¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Mantenimiento y reparación de un PC en red (7ª edición)
  3. Seguridad y gestión de la autenticación
Extrait - Mantenimiento y reparación de un PC en red (7ª edición)
Extractos del libro
Mantenimiento y reparación de un PC en red (7ª edición) Volver a la página de compra del libro

Seguridad y gestión de la autenticación

Permisos NTFS

Cada vez que un usuario inicia sesión, las credenciales del usuario (nombre de usuario y contraseña) pasan a un monitor de seguridad local que accede al administrador de seguridad (SAM por Security Account Manager). Este último otorga un token de acceso que determinará los permisos de acceso del usuario sobre cualquier objeto "securizado" (clave de registro, archivo, carpeta, servicio, proceso, etc.). Este descriptor de seguridad comprueba dos datos:

  • el SID del usuario,

  • la lista DACL del objeto al que el usuario intenta acceder.

Estos dos conceptos se explicarán a lo largo de este capítulo.

1. SID de usuarios

Un SID (Security IDentifier) es una forma única de identificar a un usuario o grupo de usuarios. Encontramos estos identificadores en tokens de acceso, en la ACL (Access Control List) y en las bases de datos de seguridad de cuentas. Consulte la siguiente sección para obtener una descripción completa del mecanismo ACL.

Los SID son datos de longitud variable que forman una representación jerárquica del actor al que hacen referencia. La sintaxis es S-R-I-XXX-XXX-XXX-YYY.

  • S: indica que se trata de un SID.

  • R: nivel de revisión del SID (versión utilizada).

  • I: entero que identifica la autoridad que emitió el SID (5 para la autoridad NT).

  • XXX-XXX-XXX: una secuencia de longitud variable, compuesta por identificadores de subautoridades que constituyen el identificador de dominio.

  • YYY: último identificador de subautoridad, denominado identificador relativo (Relative IDentifier o RID). Identifica una cuenta o grupo concreto.

Los SID de un equipo que no es propiedad de un dominio, suelen comenzar con S-1-5.

Para ver los SID de los usuarios, puede hacer lo siguiente:

 En una línea de comandos, escriba el siguiente comando: wmic useraccount get name,sid

images/cap5_pag3.PNG

Puede lograr el mismo resultado con el comando PowerShell Get-WmiObject -Class Win32_UserAccount | Select-Object name,SID.

Para obtener los SID de los grupos, siga estos pasos:

 En una línea de comandos, escriba: wmic group get name, sid.

 En un terminal PowerShell, use el comando Get-WmiObject -Class Win32_Group | Select-Object name,SID.

images/cap5_pag4.PNG

A partir de la captura de pantalla anterior, se puede recopilar la siguiente información: 

  • El SID para el grupo Administradores es: S-1-5-32-544.

  • La autoridad que emitió este SID se identifica...

Cuentas de usuario

Distinguimos entre cuentas predefinidas y cuentas interactivas. Estas últimas son las que permiten a los usuarios iniciar sesión en la máquina. Por defecto, las cuentas predefinidas de tipo Administrador o Invitado están deshabilitadas para mejorar la seguridad del sistema. Este tipo de cuenta no se corresponde directamente con un usuario real. Por el contrario, una cuenta de usuario interactiva se corresponde con una persona física. El sistema devuelve una imagen, denominada perfil, que se almacena en esta ubicación: C:\Usuarios\<Nombre Usuario>.

Cada usuario pertenece a un grupo genérico (predefinido). Dado que es posible crear usuarios, también puede generar nuevos grupos. Cada grupo tiene su propio conjunto de privilegios y restricciones. Para decirlo claramente, mientras que el grupo de administradores tiene plenos poderes, el grupo de invitados evoluciona en una especie de libertad supervisada.

