Windows NT presenta una arquitectura del
tipo cliente–servidor. Los
programas de
aplicación son contemplados por el sistema operativo
como si fueran clientes a los
que hay que servir, y para lo cual viene equipado con distintas
entidades servidoras.
Uno de los objetivos
fundamentales de diseño
fue el tener un núcleo tan pequeño como fuera
posible, en el que estuvieran integrados módulos que
dieran respuesta a aquellas llamadas al sistema que
necesariamente se tuvieran que ejecutar en modo privilegiado
(también llamado modo kernel, modo núcleo y modo
supervisor). El resto de las llamadas se expulsarían del
núcleo hacia otras entidades que se ejecutarían en
modo no privilegiado (modo usuario), y de esta manera el
núcleo resultaría una base compacta, robusta y
estable. Por eso se dice que Windows NT es
un sistema operativo
basado en micro-kernel.
Por tanto en un primer acercamiento a la
arquitectura
distinguimos un núcleo que se ejecuta en modo
privilegiado, y se denomina Executive, y unos módulos que
se ejecutan en modo no privilegiado, llamados subsistemas
protegidos.
Los programas de
usuario (también llamados programas de
aplicación) interaccionan con cualquier sistema operativo
(s.o. en adelante) a través de un juego de
llamadas al sistema propio de
dicho sistema. En el
mundo Windows en
general, las llamadas al sistema se
denominan API (Application Programming Interfaces, interfaces
para la programación de aplicaciones). En Windows NT y
en Windows 95 se usa
una versión del API llamada API
Win32.
Los subsistemas
protegidos.
Son una serie de procesos
servidores que
se ejecutan en modo no privilegiado, al igual que los procesos de
usuario, pero que tienen algunas características propias que los hacen
distintos.
Se inician al arrancar el s.o. y existen dos
tipos: integrales y
de entorno.
Un subsistema integral es aquel servidor que
ejecuta una función crítica del s.o. (como por
ejemplo el que gestiona la seguridad). Un
subsistema de entorno da soporte a aplicaciones procedentes de
s.o. distintos, adaptándolas para su ejecución bajo
Windows NT.
Existen tres de este tipo:
- Win32, que es el principal, y proporciona la
interfaz para aplicaciones específicamente construidas
para Windows
NT. - POSIX, que soporta aplicaciones UNIX.
- OS/2, que da el entorno a aplicaciones
procedentes del s.o. del mismo nombre.
El subsistema Win32.
Es el más importante, ya que atiende no
sólo a las aplicaciones nativas de Windows NT,
sino que para aquellos programas no
Win32, reconoce su tipo y los lanza hacia el subsistema
correspondiente. En el caso de que la aplicación sea
MS-DOS o
Windows de 16
bits (Windows 3.11 e
inferiores), lo que hace es crear un nuevo subsistema protegido.
Así, la aplicación DOS o Win16 se ejecutaría
en el contexto de un proceso
llamado VDM (Virtual DOS Machine, máquina virtual DOS),
que no es más que un simulador de un ordenador funcionando
bajo MS-DOS. Las
llamadas al API Win16 serían correspondidas con las
homónimas en API Win32. Microsoft
llama a esto WOW (Windows On
Win32). El subsistema soporta una buena parte del API Win32.
Así, se encarga de todo lo relacionado con la interfaz
gráfica con el usuario (GUI), controlando las entradas del
usuario y salidas de la aplicación. Por ejemplo, un buen
número de funciones de las
bibliotecas
USER32 y GDI32 son atendidas por Win32, ayudándose del
Executive cuando es necesario. El
funcionamiento como servidor de Win32
lo veremos un poco más adelante, en el apartado de
llamadas a procedimientos
locales.
El subsistema POSIX.
La norma POSIX (Portable Operating System
Interface for UNIX) fue
elaborada por IEEE para conseguir la portabilidad de las
aplicaciones entre distintos entornos UNIX. La norma se
ha implementado no sólo en muchas versiones de UNIX, sino
también en otros s.o. como Windows NT, VMS, etc. Se trata
de un conjunto de 23 normas,
identificadas como IEEE 1003.0 a IEEE 1003.22, o también
POSIX.0 a POSIX.22, de las cuales el subsistema POSIX soporta la
POSIX.1, que define un conjunto de llamadas al sistema en
lenguaje C. El
subsistema sirve las llamadas interaccionando con el Executive.
Se encarga también de definir aspectos específicos
del s.o. UNIX, como pueden
ser las relaciones jerárquicas entre procesos
padres e hijos (las cuales no existen en el subsistema Win32, por
ejemplo, y que por consiguiente no aparecen implementadas
directamente en el Executive).
El subsistema OS/2.
Igual que el subsistema POSIX proporciona un
entorno para aplicaciones UNIX, este subsistema da soporte a las
aplicaciones del s.o. OS/2. Proporciona la interfaz
gráfica y las llamadas al sistema; las llamadas son
servidas con ayuda del Executive.
El subsistema proceso de
inicio.
El proceso de
inicio (Logon Process) recibe las peticiones de conexión
por parte de los usuarios. En realidad son dos procesos, cada
uno encargándose de un tipo distinto de conexión:
el proceso de
inicio local, que gestiona la conexión de usuarios locales
directamente a una máquina Windows NT; y el proceso de
inicio remoto, el cual gestiona la conexión de usuarios
remotos a procesos
servidores de
NT.
El subsistema de seguridad.
Este subsistema interacciona con el proceso de
inicio y el llamado monitor de
referencias de seguridad (del
que trataremos en el Executive), de esta forma se construye el
modelo de
seguridad en
Windows NT. El subsistema de seguridad
interacciona con el proceso de inicio, atendiendo las peticiones
de acceso al sistema. Consta de dos subcomponentes: la autoridad de
seguridad local y el administrador de
cuentas.
El primero es el corazón
del subsistema de seguridad, en general gestiona la política de seguridad
local, así, se encarga de generar los permisos de acceso,
de comprobar que el usuario que solicita conexión tiene
acceso al sistema, de verificar todos los accesos sobre los
objetos (para lo cual se ayuda del monitor de
referencias a seguridad) y de controlar la política de
auditorías, llevando la cuenta de los mensajes de auditoría generados por el monitor de
referencias.
El administrador de
cuentas mantiene
una base de datos con
las cuentas de todos
los usuarios (login, claves, identificaciones, etc.). Proporciona
los servicios de
validación de usuarios requeridos por el subcomponente
anterior.
BOOTEO DEL
EQUIPO
Todos los archivos que
definiremos a continuación deben estar en el directorio
raíz de la partición del sistema y son para
tecnología
INTEL x86:
- NTLDR (H,R,S)
- BOOT.INI (R,S)
- BOOTSECT.DOS (H,S)
- NTDETECT.COM (H,R,S)
- NTBOOTDD.SYS ( Solamente para los sistemas que
butean de un SCSI, en donde el BIOS en el
adaptador SCSI se encuentra deshabilitado ).
Los archivos que
definiremos a continuación son necesarios para
tecnologías RISC:
- OSLOADER.EXE
- *.PAL
- NTOSKRNL.EXE
- Pasos para el buteo en tecnologías
INTEL x86:
- El archivo NTLDR
cambia el procesador del
modo real al modo 32-bits de la memoria
plana. NTLDR como es el caso con código de 32-bits,
requiere de este modo de memoria antes
de que pueda llevar a cabo las funciones. - NTLDR arranca el sistema de Drivers Minifile
apropiado. Los sistemas de
dispositivos Minifile se construyen en NTLDR para encontrar y
cargar Windows NT de diferentes formatos de sistemas de
archivos (
FAT o NTFS ). - NTLDR lee el archivo
BOOT.INI y muestra la
selección del sistema
operativo. - NTLDR carga el sistema
operativo cargado por el usuario. Uno de los dos siguientes
eventos puede
ocurrir:
– Si el Windows NT es seleccionado, NTLDR corre
el NTDETECT.COM.
– Para otro sistema operativo, NTLDR carga y
ejecuta el BOOTSECT.DOS y le pasa el control. Entonces
el otro sistema operativo butea.
- Pasos para el buteo en tecnologías
RISC:
– Luego de la secuencia del
prebuteo:
- OSLOADER.EXE carga el NTOSKRNL, HAL.DLL los
archivos
*.PAL y el sistema HIVE. - OSLOADER.EX Escanea el sistema y carga los
drivers de los dispositivos configurados para que arranque en
el tiempo de
buteo.
OSLOADER.EXE pasa el control a
NTOSKRNL.EXE en el punto que el proceso de buteo termina y
comienza las fases de carga.
ADMINISTRACION DEL SISTEMA,
INTERPRETE DE COMANDOS Y PANEL
DE CONTROL
La mayoría de la información del sistema se encuentra en el
panel de
control. A este se puede acceder haciendo click en inicio,
configuración y panel de
control.
