En Windows 2000, Microsoft introdujo el sistema de archivos cifrado (EFS), una nueva característica integrada en el sistema operativo que hace que la obtención de archivos de usuario sea mucho mejor que solo los permisos del sistema de archivos que han estado disponibles en particiones NTFS en versiones anteriores de Windows.
El
el La razón principal de esta mejora es que la seguridad de NTFS se puede evitar fácilmente una vez que un atacante obtiene acceso físico a la computadora. Se pueden utilizar una serie de herramientas de terceros fácilmente disponibles para proporcionar acceso de lectura y escritura a datos almacenados en particiones NTFS al eludir la protección proporcionada por el sistema operativo. Una vez que el sistema se inicia desde un disquete que contiene el controlador NTFS de terceros, el disco y todos sus datos se vuelven fácilmente accesibles.
Aunque puede proteger la contraseña y restringir qué dispositivos son iniciales, todavía esto, esto todavía No evita que alguien retire el disco duro, lo conecte a otra computadora y accede a él a través de otra instalación de Windows 2000/XP o instalar otra instancia de Windows por completo. Afortunadamente, EFS puede ayudar a proporcionar privacidad de sus datos en tales escenarios.
EFS utiliza la combinación de cifrado de clave simétrica y pública/privada para asegurar el contenido designado por el usuario en archivos que residen en particiones NTFS. La clave simétrica (creada dinámicamente en el momento del cifrado y diferente para cada archivo cifrado) se usa para realizar el proceso de cifrado y se almacena junto con el archivo encriptado. La clave pública se utiliza para el cifrado de la clave simétrica y también se almacena junto con el archivo encriptado. La clave privada, necesaria para el descifrado, reside dentro del perfil de usuario. De esta manera, la información almacenada en el disco duro, aunque todavía es accesible a través de utilidades de terceros, está en un formato ilegible y, por lo tanto, inútil sin la clave privada.
Sin embargo, todavía hay algunos posibles problemas de seguridad con El EFS que los usuarios deben tener en cuenta:
· Los archivos encriptados son accesibles para cualquier persona que posea una clave privada, que se utiliza para recuperar la clave simétrica cifrada con una clave pública (del mismo par de claves que La clave privada pertenece). Esto se aplica al usuario que encriptó estos archivos y a otra cuenta de Windows, designada como Agente de recuperación de datos (DRA). Por defecto, en Windows 2000, esta es la cuenta de administrador (administrador local sobre sistemas independientes y administrador de dominio en el dominio). Dado que es posible utilizar herramientas de terceros para restablecer la contraseña del administrador local o cualquier otra cuenta local (que proporciona acceso físico a la computadora de destino disponible), los sistemas independientes son inherentemente inseguros.
 · Mientras que en el entorno de dominio de Windows 2000, restablecer la contraseña del administrador local no afectará la seguridad de los archivos locales de la computadora protegidos por EFS; Sin embargo, las claves privadas de los usuarios pueden verse comprometidas siempre que estén disponibles en la computadora local. Dado que los entornos en los que se implementa EFS generalmente confían en los perfiles de roaming (esto garantiza que la misma clave privada se use en todos los archivos cifrados para el mismo usuario), el perfil de usuario se copia al sistema local durante cada inicio de sesión. Para garantizar que los atacantes no puedan aprovechar las copias de las claves privadas almacenadas en estos perfiles, debe utilizar la política grupal para forzar la eliminación de los perfiles de roaming en el logro. También debe designar una cuenta dedicada del agente de recuperación de desastres y asegurarse de que su clave privada se haya respaldada y almacenada en una ubicación segura.
