, tienen conocimientos informáticos, les mueve el dinero o el aprendizaje. Causan daño.

Lamer: Conocimientos informáticos nulos. Sus intereses son la fama, la experiencia y la satisfación personal. Causan daños.

Phreakers: tienen amplios conocimientos informáticos y se mueven por dinero.

Script kiddies: Muy similares a los lamer.

Newbies: Tienen conocimientos informáticos básicos. Su motivación es aprender. No causan daño.

Cifrado. Evita que la información viaje sin protección (en texto plano) a través de la red.

El software anti-malware. Programa que detecta, bloquea y elimina programas maliciosos para la seguridad del sistema.

Los cortafuegos. Sirve para bloquear el trafico entrante en la red que pueda ser peligroso.   

Spoofing. Hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.

Se pueden clasificar los ataques de spoofing, en función de la tecnología utilizada. Entre ellos tenemos el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad.

Pishing. Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Troyano: se caracteriza por engañar a los usuarios disfrazándose de programas o archivos legítimos/benignos

Virus: es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.

Worms: Estos malwares son tan dañinos que son capaces de hacer caer cientos de páginas Web y servidores Web muy potentes.

Vulnerabilidad: Probabilidad de que una amenaza se materialice contra un activo.

Las medidas de seguridad en la protección de datos de carácter personal.

Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel.

MEDIDAS DE SEGURIDAD BÁSICO MEDIO ALTO

Identificación y Autenticación:

1.- Existencia de una lista actualizada de usuarios autorizados que tengan acceso autorizado al sistema de información (art.11.1 y 12.3).

2.- Procedimientos de identificación y autenticación informáticos:

a) Contraseñas: procedimiento de creación, asignación, conservación y cambio periódico (art.11.2 y 11.3).

b) Identificación de usuario, de manera inequívoca y personalizada (art.18.1).

c) Limitación de acceso incorrecto reiterado (art.18.2).

Control de Acceso:

1.- Los usuarios tendrán únicamente acceso a los datos/recursos de acuerdo a su puesto laboral y tareas definidas en el documento (art.12.1).

2.- Deberán implantarse mecanismos que eviten el acceso no autorizado a otros recursos: establecimiento de perfiles de usuario (art.12.2).

3.- Control de acceso físico a servidores y CPD (art.19).

4.- De cada acceso se guardarán: identificación usuario, fecha y hora, fichero accedido, tipo de acceso y su autorización o denegación, guardando la información que permita identificar registro accedido (art.24.2).

5.- Los mecanismos de acceso estarán bajo el control directo del Responsable de Seguridad, sin que pueda permitirse la desactivación (art.24.3).

6.- Registro y conservación de accesos lógicos al fichero por un plazo no inferior a 2 años (art.24.4).

7.- Para accesos a través de redes de telecomunicaciones, deberán tener las mismas medidas que para accesos en modo local (art.5).

Funciones y obligaciones del personal:

1.- Definición en el Documento de Seguridad de las funciones y obligaciones de grupos de usuarios y/o perfiles (art.9.1).

2.- Conocimiento por parte del personal de las normas y medidas de seguridad que les son aplicables (art.9.2).

3.- Identificación y funciones del/los Responsables de Seguridad (art.15 y 16).

4.- Trabajo fuera de ubicación principal debe ser expresamente autorizado (art.6).

5.- Listado de personal con acceso a Servidores y/o CPD (art.19).

6.- Listado de personal con privilegios administrativos informáticos sobre aplicaciones y ficheros (art.12.4).

Estructura de los Ficheros y del Sistema Informático:

1.- Descripción y estructura informática del Fichero (campos ID)

2.- Descripción y estructura del Sistema Informático (enumeración de equipos, redes, programas, etc...)

Gestión de Soportes:

1.- Identificación, inventariado y almacenamiento (art.13.1).

2.- Autorización necesaria para salida de soportes (art.13.2).

3.- Cifrado de soportes en caso de operaciones externas de mantenimiento (art.20.4).

4.- Medidas y procedimientos para la destrucción de soportes (art.20.3).

