Descripcion de Grupos de Seguridad

Un grupo es una recopilación de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una unidad individual. Los usuarios y los equipos que pertenecen a un grupo determinado se designan miembros del grupo.

La utilización de grupos permite simplificar las tareas de administración, ya que se asigna un conjunto común de permisos y derechos a varias cuentas, en vez de tener que asignarlos a cada cuenta de manera individual. 

Los grupos pueden estar basados en AD o ser locales en un equipo concreto.

Antes de modificar cualquier configuración de seguridad, es importante conocer las configuraciones de seguridad predeterminadas que tienen los usuarios.

Existen 3 niveles de seguridad para los usuarios según pertenezcan al grupo Usuarios, Usuarios Avanzados o administradores






Administradores


Idealmente, el acceso administrativo sólo debe ser utilizado para:

• Instalar el sistema operativo y los componentes (tales como los drivers, programas, etc.).
• Instalar Service Packs y actualizaciones.
• Configurar los parámetros críticos del sistema operativo (como la política de contraseñas, control de acceso, la política de auditoría, la configuración de modo de núcleo conductor, y así sucesivamente).
• Tomar posesión de archivos que se han vuelto inaccesibles.
• Administrar los registros de seguridad y auditoria.
• Crear copias de seguridad y restaurar el sistema.

usuarios avanzados

Este grupo Usuarios principalmente proporciona compatibilidad para ejecutar aplicaciones no certificadas. Los permisos predeterminados que se asignan a este grupo permiten a sus miembros modificar la configuración local. Si aplicaciones no certificados deben ser soportadas, entonces es necesario que usuarios finales sean parte de este grupo.


Básicamente los miembros del grupo Usuarios avanzados tienen más permisos de los miembros del grupo de usuarios y menos de los miembros del grupo Administradores pueden realizar cualquier tarea del sistema operativo, excepto las tareas reservadas para el grupo Administradores.


Los usuarios avanzados pueden:

• Ejecutar aplicaciones antiguas, además de las certificadas 
• Instalar programas que no modifiquen archivos del sistema operativo o instalar servicios del sistema.
• Personalizar los recursos de todo el sistema, incluyendo impresoras, fecha, hora, opciones de energía y otros recursos de panel de control.
• Crear y gestionar cuentas de usuarios locales y grupos
• Detener e iniciar servicios del sistema que no se inicia de forma predeterminada.

No tienen permiso para agregarse ellos mismos al grupo Administradores. Los usuarios avanzados no tienen acceso a los datos de otros usuarios en un volumen NTFS, a menos que los usuario les conceda permiso.

Usuarios

El grupo de usuarios es el más seguro, porque los permisos predeterminados asignados a este grupo no permiten a los miembros modificar las configuraciones del sistema operativo o los datos de otros usuarios.
El grupo de usuarios proporciona el entorno más seguro en el que ejecutar programas. En un volumen con formato NTFS, la configuración de seguridad predeterminada en un sistema recién instalado están diseñados para impedir que los miembros de este grupo de comprometer la integridad del sistema operativo y los programas instalados. Los usuarios no pueden modificar la configuración del registro ,ni de los archivos del sistema operativo .

Pueden crear grupos locales, pero sólo puede administrar los grupos locales que hayan creado.

Tienen control total sobre todos los de sus propios archivos de datos (% userprofile%) y su propia porción del registro(HKEY_CURRENT_USER).
Sin embargo, a nivel de usuario los permisos a menudo no permiten al usuario ejecutar con éxito las aplicaciones antiguas.

Los usuarios no podrán ejecutar la mayoría de los programas escritos para versiones de Windows anteriores a Windows 2000,debido a que no soportan el sistema de archivos y la seguridad del Registro (Windows 95 y Windows 98) . Si tiene problemas para ejecutar aplicaciones antiguas en un sistema recién instalado ,realice una de las siguientes acciones:

1.Instalar la ultima version de la aplicaciones que presenta problemas.
2.Mover el usuarios del grupo usuarios al grupo usuarios avanzados.
3.Disminución de los permisos de seguridad  para el grupo de usuarios. Esto se puede lograr mediante el uso de las plantillas de seguridad compatibles.

Operadores de copia de seguridad
Los miembros del grupo Operadores de copia de seguridad puede realizar copias de seguridad y restaurar archivos en el equipo,independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el ordenador y apagarlo,pero no pueden cambiar la configuración de seguridad.