Se puede acceder a la administración de cuentas de usuario desde Configuración - Cuentas. Tiene la opción de administrar las opciones de su cuenta, agregar usuarios familiares y no familiares, conectar una cuenta profesional o educativa o eliminar cuentas. Windows 11 le permite crear o iniciar sesión en dos tipos de cuentas:

  1. Una cuenta de Microsoft: permite la sincronización de la información de la cuenta (configuración personalizada, historial, favoritos del navegador, acceso a las aplicaciones de Microsoft Store y a las aplicaciones de Microsoft) independientemente del equipo en el que inicie sesión. Se comporta de forma similar al perfil móvil de un dominio de Active Directory. Los datos y la información se almacenan en los servidores de Microsoft.

  2. Una cuenta local: se corresponde con las cuentas disponibles en versiones anteriores de Windows. El acceso solo se realizará en esta máquina y los datos de la cuenta se almacenarán localmente. Este tipo de cuenta favorece la confidencialidad, pero no ofrece los beneficios de la sincronización.

El antiguo acceso desde el Panel de control, menú Cuentas de usuario, sigue funcionando. En el resto de esta sección, usaremos la consola de administración avanzada de usuarios porque ofrece más opciones de administración.

 Escriba el comando netplwiz en el cuadro de búsqueda del menú...

Control de cuentas de usuario

Windows Vista introdujo un nuevo concepto de seguridad llamado UAP o Account Protection (en español, control de cuentas de usuario). Se utilizan otros términos: Least-Privilege User Accounts o Limited User Accounts (LUA). Este concepto, ahora llamado UAC (User Account Control), se ha mantenido y mejorado a lo largo de los años hasta Windows 11, para que parezca menos restrictivo para el usuario. Esta función permite limitar el alcance del malware.

Los usuarios creados por Windows tienen el estado de administrador protegido, es decir, que la funcionalidad UAC está habilitada para estas cuentas. Este no es el caso de la cuenta Administrador que designa la cuenta integrada en el sistema operativo, pero que está deshabilitada de forma predeterminada.

Cuando un usuario está autorizado a interactuar sin restricciones con el sistema, puede instalar una aplicación, escribir en la rama del registro HKEY_LOCAL_MACHINE, instalar dispositivos, iniciar servicios, etc.

En el modo protegido, todos los procesos iniciados por un administrador se inician con privilegios mínimos. Si, por ejemplo, abre un programa desde el menú Inicio, la aplicación se va a ejecutar en un contexto restringido con los mismos privilegios que ya se le han concedido.

Si la aplicación requiere privilegios elevados para ejecutarse correctamente, la cuenta de administrador debe poder ejecutar el proceso de forma no restrictiva. A continuación, el proceso hereda los numerosos beneficios que otorga esta elevación de privilegios (Over The Shoulder (OTS) elevation). Cuando un programa necesita ejecutarse en modo de elevación de privilegios, un cuadro de diálogo le advierte al respecto. Por lo tanto, de forma predeterminada, no existe la posibilidad de elevar los privilegios otorgados a una aplicación sin el consentimiento informado del usuario.

Veremos en el resto de este apartado que, en Windows, ahora es posible desactivar la solicitud de confirmación para el proceso de elevación de privilegios. Sin embargo, tenga en cuenta que el servicio permanece activo incluso cuando se selecciona la configuración menos segura para esta función.

1. Cuentas de usuario

Cada vez que inicia una sesión de usuario, se le asigna un token de acceso. Este lista los privilegios que tiene y enumera los recursos a los que está...

Windows Hello

Windows Hello es una funcionalidad heredada de Windows 10, que tiene como objetivo proporcionar a los usuarios capacidades de autenticación biométrica. Esta funcionalidad es el resultado de toda una reflexión sobre la compatibilidad con el estándar de autenticación FIDO 2.0 (Fast IDendity Online). Este último tiene como objetivo eliminar las contraseñas para conseguir una autenticación más fácil pero segura, por ejemplo, biométrica.

El uso de contraseñas representa un riesgo porque rara vez se respetan las recomendaciones sobre la duración, la vida útil y el almacenamiento de las contraseñas. Con Windows Hello, Microsoft cumple con los requisitos de los estándares de seguridad actuales. Se utiliza el chip TPM para cifrar datos.