5.- Registro de Entrada de Soportes (art.20.1).

6.- Registro de Salida de Soportes (art.20.2).

7.- Distribución de soportes con mecanismos de cifrado de datos (art.26).

Ficheros Temporales:

Aplicación de mismo nivel de seguridad que fichero origen (art.7).

Registro de Incidencias:

1.- Contenido mínimo: tipo de incidencia, momento en que se produce, efectos producidos, persona que comunica, medidas adoptadas (art.10).

2.- Contenido adicional: Procedimiento de restauración de datos, datos restaurados y datos grabados manualmente (art.21.1)

Procedimientos de Copias de Respaldo y Recuperación datos:

1.- Deberán garantizar la restauración de los datos al momento anterior a producirse la pérdida (art.14.2).

2.- Realización de copias de backup al menos con una frecuencia semanal (art.14.3).

3.- Necesaria autorización para la ejecución de procedimientos de restauración de datos (art.21.2).

4.- Almacenamiento externo de copias y procedimientos de restauración de datos (art.25).

Pruebas con datos reales:

Aplicación de mismas medidas según nivel de seguridad de los datos (art.22).

Actualización y Auditoria:

1.- Revisión y actualización del Documento de Seguridad en función de cambios relevantes en la Organización (art.8.3).

2.- Auditoria cada 2 años. Conservación de Informe a disposición AEPD (art.17).

3.- Revisión periódica de la información de control de los accesos informáticos a ficheros y aplicaciones (art.24.5).

Medidas específicas para datos en soporte papel:

1.- Control de acceso a la documentación.

2.- Medidas de conservación y almacenamiento.

3.- Procedimientos y mecanismos de destrucción que impidan posterior recuperación de la información que contienen.

Windows vs Linux

Diseño de Sistema Operativo Windows

La arquitectura de Windows es altamente modular y se basa en dos capas principales:

• Modo usuario: Cuyos programas y subsistemas están limitados a los recursos del sistema a los que tienen acceso.
• Modo núcleo: Tiene acceso total a la memoria del sistema y los dispositivos externos. Los núcleos de los sistemas operativos de esta línea son todos conocidos como núcleos híbridos, aunque hay que aclarar que este término está en discusión ya que este núcleo es esencialmente un núcleo monolítico que está estructurado al estilo de un micronúcleo. La arquitectura dentro del modo núcleo se compone de lo siguiente:

1. Un núcleo híbrido.
2. Una Capa de Abstracción de Hardware (HAL).
3. Controladores o drivers.
4. Executive: Sobre el cual son implementados todos los servicios de alto nivel.

Modo Usuario

El modo usuario está formado por subsistemas que pueden pasar peticiones de E/S a los controladores apropiados del modo núcleo a través del gestor de E/S (que se encuentra en el modo núcleo). Dos subsistemas forman la capa del modo usuario de Windows 2000: el subsistema de Entorno y el subsistema Integral.

Modo núcleo

El modo núcleo de Windows 2000 tiene un acceso completo al hardware y a los recursos del sistema de la computadora y ejecuta su código en un área de memoria protegida. Controla el acceso a la planificación, priorización de hilos, gestión de memoria y la interacción con el hardware. El modo núcleo impide que los servicios y las aplicaciones del modo usuario accedan a áreas críticas del sistema operativo a las que no deberían tener acceso. En lugar de ello, deben pedir al núcleo que realice esas operaciones en su nombre.

Executive

El Executive se relaciona con todos los subsistemas del modo usuario. Se encarga de la Entrada/Salida, la gestión de objetos, la seguridad y la gestión de procesos. Está dividido informalmente en varios subsistemas, entre los que se encuentran el Gestor de Caché, el Gestor de Configuración, el Gestor de Entrada/Salida, las Llamadas a Procedimientos Locales, el Gestor de Memoria, el Gestor de Objetos, la Estructura de Procesos, y el Monitor de Referencias de Seguridad. Todos juntos, los componentes pueden ser llamados Servicios Executive (nombre interno Ex).

