Este documento se encuentra disponible también en formato PDF

Guía básica de seguridad de Windows NT


Subseccion

Guía básica de seguridad de Windows NT

Introducción

Windows NT fue, según Microsoft, diseñado y desarrollado con la seguridad en mente; por lo tanto, podríamos pensar, "no tengo que preocuparme de su seguridad". Esto es falso.

Lo primero es que ningún programa nos va dar solución a la seguridad definitiva y total (y el que lo prometa miente). Todos tienen fallos y vulnerabilidades que para cuando son parcheados, el programa será tildado de obsoleto. Lo segundo es que la seguridad de un sistema depende en gran medida de nuestras políticas y de la configuración del sistema.

Esta guía trata las recomendaciones de configuración que se deben tener en cuenta si está usando Windows NT. No es objetivo de esta guía enseñarle a usar Windows NT, aunque sí se hace una pequeña introducción de los conceptos básicos para unificar términos.

Conceptos Básicos

Dominio

Es un grupo lógico de máquinas que comparten cuentas de usuarios y seguridad de los recursos. Un dominio está integrado por una máquina NT servidor de dominio que administra las cuentas y recursos del dominio en cuestión, y/o servidores y/o estaciones de trabajo. Los usuarios de un mismo dominio tendrán un inicio de sesión único en el servidor del dominio para acceder a los recursos de cualquier parte de la red, una cuenta única para acceder a las máquinas del dominio, etc.

Cuentas de usuarios

En las cuentas de los usuarios se establecen datos como el propietario de la misma, contraseña de acceso, localización de su directorio de inicio de sesión, grupo al que pertenece, etc. Windows NT distingue las cuentas locales y las cuentas de dominio:

Cuenta local de usuario:
pertenecen a una única estación Windows NT. El procedimiento de login de las mismas se valida en una base de datos local de la estación. La herramienta administrativa de la estación para crearlas, modificarlas, borrarlas y establecer políticas de seguridad es el Administrador de usuarios o el Administrador de usuarios para dominios.

Cuenta de dominio:
pertenecen al dominio en cuestión. El procedimiento de login requiere, además del nombre de usuario y contraseña, el dominio al que se está haciendo login. La validación se hace en una base de datos existente en el servidor de dominio. La herramienta administrativa del servidor para crearlas, modificarlas, borrarlas y establecer políticas de seguridad del dominio es el Administrador de usuarios para dominios.

Tanto si se hace login en un tipo de cuenta u otro, para acceder al menú de seguridad de la estación o el servidor (para cambiar el password, bloquear el terminal, o cierre de sesión e incluso del sistema) se debe teclear la siguientes combinación de teclas CTRL+ALT+SUPR.

Las cuentas que por defecto crea NT son la de Invitado (Guest), deshabilitada por defecto, y la de Administrador, para configuración y control de usuarios y recursos.

Cuentas de grupos

Las cuentas de usuarios se organizan en grupos. Cuando se añade un usuario a un grupo, el usuario tendrá los derechos y permisos asignados a ese grupo.

Windows NT distingue dentro del concepto de grupo, dos categorías: grupos locales y globales.

Grupo local:
lo forman cuentas locales de usuarios y grupos globales de otros dominios. Se usan para asignar a grupos de usuarios permisos para acceder a un recurso.

Grupo global:
lo forman únicamente cuentas de dominio. Aunque los grupos globales pueden usarse para asignar permisos a los recursos, su funcionalidad principal es agrupar las cuentas de un dominio. Para lo primero es mejor añadir los grupos globales como locales.

NT crea por defecto ciertos grupos locales, globales y de sistema con ciertos derechos ya adquiridos. Los grupos locales que existen por defecto en cualquier máquina NT son:

Usuarios:
Usuarios normales con cuenta.

Administradores:
Usuarios con derechos para administrar el sistema.

Invitados:
Usuarios sin cuentas que tienen derechos muy limitados.

Operadores de copia de seguridad:
Usuarios con derechos de copia de seguridad y restauración de archivos.

Si la máquina es servidora de dominio, además de los anteriores grupos locales, NT crea:

Operadores de cuentas:
Usuarios con derechos para administrar cuentas de usuarios.

Operadores de servidores:
Usuarios con derechos para administrar servidores.