Esta funcionalidad soporta dos tipos distintos de sensores biométricos. De hecho, podrá iniciar sesión utilizando dispositivos de reconocimiento facial o de huellas dactilares, siempre que, por supuesto, disponga de hardware compatible con Windows Hello para evitar cualquier problema con el reconocimiento de dispositivos. El reconocimiento del iris no está previsto, según la última información de Microsoft. Para la lectura de huellas dactilares, se admite el uso del hardware existente.

Las restricciones en este tipo de dispositivos son limitadas. Por otro lado...

Consejos para cuentas de usuario

Aquí tiene algunos consejos útiles.

1. Inicio de sesión automático

 En el cuadro de búsqueda, escriba: netplwiz.

 Seleccione el usuario cuya sesión se abrirá automáticamente.

 Desactive la casilla de verificación Los usuarios deben escribir su nombre y contraseña para usar el equipo.

images/cap5_pag47.PNG

 Haga clic en Aceptar.

 Si lo desea, cambie el nombre de usuario.

 Introduzca su contraseña y confírmela.

 Vuelva a hacer clic en Aceptar.

Tenga en cuenta dos cosas:

  1. Se requiere una contraseña para evitar cualquier intento de conexión remota.

  2. Si otras personas pueden acceder físicamente a su equipo, también pueden acceder a todos sus datos.

2. Restablecer una contraseña olvidada

a. Cuenta de Microsoft

Si ha olvidado la contraseña de su cuenta de Microsoft, sigua estos pasos:

 En la pantalla de inicio de sesión de Windows, haga clic en el enlace Olvidé mi contraseña.

 Hay varias opciones, elija una de ellas:

  • Utilizar una aplicación de autenticación como Authenticator.

  • Envíar un correo electrónico ********@xxxxxx. Se le enviará un código a su dirección personal tan pronto como haga clic en Obtener código.

  • SMS a *********xx. Cuando haga clic en Obtener código, se enviará un código al número...

Confidencialidad

En los últimos años, los datos o información sobre las personas se han convertido en el principal problema para las empresas. Por lo tanto, es importante saber cómo se utilizan nuestros datos personales en Windows 11. Microsoft ha agrupado la administración de la privacidad en Configuración - Privacidad y seguridad. Algunas de estas opciones hacen referencia a las configuradas durante la instalación de Windows. Entre las opciones propuestas, pueden aparecer las siguientes:

Encontrar mi dispositivo: use esta sección para permitir que Microsoft y las aplicaciones accedan a su ubicación. El huso horario se cambiará automáticamente cuando se desplace, su dispositivo podrá ser localizado en caso de robo, se le ofrecerán propuestas de compra adaptadas, etc. Es posible administrar el historial de ubicaciones y definir qué aplicaciones tienen acceso a la ubicación. Desactive esta opción si no quiere que le "rastreen".

General: podrá administrar su identificador de publicidad (habilitarlo o no). Permite a Microsoft proporcionarle anuncios personalizados basados en sus hábitos de navegación y uso de Windows. También podrá permitir que Microsoft use los idiomas que establezca para mostrar contenido local relevante. Desactive esta opción si no desea que la publicidad se personalice.

Personalización...

Consola de componentes

La consola de componentes (MMC, Microsoft Management Console) es una herramienta administrativa desarrollada por Microsoft para administrar hardware, software y otros elementos en un solo lugar. Se trata de crear una consola a la que añadirá complementos de software como el editor de directivas de grupo.

1. Creación de un archivo de consola

 Pulse a la vez en las teclas [Windows]+[R].

 Introduzca este comando: Mmc.

 Haga clic en Archivo - Guardar.

Por defecto, el directorio de almacenamiento de archivos de la consola es %USER% - AppData - Roaming - Microsoft - Windows - Menú Inicio - Programas - Herramientas de Windows.

 Haga clic en Ver - Personalizar para habilitar o deshabilitar ciertos elementos de la consola.

Ahora veamos cómo añadir diferentes componentes.

2. Agregar un complemento

 Haga clic en Archivo - Agregar o quitar complemento.