Núcleo

El núcleo del sistema operativo se encuentra entre el HAL y el Executive y proporciona sincronización multiprocesador, hilos y envío y planificación de interrupciones, gestión de interrupciones y envío de excepciones. También es responsable de la inicialización de controladores de dispositivos que son necesarios en el arranque para mantener el sistema operativo funcionando. Esto es, el núcleo realiza casi todas las tareas de un micronúcleo tradicional.

Controladores del modo Núcleo

Windows 2000 utiliza cada controlador de dispositivo del modo núcleo para permitirle interactuar con los dispositivos hardware. Cada uno de los controladores tiene rutinas de sistema bien definidas y rutinas internas que exporta al resto de sistemas operativos. Todos los dispositivos son vistos por el modo usuario como un objeto archivo en el gestor de Entrada/Salida. A través del propio gestor de E/S, los dispositivos son vistos como objetos de dispositivo, que él define tanto como objetos archivo, dispositivo o drive.

Capa de Abstracción Hardware

La Capa de Abstracción de Hardware, o HAL (en inglés Hardware Abstraction Layer), es una capa que se encuentra entre el hardware físico de la computadora y el resto del sistema operativo. Fue diseñado para ocultar las diferencias de hardware y por tanto proporciona una plataforma consistente en la cual se puedan ejecutar las aplicaciones. 

Diseño de Sistema Operativo Linux 

Arquitectura 

Actualmente Linux es un núcleo monolítico híbrido. Los controladores de dispositivos y las extensiones del núcleo normalmente se ejecutan en un espacio privilegiado conocido como anillo 0 (ring 0), con acceso irrestricto al hardware, aunque algunos se ejecutan en espacio de usuario. A diferencia de los núcleos monolíticos tradicionales, los controladores de dispositivos y las extensiones al núcleo se pueden cargar y descargar fácilmente como módulos, mientras el sistema continúa funcionando sin interrupciones.

Jerarquía de directorios

En Linux existe un sistema de archivos que carga y contiene todos los directorios, redes, programas, particiones, dispositivos, etc. que el sistema sabe reconocer, o por lo menos, identificar. de los directorios que constituyen todo el sistema.

• Estáticos: Contiene archivos que no cambian sin la intervención del administrador (root), sin embargo, pueden ser leídos por cualquier otro usuario. (/bin, /sbin, /opt, /boot, /usr/bin...)
• Dinámicos: Contiene archivos que son cambiantes, y pueden leerse y escribirse (algunos solo por su respectivo usuario y el root). Contienen configuraciones, documentos, etc. Para estos directorios, es recomendable una copia de seguridad con frecuencia, o mejor aún, deberían ser montados en una partición aparte en el mismo disco, como por ejemplo, montar el directorio /home en otra partición del mismo disco, independiente de la partición principal del sistema; de esta forma, puede repararse el sistema sin afectar o borrar los documentos de los usuarios. (/var/mail, /var/spool, /var/run, /var/lock, /home...)
• Compartidos: Contiene archivos que se pueden encontrar en un ordenador y utilizarse en otro, o incluso compartirse entre usuarios.
• Restringidos: Contiene ficheros que no se pueden compartir, solo son modificables por el administrador. (/etc, /boot, /var/run, /var/lock...)

Kernel panic

En Linux, un panic es un error casi siempre insalvable del sistema detectado por el núcleo en oposición a los errores similares detectados en el código del espacio de usuario. Es posible para el código del núcleo indicar estas condiciones mediante una llamada a la función de pánico situada en el archivo header sys/system.h. Sin embargo, la mayoría de las alertas son el resultado de excepciones en el código del núcleo que el procesador no puede manejar, como referencias a direcciones de memorias inválidas.

Lenguajes de programación

Linux está escrito en el lenguaje de programación C, en la variante utilizada por el compilador GCC (que ha introducido un número de extensiones y cambios al C estándar), junto a unas pequeñas secciones de código escritas con el lenguaje ensamblador. Por el uso de sus extensiones al lenguaje, GCC fue durante mucho tiempo el único compilador capaz de construir correctamente Linux.