Operadores de impresión:
Usuarios con derechos para administrar impresoras

y además crea los siguientes grupos globales:

Admins. de dominio Usuarios de dominio Invitados de dominio

Los usuarios se convierten en miembros de los grupos del sistema automáticamente al acceder a la red. Los grupos de sistema en cualquier máquina NT son:

Todos:
incluye a todos los usuarios que acceden a la red. No se puede controlar quién pertenece a este grupo, pero sí los permisos y derechos de este grupo.

CREATOR OWNER
(propietario): usuario que creó el recurso o es propietario del mismo.

Es conveniente revisar qué derechos tienen todos estos grupos por defecto dentro del menú de políticas de derechos de usuarios.

Políticas de passwords y cuentas

El administrador de la red debe establecer una política de passwords en la que se especifique:

  • Una duración máxima de la contraseña (aconsejable unos 90 días).

  • Una longitud mínima (aconsejable un mínimo de 8 caracteres).

  • Un histórico de la contraseña (unas 5 contraseñas).

  • Un bloqueo automático tras sucesivos fallos de login (unos 5 fallos).

La política se establece accediendo al menú del Administrador de usuarios para dominios/Directivas/Cuentas/Plan de cuentas

Para desbloquear una cuenta:

Administrador de usuarios para dominios/Usuario/Propiedades/Cuenta desactivada

También es útil establecer restricciones en el Administrador de usuarios para dominios como:

  • Horas de entrada en una máquina del dominio.

  • Estaciones desde las que se puede acceder al dominio.

  • Tiempo de expiración de las cuentas.

  • Restricción de acceso telefónico.

, así como templates para las cuentas de nueva creación.

Permisos y derechos de usuario

Los derechos de usuario definen qué pueden hacer los usuarios. Algunos de los derechos más comunes son:

  • El derecho de inicio de una sesión local.

  • Derechos de administración de auditoría.

  • Derecho de apagar el equipo.

  • Derecho de acceder al equipo desde la red (acceder a recursos compartidos).

  • Derecho de hacer copias de seguridad o de restaurar ficheros desde copias de seguridad.

Para configurar los derechos de usuarios, se elige Derechos de usuario del menú Directivas del Administrador de usuarios para dominios y se autorizan para cada derecho los usuarios o grupos apropiados.

Hay que tener en cuenta que es conveniente eliminar al grupo Todos el derecho de Acceder a este equipo desde la red.

Los permisos definen qué recursos pueden usar los usuarios o grupos de usuarios, entendiendo por recurso un fichero, directorio o una impresora. Los permisos controlan el acceso a directorios y ficheros locales y compartidos en la red y son configurados por el administrador o por el propietario de los mismos. Hay permisos estándar y permisos individuales. Los permisos estándar son una combinación de los permisos individuales.

Permisos para directorios

Permisos estándar

Permisos individuales Permisos para nuevos ficheros
Sin acceso Ninguno Ninguno
Listar R, X -
Lectura R, X R,X
Añadir W, X -
Añadir y Lectura R, W, X R, X
Cambio R, W, X, D R, W, X, D
Control total Todo Todo

Permisos para ficheros

Permisos estándar para archivos Permisos individuales
Sin acceso Ninguno
Lectura R, X
Cambio R, X, W, D
Control Total Todos

 


En un sistema de ficheros NTFS, el administrador puede configurar los permisos de ficheros y directorios pulsando con el botón derecho del ratón sobre el fichero o directorio que se que desee proteger, y luego la secuencia Propiedades/Seguridad/Permisos.

Así, los directorios %SystemRoot% (normalmente C: $\backslash$Winnt),
%SystemRoot% $\backslash$System32 y %SystemRoot% $\backslash$Temp, tienen respectivamente derechos de Control total, Cambio y Control total, para el grupo Todos.

Para corregirlo, una vez comprobado que el Administrador tiene Control total sobre los mismos, cambiar a sólo Lectura %SystemRoot% sin propagar estos cambios a los subdirectorios, y %SystemRoot% $\backslash$System32 a sólo Lectura propagándolos, con la precaución de poner permiso de Cambio a Todos a %SystemRoot% $\backslash$System32 $\backslash$RAS y %SystemRoot% $\backslash$System32 $\backslash$spool $\backslash$Printer.

De la misma manera, el volumen C: donde se encuentran ficheros relacionados con el arranque de la máquina, debería formatearse NTFS y los ficheros críticos deberían tener:

C: $\backslash$boot.ini $\Rightarrow$ Control total para Administradores y Sistema.