Cuidado

Copiar y restaurar archivos de datos y del sistema requiere permisos para leer y escribir estos archivos. Los mismos permisos predeterminados concedidos a los operadores de copia de seguridad que les permite hacer copias de seguridad y restaurar archivos también hacen posible que usen los permisos para otros fines, como la lectura de archivos de otro usuario o la instalación de troyanos. La configuración de GPO puede usarse para crear un entorno en el que los operadores de copia de seguridad sólo se puede ejecutar  programas de copia de seguridad.

Identidades especiales

Además de los grupos de los contenedores Usuarios e Integrados, los servidores que ejecutan Windows Server 2003 incluyen varias identidades especiales. Por comodidad, estas identidades se suelen denominar grupos. Estos grupos especiales no tienen ninguna pertenencia específica que se pueda cambiar, pero pueden representar a diferentes usuarios en momentos distintos, en función de las circunstancias. Los grupos especiales son:

• Inicio de sesión anónimo
  Representa a los usuarios y servicios que tienen acceso a un equipo y a sus recursos a través de la red, pero que no utilizan ningún nombre de cuenta, contraseña ni nombre de dominio. En los equipos que ejecutan Windows NT y versiones anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos que ejecutan un miembro de la familia Windows Server 2003, el grupo Inicio de sesión anónimo no es un miembro predeterminado del grupo Todos.
• Todos
  Representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cada vez que un usuario inicia una sesión en la red, se agrega automáticamente al grupo Todos. 
• Red
  Representa a los usuarios que tienen acceso en ese momento a un recurso determinado a través de la red (a diferencia de los usuarios que tienen acceso a ese mismo recurso tras haber iniciado localmente una sesión en el equipo en el que está ubicado el recurso). Cada vez que un usuario tiene acceso a un recurso determinado a través de la red, se agrega automáticamente al grupo Red. 
• Interactivo
  Representa a todos los usuarios que tienen iniciada una sesión en ese momento en un equipo determinado y que tienen acceso a un recurso ubicado en ese equipo (a diferencia de los usuarios que tienen acceso al recurso a través de la red). Cada vez que un usuario tiene acceso a un recurso determinado del equipo en el que ha iniciado una sesión, se agrega automáticamente al grupo Interactivo. 

Aunque se pueden asignar derechos y permisos sobre recursos a las identidades especiales, no es posible cambiar ni ver las pertenencias. Los ámbitos de grupo no se aplican a las identidades especiales. Los usuarios se asignan automáticamente a estas identidades especiales, cuando inician una sesión o tienen acceso a un recurso determinado.

Implementar seguridad basada en funciones

Todos los derechos y permisos se otorgan sobre una base discrecional, lo que significa que cualquier cuenta con Control Total, puede dar o denegar permisos en un objeto a otros principales de seguridad. Para crear una red segura, debemos crear una estructura para otorgar derechos y permisos que sea escalable, flexible, gestionable y por encima de todo, segura. Con una estructura basada en funciones en la concesión de derechos y permisos podremos controlar el acceso a la información. Así, nunca se concederán o negarán permisos o derechos a cuentas especificas directamente, sino que en su lugar lo haremos en grupos basados en su trabajo o función.

En esta implementación, cada tipo de grupo se usa para un propósito especifico y crear una discreta separación de la cuenta y la asignación de permisos basados en la función o trabajo del usuario. Crear grupos de dominio local o grupos locales y asignarles permisos sobre recursos. Crear grupos globales basados en una función o trabajo, emplazarlos en los grupos de dominio local o grupos locales creados y luego colocar a los usuarios en el grupo global apropiado.

Hasta pronto!!

Sistema de Archivos Ext3

Ext3 es un sistema de archivos con journaling que data del año 1999. Es el sistema de archivo más usado en distribuciones Linux, aunque en la actualidad está siendo remplazado por su sucesor, ext4.


Como caracteristicas destacadas cabe mencionar que Ext3 utiliza journaling un árbol binario balanceado (árbol AVL) e incorpora el asignador de bloques de disco Orlov.

Entre sus ventajas ante competidores podemos nombrar que:

Tiene un menor uso de CPU
Es mas seguro que otros sistemas de ficheros de linux.
Soporta journaling.*
Índices en árbol para directorios que ocupan múltiples bloques.
Permite el redimencionado de las particiones on-line.

Como desventajas podemos nombrar:

Al ser una actualización de ext2 y mantener compatibilidad con este la mayoría de las estructuras del archivación son similares a las del ext2. Por ello, ext3 carece de muchas características de los diseños más recientes como las extensiones, la localización dinámica de los inodos, y la sublocalización de los bloques.
No puede ser chequeado por el fsck mientras el sistema de archivos está montado para la escritura.
Posee un límite de 31998 subdirectorios por cada directorio, que se derivan de su límite de 32 links por inodo.
No hay herramienta de desfragmentación online para ext3 que funcione en nivel del sistema de archivos
El soporte para la compresión está disponible como un parche no oficial para ext3.