Ambos problemas descritos anteriormente se han eliminado en los sistemas profesionales de Windows XP debido a dos cambios A la implementación de EFS:
· ya no hay DRA predeterminado. Además, a diferencia de Windows 2000, DRA ya no es necesario para que funcione el EFS. Los administradores de los entornos de Windows 2000 deben tener esto en cuenta. Fue posible evitar el cifrado del entorno de dominio Windows 2000 en el nivel de dominio inicializando la política vacía para los agentes de recuperación de datos cifrados. Esto se realizó iniciando una política de grupo de grupo MMC Snap-In, seleccionando Objeto de política de grupo vinculado a su dominio, perforando la configuración de la computadora-> Configuración de Windows-> Configuración de seguridad-> Políticas de clave pública-> Agentes de recuperación de datos cifrados, haciendo clic derecho en La carpeta de último nivel etiquetada por los agentes de recuperación de datos cifrados y la selección de inicializar la política vacía del menú sensible al contexto. Esto fue suficiente para eliminar la capacidad de usar EFS de los usuarios en cualquier sistema Windows 2000 que sea miembro del dominio.
Con Windows XP, esto ya no es posible. Para deshabilitar EFS en el nivel de dominio en un entorno donde se utilizan computadoras Windows XP, debe iniciar la consola de administración de Microsoft desde una computadora profesional de Windows XP que era miembro del editor de políticas de Dominio, Grupo de carga y establecer el enfoque en el grupo de dominio Objeto de política. Una vez que se carga el SNAP-in, profundice la configuración de la computadora-> Configuración de Windows-> Configuración de seguridad-> Políticas de clave pública-> Cifrar la carpeta del sistema de archivos, haga clic derecho en ella y seleccione Propiedades del menú sensible al contexto. Después de que se muestra el cuadro de diálogo con una sola casilla de verificación “Permite a los usuarios cifrar archivos utilizando el sistema de archivos de cifrado (EFS)”, asegúrese de que borre la casilla de verificación (que se verifica de forma predeterminada).
· EFS presenta otro nivel adicional de cifrado, que utiliza la contraseña del usuario para asegurar la clave privada que reside en el perfil del usuario. Por un lado, esto evita una situación en la que un atacante restablece la contraseña en cualquier cuenta local en un intento de obtener acceso a archivos cifrados EFS (ya que una vez que se restablece la contraseña, la clave privada almacenada en el perfil ya no se puede utilizar ). Por otro lado, crea un problema si los usuarios olvidan sus contraseñas (por lo tanto, la necesidad de garantizar la recuperación de la contraseña utilizando el disco de recuperación de contraseña).
Como puede ver, se debe tener en cuenta una serie de consideraciones cuando Implementación de EFS en un entorno profesional de Windows 2000/XP. El aumento de la seguridad tiene su precio en términos de sobrecarga administrativa, pero vale la pena el esfuerzo adicional a largo plazo.
Pre-Instalación de preparación
1. Hardware seguro. ¿La ubicación de la red de prueba es suficientemente segura físicamente para que no sea necesaria la seguridad adicional? Considere agregar bloqueos físicos y/o establecer una tarjeta inteligente o autenticación biométrica una vez que el sistema esté instalado.
2. Configure el hardware y el BIOS. Retire la unidad de disquete. (Después de la instalación, considere eliminar el CD ROM.) Reducir la superficie de ataque de los sistemas es siempre un principio sólido. Elimine puertos físicos innecesarios, si es posible, o deshabilitarlos en el BIOS. Asegúrese de que el sistema no sea accesible por otras máquinas en la red de prueba a menos que un servidor de instalación esté en uso. Desconecte la red de prueba de Internet y agregue suficientes unidades internas para que sea posible la instalación adecuada de componentes para separar unidades. Considere una contraseña de BIOS para esta computadora.
Instalación
Esta lista no es un paso paso a paso para instalar Windows Server 2003. es una lista de puntos Durante la instalación, cuando debe tomar decisiones de seguridad.
1. Tenga en cuenta el acuerdo de licencia. Los cambios significativos incluyen declaraciones sobre tecnología de gestión de derechos digitales (MS DRM) para asegurar el contenido digital. Implican el derecho de Microsoft a acceder a este sistema para actualizar la tecnología. Cualquier acceso a la DC desde fuera de su organización debe ser, como mínimo, analizado. Reenvíe el acuerdo de licencia a su equipo legal.
2. Cambie el nombre de la carpeta del sistema. Los atacantes conocen los nombres predeterminados para las carpetas del sistema. Si bien es fácil descubrir qué carpeta es la carpeta del sistema, muchos scripts de ataque son simplistas y codifican el nombre de la carpeta “Windows”. Renombrar la carpeta frustra esos scripts.