C: $\backslash$ntdetect.com $\Rightarrow$ Control total para Administradores y Sistema.

C: $\backslash$autoexec.bat $\Rightarrow$ Control total para Administradores y Sistema y Lectura a Todos.

C: $\backslash$config.sys $\Rightarrow$ Control total para Administradores y Sistema y Lectura a Todos.

Y muy importante, cuando se formatea un volumen con NTFS, el grupo Todos adquiere Control total del volumen. Cuidado con los permisos por defecto.

Compartición de recursos de red

Para compartir recursos de red sólo tendremos que pinchar con el botón derecho sobre un directorio o una impresora y veremos una opción que será Compartir. Nos aparecerá un menú desde donde podremos compartir el recurso.

Los recursos de la red se comparten de forma segura con los siguientes permisos:

Lectura:
permite listar directorios, ficheros.

Cambio:
permite crear directorios, añadir ficheros, modificar datos y permisos de éstos, borrar ficheros y directorios, y permisos de Lectura.

Control total:
permite modificar permisos, toma de posesión, y permisos de Cambio.

Sin acceso:
este permiso prevalece sobre cualquier otro y deniega el acceso al recurso.

A diferencia de lo que ocurre con los permisos NTFS, no se pueden asignar diferentes permisos a distintos ficheros de un mismo directorio compartido.

Cuando se combinan los permisos de recursos compartidos y los permisos del volumen NTFS, prevalecen los más restrictivos.

Seguridad del registro

El registro es una base de datos que mantiene información sobre la configuración hardware, software y de entorno de la máquina. Se puede ver con REGEDT32. Por defecto, Windows NT 4.0 no permite el acceso remoto al registro por defecto.

El Registro de NT es un arma muy poderosa para poder configurar correctamente determinados parámetros de nuestra máquina. Se ha de tener un especial cuidado a la hora de trabajar directamente con el editor del registro, ya que la introducción de valores erróneos puede acarrear problemas al sistema. El entorno ideal para estos casos sería contar con una máquina de pruebas, y tras comprobar que no existen problemas, proceder a la modificación del Registro en el resto de sistemas.

Es conveniente:

  • Deshabilitar el acceso remoto al registro a los usuarios no autorizados, revisando la siguiente entrada en el registro:

    Nota: A partir de ahora se utilizará HKLM como abreviatura de
    HKEY_LOCAL_MACHINE
    .

    HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\WinReg
    

    Asegúrese de que sólo el grupo de Administradores tiene como permisos de seguridad Control total sobre esta clave. Puede ver los permisos que tiene una clave del registro situándose sobre ella y pulsando en el menú Seguridad, la opción Permisos.

    La instalación del Service Pack 3 para Windows NT 4.0 desactiva la posibilidad de que un usuario anónimo se conecte al registro remotamente. Como un recordatorio, Windows NT 4.0 restringe el acceso remoto al registro a los usuarios de dominio usando las listas de control de acceso (los permisos) asociadas a esta clave de registro.

  • Deshabilitar (poner a 0) si es necesario el apagado del equipo en la opción ShutdownWithoutLogon de:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

  • Deshabilitar (poner a 0) la variable AutoAdminLogon:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

    Esta modificación, evitará saltarse el cuadro de diálogo de autenticación a través de los valores DefaultUsername, DefaultPassword y DefaultDomain. Esta característica es posible si se ha configurado el AutoAdminLogon para evitar tener que teclear la contraseña cada vez que se inicie la sesión (práctica a todas luces poco recomendable).

  • Poner a 1 (verdadero) la variable Parameters:

    HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess
    

  • Poner la variable FullPrivilegeAuditing a 1:
    HKLM\SYSTEM\CurrentControlSet\Control\LSA
    

    En el primer caso estaremos habilitando la auditoría de los servicios de acceso remoto. Con la segunda variable, conseguiremos auditar todos los derechos de usuarios, que nos ayudará a poder controlar si algún usuario utiliza ciertos derechos administrativos para acceder a ficheros confidenciales o que conlleven riesgos al sistema.

  • Poner a 1 LegalNoticeCaption:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

    e indicar el texto de advertencia en LegalNoticeText.