Fecha y hora
El cuadro de diálogo Fecha y hora
permite modificar la fecha y hora del sistema, así como la
zona horaria en la que se haya el sistema. En caso de ser
necesario, una utilidad del kit
de recursos permite
modificar y crear nuevas zonas horarias que complementen a las
suministradas con el sistema.
Para cambiar la hora y/o la fecha y/o la zona
horaria, simplemente cliquear en la barra deslizante y
seleccionar la zona horaria deseada. Para cambiar la fecha u
hora, posicionarse con el mouse en el
lugar deseado, hacer un click y con el tecleado lo
cambiamos.
Configuración
regional
NT, al igual que Windows, está preparado
para soportar diversos idiomas y trabajar en diferentes
países, con diferentes esquemas de ordenación
alfabética, moneda y formas de escribir la fecha, hora y
signos de puntuación en números y monedas. Se puede
modificar:
Configuración regional: Permite
seleccionar las características del idioma de cada
región.
Número. Selecciona el formato para
números y el sistema de medida.
Moneda. Selecciona la representación de
cantidades monetarias.
Hora: Selecciona el formato para representar
las horas
Fecha: Selecciona el formato para representar
las fechas.
Idioma. Permite seleccionar y añadir
diferentes idiomas, con sus correspondientes configuraciones de
teclado.
También permite habilitar atajos del teclado que
intercambian las configuraciones del teclado.
También permite cambiar los seteos de
inicio y apagado. Esto es en la parte de propiedades del sistema,
hacemos un click donde dice
startup/shoutdown.
Impresoras
Normalmente la mayoría de las
aplicaciones informáticas necesitan una impresora
predeterminada para funcionar.
Para instalar una nueva impresora al
sistema NT dispone de un sencillo asistente que nos guía
en el proceso de instalación. Para acceder a este
asistente se utiliza el icono Agregar impresora del
Panel de
controlImpresoras.
En NT la impresora
puede estar instalada en el propio equipo o ser una impresora de
red. El caso
más sencillo consiste en que la impresora esté
conectada a un servidor NT, que
la ha compartido. En este caso para conectarnos a la impresora
basta seleccionar en el asistente la opción Servidor de
impresora de red. Al seleccionar esta
opción aparece un cuadro de diálogo con las
impresoras
compartidas por los equipos. Las impresoras
compartidas por los NT aparecen aparte, como elementos separados
del equipo que las comparte, haciendo más fácil su
localización.
La opción instalar la impresora en el
propio equipo conduce a una serie de asistentes que nos permiten
configurar y compartir la impresora.
Panel de Control, Impresoras,
Asistente
El primer paso consiste en seleccionar el
puerto al que está conectada la impresora. Puede
ser:
Un puerto
paralelo LPT, normalmente el LPT1
Un puerto serie (los trazadores gráficos
antiguos los suelen usar)
Un puerto de red (cuando hay conexiones a
impresoras de
red)
Un archivo. En este
archivo se
almacenarán los comandos
necesarios para imprimir el documento en la impresora. Se suele
usar para generar archivos
Postcript.
Un puerto nuevo, que quizás usa un
hardware o
software
especial. Un ejemplo de este tipo son los puertos Jetdirect de
red usados por
las impresoras HP.
En este cuadro de diálogo se puede
activar la cola de impresión de NT (normalmente esta
opción no se activa por defecto, sino que se imprime
directamente en el puerto)
Luego hay que elegir el modelo de la
Impresora. El cuadro de diálogo está organizado por
Fabricantes y modelos, por
lo que se encuentran rápidamente los modelos
adecuados. También se puede añadir una impresora no
disponible en NT con los controladores proporcionados por el
fabricante.
Tras elegir el modelo hay que
ponerle un nombre en el siguiente cuadro de diálogo.
Normalmente NT elige un nombre adecuado, que coincide con el
modelo de la
impresora.
El siguiente cuadro de diálogo permite
compartir la impresora. Si se comparte NT se debe
elegir:
Un nombre para la impresora, que también
sugiere el asistente.
Los controladores que se van a compartir. Se
puede añadir el soporte para otras plataformas NT y
Windows, aunque hará falta tener los discos
correspondientes. Esto permite que los clientes se
conecten a
nuestra impresora sin necesidad de instalar
ellos ningún controlador de impresora. Al conectarse a la
impresora los controladores se transfieren al cliente de forma
automática.
El proceso de instalación finaliza con
la impresión de una página de prueba opcional, que
permite verificar la correcta instalación de la
impresora.
Agregar o quitar programas
En este icono podemos acceder a un cuadro de
diálogo que nos permite realizar varias
labores:
-Instalar nuevas aplicaciones. El botón
instalar lanza un asistente que busca en las unidades de disco y
de CD-ROM
ficheros con nombre típico de programas de
instalación , como pueden ser instalar.exe y setup.exe y
si los encuentra nos permite ejecutarlos.
-Eliminar los programas instalados. Muchos
programas para Windows 95 y NT
traen sus propios programas de desinstalación
automática. Estos programas saben como registrarse en el
registro de
NT, de manera que pulsando el botón de agregar o quitar se
reinstalan o desinstalan
automáticamente.
-Instalar o eliminar componentes adicionales de
NT. Durante el proceso de instalación, al elegir una de
las posibles instalaciones (típica, portátil, a
medida…) se seleccionan los componentes que se han de instalar.
Con este cuadro de diálogo podemos añadir o
eliminar componentes adicionales desde el CD-ROM de
instalación.
Desinstalación manual de
aplicaciones.
Ocurre a veces que el programa de
instalación de una aplicación no es capaz de
desinstalarla. Esto puede ocurrir por un fallo del propio
programa o
porque otra aplicación la ha alterado. En este caso se
debe proceder manualmente. Para ello:
-.Se deben eliminar todos los ficheros de la
aplicación. Normalmente hay que borrar el directorio de la
aplicación y algunos directorios de datos.
– Se deben borrar los accesos directos creados
por la aplicación. Esto se puede hacer con el explorador
de NT, en el escritorio y en el menú de
inicio.
– Se deben borrar las librerías de haya
dejado la aplicación en el sistema. En NT y 95 al instalar
una librería se incrementa la clave del registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSharedDlls
correspondiente a la
librería
-.Se deben eliminar las claves del registro que ha
añadido la aplicación, normalmente
en:
HKEY_LOCAL_MACHINESoftwareCompañíaAplicación
y en otras partes del registro. La
clave del registro:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall
Indica el nombre del programa de
desinstalación para la
aplicación.
Dispositivos
Este cuadro de diálogo permite ver
el estado de
los dispositivos instalados en el sistema. NT por defecto instala
gran cantidad de dispositivos aunque no los utilice. En
particular, el programa de
instalación de NT carga los controladores SCSI y algunos
controladores de dispositivos de pantalla. Esto es necesario ya
que durante el proceso de instalación le puede pedir a NT
que busque estos dispositivos. Para ello NT carga cada
controlador de dispositivos e intenta iniciarlo. Si el
controlador de dispositivo arranca quiere decir que el
dispositivo está funcionando
correctamente.
Cada dispositivo puede
tener:
- Un tipo de inicio.
- Inicio. Se utiliza para controladores de
dispositivos que se cargan en las primeras etapas de carga del
sistema, como por ejemplo el controlador ATAPI y el
DISK. - Sistema. Son los dispositivos que se cargan
después de cargar el sistema. Por ejemplo el controlador
del ratón y de la disquetera
(floppy) - Automático. Estos dispositivos se
cargan de la carga completa del sistema. - Manual. Estos dispositivos los carga el
usuario u otros controladores de dispositivos. Por ejemplo el
controlador de la tarjeta de
red normalmente lo carga los servicios de
red. - Deshabilitado. Son controladores de
dispositivos que no se pueden cargar normalmente, como por
ejemplo los controladores SCSI de adaptadores no instalados.
Hay algunos dispositivos que aparecen como deshabilitados pero
están iniciados. Estos dispositivos se cargan en la
primera fase de arranque del sistema operativo. Por ejemplo los
controladores de sistemas de
ficheros FastFAT y NTFS son un ejemplo. - Un estado. El
dispositivo puede estar iniciado o no
iniciado. - Un perfil asociado. NT permite definir
perfiles del sistema diferentes. Cada perfil tiene su propia
configuración del sistema. Normalmente se usa para
equipos portátiles con unidades de expansión de
puertos (docking stations), que permiten añadir periféricos al portátil al
insertar el portátil en la ranura de
expansión.
Dispositivos de cinta
Este cuadro de diálogo permite agregar
dispositivos de cinta. El funcionamiento es análogo al de
Adaptadores SCSI, aunque se ha incluido un botón para
detectar los dispositivos de cinta
instalado.
MEMORIA
Windows NT y UNIX implementan un
direccionamiento lineal de 32 bits y memoria
virtual paginada bajo demanda. El
VMM se encarga de todo lo relacionado con la política de gestión
de la
memoria.
Determina los conjuntos de
trabajo de cada proceso, mantiene un conjunto de páginas
libres, elige páginas víctima, sube y baja
páginas entre la memoria RAM y el
archivo de
intercambio en disco, etc.