Límites de tamaño


Ext3 tiene dos límites de tamaño distintos. Uno para archivos y otro para el tamaño del sistema de archivos entero. El límite del tamaño del sistema de archivos es es 231−1 bloques

Tamaño del bloque	Tamaño máximo de los archivos	Tamaño máximo del sistema de ficheros
1 KB	16 GB	2 TB
2 KB	256 GB	8 TB
4 KB	2 TB	16 TB
8 KBlímites 1	2 TB	32 TB

ext2/3 y windows

Aunque Windows no tiene un soporte nativo para ext2 ni ext3, pueden instalarse drivers adicionales para poder acceder a ese tipo de sistemas de archivos o usar un programa para poder ver y copiar los archivos que hay en una partición con ext3 y ext2 pero no monta la partición. 

Definiciones

Jounaling

El journaling es un mecanismo por el cual un sistema informático puede implementar transacciones. También se le conoce como «registro por diario».
Se basa en llevar un registro en el que se almacena la información necesaria para restablecer los datos afectados por la transacción en caso de que ésta falle.
En el caso concreto de los sistemas de archivos, el journaling se suele limitar a las operaciones que afectan a las estructuras que mantienen información sobre:
Estructuras de directorio.
Bloques libres de disco.
Descriptores de archivo (tamaño, fecha de modificación...)


El hecho de que no se suela implementar el journaling de los datos concretos de un archivo suele carecer de importancia, puesto que lo que persigue el journaling de sistemas de archivos es evitar los engorrosos y largos chequeos de disco que efectúan los sistemas al apagarse bruscamente, ya que el sistema al arrancar solo deberá deshacer el journal para tener un sistema coherente de nuevo.

Asignador de bloques de disco Orlov.
Básicamente, el algoritmo de Orlov intenta sacar hacia afuera los directorios de nivel superior , en el supuesto de que no están relacionados entre sí. Los Directorios creados en el directorio raíz del sistema de ficheros se consideran directorios de nivel superior, el desarrollador ha añadido una bandera de inodo especial que permite al administrador del sistema marcar otros directorios como directorios de nivel superior también.

Cuando se crea un directorio que no está en un directorio de nivel superior, el algoritmo trata, de ponerlo en el mismo grupo de cilindros que el directorio de nivel superior al que pertenece sin embargo, toma recaudos para asegurar que el contenido del directorio también será capaz de encajar en ese grupo de cilindros, y si no hay inodos muchos o bloques disponibles en el grupo, el directorio será colocado en un grupo de diferente tamaño. El resultado de todo esto, como es de esperar, es una distribucion mucho mejor de los archivos que estan realmente relacionados entre sí y es probable que se accedan simultaneamente.

Componentes del Sistema DNS

Un Servidor DNS no es mas que una computadora corriendo el servicio DNS. Un servidor es autoritativo para un dominio cuando localmente tiene la zona a la que por la que se consulta.Ej:
Se consulta por un cliente pc023.franklin.com.ar solo el servidor dns01.franklin.com.ar que tiene el dominio franklin.com.ar puede constestar a esta consulta de manera autoritativa, todos los demas servidores de dns del mundo van a preguntarle a otro servidor hasta llegar al dns01.franklin.com.ar o algun server que lo tenga cacheado de una consulta anterior.

Zonas

una zona de DNS es una parte contigua de un espacio de nombres para la que un servidor es autoritario, un servidor puede ser autoritativo para mas de una zona y una zona puede contener mas de un dominio contiguo(aox.com, example.aox.com).

Registros

es la base de datos de entradas dns que van a ser contestadas a los clientes.(CNAME,AAAA, PRT, ETC.)

Métodos de Resolucion DNS

La resolucion de nombres sucede de varias maneras, pero en un escenario básico seria mas o menos asi:

En este escenario el cliente esta configurado para que si no tiene la respuesta en cache realiza recursion#

1_La consulta (Q1) es pasada al resolutor local(DNS Client Service) para que lo resuelva usando la cache.