    Con estás dos entradas podremos habilitar que aparezca una ventana con un aviso cada vez que se inicie la sesión. Esta práctica se recomienda en entornos corporativos, y puede contener avisos legales, consejos, o normas internas, que pueden prevenir un mal uso de la red y reprimir intentos de sabotajes.

  • Poner a verdadero DontDisplayLastUserName en:

    HKLM\SOFTWARE\Microsoft\WindowsNT\Current\Version\Winlogon
    

    Esta modificación evitará que el sistema muestre en la ventana de autenticación el nombre del último usuario. De sobra es conocido que los nombres de usuarios son pieza codiciada por los crackers a la hora de poder proceder a distintos tipos de ataque, como el de fuerza bruta. Es por ello que además de esta modificación, recomendamos renombrar las cuentas de usuarios que vienen por defecto en Windows NT, como pueda ser la de Administrador.

  • Limpiar el fichero de paginación (swap) al apagar el equipo, poniendo a 1 la variable ClearPageFileAtShutdown en:

    HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement
    

    Con este valor conseguiremos que el archivo que almacena la memoria virtual del sistema se borre automáticamente tras salir de una sesión. Esta característica evita que un posible atacante acceda a este archivo y recoja información confidencial.

  • Poner a cero la variable AllocateFloppies, si se desea deshabilitar el acceso a las disqueteras:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

  • Para deshabilitar el acceso al CDROM poner a 0 AllocateCDROMS:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

    Con estas dos entradas se consigue desactivar las disqueteras y las unidades de CD-ROM respectivamente. En determinados entornos se aconseja esta práctica, para impedir la grabación de datos, o la ejecución e instalación de software. Tampoco podemos olvidar que también suelen ser entrada habitual de los virus informáticos.

  • Poner a cero la variable AutoAdminLogon:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

    Esta modificación, evitará saltarse el cuadro de diálogo de autenticación a través de los valores DefaultUsername, DefaultPassword y DefaultDomain. Esta característica es posible si se ha configurado AutoAdminLogon para evitar tener que teclear la contraseña cada vez que se inicie la sesión.

  • Poner a cero la entrada ShutdownWithoutLogon:

    HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
    

    Con este valor conseguiremos que no se pueda apagar un sistema NT sin iniciar una sesión. Esta posibilidad presenta un problema de seguridad que se agrava en el caso de los servidores cuya ubicación física no esté protegida. Si esta característica estuviera habilitada, cualquiera podría apagar el sistema desde el cuadro de diálogo de autenticación, con la consecuente pérdida de servicios y recursos para los clientes que estuvieran haciendo uso de ellos.

  • NT por defecto comparte cada uno de las particiones que tengamos en nuestro sistema para el administrador. Para evitar este hecho, deberemos crear una variable de tipo DWORD llamada AutoShareServer con el Editor del registro, en:

    HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
    

    y ponerle un valor de cero.

    Esta será la entrada correcta en el caso de que estemos en un NT Server. Para las versiones NT Workstation, la variable tendrá que llamarse AutoShareWks.

  • Poner la variable RestrictAnonymous a 1 en:

    HKLM\System\CurrentControlSet\Control\LSA
    

    Iniciar una sesión nula, o sesión anónima, permite obtener información sensible sobre la máquina y el dominio en el que se encuentra, como pueden ser nombres de usuario, grupos, recursos compartidos, propiedades de las passwords, etc. Por defecto NT permite las credenciales nulas contra el recurso $\backslash$ $\backslash$nombreservidor $\backslash$IPC$, que toda máquina NT comparte para que otras máquinas usen recursos y se autentiquen en ellas (su nombre tecnico es InterProcess Communication, IPC's). Aunque es algo imprescindible en cualquier máquina NT, no es en absoluto adecuado que cualquier usuario no autenticado pueda acceder a información del dominio y/o la máquina.

    Esta misma vía se puede utilizar con malas intenciones, por ejemplo, a través del comando NET USE, para recopilar información de cara a un posterior ataque. Se puede forzar la autenticación en este tipo de sesiones mediante la activación de la variable RestrictAnonymous.

  • Los sistemas NT permiten dos tipos de desafíos para lograr la autenticación ante el servidor. El más seguro es el sistema propietario de NT (MD4), y tenemos en el desafío LanManager (DES), para clientes Windows 95/98 y NetWare, el eslabón más débil. NT trabaja por defecto con ambos sistemas indistintamente, por lo que un atacante podría forzar un intercambio de contraseñas DES (LanManager) y a partir de ahí interceptar los paquetes durante el desafío para llegar a conseguir las contraseñas.

