Asegurar nuestros sistemas (Windows XP/Vista)

Un sistema contiene un montón de información crítica relacionada con la seguridad hoy en día. Es evidente que esta información debe ser protegida contra una amplia variedad de ataques, incluyendo la divulgación de información. Esta información incluye la base de datos del Administrador de Cuentas de Seguridad (SAM), base de datos de la información de la cuenta en Active Directory, las claves IPSec, las claves de red inalámbrica (WEP, WPA), sistema de recuperación de contraseñas (modo de restauración de Active Directory), secretos gestionados por LSA (autoridad de seguridad local), claves SSL, claves EFI, etc. Todos estos procesos protegen algo de forma individual, pero ¿Cómo se protegen todos juntos? La respuesta es que existen claves para encriptar claves privadas almacenadas en el sistema. Son las llamadas claves maestras, un ejemplo de clave maestra es aquella asociada con un usuario para proteger su EFS, SSL, etc., una especie de "clave raíz" llamada Syskey.

Por defecto, syskey se almacena en el ordenador en sí mismo y se genera aleatoriamente durante la configuración de Windows. Esta información es luego distribuida en el registro, única para esa instalación de Windows.

Tanto en Windows XP como en Windows Vista, podemos definir un nivel añadido de seguridad, mediante la función llamada "Asegurar la base de datos de cuentas del sistema". Contamos con la posibilidad de almacenar toda la información relacionada con nuestras cuentas de manera cifrada en un disco de inicio. Lo que este disco hará es que, si no tenemos acceso a él, no podremos acceder al sistema. Incluso conociendo nuestro nombre de usuario y contraseña, no será posible acceder al sistema si no tenemos este disco de inicio.

Utilizaremos esta herramienta de clave del sistema (Syskey.exe) con una clave aleatoria generada por el equipo que se almacena en un disquete para evitar que una persona sin autorización pueda iniciar Windows. Guardaremos el disquete en un lugar seguro. Este disco de seguridad debe insertarse en una unidad durante el inicio de Windows para que se complete la secuencia de inicio. La herramienta de clave del sistema se incluye con Windows NT 4.0 Service Pack 3 y posterior, Windows 2000, Windows XP, Windows Server 2003 y Windows Vista.

El proceso de creación de este disco de seguridad es simple. En el menú Inicio > Ejecutar introduciremos el comando SYSKEY.EXE . Aparecerá una ventana en la que pulsaremos sobre el botón Actualizar . En otra ventana nueva veremos la opción de almacenar la base de datos encriptada de las cuentas de forma local o en un disco de inicio. Escogeremos la opción Almacenar la clave de inicio en un disco y pulsaremos sobre Aceptar. En el disquete se creará el archivo StartKey.Key. A partir de ese momento, para acceder a la pantalla de inicio de sesión tendremos que introducir el disquete en la unidad lectora o, de lo contrario, no podremos acceder al inicio de sesión del sistema.

Sin embargo, esta configuración de alta seguridad entraña el riesgo de no poder acceder al sistema si perdemos u olvidamos la contraseña de acceso. Por este motivo es altamente recomendable realizar copias de seguridad antes y después de utilizar SYSKEY.EXE

En Windows XP, utilizaremos la Utilidad de copia de seguridad (ntbackup.exe) para realizar dos copias, una antes y otra después de aplicar SYSKEY:

- la copia PRE-SYSKEY nos servirá para restaurar la configuración original del sistema y del registro antes de aplicar SYSKEY.EXE (para el caso de que se pierda u olvide la contraseña después de la aplicación de syskey).

- la copia POST-SYSKEY nos servirá para restaurar la configuración del sistema y del registro, si aparece algún desastre en el sistema, manteniendo la clave maestra de inicio de sesión establecida mediante syskey.

Nota: El programa ntbackup se instala de forma predeterminada en Windows XP Profesional. En la versión Home Edition, es necersario instalarla por separado desde el CD de instalación del sistema.

En Windows Vista, no existe el programa ntbackup para copias de seguridad, en su lugar debemos utilizar el Centro de Copias de Seguridad y Restauración, Windows Complete PC, ejecutando el comando siguiente:

control /name Microsoft.BackupAndRestoreCenter

Las copias de seguridad en Windows Vista pueden hacerse directamente en DVD.

Información relacionada:

Cómo emplear la utilidad SysKey para proteger la base de datos del Administrador de cuentas de seguridad de Windows
http://support.microsoft.com/kb/310105/es

Un atacante que tenga acceso físico al equipo podría obtener acceso a archivos y otros datos
http://support.microsoft.com/kb/818200/en-us