2_Si la respuesta no esta en cache, la consulta es pasada al servidor DNS respetando una lista de preferencias configurada anteriormente en

las opciones de TCP/IP.
2 a_El servidor resive la consulta(Q2) y verifica si puede contestarla autoritativamente#(Q3).
2 b_Si el servidor no tiene información en ninguna de sus zonas, chequea en su propia cache(Q4).
3_Si el servidor todavía no tiene respuesta, entonces el proceso continua dependiendo de como esta configurado el server,
3 a_De manera predeterminada el servidor realiza recursion(Q5).
3 b_Si la recursion esta deshabilitada el propio cliente realiza consultas iterativas# con las sugerencias de root hints del servidor de dns.

Forwarders vs root hints

La resolución de nombres se realiza de 2 manera, mediante forwarders o atraves de roots hints
Los root hits identifican y buscan el DNS autoritativo para el nombre
los fowarders para que se conecten a otro servidor que haga la búsqueda por ellos
por defecto Windows confía en los root hints para realizar las búsquedas.
Tambien existen los  fowarders condicionales, se usan para para forwardiar cuando condiciones especificas son dadas,EJ: si se quiere que se conecten 2 namespaces como puede ser contoso.com y agco.com pero solo cuando lo pida algún usuario en particular se pueden usar confitional forwarders.(otro ejemplo de esto esta en el libro )

Hasta pronto!

Métodos De Resolucíon De nombres en Windows

la resolucion de nombres en windows puede ser de 3 maneras: DNS, Link local Multicast Name Resolution (LLMNR), NetBios.
El método preferido de estos tres en redes windows es el uso de DNS.

Link Local Multicast Name Resolution(LLMNR)

• Este metodo de resolucion de nombres funciona apartir de windows vista.
• Usa multicast para resolver los nombres en redes ipv6.
• Es el unico protocolo de resolucion de nombres que funciona sin configuracion en redes ipv6.
• No funciona con versiones anteriores de windows(2k,2003,XP,linux,etc).
• no funciona en IPv4.
• todas las maquinas tienen que estar corriendo el servicio NETWORK DISCOVERY.

Netbios

• Es un protocolo de resolucion de nombres que tiene muchos años.
• Es el unico protocolo de resolucion de nombres que funciona con redes IPv4.

Netbios incluye 3 metodos de resolucion de nombre:Brodcast, Wins y archivo Lmhost.Siempre va a intentar resolver el nombre en este orden.

Métodos de Resolución de nombre de Netbios

Brodcast: 

El cliente que necesita obtener el nombre de un host envia un brodcast preguntando si algun host posee el nombre que el necesita, si la respuesta es satisfactoria el host remoto responde con su ip.

Para que este metodo funcione todas las pc´s tiene que tener activado el netbios.

Wins: 

un servidor Wins es básicamente un servidor con una base de datos conteniendo los nombres de las maquinas y su dirección de ip, este tipo de resolución no es jerárquica ya que utiliza solo el nombre del cliente y no el FQDN. 

La característica mas destacarle de este método de resolución es que permite utilizar netbios atraves de una sub-red.

Archivo LMHOST

Este archivo es una base de datos estatica y local que se guarda en

%systemroot%\system32\drivers\etc que mapea nombres netbios a direcciones de ip.

Para indicar a cada cliente NetBIOS la estrategia que debe emplear para registrar su nombre se se puede utilizar cualquiera de los siguientes cuatro nodos

1.b-node “difusión”: Este nodo utiliza el registro de broadcast y sólo resolución.
2.p-node “punto a punto”: Este nodo utiliza el registro punto a punto y sólo resolución.
3.m-node “mixto”: Este nodo broadcast para su registro. Si tiene éxito, notifica al servidor NBNS el resultado. Para la serolución también usa broadcast: Solamente usa NBNS cuando el broadcast no tiene éxito.
4.h-node “híbrido”: Utiliza NBNS para su registro y resolución, en caso de fallar, utiliza broadcast.

Domain Name Server

Este protocolo de resolucion de nombres que utiliza una estructura jerarquica y un metodo automatico para resolver y cachear los nombres de host.
Dentro del servidor la información se guarda en zonas, que no son mas que bases de datos, las zonas almacenan la información en registros. Existen varios tipos de zonas y  registros

Espacio de nombres de un DNS(DNS Namespace)

el sistema de nombres en el que los dns se basan es una estructura de arbol logico llamado namespace.
el namespace dns tiene una unica raiz “.” y muchos subdominios y a su vez cada subdominio puede tener muchos subdominios.Ej:

Nombre de dominio

se puede identificar cada nodo en un arbol dns por el Fully Qualified Domain Name(FQDN). El FQDN indica el lugar con respecto al root del arbol dns.Ej:
El FQDN para el servidor Finance1 en el dominio lucernepublishing.com es finance1.lucernepublishing.com

hasta pronto!