    Para evitar dar facilidades en este sentido se pueden configurar nuestros sistemas para que únicamente utilicen el sistema de autenticación LanManager cuando se necesite. Para ello deberemos igualar la variable LMCompatibilityLevel a 1 en:

    HKLM\System\CurrentControlSet\Control\LSA
    

  • Proteger adecuadamente el registro de usuarios no autorizados.

  • Hacer copias periódicas del mismo con la utilidad REGBACK.EXE. Obviamente, las copias deberían estar guardadas en un lugar seguro, pues en ellas va toda la información sensible de nuestra máquina.

Auditorías

El sistema de Auditoría de Windows NT permite rastrear sucesos que ocurren en una máquina NT, tanto servidor como estación de trabajo. Las auditorías son esenciales para mantener la seguridad de los servidores y redes. Además de permitir un seguimiento de las actividades realizadas por los usuarios.

La política de auditorías se establece en cada máquina NT. Se pueden realizar tres tipos de auditorías en NT:

Auditoría de cuentas de usuario

Rastrea los sucesos de seguridad y escribe apuntes en el registro de seguridad. Se activa en Administrador de usuarios en dominios/ Directivas/Auditoría/Plan de auditorías.

Los sucesos que se pueden auditar son:

  • Inicio y cierre de sesión.
  • Acceso a ficheros, directorios o impresoras.

  • Ejercicio de los derechos de un usuario.

  • Seguimiento de procesos.

  • Inicio, reinicio y apagado del sistema.

Auditoría del sistema de archivos

Rastrea sucesos del sistema de archivos. Esta opción se activa en Propiedades, tras pulsar con el botón derecho sobre el fichero o directorio que se desee auditar y luego seleccionando Seguridad/ Auditorías.

Los sucesos que se pueden auditar son: Lectura, Escritura, Ejecución, Eliminación, Cambio de permisos y Toma de posesión.

Para auditar ficheros y directorios, éstos deben estar localizados en un volumen NTFS.

Auditoría de impresoras

Primero se establece la política de auditorías pinchando dos veces en la impresora en cuestión, dentro del menú Impresoras, y luego seleccionando Seguridad/Auditorías.

Algunos de los eventos que se pueden auditar son: Uso de la impresora, Cancelar trabajos de impresión, Control total, etc.

Se debe tener derechos de administrador para configurar propiedades de auditoría.

Una vez que se activa una auditoría se utiliza el Registro de seguridad del Visor de sucesos que se encuentra dentro del menú de Inicio Herramientas administrativas, para ver los eventos auditados.

Se debería tener cuidado y proteger los archivos de auditoría que están almacenados en el directorio %SystemRoot% $\backslash$system32 $\backslash$config, en los archivos:

APPEVENT.EVT:
Registro de sucesos de aplicaciones.

SECEVENT.EVT:
Registro de sucesos de seguridad.

SYSEVENT.EVT:
Registro de sucesos del sistema.

Algo muy importante a la hora de mirar los registros es que la máquina tenga la hora correcta, ya que si tenemos que comparar sus registros con los de otras máquinas: si ambas no están sincronizadas será muy difícil. Para esto debería usar NTP (Network Time Protocol) que sirve para poner en hora ordenadores y mantenerlos sincronizados (http://www.rediris.es/ntp/).

Seguridad en Red

Protocolos de Red

Debemos instalar sólo los protocolos que vayamos a necesitar. En principio y salvo que tengamos necesidad de usar más protocolos, deberíamos usar uno de estos dos:

  • NetBEUI

  • TCP/IP

NetBEUI es un protocolo de red no enrutable, sólamente útil para redes de pequeño tamaño. TCP/IP es el líder indiscutible en cualquier tipo de red. Con cualquiera de estos dos protocolos el servicio que estamos ofreciendo a la red es el llamado SMB (Bloques de Mensajes de Servidor), de Microsoft, también conocido como Cliente de redes Microsoft, y que básicamente proveen servicios de archivos y red. Estos servicios están instalados por defecto normalmente.

Los servicios TCP/IP de Internet como servidores Web y FTP, se pueden instalar de modo opcional en Windows NT.