 Seleccione el componente Editor de objetos de directiva de grupo y, a continuación, haga clic en el botón Agregar.

images/cap5_pag58.PNG

 Aparecerá el asistente para la configuración de la herramienta de administración de directivas de grupo. Haga clic en el botón Examinar.

 En la pestaña Equipos, marque Este equipo.

 En la pestaña Usuarios, seleccione el grupo No administradores.

images/cap5_pag59.PNG

 Haga clic en Aceptar, Finalizar y Aceptar.

En nuestro ejemplo, se ha elegido el equipo local y el grupo...

Editor de directivas de grupo

Este componente permite, sobre todo, realizar un número considerable de configuraciones del registro. Se puede acceder al editor desde la consola creada anteriormente, buscando Editar directiva de grupo en la barra de búsqueda o escribiendo gpedit.msc. Permite crear GPO (Group Policy Objects u objetos de directiva de grupo), que son herramientas valiosas para los administradores del sistema.

1. Uso del editor de directivas de grupo

Pongamos un ejemplo sencillo:

 Abra este árbol: Configuración del equipo local - Configuración del equipo - Plantillas administrativas - Componentes de Windows - Buscar.

 Abra la directiva: Permitir usar Cortana. Esta directiva no está establecida de forma predeterminada.

images/cap5_pag61.PNG

 Marque el botón de opción Deshabilitada y haga clic en Aceptar.

 Intente iniciar Cortana desde el menú Inicio. Verá un mensaje que le avisará de que Cortana está desactivado.

Esta directiva se puede deshabilitar o eliminar marcando el botón de opción No configurada.

Hagamos lo mismo usando una de las consolas que creamos.

 Abra la consola ConsolaNo-Administrador.

 Repita la manipulación vista anteriormente en el árbol Equipo local - No administradores.

Podrá abrir Cortana, pero si intenta utilizar el mismo comando desde una cuenta de usuario que no tiene privilegios de administrador, recibirá el mismo mensaje de error que antes.

 Vuelva a deshabilitar esta directiva.

 Esta vez, abra el árbol Directiva de equipo local - Configuración de usuario - Plantillas administrativas - Componentes de Windows - Buscar.

 Habilite la misma directiva y, a continuación...

Virus y otras amenazas en Internet

La seguridad de un sistema también implica monitorizar lo que las aplicaciones están haciendo en el sistema y detectar cualquier comportamiento anormal.

He aquí una lista de los principales tipos de aplicaciones que pueden ser dañinas para su equipo:

  1. Virus: este es un programa que es capaz de infectar archivos y propagarse utilizando medios o redes extraíbles.

  2. Gusano: programa que se propaga de un dispositivo a otro a través de las redes. 

  3. Ransomware: encripta y bloquea el uso de sus datos a cambio de una contraprestación económica.

  4. Spyware: es un programa que espía y luego transmite información confidencial sobre usted a un tercero.

  5. Adware: rastrea sus hábitos de navegación por Internet y, por ejemplo, puede mostrar anuncios emergentes basados en el perfil que se ha definido. Muchos sitios web pueden instalar este tipo de software sin su conocimiento.

  6. Keylogger: programa que registra todos los datos introducidos en el teclado y los transmite (contraseñas, número de tarjeta de crédito, etc.) a un tercero.

  7. Drive-by download: se refiere a un programa que se descarga sin su consentimiento. Esto puede suceder cuando intenta cerrar un cuadro de diálogo.

  8. Redirector de página: se refiere a un programa que redirigirá algunas o todas las páginas predefinidas (página de inicio, página de búsqueda, etc.) a un sitio malicioso.

  9. BHO, Browser Helper Objects o Hijacker: se refiere a un programa que permite personalizar y controlar ciertas configuraciones de un navegador. Por lo tanto, puede ofrecerse con fines bien intencionados (la barra de herramientas) o mal intencionados.

  10. Dialer: se refiere a un programa que establecerá, además de su conexión predeterminada, una conexión de acceso telefónico a una tarifa adicional.