El cuadro de diálogo de Memoria
virtual nos permite ajustar los archivos de paginación
y de registro.
Este cuadro de diálogo permite ver todos
los ficheros de intercambio creados. Para cada unidad de disco se
puede establecer un fichero de intercambio, que tendrá un
tamaño mínimo y máximo. Este cuadro de
diálogo nos indica el total de espacio de intercambio
disponible para el sistema y las
aplicaciones.
También en este cuadro de diálogo
se puede establecer el tamaño del registro máximo.
Esto evita que el mal funcionamiento de una aplicación
pueda desbordar el registro. Normalmente no hace falta modificar
el tamaño sugerido por el sistema.
El Windows NT utiliza un proceso llamado
demanda de
página para intercambiar datos entre la
RAM y uno o
más páginas memoria. Cuando
el Windows NT es instalado crea una memoria
virtual de estas páginas de memoria llamada
PageFile.SYS.
Para acceder a este ítem se cliquea
dentro del panel de control
propiedades del sistema y luego en la barra memoria
virtual.
Administrador de Procesos
Se encarga (en colaboración con el
administrador
de objetos) de crear, destruir y gestionar los procesos y
subprocesos. Una de sus funciones es la
de repartir el tiempo de
CPU entre los
distintos subprocesos. Suministra sólo las relaciones
más básicas entre procesos y subprocesos, dejando
el resto de las interrelaciones entre ellos a cada subsistema
protegido concreto. Por
ejemplo, en el entorno POSIX existe una relación filial
entre los procesos que no existe en Win32, de manera que se
constituye una jerarquía de procesos. Como esto
sólo es específico de ese subsistema, el administrador de
objetos no se entromete en ese trabajo y lo deja en manos del
subsistema.
El administrador de
entrada/salida (I/O Manager).
Consta de varios subcomponentes: el
administrador del sistema de ficheros, el servidor de red, el
redirector de red, los drivers de dispositivo del sistema y el
administrador de cachés.
Buena parte de su trabajo es la gestión
de la
comunicación entre los distintos drivers de
dispositivo, para lo cual implementa una interfaz bien definida
que permite el tratamiento de todos los drivers de una manera
homogénea, sin preocuparse del funcionamiento
específico de cada uno. Trabaja en conjunción con
otros componentes del Executive, sobre todo con el VMM. Le
proporciona la E/S síncrona y asíncrona, la E/S a
archivos asignados en memoria y las
caches de los ficheros. El administrador de caches no se limita a
gestionar unos cuantos buffers de tamaño fijo para cada
fichero abierto, sino que es capaz de estudiar las estadísticas sobre la carga del sistema y
variar dinámicamente esos tamaños de acuerdo con la
carga. El VMM realiza algo parecido en su
trabajo.
Administración de
discos
Para llegar al administrador de discos, debemos
cliquear en inicio, luego señalamos programas y luego el
menú herramientas
administrativas (común). Allí encontraremos el
administrador de discos el cual nos permite administrar los
recursos del
disco, realizar cambios a mi disco duro, o
para crear particiones en un disco duro
adicional.
Para la administración de usuarios también
en las herramientas
administrativas se encuentra un administrador de usuarios para
dominio. Este
nos permite establecer, eliminar o desactivar cuentas de
usuarios del dominio.
También puede establecer directivas de seguridad y agregar
cuentas de
usuarios a grupos.
El Windows NT permite al administrador y el
cliente manejar
las aplicaciones bajo este sistema
operativo.
Command Prompt. Se encuentra en inicio y
programas. Desde el Command Prompt un usuario puede hacer entre
otras cosas:
Ejecutar cualquier archivo batch, ya sea .Bat
o Cmd
Comenzar cualquier Windows NT (32-bit),
Windows 3.x (16-bit), Ms-Dos, OS/2
1.x.
Administrar o usar los recursos de la
red.
Copia y pegar información entre las aplicaciones, aun
cuando las aplicaciones corran bajo distintos
subsistemas.
También nos permite configurar el
Command Prompt, mediante las propiedades de la consola de la
ventana.
Windows NT prioriza las aplicaciones y
distribuye el tiempo de proceso
entre las mismas. La base de la prioridad puede ser ajustada para
aumentar o disminuir la performance.
Los niveles de las prioridades van desde 0 a
31.
Prioridad
0-15 aplicaciones
dinámicas
16-31 aplicaciones de tiempo
real.
Comenzar una aplicación con una
prioridad específica:
Para cambiar la base de la prioridad de una
aplicación.
Usar el comando Start y alguna de estas
opciones.
/realtime (establecer la base de la prioridad
a 24)
/high (establecer la base de la prioridad a
13)
/normal (establecer la base de la prioridad a
7)
/low (establecer la base de la prioridad a
4).
Para dar un ejemplo. Si se quiere comenzar el
Notepad con una prioridad alta, en el Command
Prompt
Star/High Notepad.
MANEJO DE ARCHIVOS, DIRECTORIOS,
ETC
Para el manejo de directorios, archivos,
creación, eliminación, etcétera existen
varias formas:
- Para crear una carpeta o
directorio:
a) Hacer doble click en mi PC y luego hacer
doble click en la unidad o carpeta en la que se quiere colocar la
nueva carpeta.
b) En el menú archivo señalar
nuevo y hacer click en carpeta.
c) Escribir el nombre de la carpeta y presionar
enter.
- Para mover o copiar un archivo o
carpetas:
a) Hacer doble click en mi pc. Buscar el
archivo o carpeta que se quiere mover o copiar y hacer click en
el mismo.
b) Hacer click en edición. Para mover el
archivo, hacer click en cortar para hacer una copia del archivo,
hacer click en copiar.
c) Abrir la carpeta donde se quiere colocar el
archivo, hacer click en edicion y luego hacer click en
pegar.
- Para eliminar un archivo una
carpeta.
a) Hacer doble click en Mi pc. Buscar la
carpeta o el archivo que se quiera eliminar y
cliquearlo.
b) En el menú archivo hacer click en
eliminar.
- Para copiar un archivo a un
disquete.
a) Hacer doble click en Mi Pc. Buque el archivo
o la carpeta la que se quiere copiar y hacer doble click en
el.
b) En el menú archivo, señalar a
enviar y hacer click en la unidad en la que se desea el archivo o
la carpeta.
* Forma alternativa
Otra forma de mover, copiar o eliminar la
información deseada es arrastrarla de un
lugar a otro usando el mouse.
- En el Explorador de Windows NT, abra la
Carpeta que contiene el archivo o la Carpeta que se quiera
mover o copiar. - Presionar el botón del mouse y
mantenerlo presionado mientras arrastramos el icono a la
carpeta donde se quiere moverlo o copiarlo. Luego soltar el
botón del mouse. - Hacer click en mover aquí o copiar
aquí.
* Forma Alternativa II
Otra de las formas es utilizando el explorador
de Windows, que es idéntico al de Windows
95.
Copias de Resguardo
- Hacer clic en el botón inicio,
señalar a programas y luego a herramientas
administrativas ( común ) - Hacer clic en copias de
seguridad.
Desde esa ventana se puede seleccionar los
archivos de los que desea hacer copias de seguridad, comprobar
el estado de
la copia de seguridad y establecer diversas
opciones.
El Administrador de
usuarios
En NT hay dos tipos de usuarios, aquellos que
pertenecen a una máquina que corre NT WK o Server y
aquellos que pertenecen a un dominio NT. Para
cada uno de estos tipos de usuarios existe una herramienta de
administración: el administrador de
usuarios incluido en NT Workstation y el administrador de
usuarios para dominios incluido en NT Server. El funcionamiento
de ambos es muy similar, pero el administrador de usuarios para
dominios dispone de más opciones. Por ello, se
describirá el administrador de usuarios para
dominios.
Las tareas que se pueden realizar con el
administrador de usuarios:
– Añadir, modificar y eliminar usuarios
del dominio.
– Añadir, modificar y eliminar grupos locales y
globales del dominio.
– Fijar el plan de cuentas y
contraseñas en el dominio.
– Fijar la política de derechos de usuario en el
dominio.
– Establecer el sistema de auditoria en el
dominio.
– Establecer relaciones de confianza entre
dominios.
Creación y modificación de
usuarios en el dominio.
Para crear un usuario se pulsa UsuariosNuevo y
se completa el cuadro de diálogo.
Usuario nuevo
En este cuadro hay que rellenar una serie de
campos:
Nombre de usuario: Es el identificador que
representa al usuario en el dominio. Debe ser una palabra
completa, sin espacios en blanco ni caracteres especiales, de
hasta14 caracteres [verificar]. este identificador debe ser
único en el dominio. Se le suele conocer también
como nombre de cuenta o login. Este identificador es el que se
debe suministrar, junto con la contraseña, para iniciar
sesión en un dominio NT.
Nombre completo: Es el nombre completo del
usuario. Si este usuario es una persona se
suele escribir el nombre u apellidos.