Puede verse un resumen de puertos TCP/IP junto con su descripción en la página [*].

Conviene tener abiertos el menor número de servicios posibles. Al ser estos opcionales, no vienen instalados por defecto y hay que instalarlos a posteriori. Salvo que se necesiten y que se sepa lo que se está haciendo, conviene no instalar ninguno.

También se pueden configurar las opciones de seguridad TCP/IP para permitir o bloquear la dirección del/los puerto/s que se necesiten según los servicios que se quieran utilizar. Para hacer esto, siga la siguiente secuencia:

1.
Panel de Control/Red/Protocolos/Protocolo TCP/IP/Propiedades/ Avanzadas

2.
Marque Activar seguridad

3.
Pulse el botón Configurar

4.
Seleccione el adaptador correspondiente y marque el número de puerto/s del servicio/s que quiera permitir.

Service Pack's

Los Service Pack (SP) no son más que un conjunto de parches que Microsoft saca de vez en cuando para solucionar fallos, dar nuevas funcionalidades, etc. Lo bueno de estos parches es que de una sola vez se aplican todos (a veces más de 100) rápida y fácilmente. El sistema es muy similar a los clusters de parches recomendados de Sun.

Todo NT debería tener instalado al menos el penúltimo SP. En el momento de escribir esta guía, el último Service Pack es el 6a. Microsoft se ha comprometido a sacar un Service Pack 7 que resuelva aún más fallos.

Los Service Pack's son independientes del tipo de NT 4.0 que haya instalado, por lo que son los mismos para Workstation, Server, Server Enterprise, etc.

Si después de instalar un Service Pack instala algún servicio, controlador o programa que altere de forma significativa Windows NT (Microsoft Office, sistemas de bases de datos, etc.), es muy recomendable que reinstale el Service Pack para asegurarse de que la aplicación no ha sobreescrito ningún fichero con una versión anterior.

Y para terminar, un consejo:

Nunca instale un SP en otro idioma que no sea el de la instalación del sistema operativo. Tendrá que reinstalar el sistema.

Cortafuegos

Cuando se conecta un sistema Windows a Internet existe el peligro potencial de los protocolos SMB. Si hay carpetas compartidas SMB en la red que conecta a Internet, potencialmente cualquiera de los usuarios de Internet puede acceder a las carpetas o secuestrar sesiones. Además, hay problemas de seguridad intrínsecos a los protocolos. A continuación se describe como desactivar estos servicios apropiadamente:

1.
Panel de Control/Red/Enlaces.

2.
Seleccione Todos los servicios en la caja de texto correspondiente a Mostrar enlaces.

3.
Expanda las opciones TCP/IP bajo las cabeceras: NetBIOS, Server y Workstation.

4.
Seleccione el adaptador a desactivar y pulsar el botón Desactivar.

Consideraciones generales

No conviene que NT esté instalado en una máquina con arranque dual, ya que esto haría que muchas de sus garantías de seguridad perdieran efectividad.

Es casi obligado que la partición del sistema sea NTFS. No hay ningún motivo por el que NT haya de instalarse en una partición FAT.

Conviene dar a cada uno de los usuarios del sistema unas ciertas normas sobre el uso de la máquina que podría empezar con la frase de "Todo lo que no esté explícitamente permitido, está prohibido" y continuar explicando todo lo que está permitido. Si se dejan las cosas claras desde un principio, nos ahorraremos muchos quebraderos de cabeza.

Administrador no hay más que uno. Aunque NT permite que haya varios administradores para tareas determinadas, es muy importante delimitar estas tareas al máximo si más de una persona administrará la máquina o dominio NT. A medida que el numero de administradores tiende a infinito, la funcionalidad en la máquina tiende a cero.

Los usuarios solo deben tener los privilegios necesarios para ser usuarios. En un exceso de celo, podemos cometer el error de limitar demasiado los privilegios de los usuarios. Esto hace que el usuario no pueda usar la máquina normalmente y perdamos de vista el objetivo por el que hacemos todo esto. Por otro lado, si los usuarios tienen excesivos privilegios (algunos administradores irresponsables lo permiten para no tener que hacer las cosas ellos y que las hagan los usuarios) nos podemos encontrar que por desconocimiento, experimentación o maldad se cause daño al sistema.



IRIS CERT