3. No verifique la casilla que incluya soporte para el idioma asiático Oriental (a menos, por supuesto, que lo necesite en su entorno) en este servidor. No conozco vulnerabilidades que esto pueda introducir, pero cuanto menos código que se ejecuta en el sistema, menos oportunidades para la explotación posterior.
4. Desmarque “Sí, descargue los archivos de configuración actualizados”. En su lugar, verifique “No, omita este paso y continúe con la instalación”. Si no lo hace, su sistema intentará acceder a Microsoft a través de Internet para localizar archivos actualizados. ¿Qué es Microsoft pensando? Cualquier sistema es vulnerable durante la instalación y no debe estar expuesto a Internet.
5. Unidades de partición y formateo con NTFS. Período. No hay razón para usar nada más. No puede asegurar unidades de grasa o promover este sistema a un DC sin una partición NTFS.
6. Seleccione un nombre de computadora que no revele el papel de la computadora de este sistema. No lo hagas, por ejemplo, nombre “DC1”.
7. Ingrese una contraseña segura para la cuenta del administrador y escríbala. Si bien es cierto que debe memorizar contraseñas y no escribirlas donde otros puedan encontrarlas, es igualmente cierto que, durante una instalación, es fácil olvidar esa contraseña. Escríbelo y manténgalo a salvo hasta que lo haya memorizado, lo haya cambiado o lo haya reemplazado con otra tecnología. Tenga en cuenta que Windows 2003 intenta ayudarlo aquí, proporcionando una advertencia si intenta usar contraseñas en blanco, palabras comunes o contraseñas que no cumplan con los requisitos de complejidad.
8. Configurar configuraciones de red personalizadas. Todos los DC deben tener direcciones estáticas; Establecer ahora. Además, configure las direcciones de la puerta de enlace y el servidor DNS. Si el primer DC también será un servidor DNS, apunte el servidor a sí mismo. Encontrará mensajes de error en el registro hasta que agregue el servicio DNS, pero no olvidará este paso básico cuando promocione el servidor a un DC. Desactive NetBios a través de TCP/IP si no hay una computadora pre-Windows 2000 para comunicarse con este servidor.
9. Instale el servidor en un grupo de trabajo y cambie el nombre del grupo de trabajo. Simplemente está agregando un poco de oscuridad.
Promoción de servidor a DC
1. Use algo de tiempo para examinar el entorno entre la instalación y la selección del papel de DC. Hay varios pasos que puede tomar para bloquear el sistema. Si bien es posible que desee hacerlo después de la promoción de DC, pase tiempo examinándolos ahora, con este primer sistema. La promoción de un servidor a un DC cambia algunas configuraciones y querrá saber tanto el servidor predeterminado como los entornos básicos de CC.
2. Nota qué servicios están deshabilitados de forma predeterminada y cuáles no. ¿Puede deshabilitar servicios adicionales sin prevenir la promoción? ¿Cuales son? Windows 2003 es un sistema operativo interino. Si bien no cumple completamente el mandato informático confiable, es un paso en el camino. Una característica de seguridad es que muchos servicios están deshabilitados de forma predeterminada o, como IIS, no se instalan en absoluto. Una columna futura detallará para qué se utilizan los servicios y qué suceden cuando están deshabilitados, así como ofrecerá consejos sobre cuándo deshabilitarlos.
3. Abra el applet del sistema en el panel de control y, en el Actualizar la pestaña, desmarque “Mantenga mi computadora actualizada” (Figura 1). Debe administrar actualizaciones del sistema en DCS, si no todos los sistemas, de alguna otra manera. No desea arriesgar la inestabilidad o el compromiso porque desconoce los cambios de código en los sistemas clave. Las actualizaciones deben probarse y no es necesario descargar individualmente a cada máquina. Hacerlo es un desperdicio increíble de recursos y una fuente potencial de inestabilidad.
