InET 1x2: Politicas del Windows NT
By: EndlessRoad
La mayoria de las empresas en Colombia manejan el M$ Windows NT (se dejaron infectar por el comercio) creyendo que este es el sistema mas ideal y seguro del mercado, incluso hasta en los principales bancos en los que hay comercio electronico manejan el ambiente "Windoze" (muy poco UNIX).
Pero Micro$oft, al interesarse mas en publicidad y dinero que en calidad, se olvida de la gran cantidad de errores (bugs) que salen diariamente en sus sistemas, no hablare aqui de esos errores, a cambio de eso explicare como funcionan las politicas de grupo para tener un poco de seguridad en el sistema, aunque de una vez digo que es algo muy basico (bueno la mayoria de los sysadmin NT tambien son muy basicos).
Lo que no se debe olvidar al instalar una red NT:
Al hablar de una red NT me refiero a un PDC (controlador de dominio primario) utilizando el Windows NT /3.5/4.0/5.0 y siendo el servidor de WorkStations (estaciones de trabajo) en las cuales cada usuario tendra ciertos privilegios, segun el login con el que entren, manejando el OS Windows 95/98.
Lo primero que hay que verificar en las WorkStations es el archivo Msdos.sys. Este archivo se encarga de activar/desactivar las teclas opcionales cuando se esta iniciando el Windows (F8, F5, etc..).
Lo abrimos con un el notepad y verificamos en [Options] que este añadida la linea BootKeys=0 y BootSafe=0, esto hara que el usuario no pueda tener los privilegios completos de Windows bajo DOS (el BootSafe=0 solo se aplica en Windows 98).
[Paths]
WinDir=C:\WINDOWS
WinBootDir=C:\WINDOWS
HostWinBootDrv=C
[Options]
BootKeys=0
BootSafe=0
BootMulti=1
BootGUI=1
Network=1
Activar esto es muy importante, ya que en el DOS se puede renombrar el archivo de passwords de Windows (*.PWL) con la opcion "rename". Otra cosa que no se debe olvidar en una WorkStation es desinstalar la opcion de hacer "Boot" desde la unidad A, configurandolo desde el CMOS.
¿Que son las System Polycies (Politicas del Sistema)?
Las politicas de grupo es una opcion adicional del windows que permite restringir el acceso al usuario logeado.
Cuando se crea un usuario en el Windows NT, al logearse en el servidor bajo una WorkStation Windows 95/98, este tiene acceso a todos los recursos del sistema (scandisk, panel de control, explorer, etc..), teniendo acceso "root" al Windows 95/98 (no al Servidor). Entonces ¿que pasa si la empresa tiene una Intranet privada que se accede remotamente con password, pero localmente con un Browser cualquiera conociendo cual es el proxy?
Pues todo el mundo tendria acceso a la intranet, incluso la gente de soporte.
Para eso sirven las politicas de grupo, para crear una interfaz distinta segun el tipo de usuario que haga el Login en el servidor, dejando libre solamente lo que es necesario para el trabajo de cada WorkStation, tener acceso restringido no solo al servidor, sino a la misma WorkStation
Breve explicacion del funcionamiento
Cuando ya estan configuradas las politicas de grupo, se crean archivos para cada S.O.;
I.E
Windows 95/98 >>> Config.pol
Windows NT >>> Ntconfig.pol
Estos archivos contienen la configuracion general de las politicas de grupo, que cuando se activa, remplaza el registry.
Las politicas Config.pol se pueden editar del "editor de politicas" que viene como añadidura especial en el CD del windows 95 (I.E admin/appstools).
El "Directory replicator" permite validarme, el "Log Balancing" cuando esta en modo ON activa el config.pol en cualquier servidor de registro que atienda al login (hablando de una red de varios servidores como BDC y PDC) y cuando esta en modo OFF solo lo activa en el BDC no en el servidor principal.
Un gran problema que tiene la configuracion de las politicas es que cuando se restringe un servicio, puede afectar otro; o cuando se aplican, aparezcan ocasiones en las que las politicas no se aplicaron :(
Aplicar politicas es una de las pocas soluciones alternativas de seguridad que tienen los sistemas Windows NT en una red, ademas se hace dificil creerle a Microsoft cuando aclaran que las vulnerabilidades solamente son solo teoricas, sabiendo que a la hora de la verdad estan haciendo parches como locos para remediar miles de errores que descubrimos.
Nota: este articulo me quedo incompleto ... tratare de que esto no pase en futuras ediciones (en realidad no me dio tiempo de acabarlo)