Descripción. Conviene añadir una
descripción de la labor, grupo de
personas o
departamento al que pertenecen el usuario,
sobre todo si la base de datos
de usuarios en el dominio es grande. Contraseña.
Aquí se debe escribir la contraseña para el
usuario. Puede incluir espacios, mayúsculas y
minúsculas, e incluso caracteres especiales. NT admite
hasta 14 caracteres. Cuando se va escribiendo aparecen
asteriscos, y una vez completada en el cuadro aparece una
línea de asteriscos, siempre de la misma
longitud.
Repetir contraseña. Hay que introducir
de nuevo la contraseña, para comprobar que se ha escrito
correctamente.
Tras estos campos aparecen una serie de botones
activables:
El usuario debe cambiar su contraseña.
La primera vez que inicia sesión en NT se va a solicitar
que introduzca una nueva contraseña. Habitualmente los
administradores crean los usuarios nuevos con contraseñas
del tipo "cámbiame", que obligan al nuevo usuario a
cambiar su contraseña al iniciar sesión por primera
vez.
El usuario no puede cambiar su
contraseña. Se utiliza en tareas administrativas
especiales,
y bloquea el cambio de
contraseña por parte del usuario.
La contraseña nunca caduca. Desactiva la
caducidad de contraseñas para esta usuario. Se utiliza
normalmente sólo para algunos usuarios que lo
necesitan.
Cuenta desactivada. Permite bloquear la cuenta
fácilmente sin borrarla. Se suele utilizar cuando el
usuario no va a iniciar sesión durante un periodo de
tiempo o
cuando se va a cambiar la configuración o entorno del
usuario y se necesita que no pueda acceder temporalmente al
sistema.
Administrador de Usuarios, Usuario nuevo,
Grupos
Al final del cuadro de diálogo aparecen
varios botones:
Grupos. Permite establecer los grupos a los que
pertenece un usuario. En NT hay dos tipos de grupos:
- Grupos globales. Válidos para
dominios en los que se confían. Aparecen marcados con el
icono de grupo
global. - Grupos locales. Son grupos locales
al servidor o estación de
trabajo.
Además se puede asignar un grupo primario
para el usuario [Este grupo es
utilizado en entornos Macintosh]
Administrador de Usuarios, Usuario nuevo,
Perfiles
Perfil. Permite controlar las características del entorno de un
usuario.
Se puede establecer:
Perfil. Nombre del fichero que representa el
perfil del usuario para NT. Hay que escribir un fichero en
formato UNC (Univer name convention), es decir:
\servidorrecursodirectoriofichero.bat.
Archivo de inicio. Asigna un archivo que se
ejecutará al iniciar la sesión de red en el
dominio. El archivo debe residir en el servidor que valida el
inicio de sesión. Este fichero se debe hallar en la
carpeta NETLOGON del servidor que valida el inicio de
sesión.
Directorio de trabajo. Admite dos modalidades
de uso.
Ruta de acceso local. Utilizar una ruta local
al ordenador en que se inicia la
sesión.
Conectar una letra de unidad a una unidad de
red del tipo \servidorrecurso.
A. El directorio de trabajo es el que aparece
por defecto en los cuadros de diálogo de guardar un
fichero en una aplicación Windows.
Horas. En el botón Horas podemos acceder
al cuadro de diálogo de Horas de inicio de
sesión.
Administrador de Usuarios, Usuario nuevo, Horas
de inicio
En este cuadro de diálogo se pueden
fijar las horas de inicio de sesión en los servidores del
dominio, en intervalos de 1 hora, para cada día de la
semana. En principio una vez iniciada la sesión el usuario
puede seguir trabajando en los servidores,
aunque se puede modificar esto para que los servidores
cierren la sesión del usuario al terminar las horas
permitidas, mediante el cuadro de diálogo Plan de cuentas
en el menú de Directivas del Administrador de
Usuarios.
Iniciar desde. Este cuadro de diálogo
permite seleccionar los ordenadores desde los cuales un usuario
puede iniciar sesión. Se pueden especificar hasta 8
ordenadores que ejecuten NT, o permitir el inicio en todos los
ordenadores del dominio.
Administrador de Usuarios, Usuario nuevo,
Cuenta
Cuenta. El cuadro de diálogo Información de cuenta permite especificar
el tipo de cuenta y su duración. Se puede elegir que la
cuenta caduque en una fecha determinada o que no tenga caducidad.
También se puede especificar si es una cuenta global o
local.
Administrador de Usuarios, Usuario nuevo,
Marcado
Marcado. El cuadro de diálogo de Marcado
permite especificar las propiedades de marcado para el
usuario.
Modificar un usuario.
Utilizando el menú UsuarioPropiedades o
haciendo doble clic sobre un usuario o grupo se puede
modificar el mismo.
Al modificar un usuario se acceden a los mismos
cuadros de diálogo empleados al crearlo salvo que ahora
aparece una casilla para cuentas bloqueadas. Si el bloqueo de
cuentas está activado en el dominio y el usuario ha
fallado el número de veces limitado para ese dominio, esta
casilla aparece activada. Al desactivarla, la cuenta del usuario
es desbloqueada.
Nota importante: existe una ligera demora al
cambiar las propiedades de un usuario o grupo del dominio, debido
a que la base de datos de
usuarios del dominio tarda unos minutos en actualizarse en los
controladores secundarios. Se puede forzar la
actualización inmediata mediante la sincronización
manual de los
servidores.
Creación de Grupos
Para un NT Workstation (o Server configurado
como servidor) el administrador de usuarios permite crear grupos
locales, que sólo tienen validez en el propio ordenador.
El administrador de usuarios para dominios permite crear dos
tipos de grupos: globales y locales.
Los grupos locales pueden obtener permisos en
los servidores del dominio propio. Pueden ser miembros de los
grupos locales los miembros del dominio, los grupos globales del
dominio y los grupos globales de otros dominios en los que se
confía. Los grupos globales tienen como miembros a los
usuarios del dominio y se pueden utilizar tanto en los servidores
del dominio como en las estaciones de trabajo del dominio.
También se pueden usar en otros dominios en los que se
confía.
Creación de un Grupo Global
nuevo.
Para añadir un grupo global nuevo se
selecciona el menú UsuarioGrupo Global nuevo y se
proporcionan en el cuadro de diálogo el nombre del grupo y
una descripción opcional. Podemos además
añadir usuarios al grupo.
Creación de un Grupo Local
nuevo
Para añadir un grupo local nuevo se
selecciona el menú UsuarioGrupo Local nuevo y se
proporcionan en el cuadro de diálogo el nombre del grupo y
una descripción opcional. Podemos además
añadir usuarios al grupo.
Usos de grupos locales y
globales.
Cuando se crea un dominio el programa de
instalación de NT crea una serie de grupos globales y
locales del dominio. También se crea la cuenta del
administrador del dominio, y se añade al grupo
administradores del dominio.
El grupo administradores que se ha creado
permite administrar todos los servidores del dominio. NT
añade al grupo local administradores el grupo
administradores del dominio. De igual manera ocurre con el grupo
de usuarios e invitados.
Cuando una estación de trabajo es
añadida al dominio, NT añade automáticamente
los tres grupos globales del dominio (administradores, usuario e
invitados del dominio) a los grupos locales correspondientes de
la estación de trabajo.
Los grupos locales se utilizan para asignar
tareas especiales en las estaciones de trabajo o servidores del
dominio. Por ejemplo se pueden crear los grupos especiales para
trabajar con el recurso como una impresora láser en
color, cuyo
acceso queremos restringir. Uno lo podemos llamar
"Administradores de láser color" y otro
"Usuarios de láser color". Ahora
basta dar permisos de impresión al grupo "Usuarios de
láser color" y control total al
grupo "Administradores de láser color".
Para añadir usuarios a estos grupos
bastaría añadir al grupo "Administradores de
láser color" el grupo "Administradores del dominio" y al
grupo "Usuarios de láser color" los miembros del dominio
autorizados a imprimir en ella. Este último paso lo
podemos hacer de un medio más eficiente si creamos un
grupo global "Usuarios de impresora láser color" y
añadimos este grupo al grupo local "Usuarios de
láser color". Para dar permisos de impresión a los
usuarios y grupos utilizaremos elAdministrador de
Impresión de dicha impresora, accesible desde el
menú de inicio
ConfiguraciónImpresoras.
Cada usuario en NT debe pertenecer a uno o
varios grupos globales o locales, indistintamente. Los grupos
locales se definen en cada estación de trabajo NT o en
cada servidor. Para los servidores hay dos posibles
configuraciones : si el servidor está configurado como
controlador de dominio, primario o secundario, los grupos locales
son los que se definen para todos los servidores controladores
del dominio. Es decir, todos los controladores del dominio
comparten la misma lista de grupos locales. Para los servidores
configurados como servidor, los grupos locales se definen en el
propio servidor, del mismo modo en que se hacen con las
estaciones de trabajo.