4. También en el applet del sistema, pero en la pestaña de acceso remoto, asegúrese de que la asistencia remota y las casillas de verificación de acceso remoto estén en blanco . Después de que se complete la configuración, configure y asegure el acceso remoto para la administración y utilice la política de grupo para establecer una política de acceso/asistencia remota para el dominio. Por ahora, debe asegurarse de que no sea posible acceso extraño al sistema.
Nota: puede recordar que la capacidad de un usuario ordinario para proporcionar asistencia remota se proporcionó por primera vez en Windows XP. Todo lo que un usuario tiene que hacer es enviar una invitación por correo electrónico o mensajero instantáneo, y otro usuario puede conectarse de forma remota. Con el permiso del usuario original, esta persona puede hacer cambios en la máquina del usuario. El problema, por supuesto, es que desea administrar cualquier acceso a los sistemas. La solicitud inocente de ayuda para usar asistencia remota puede abrir cualquier computadora en su red a la penetración de fuentes menos que amigables. No tiene lugar en su primer DC del bosque.
5. Hay una interfaz mejorada para administrar el applet de su servidor (Figura 2). El concepto de asignar roles a las computadoras y asegurarlos con atención a sus roles no es nuevo. Lo nuevo es la extensa documentación, detalles paso a paso y referencias de seguridad disponibles a través de esta interfaz. En estos días de reducción de los presupuestos de capacitación y viajes, tiene un curso completo de asegurar su red de Windows 2003 directamente en el escritorio. Aprovéchate de ello. Solo piense en ello: si cada uno de ustedes lee y toma esta información en serio, su red será más segura, y también lo hará todo Internet.
6. Comience sus estudios examinando el papel de DC. No olvide revisar los “próximos pasos” (cosas que hace después de mencionar el DC), lo que describe muchos planes y tareas de seguridad útiles. Use el applet “Administrar su servidor” para aplicar el rol del servidor al DC. Cuando selecciona “controlador de dominio” como el papel de esta computadora, la promoción incluirá una opción para seleccionar un servidor DNS en su red o instalar el servicio en este DC. Recomiendo la última opción, ya que luego puede asegurar la información de DNS como parte de su estrategia de CC.
7. Seleccione un nombre DNS apropiado para el dominio. Si la política no dicta y está seleccionando un nombre de dominio que no se registrará en Internet, asegúrese de usar el formato correcto. No use un nombre que carece de un período, ya que es necesaria una configuración adicional. Es posible que no solo encuentre que esto sea difícil, sino que obstaculizará sus intentos de aplicar la seguridad de todo el dominio. Si las computadoras no pueden ubicarse y conectarse a DCS, la política de grupo no se puede replicar y la configuración de seguridad no se aplicará.
8. Almacene la base de datos de Active Directory (%de la carpeta del sistema%NTDS) en un Diferente unidad que los registros (Lognds). Esto mejorará el rendimiento y facilitará la recuperación.
9. Seleccione el modo de compatibilidad como WIN2K y superior. Si se selecciona la compatibilidad con el modo de sistemas heredados, la seguridad está relajada en el sistema; Esto incluye acceso anónimo a las acciones.
10. Establezca una contraseña de administrador de modos de restauración de servicios de directorio sólidos y hágalo diferente de la contraseña del administrador del dominio. Estas cuentas son diferentes. Solo la cuenta de modo de restauración de servicios de directorio se puede utilizar para restaurar una copia de seguridad del estado del sistema. Al dar a estas cuentas diferentes contraseñas, puede separar las tareas, siempre una buena idea de seguridad. Asegúrese de escribir y almacenar la contraseña en un lugar seguro. La necesidad puede ser mucho después de que la persona que instala este servidor ha dejado la empresa.
después de la instalación
1. Asegúrese de acceso a un Timeserver. Por defecto, el sistema apunta a Time.windows.com; Pero después de promocionar esta máquina como la primera DC en el dominio de la raíz, se convierte en la fuente de tiempo para todas las computadoras en el bosque. Debe configurarlo para sincronizar con una fuente de tiempo confiable.
2. Verifique DNS. Específicamente, busque mensajes de error que no ocurriera y verifique el servidor DNS para obtener evidencia de la adición adecuada de todas las entradas para este DC. Recuerde, los problemas con DNS pueden significar que la configuración de seguridad cuidadosamente construida nunca se aplican.