Configuracion de una infraestructura de zonas

Vamos a ver toda la configuracion de las zonas en un servidor DNS. Antes de avanzar vamos a definir algunos conseptos pertinentes a las zonas DNS.

Una zona es una base de datos que contiene informacion autoritativa acerca de una parte del espacio de nombres dns. 
Existen 3 tipos de zonas:

Zona primaria: es el tipo de zona principal. provee información autoritativa de una zona dada, y es de lectura escritura.

Zona Secundaria:  es la zona que replica a la zona principal que solo tiene capacidad de lectura sobre la información.

Zona de código Auxiliar (Stub zone): este tipo de zona solo contiene el registro SOA de inicio de autoridad (Start Of Authority), los registros NS (Name Server) y A (host) que apuntan los servidores de nombre. Una stub zone no contiene ningún registro aparte de los anteriormente citados de manera que lo único que hace es apuntar a los clientes hacia un servidor DNS, a primera vista puede parecer que no tiene utilidad pero pero tiene gran utilidad en dos tipos de escenario: en el caso de que estemos realizando cambios en nuestra infraestructura DNS así no tendremos que cambiar la configuración de los clientes mientras dure este proceso o bien en escenarios donde las zonas contengan gran cantidad de registros y no queramos realizar gran cantidad trafico de replicación de DNS entre distintas localizaciones por enlace WAN. Este tipo de zonas solo están disponibles a partir de Windows Server 2003.






Existen dos supertipos de zona según el tipo de resolución que se realice, tenemos las:
forward lookup zones: que es el tipo mas utilizado es decir se realiza una resolución de nombre DNS hacia una IP.
Reverse lookup zones que realizan justo lo contrario, es decir, ver cual es el nombre DNS asignado a una IP.

integrar la zona con AD tiene muchas ventajas como ser:

• No es necesario configurar la trasnferencia entre la zona primaria y secundaria.
• tolerancia a fallos.
• mejora en al performance.
• cualquier cambio se replica solo a lo largo de la red.

Registros integrados en las zonas

Cuando se crea una zona nueva se crean 2 tipos registros automaticamente. “Start Autority (SOA)” y aunque sea 1 registro “NS”

Registro Start Autority (SOA)

Cuando un servidor carga una zona usa este registro para determinar propiedades básicas y autoritativas de la zona

Registro Name server “NS”
El registro NS especifica un servidor que es autoritativo para una zona dada, cada servidor que hostea  una copia primaria de una zona integrada con AD va a tener su propio registro NS .
Pero se necesita agregar manualmente para servidores hosteando una zona secundaria de una copia primaria de la zona.
Para crear una nuevo registro NS es necesario hacerlo haciendo doble click en un registro NS preexistente y apretar el boton “add” en la pestaña “Name Servers”

Tipos de registros

Los registros mas comunmente usados son:

• Host A o AAAA
• Alias o CNAME
• MX o Mail Exchange
• Pointer  o PRT
• Service location o SRV

Host A o AAAA: este registro de usa para asociar el nombre de las computadoras cliente con su ip.

Alias o CNAME: permite usar mas de un nombre(Alias) para un host dado.

MX o Mail Exchange: Permite a las aplicaciones de e-mail encontrar el servidor de correo que hay dentro de la zona dns.

Pointer o PRT: (Indicador) También conocido como 'registro inverso', funciona a la inversa del registro A, traduciendo IPs en nombres de dominio.

Service Location o SRV: Se usa para especificar el lugar de un servicio particular en el dominio.

Aging y scavenging

aging (envejecimineto) en DNS se refirere al proceso de usar marcas de tiempo para hacer un seguimiento de la edad de los registros registrados dinamicamente y scavenging(barrido) se refiere al proceso de borrado de los registros considerados obsoletos en los cuales se habia colocado la marca de tiempo.Ambos estan dehabilitados de manera predeterminada .
Para usar esto en una zona tiene que estar habilitado a nivel del servidor y de la zona.
Las zonas que estan integradas a AD realizan marcas de tiempo en los registros registrados dinamicamente de manera predeterminada.

Global Name Zone

windows 2008 incluye una nueva caracteristica que habilita a todos los clientes DNS del bosque a usar  nombres simples como “Mail”  para conectarse a un servidor en cualquier lugar del bosque,
La zona de nombres global no existe por default pero desplegando una zona con su nombre se puede proveer acceso a los recursos seleccionados en la red.

Hasta pronto!