La siguiente tabla muestra los
grupos de que se pueden crear en NT y los usuarios y grupos que
les pueden añadir.
Usuarios que se pueden crear en NT Station y Server ( no controlador de | Usuarios y grupos que se pueden |
Grupos Locales |
|
Usuarios Locales. |
|
Usuarios que se pueden crear en NT Server | Usuarios y grupos que se pueden |
Grupos Locales
|
|
Usuarios Locales. |
|
Grupos Globales. | Usuarios del |
Usuarios del |
|
Administración del plan de
seguridad.
En NT se pueden fijar una serie de directivas
comunes para todo el dominio. Entre estas se puede fijar el
plan de
cuentas para el dominio, que fija propiedades de las cuentas
tales como la política de
contraseñas, el plan de derechos de usuarios, que
permite asignar determinados permisos genéricos a usuarios
o grupos del dominio, o el plan de auditoria, que permite activar
los elementos del sistema de auditoria en el
dominio.
Administración del plan de
cuentas.
Desde el menú DirectivasCuentas podemos
acceder al cuadro de diálogo "Plan de
cuentas".
En este cuadro podemos fijar las limitaciones
de las contraseñas y el sistema de bloque de
cuentas.
Cuando se ha seleccionado caducidad para la
contraseña de un usuario, la contraseña
utilizará las opciones elegidas en este cuadro de
diálogo. Se puede elegir:
- Duración máxima de la
contraseña, en días. - Duración mínima de la
contraseña, para que el usuario cambie dos veces su
contraseña - y vuelva a usar la contraseña
antigua. - Longitud mínima de la
contraseña. Las contraseñas con más de 6
caracteres son - difíciles de saltar por métodos
de asalto masivo (crackers), también llamados de
"fuerza
bruta". Esto es útil en redes conectadas a
Internet. - Historia de la contraseña, que obliga
al usuario a no repetir las últimas
contraseñas. - Bloqueo de Cuentas
El sistema de bloqueo de cuentas permite a los
controladores de dominio reaccionar frente a los intentos
fallidos de iniciar sesión en el dominio. Si se activa el
bloque de cuentas entonces al alcanzarse el numero de intentos
especificado la cuenta es bloqueada. Su el número de
intentos fallidos no alcanza al especificado, el usuario puede
esperar el tiempo fijado en "restablecer cuenta" para poder volver a
intentarlo. Fijando por ejemplo estos parámetros a 4
intentos y 10 minutos suele bastar para disuadir de accesos no
autorizados. Una vez bloqueada la cuenta se puede elegir entre
desbloqueo automático o manual, con
intervención del administrador del
dominio.
También en este cuadro de diálogo
se puede seleccionar si los usuarios remotos
serán
desconectados de los servidores al acabar su
tiempo de conexión y si un usuario debe iniciar
sesión en una estación de trabajo para poder cambiar
su contraseña.
Administración del plan de derechos de
usuarios.
Los derechos de usuarios son una
serie de permisos que no se aplican sobre un objeto concreto, como
un fichero, impresora o directorio, sino que se aplican al
sistema completo. Estos permisos tienen prioridad sobre los
permisos asignados sobre los objetos del sistema. Se pueden
asignar a cada tipo de derecho de usuario los usuarios o grupos
de usuarios a los que se necesite otorgar ese
derecho.
Los derechos de usuarios pueden
ser modificados desde el cuadro de diálogo "Plan de
derechos de usuarios" accesible desde el menú
DirectivasDerechos de usuarios.
Si se activa la casilla "Mostrar derechos de
usuario avanzados" se pueden ver algunos derechos de usuarios
más específicos. Normalmente los derechos de
usuario asignados por NT asignan derechos suficientes a los
grupos de usuarios creados por NT. Cuando se instalan algunos
servicios,
como servidores de correo, de Web y similares
suele ser necesario cambiar algunos de estos derechos. Los
más frecuentes suelen ser:
- Iniciar sesión como servicio.
Permite asignar un usuario a un servicio.
Suele ser usuario en servidores de ficheros tipo FTP, Gopher
y Web, ya que
permite asignar permisos a los ficheros para ese usuario,
limitando el acceso a otros ficheros del sistema.
También lo usa el servicio de
duplicación de directorios. - Iniciar sesión como proceso por
lotes. Este derecho está pensado para los servicios
que atienden las peticiones de usuarios en forma de
transacciones, como por ejemplo servidores POP3 y otros.
Actualmente no está implementado en el sistema
operativo, pero algunos servicios
verifican que el usuario posea este derecho antes de atender su
petición.
Seguridad
La seguridad en Windows NT es una
combinación de técnicas que aseguran un nivel de
protección consistente contra los accesos no deseados.
Para implementar la seguridad, tendremos que proteger la red, el
sistema operativo y los datos. Para eso,
disponemos de la autentificación de acceso propia de
Windows NT, seguridad a nivel de objeto y derechos de usuarios.
Para sacar provecho de los más altos niveles de seguridad
que permite Windows NT, el nivel de seguridad C2, necesitaremos
tanto el hardware como el software adecuados. NT
dispone de herramientas
de auditoría que nos permitirán conocer
nuestros niveles de seguridad, pero tendremos que tener muy
presentes los temas relativos a la seguridad cuando entran en
juego las
comunicaciones
sobre la Internet. Para estar
seguro que
estamos protegidos en todos los frentes, nos es necesario conocer
determinadas técnicas.
La seguridad
La seguridad puede ser clasificada en tres
diferentes áreas funcionales: seguridad a nivel de red,
seguridad del sistema operativo y encriptación de datos.
-La Seguridad de red ofrece
autentificación (verificando que el servidor de datos y que el
receptor de los mismos son correctos) y verificando la integridad
de la información (de forma que los datos
enviados y los recibidos sean los mismos). Conseguir este nivel
de seguridad a nivel de red significa haber implementado un
protocolo de red,
como NetBEUI o TCP/IP, ajustado a
las necesidades de la red.
Esos protocolos
ofrecen varios niveles de seguridad, rendimiento (conseguidos
reduciendo al mínimo la carga derivada de la seguridad),
flexibilidad, y disponibilidad sobre múltiples
plataformas.
Tras haber definido e instalado una determinada
infraestructura de red, añadir y extender protocolos de
seguridad es algo teóricamente muy simple. Todo lo que
necesita es un llegar a un consenso entre los miembros de su
equipo.
-La seguridad a nivel de sistema operativo debe
estar integrada con el mismo desde un buen principio. Si esas
funciones
básicas de seguridad no han sido implementadas al propio
sistema operativo desde un principio, implementarlas con
posterioridad será casi imposible. Por ejemplo, Microsoft no
fue capaz de implementar una seguridad seria a sus versiones de
16 bits de Windows tras su fase de desarrollo.
Fue necesario un nuevo sistema operativo de 32 bits, y un nuevo
modelo de
programación (la API Win32) para poder hacerlo.
Windows NT dispone de unas robustas funciones de
seguridad que controla el acceso de los usuarios a los objetos
como archivos, directorios, registro de sistema e
impresoras.
También incluye un sistema de auditoría que permite a los administradores
rastrear los accesos a los archivos u a otros objetos, reintentos
de inicio de sesión, apagados y encendidos del sistema,
etc… En cambio,
Windows 95
dispone únicamente de un rudimentario sistema de seguridad
en el inicio de sesión, y no dispone de seguridad a nivel
de objetos.
-Encriptación de datos. Puede operar de
distintas formas. Muchas aplicaciones disponen de
encriptación por sí mismas. Algunos protocolos, como
SSMTP (Secure Simple Mail Transfer Protocol) soportan
encriptación automática. La encriptación
ofrecida por terceras compañías, como PGP (Pretty
Good Privacy) también está disponible. Incluso
Microsoft ha
añadido un sistema de encriptación básico,
CAPI (Cryptography API) a la API Win32.
CAPI consiste en un juego de
funciones que permiten a las aplicaciones y a los desarrolladores
de sistemas de
software acceder de forma independiente a los servicios de
criptografía. NT dispone de un servicio
básico de criptografía que nos permite codificar
los datos facilitando así el almacenamiento
seguro y una
transmisión segura combinando claves públicas y
privadas. El método de
encriptación es similar al PGP.
Aspectos de la seguridad
NT
NT ofrece seguridad en tres áreas
fundamentales. Se trata de autentificación en el inicio de
sesión, seguridad a nivel de objetos y derechos de los
usuarios.
La "Local Security Authority" efectúa
validaciones interactivas y remotas (a través del RAS),
inicios de sesión locales y globales (en dominios)
verificándolo contra SAM (Security Account Manager), la
base de datos
donde se almacenan los nombres de los usuarios y sus
contraseñas. La "Local Security Authority" también
gestiona los mensajes de auditoría.
El "Security Reference Monitor"
verifica si un usuario tiene derecho a acceder a un objeto y
ejecutar la acción solicitada. Además, es el
responsable de los mensajes de auditoría. Con el diálogo permisos
del Administrador de archivos (si se encuentra en NT 3.51) o el
Explorador de archivos (en Windows NT 4.0), podrá
controlar la seguridad de la mayoría de los objetos. Por
ejemplo, la activación y el acceso al objeto servidor del
DCOM (en Windows NT 4.0) están completamente integrados
con el modelo de seguridad de Windows NT.