  11. Troyano o Caballo de Troya: se refiere a un programa que contiene funciones ocultas que se pueden ejecutar en segundo plano sin el conocimiento del usuario. Proporciona acceso a la máquina en la que se ejecuta a través de una puerta trasera. (Backdoor).

Cabe señalar que la frontera entre este tipo de amenazas sigue siendo difusa y que muchos programas maliciosos pueden utilizar diferentes técnicas para desarrollarse. 

Además de los virus, existen otras técnicas específicas...

Firewall de conexión a Internet

Un firewall de conexión a Internet es un dispositivo de software o hardware que comprueba los datos entrantes o salientes desde o hacia redes locales o externas, como Internet. Un firewall permite protegerse de ataques de hackers o programas maliciosos que intentan tomar el control de su sistema, de una forma u otra. Veamos cómo funciona el firewall integrado en Windows, pero estudiemos primero las nociones de puerto y protocolo.

1. Puertos y protocolos de red

Un protocolo de red es un conjunto de reglas para un tipo definido de comunicación. Estos son los protocolos más conocidos:

  • FTP (File Transfer Protocol): se utiliza para el intercambio de archivos a través de Internet.

  • HTTP (HyperText Transfer Protocol): permite utilizar Internet para navegadores web.

  • SMTP (Simple Mail Transfer Protocol): se utiliza para reenviar e-mails a servidores de correo electrónico.

  • TCP (Transmission Control Protocol): utilizado por Internet y forma parte de la capa de transporte de la pila de protocolos TCP/IP.

  • UDP (User Datagram Protocol): protocolo para controlar las transmisiones de datos, similar a TCP.

Cuando una aplicación inicia una conexión entrante o saliente, utiliza un protocolo que tiene uno o varios números de puerto asociados. Pero, ¿qué es un puerto de red?

En programación, se denomina puerto a una conexión lógica que utiliza un protocolo. Por lo tanto, se puede definir como una puerta que se deja abierta o cerrada en el sistema operativo. Puede imaginar un edificio de varias plantas, en el que cada planta tiene una puerta de entrada: un edificio, pero varias puertas.

En otras palabras, una aplicación como su navegador web va a utilizar uno o más protocolos y uno o más puertos para comunicarse con el exterior. Por el contrario, una aplicación que se ejecuta desde un equipo remoto, puede necesitar que uno o más puertos estén abiertos en el equipo para realizar ciertas tareas, como instalar una actualización.

Para ver una lista de los puertos que están configurados en su máquina, solo necesita ejecutar este comando: notepad %SystemRoot%\system32\drivers\etc\services

images/cap5_pag79.PNG

En conclusión, un firewall de conexión es un programa encargado de limitar las entradas abiertas en su sistema para proporcionar la mejor seguridad posible. Por defecto, un firewall...

Sandbox Windows

Algunas versiones de Windows disponen de la funcionalidad Windows Sandbox. Esta funcionalidad permite crear un entorno de escritorio temporal aislado (un contenedor), en el que se pueden instalar y ejecutar aplicaciones sin afectar al sistema host. Este se destruirá en cuanto se cierre la máquina virtual.

1. Instalación

La funcionalidad Windows Sandbox solo está disponible en las ediciones Profesional, Enterprise y Education. Sus requisitos técnicos son: arquitectura ARM64 o AMD64 con soporte de virtualización, 4 GB de RAM y 1 GB de espacio disponible.

 Escriba características en la barra de búsqueda y haga clic en Activar o desactivar características de Windows.

 Seleccione la casilla de verificación Espacio aislado de Windows y haga clic en el botón Aceptar.

 Reinicie la máquina. La función aparece en el menú Inicio, menú Espacio aislado de Windows.

El siguiente comando de PowerShell instala la característica: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

2. Funcionamiento

La tecnología utilizada es la de los contenedores de Windows en la nube. Al iniciar la aplicación, se crea una máquina virtual ligera. Utiliza una copia del sistema Windows instalado en la máquina para crear la imagen de arranque necesaria. Se crean los procesos Windows Sandbox.exe...