3. Revise la configuración de seguridad predeterminada. Por ejemplo, tenga en cuenta que se establece una política de auditoría. Esto es excelente. La Figura 3 muestra la configuración predeterminada. Tenga en cuenta, sin embargo, que los elementos se activan solo para el éxito. Es posible que desee revisar estas políticas para registrar eventos de falla también. ¡La configuración predeterminada es un cambio de bienvenida!
4. Deshabilitar EFS. En este momento, debe ser consciente de la necesidad de educar a todos los usuarios antes de que se permita el uso de EFS, así como establecer métodos de recuperación. Window 2003 ofrece recuperación clave además de la recuperación de archivos, pero ambas soluciones deben entenderse a fondo y requerir configuración y capacitación. Deshabilite EFS hasta que su política y solución estén en su lugar al desmarcar la casilla de verificación “Permitir a los usuarios cifrar archivos utilizando el sistema de archivos de cifrado” en la página de propiedad de la política de clave pública en la configuración de seguridad de la política de seguridad de dominio predeterminada.
Esto es diferente al procedimiento seguido para Win2k. La Figura 4 muestra este cuadro de diálogo. En el fondo, puede ver el certificado de recuperación para el dominio. No es necesario eliminar este certificado para deshabilitar EFS. Windows 2003 no necesita tener un certificado de agente de recuperación para usar EFS, pero uno se proporciona de manera predeterminada, y los archivos encriptados en las computadoras en el dominio usan este certificado.
5. Examine el uso del grupo de todos en Derechos de los usuarios. Si bien Windows 2003 no incluye el SID anónimo en el grupo Everybell, aún debe abstenerse de usar este grupo cuando sea posible. ¡Ten cuidado! Eliminar este grupo sin comprender que los grupos deben agregarse para proporcionar el acceso adecuado puede ser desastroso. Considere que todos incluyen el sistema operativo. No desea eliminar los permisos para el sistema operativo.
6. Tenga en cuenta la aplicación predeterminada de seguridad de comunicaciones en opciones de seguridad. La firma de mensajes de SMB y la prohibición del uso de LAN Manager hace mucho para asegurar las comunicaciones de red entre las computadoras de Windows, pero también evita que algunos sistemas heredados se comuniquen. Otros necesitan configuración para hacerlo.
7. Secure el escritorio remoto para administradores utilizando la política de grupo.
8. Elimine la cuenta de administrador de la membresía en los administradores de esquemas. Si es necesaria la modificación del esquema, se puede volver a agregar. Al eliminar la cuenta ahora, usted hace que la revisión de este tipo de modificaciones sea más probable, porque nadie puede simplemente instalar una aplicación que modificará el esquema por accidente. /P>
9. Desarrolle e implemente una seguridad de línea de base integral para DCS.
referencias
adi shamir, Eran Tromer, “Sobre el costo de factorizar RSA-1024”, RSA Cryptobytes. Vol.6, No.2, 10-19, 2003
A.J.Menezes, P.C. Van Oorschot y S.A.Vanstone, “Handbook of Applied Cryptology”, Capítulos 3.2.6-3.2.7, pp.95-98, 1997
Arjen K. Lenstra, Adi Shamir “, Análisis y optimización de El dispositivo Twinkle Factoring “, Proc. Euro-Crypt 2002, LNCS 1807 35-52, Springer-Verlag, 2000
Arjen K. Lenstra, Adi Shamir, Jim Tomlinson, Eran Tromer, “Análisis del circuito de factorización de Bernstein”, Proc. Asiacrypt 2002, LNCS 2501, 1-26, Springer-Verlag, 2002
Daniel J. Bernstein, “Circuitos para la factorización entera: una propuesta”, NSF DMS, 2001
“Factoring Grandes números: ¿Diversión o ciencia aplicada? “, Http://www.cwi.nl/publications/annualreports/1999/ar/pdf/factoring.pdf
Sashisu Bajracharya y Han Sang,” Comparación de la factorización Algoritmos para grandes números – Especificación del proyecto “, 2004