Aparte de la seguridad de los objetos, el NT
permite controlar, y monitorizar funciones de
sistema.
Con el Administrador de usuarios podrá
controlar qué cuenta de usuario o grupo puede, por
ejemplo, añadir estaciones de trabajo a un dominio, salvar
o restaurar archivos y directorios, cambiar la hora del sistema,
iniciar una sesión localmente, gestionar las registros de
auditoría y seguridad y cerrar el sistema. La Local
Security Authority mantiene la Planificación de cuentas de
usuario.
Administración de cuentas:
Autentificación de inicio de
sesión
El NT gestiona tanto a usuarios como
máquinas. De forma que deberá validar a los
usuarios autorizados y proveerlos de lo necesario para acceder al
sistema.
A un nivel general, un dominio NT es una
colección de máquinas, a las cuales el controlador
de dominio administra como si se tratase de una única
máquina, compartiendo una misma base de datos de
seguridad. Dicha base de datos mantiene información de
todos los usuarios y grupos de ese dominio. Una cuenta de
dominio, llamado de otra forma cuenta global, tiene el formato
dominiousuario. Si iniciamos una sesión en una
máquina del dominio e intentamos conectarnos a una unidad
de red, tendremos que introducir nuestros datos con ese
formato.
Además de las cuentas de usuarios, cada
máquina puede disponer de una base de datos de seguridad
local que contendrá la información de los usuarios
y grupos de usuarios exclusivos de ese sistema. De hecho, las
máquinas locales funcionan como dominios independientes.
Las cuentas de usuarios o grupos en esas máquinas locales
tiene el formato maquinausuario y serán exclusivas de esa
máquina.
La herramienta básica para administrar
los usuarios y grupos de un dominio es el programa USRMGR.EXE,
conocido por Administrador de Usuarios para dominios. Windows NT
Workstation incluye una versión reducida de este programa
y permite la gestión
únicamente de esa máquina. En la figura 1 podemos
ver la pantalla resultante de la ejecución de USRMGR.EXE,
la cual puede visualizar información local y del dominio,
dependiendo de si añadimos parámetros o no al
ejecutar el programa. Ejecutar USRMGR sin parámetros,
gestionará el dominio al cual es usuario esté
conectado en ese momento. Si ejecutamos USRMGR nombre_dominio
como parámetro, se gestionará ese dominio en
concreto, y si
se ejecuta USRMGR \nombre_máquina, se gestionarán
los usuarios de esa máquina en concreto.
Cargar los dominios puede ser cuestión
de minutos si se trata de organizaciones
con muchos dominios, por lo que se agradece a la larga la
posibilidad de parametrizar y gestionar un dominio o
máquina en concreto. El
programa también permite a los administradores gestionar
las relaciones de confianza de los dominios, de forma que el
usuarios del dominio A puedan acceder a los recursos del
dominio B como si fueran usuarios del
segundo.
Un valor
único y permanente, el SID (Security Identifier)
identifica usuarios individuales y grupos de usuarios.
Después de que el sistema asigne un SID, no lo
volverá a utilizar, por lo que si por lo que sea borramos
un usuario o grupo y más tarde nos vemos en la necesidad
de volverlo a crear, se le asignará un nuevo SID.
Será necesario volver a reestablecer de nuevo los derechos
de acceso sobre los objetos para ese nuevo
SID.
Acceso a través de APIs: Seguridad de
objectos
NT asegura la seguridad a nivel de objetos
verificando todas las peticiones sobre los objetos a
través de un mecanismo de seguridad integrado. Muchas de
las funciones de la API Win32 disponen de parámetros de
seguridad opcionales, y todos los programas que se ejecuten deben
utilizar esas APIs para acceder a los objetos. Si
pudiésemos ejecutar el interfaz de mandatos y desde
allí copiar, renombrar o borrar archivos sin utilizar esas
funciones, la seguridad en Windows NT quedaría más
que en entredicho. De hecho, la capacidad de manipular el
hardware
directamente desde Windows 16 bits o desde el DOS era el escollo
más importante para ofrecer un sistema de seguridad en
esos entornos.
Los parámetros de seguridad en las
funciones de la API Win32 son opcionales, pero normalmente el NT
echa mano de ellas cuando un programa accede a un recurso general
de sistema, como por ejemplo, cambiar la hora del sistema.
Algunas aplicaciones pueden implementar niveles de seguridad si
trabajan con archivos de usuario o directorios (el impacto sobre
el rendimiento es insignificante) pero muchas de las APIs no
especifican información de
seguridad.
En cambio
Windows 95 no
tiene en cuenta temas relativos a la seguridad e ignora todos los
parámetros de seguridad posibles existentes en la API
Win32. Esta "ceguera" de Windows 95 frente a Windows NT puede
comportar una sutil diferencia a la hora de programar para un
sistema operativo u otro. Precisamente, es esta una de las
razones por las cuales es conveniente verificar el adecuado
funcionamiento de las aplicaciones en ambas
plataformas.
Pero implementar seguridad a nivel de APIs
también comporta otra sutileza. En aplicaciones Cliente/Servidor,
la aplicación servidor acostumbra a controlar el acceso a
los objetos. Puesto que la aplicación cliente,
normalmente, no gestiona la seguridad directamente, la
aplicación servidor se ve a menudo obligado a trabajar
como proxy de la parte
cliente. También podría despersonalizar al cliente
utilizando APIs del tipo Impersonate…() o iniciar una
sesión como cliente (si la aplicación servidor
conoce el nombre del usuario y su
contraseña.
Asegurar los objetos
Además de archivos y directorios,
Windows NT controla la seguridad de otros objetos. La API Win32
implementa cinco grupos de funciones que operan con cinco tipos
de objetos distintos.
1. Objetos de archivos y directorios: NT
almacena la información relativa a la seguridad.
Sólo está disponible en volúmenes
formateados NTFS.
2. Objetos de usuario (objetos de gestión
de ventanas): Estos objetos incluyen los objetos del escritorio y
las ventanas. Estos objetos de usuario residen siempre en
memoria y
nunca son salvados a disco (no son
persistentes).
3. Objetos del Kernel: El kernel del Windows
utiliza estos objetos, entre los que se incluyen procesos,
hebras, semáforos y "mutes". Al igual que los objetos de
usuario, tampoco son persistentes.
4. Objetos de servicio:
Estos objetos, entre los que se incluyen todos los servicios que
podamos encontrar en el icono Servicios del Panel de Control,
se encuentran bajo el control del SMC
(Service Control Manager) y tampoco son
persistentes.
5. Objetos privados: Los programas de las
aplicaciones pueden implementar y deben mantener su propia
seguridad, siendo los objetos privados los encargados de
interactuar con el sistema de seguridad de la API Win32. Por
ejemplo, un sistema de base de datos, como SQL Server,
puede necesitar almacenar información de seguridad
internamente y utilizar la validación de usuarios por
dominios del NT. El Registro es una implementación Win32
de esos objetos privados. La información relativa a la
seguridad está almacenada en el Registro del
Sistema.
Un SD (Security Descriptor) describe los
atributos de seguridad de cada objeto susceptible de ser
protegido. Estos atributos identifican el propietario del objeto
y dos ACL (Access Control
List), una para el acceso al objeto propiamente dicho y otro para
las funciones de auditoría. La ACL para el acceso a los
objetos se llama DACL
(Discretionary Access Control
List) e incluye varias entradas de control de acceso
(ACE,
Access-Control Entries). Cada ACE identifica un
SID y si es accesible o no. La otra ACL es la SACL (System
Access Control
List) la cual controla la auditoría de eventos.
Los derechos de los
usuarios
Además de los derechos de acceso, los
cuales están asociados con los objetos, Windows NT
implementa también privilegios. Para asignar derecho a
objetos, utilizaremos el Administrador de archivos o el
Explorador, dependiendo de la versión de Windows NT. Para
asignar privilegios, utilizaremos el Administrador de Usuarios.
Los privilegios forman parte del identificador que se asigna al
usuario cuando inicia una sesión en el sistema. Es el
Sistema Operativo quien determina los privilegios de los
usuarios, y no las aplicaciones. En la Tabla 1 podemos ver los
privilegios que son reconocidos por NT 4.0.
Los privilegios son siempre fuente de
frustración. ¿Se ha encontrado alguna vez que tras
crear una cuenta de usuario, al intentar iniciar una
sesión local con ese perfil, ha recibido el mensaje "las
directivas locales de este sistema no le permiten iniciar una
sesión interactiva"? Por defecto, NT asigna los nuevos
usuarios al grupo de Usuarios, pero este grupo, también
por defecto, no dispone de permisos para iniciar una
sesión local.
Con Microsoft Internet Information Server
(IIS), nos podemos encontrar con un problema
similar.
La cuenta de usuario predefinida IUSR_maquina,
es una cuenta local con unos pocos privilegios, de forma que no
puede ser utilizada de inicio de sesión anónimo si
se especifica autentificación básica HTTP.
Si echa un vistazo con detenimiento a
USRMGR.EXE, verá el grupo "Todos" bajo la opción
"Acceder a este ordenador desde la red", aunque este grupo no
aparezca después como tal. NT define un grupo de SID, como
Todos o Interactivo para ayudar así al administrador de la
red con los más frecuentes derechos de
acceso.
En general, los privilegios sobreescriben la
seguridad individual de los objetos. Un ejemplo de esta
sobreescritura se da cuando un administrador de copias de
seguridad cambia el indicador (o "flag") a todos los archivos de
un volumen. Sin los
correspondientes privilegios, el administrador tendría que
añadir otro ACE a cada archivo para que el programa de
copias de seguridad pudiera modificar sus indicadores.
Si añadimos un nuevo SID al grupo Todos, la seguridad del
NT no tendrá que verificar si tiene derechos o no, por lo
que determinadas operaciones se
ejecutarán más rápido.
Acceso a travez de RAS ( remote access sevice
)
El Windows NT RAS ( remote access service )
o servicio de acceso remoto implementa un número de
medidas de seguridad para validar acceso remoto de un cliente a
la red.
En algunas ocasiones conectarse a la red a
través de un RAS es más seguro que
acceder a través de una colección
local.
El Windows NT Server provee para empresas un
método de
seguridad usando un dominio confiable. Este método
elimina la necesidad de duplicar las cuentas de usuario
trabajando en redes de múltiple
server. El Single-Network modelo de logearse se extiende para
usuarios de RAS.
El servidor de usuarios RAS utiliza la misma
base de datos para las cuentas de usuario que el Windows NT. Esto
permite una administración más fácil,
porque los clientes se
pueden logear con la misma cuenta de usuario que usan en la
oficina esta
característica asegura que los clientes tengan
los mismos privilegios y permisos que normalmente tienen en la
oficina.
Para conectarse a un servidor RAS, el cliente
debe tener una cuenta de usuario válida, así como
un permiso de discado RAS.
Los clientes deben
ser auténtificados por el RAS antes de que ellos intenten
logearse al Windows NT.
Encriptado automático y proceso de
logeo.
Todas las autentificaciones e
información de logeo, son encriptadas cuando se transmiten
a través del RAS. De todas formas como complemento, es
posible configurar el discado de la red (Dial-up-Networking ) y
el RAS, para que todos los datos que pasan entre un cliente y un
servidor sean encriptados.
Hosts de seguridad
intermedia
Es posible agregar otro nivel de seguridad a la
configuración de un RAS mediante la conexión de una
tercer pared intermediaria de seguridad de un Host, entre el
cliente/s de un RAS y el RAS del servidor/es. Cuando un Host de
intermediario de seguridad es usado, los clientes deben tipear
una clave o un código para pasar el dispositivo de
seguridad, antes de que una conexión se establezca con el
servidor RAS.
Seguridad C2
De acuerdo con la TCSEC (Trusted Computer
System Evaluation Criteria) publicado por la NCSC (National
Computer Security Center), la seguridad C2 requiere una
específica combinación y configuración de
software y hardware. NT no es "per se"
un sistema operativo que cumpla con el nivel C2 de seguridad,
pero podemos hacer que lo sea. Microsoft diseñó
esta posibilidad dentro del modelo de seguridad del NT desde los
primeros momentos. El nivel C2 de seguridad requiere lo
siguiente:
• Cada recurso tiene un propietario que
debe controlar el acceso al recurso.
• Cada usuario debe iniciar la
sesión con un identificador y contraseña
exclusivos antes de poder
acceder al sistema.
• El sistema monitoriza toda actividad de
los usuarios.
• Los administradores de sistema deben
auditar los eventos
relativos a la seguridad del sistema, y el acceso a los datos
de auditoría deben ser seguros.
• El sistema debe poder
protegerse a sí mismo de interferencias
externas.
El Resource Kit de Windows NT incluye el
programa C2CONFIG.EXE (C2 Configuration Manager), que verifica
que el sistema cumpla con los requisitos C2, de la forma en que
podemos verlo en las figuras 2 y 3.
Auditoría de
eventos
La auditoría nos puede descubrir
intentos de acceso no autorizados. Tendría que buscar un
equilibrio
entre los costes y los beneficios derivados de la
utilización de la auditoría. Los costes incluyen el
impacto en el rendimiento del sistema y en el espacio del disco,
además de los esfuerzos que significan escarbar entre
grandes cantidades de transacciones, intentando encontrar
información interesante.
La herramienta básica de
auditoría de Windows NT es el Visor de Eventos. Nos
permite auditar accesos a objetos tanto fallidos como efectuados,
además de los eventos relativos
a los derechos de los usuarios. El diálogo
Auditoría en el Explorador del NT, por ejemplo, permite
controlar eventos de lectura,
escritura,
ejecución, borrado, cambio de
permisos y adjudicación de propiedad del
objeto y del directorio. En la figura 4 podemos ver la
información que ofrece el registro de
eventos.
Con el programa USRMGR.EXE podemos activar o
desactivar la auditoría sobre inicios y fin de
sesión, acceso a objetos y archivos, uso de los permisos
de los usuarios, gestión
de usuarios y grupos, cambios en la directivas de seguridad,
reinicialización y apagado del sistema y rastreo de los
procesos del mismo. Obviamente, si no asigna a ningún
usuario derechos para "Administrar los registros de
auditoría y seguridad" (vea la tabla 1 para la lista de
derechos), no podrá cambiar nada.
Seguridad e Internet
A diferencia del bien definido sistema de
seguridad del NT, el modelo de seguridad de Microsoft respecto a
Internet se
encuentra sometido al continuo proceso de cambio al que
a su vez se encuentra la misma Internet. El ISF (Internet
Security Framework) es hoy por hoy más un compendio de
protocolos que
una definición de normas de
seguridad.
ISF ofrece diversos protocolos de red
especializados sobre el estándar de criptografía
CAPI de Microsoft y sobre lo que Microsoft denomina Authenticode,
un sistema de verificación por firma de objetos
instalables, que garantizan que estos módulos u objetos no
han sido manipulados y que tienen un autor determinado que de
alguna forma, responde de la actuación de dicho objeto
software. Para más información acerca de
Authenticode, vea http://www.microsoft.com/intdev/signcode.
Los protocolos IFS
incluyen:
• PPTP (Point to Point Tunneling
Protocol), el cual permite establecer redes seguras sobre
segmentos de redes inseguras, creando
líneas seguras virtuales.
• SSL (Secure Sockets Layer) y su
versión ampliada PTC (Private Communications Technology)
que ofrecen autentificación de servidores,
encriptación e integridad de datos.
• SET (Secure Electronic Transaction) que
permite autentificación y confidencialidad de tarjetas de
crédito, vendedores y clientes. SET dispone
de un amplio soporte por parte de la industria
(Microsoft, IBM, Netscape, etc…) y las últimas
especificaciones están disponibles en los sitios web de VISA
(http://www.visa.com) y Mastercard (http://www.mastercard.com)
• PFX (Personal
Information Exchange) que transfiere información personal entre
ordenadores y plataformas.
ISF encripta todos los paquetes de la red. De
todas maneras, las aplicaciones pueden disponer de funciones de
encriptación adicionales. Por ejemplo, con el
código que Microsoft ha licenciado de Nortel (antes
Northern Telecomm) y de RSA, Microsoft Exchange puede proteger el
correo
electrónico con firma/encriptación. La
versión estadounidense de MS Exchange también puede
utilizar encriptaciones de 56 bits o hasta encriptaciones de 64
bits. Otras versiones, como la española, únicamente
pueden utilizar encriptación de 40
bits.
Accidentes
NT emplea una variedad de tecnologías
para mantener la seguridad. La naturaleza de las
aplicaciones actuales, cada vez más distribuidas,
además del crecimiento de las comunicaciones
externas fuera de la empresa (el
método
más frecuente, la Internet), complican sobremanera
determinar qué es seguro y
qué no. Aunque cada situación en concreto dispone
de el método
más adecuado, es necesario conocer qué soluciones
están disponibles en el mercado en cada
momento, de forma que podamos proteger nuestro sistema antes de
que nos pase.
Microsoft Exchange
La principal característica del cliente de Exchange es
que combina una interfaz única de usuario para correo
electrónico, compartición de
información, acceso a Internet, proceso de textos,
fax, etc.y
éste es personalizable y extensible.
Exchange define dos tipos de carpetas de
información: Personal Folders
y Public Folders.
Los Personal Folders
o carpetas personales se usan para almacenar mensajes y documentos que el
usuario no desea compartir con los demás miembros de
la
organización. Las carpetas personales pueden residir
tanto en el servidor de Exchange como en el disco duro
local de la máquina del usuario o en cualquier otro
servidor de ficheros de la red.
Los Public Folders o carpetas públicas
son almacenados en el servidor de Exchange y proporcionan la
capacidad de que todos o determinados miembros de la
organización puedan compartir todo tipo de
información: mensajes, documentos o
aplicaciones. Una carpeta pública es una aplicación
del tipo de una BBS (Bulletin Board Service) a la cual varios
usuarios pueden acceder e interactuar con la
información.
Este tipo de aplicaciones pueden ser
diseñadas en Exchange sin necesidad de programar; los
usuarios simplemente seleccionan opciones desde ventanas de
diálogo que describirán el tipo de
información y como ésta va a estar
organizada.
Además del sistema de organización por carpetas, el Cliente de
Exchange proporciona nuevas características que facilitan
tanto el acceso, como la visualización y organización de la
información.
Cuando instala Microsoft Exchange Server 5.0,
el soporte de POP3 (Post Office Protocol
3) esta activado de forma predeterminada, permitiendo a los
clientes POP3 recuperar su correo
electrónico tan pronto como se configura el
servidor.
La administración del POP3 se encuentra
completamente integrada con la del Exchange Server,
proporcionando una única e intuitiva interfaz de administración centralizada. El servicio de
Internet Mail puede servir de guía para los
administradores principiantes para configurara el protocolo
SMTP.
Las actividades de monitoreo se realizaran
integradas con los mensajes de Exchange, el Visor de Eventos y el
Monitor de
rendimiento que Windows NT Server 4.0
provee.
La característica Key Manager Server de
Exchange 4.0 ha permitido que los usuarios de una empresa puedan
intercambiar mensajes firmados y encriptados para proteger su
seguridad, confidencialidad y autenticidad.
Sin embargo, la transferencia de correo
electrónico a través de Internet ha resultado
mucho menos segura, pero con Exchange Server 5.0, es posible
intercambiar individualmente claves y certificados de seguridad,
incluso entre empresas
diferentes, lo que permite intercambiar mensajes firmados y
encriptados en forma segura a través de
Internet.
Microsoft diseño
Exchange Server 5.0 para la satisfacción de las
necesidades de correo
electrónico de los clientes internacionales al incluir
los juegos de
caracteres para los lenguajes:
Swedish IA5
Norwegian IA5
Latin-1 (ISO
((%)-1)
Japan-JIS (ISO
-2022-JP) per RCF 1468
Japan EUC
Japan Shift-JIS
Korean (RCF 1557)
Chinese GB 2312 (RFC
1842)
Taiwanese (BIG5) (RFC
1842)
Exchange Server 5.0 amplia más estas
opciones incluyendo mas de 30 juegos de
caracteres configurados durante la instalación.
Además los administradores podrán seleccionar una
fuente de tamaño proporcional o fijo en cada uno de los
mensajes entrantes.
El soporte de RFC 1521 permite agregar a los
mensajes una etiqueta de juego de
caracteres y con RFC 1522 se puede especificar la
información del encabezado, como por ejemplo las
direcciones de correo electrónico y
asuntos.
FTP
La mayoría de las veces cuando pensamos
en Internet pensamos en el Word Wide
Web, pero uno
de los servicios más interesantes para una
aplicación es el File Transfer. Por medio de este servicio
podemos construir un sistema de actualización
automática de nuestro software, recepción de
pedidos de nuestros clientes o recogida de informes desde
oficinas remotas. Las posibilidades son muchas y no es muy
complicado.
Servidores y Clientes FTP
Como la mayoría de los protocolos de
Internet el FTP requiere
la existencia de un servidor que nos permita recoger (y en
algunos casos enviar) ficheros desde un cliente. También,
como la mayoría de protocolos de Internet, el servidor
FTP
sólo actúa bajo las peticiones del cliente y no es
posible enviar un fichero si este no ha sido
solicitado.
Para nuestro sistema necesitaremos utilizar un
servidor FTP. La
mayoría de los servidores FTP
públicos de Internet sólo permiten conexiones
anónimas para extraer ficheros y no permiten recibirlos.
Si queremos aprovechar todas las posibilidades deberemos hacernos
con un servidor FTP.
Windows NT trae dos servidores FTP, el
incorporado dentro de sus servicios TCP/IP y el
incluido con el servidor Microsoft Internet Information Server.
Existe una buena colección de servidores FTP para Windows
NT.
En el mundo de los programas comerciales,
shareware y freeware existen algunos servidores FTP para Windows
95 excelentes. Deberemos pensar en alguno de ellos si queremos
utilizar Windows 95 como un servidor FTP más allá
de unas pocas peticiones.
Windows NT y Windows 95 disponen de un cliente
FTP por medio de órdenes de comando. Este cliente es muy
similar al que se dispone en la mayoría de los sistemas
UNIX, pero bastante pobre para los usuarios acostumbrados a la
interface gráfica, que preferirán hacer uso del
Browser de WWW como cliente FTP. Otra posibilidad es utilizar
algún programa FTP gráfico shareware y freeware
como CuteFTP o WsFTP, programas muy difundidos entre los usuarios
de Internet.
Usuario y Password
En FTP, a diferencia de otros protocolos, entre
el servidor y el cliente se establece una sesión en la que
se permite al cliente, dependiendo de su usuario y password,
acceder a unos determinados ficheros y/o directorios, en
sólo lectura o en
escritura y
lectura. No es
posible realizar una sesión FTP sin una
identificación de usuario. La mayoría de los
servidores de Internet permiten el acceso de un usuario llamado
anonymous cuya password es simplemente la dirección de correo del que se conecta (en
la práctica puede ser cualquier cosa) que permite acceder
a la parte pública del servidor.
Deberemos tener clara una cierta
política de usuarios si tenemos intención de
recibir ficheros en un servidor FTP, pues no sería buena
idea dar al usuario anonymous estos privilegios. Si sólo
va a servir ficheros es posible utilizar únicamente este
usuario genérico.
La orden FTP
Como hemos dicho, Windows 95 y Windows NT
disponen de una orden FTP en modo comando que nos permite
realizar todas las operaciones del
cliente FTP. Para arrancarlo debemos abrir una ventana de
Interfaz de Comando (DOS) y escribir simplemente FTP. Nos
aparecerá una especie de símbolo del sistema con el
texto ftp>.
Una vez en este punto podemos escribir ordenes
FTP.
ftp> open
ftp.server1.es
Connected to
ftp.server1.es.
220 server1 Microsoft FTP
Service
User (ftp.server1.es:(none)):
anonymous
331 Anonymous access allowed,
send identity (e-mail name) as password.
Password:
230-Windows NT FTP
Service.
230 Anonymous user logged in as
anonymous.
ftp> binary
200 Type set to I.
ftp> get parche.exe
200 PORT command
successful.
150 Opening BINARY mode data connection for
parche.exe(48790 bytes).
226 Transfer complete.
48790 bytes received in 1,43 seconds (34,12
Kbytes/sec)
ftp> quit
221 Bye.
Se pueden observar algunas de las ordenes
comprensibles por el cliente FTP para conectarse (OPEN),
configurar (BINARY) o recibir los ficheros (GET). Es importante
fijarse en la necesidad de configurar la trasferencia como
binaria si vamos a trasmitir un fichero que no sea sólo
texto.
Desde un programa como FoxPro 2.x o
Visual FoxPro
podemos utilizar este sistema con un fichero en el que pasamos
las operaciones que
deseamos realizar y uno de los parámetros que este
programa admite en Windows 95 y en Windows
NT.
RUN FTP -s:fichero.ftp
>resultado.txt
Aquí se puede ver un programa FoxPro que baja
el fichero con el índice de la Knowledge Base de FoxPro del
servidor FTP de Microsoft:
*** Construir el fichero para
ftp
SET ALTERNATE TO
indexkb.ftp
SET ALTERNATE ON
SET CONSOLE OFF
? "open
ftp.microsoft.com"
? "anonymous"
?
"usuario[arroba]servidor.es"
? "cd
/developr/fox/kb"
? "get index.txt"
? "quit"
SET CONSOLE ON
SET ALTERNATE OFF
SET ALTERNATE TO
*** Llamar al comando ftp
RUN ftp -s:indexkb.ftp
>resultado.txt
Al ejecutar este programa se muestra una
ventana donde aparecen las distintas órdenes que hemos
pasado. Desde luego no es un sistema muy elegante, pero funciona.
Podríamos mejorarlo haciendo que la ventana de comandos no se
visualizara, leyendo de un fichero el resultado de la orden, etc.
De todas formas está es la forma más sencilla, y
posiblemente más formativa, de utilizar el
FTP.
Cada cliente FTP permite incluir más o
menos órdenes, pero las principales están en todos
los programas. Para saber más sobre la orden FTP y sus
posibilidades se puede consultar el comando por medio del
parámetro /? o desde su prompt por medio de la orden
HELP.
Trabajo enviado por:
Facundo Pellegrini
fpellegrini[arroba]logitron.com.ar