En NT se pueden fijar una serie de directivas comunes para todo el dominio. Entre estas se puede fijar el plan de cuentas para el dominio, que fija propiedades de las cuentas tales como la política de contraseñas, el plan de derechos de usuarios, que permite asignar determinados permisos genéricos a usuarios o grupos del dominio, o el plan de auditoria, que permite activar los elementos del sistema de auditoria en el dominio.

Administración del plan de cuentas.

Desde el menú Directivas\Cuentas podemos acceder al cuadro de diálogo "Plan de cuentas".

En este cuadro podemos fijar las limitaciones de las contraseñas y el sistema de bloque de cuentas.

Cuando se ha seleccionado caducidad para la contraseña de un usuario, la contraseña utilizará las opciones elegidas en este cuadro de diálogo. Se puede elegir:

q       Duración máxima de la contraseña, en días.

q       Duración mínima de la contraseña, para que el usuario cambie dos veces su contraseña  y vuelva a usar la contraseña antigua.

q       Longitud mínima de la contraseña. Las contraseñas con más de 6 caracteres son   difíciles de saltar por métodos de asalto masivo (crackers), también llamados de "fuerza bruta". Esto es útil en redes conectadas a Internet.

q       Historia de la contraseña, que obliga al usuario a no repetir las últimas contraseñas.

q       Bloqueo de Cuentas

El sistema de bloqueo de cuentas permite a los controladores de dominio reaccionar frente a los intentos fallidos de iniciar sesión en el dominio. Si se activa el bloque de cuentas entonces al alcanzarse el numero de intentos especificado la cuenta es bloqueada.  Su el número de intentos fallidos no alcanza al especificado, el usuario puede esperar el tiempo fijado en "restablecer cuenta" para poder volver a intentarlo. Fijando por ejemplo estos parámetros a 4 intentos y 10 minutos suele bastar para disuadir de accesos no autorizados. Una vez bloqueada la cuenta se puede elegir entre desbloqueo automático o manual, con intervención del administrador del dominio.

También en este cuadro de diálogo se puede seleccionar si los usuarios remotos serán

desconectados de los servidores al acabar su tiempo de conexión y si un usuario debe iniciar sesión en una estación de trabajo para poder cambiar su contraseña.

Administración del plan de derechos de usuarios.

Los derechos de usuarios son una serie de permisos que no se aplican sobre un objeto concreto, como un fichero, impresora o directorio, sino que se aplican al sistema completo. Estos permisos tienen prioridad sobre los permisos asignados sobre los objetos del sistema. Se pueden asignar a cada tipo de derecho de usuario los usuarios o grupos de usuarios a los que se necesite otorgar ese derecho.

Los derechos de usuarios pueden ser modificados desde el cuadro de diálogo "Plan de derechos de usuarios" accesible desde el menú Directivas\Derechos de usuarios.

Si se activa la casilla "Mostrar derechos de usuario avanzados" se pueden ver algunos derechos de usuarios más específicos. Normalmente los derechos de usuario asignados por NT asignan derechos suficientes a los grupos de usuarios creados por NT. Cuando se instalan algunos servicios, como servidores de correo, de Web y similares suele ser necesario cambiar algunos de estos derechos. Los más frecuentes suelen ser:

Ø      Iniciar sesión como servicio. Permite asignar un usuario a un servicio. Suele ser usuario en servidores de ficheros tipo FTP, Gopher y Web, ya que permite asignar permisos a los ficheros para ese usuario, limitando el acceso a otros ficheros del sistema. También lo usa el servicio de duplicación de directorios.

Ø      Iniciar sesión como proceso por lotes. Este derecho está pensado para los servicios que atienden las peticiones de usuarios en forma de transacciones, como por ejemplo servidores POP3 y otros. Actualmente no está implementado en el sistema operativo, pero algunos servicios verifican que el usuario posea este derecho antes de atender su petición.

Seguridad

La seguridad en Windows NT es una combinación de técnicas que aseguran un nivel de protección consistente contra los accesos no deseados. Para implementar la seguridad, tendremos que proteger la red, el sistema operativo y los datos. Para eso, disponemos de la autentificación de acceso propia de Windows NT, seguridad a nivel de objeto y derechos de usuarios. Para sacar provecho de los más altos niveles de seguridad que permite Windows NT, el nivel de seguridad C2, necesitaremos tanto el hardware como el software adecuados. NT dispone de herramientas de auditoría que nos permitirán conocer nuestros niveles de seguridad, pero tendremos que tener muy presentes los temas relativos a la seguridad cuando entran en juego las comunicaciones sobre la Internet. Para estar seguro que estamos protegidos en todos los frentes, nos es necesario conocer determinadas técnicas.

La seguridad

La seguridad puede ser clasificada en tres diferentes áreas funcionales: seguridad a nivel de red, seguridad del sistema operativo y encriptación de datos.

-La Seguridad de red ofrece autentificación (verificando que el servidor de datos y que el receptor de los mismos son correctos) y verificando la integridad de la información (de forma que los datos enviados y los recibidos sean los mismos). Conseguir este nivel de seguridad a nivel de red significa haber implementado un protocolo de red, como NetBEUI o TCP/IP, ajustado a las necesidades de la red.

Esos protocolos ofrecen varios niveles de seguridad, rendimiento (conseguidos reduciendo al mínimo la carga derivada de la seguridad), flexibilidad, y disponibilidad sobre múltiples plataformas.

Tras haber definido e instalado una determinada infraestructura de red, añadir y extender protocolos de seguridad es algo teóricamente muy simple. Todo lo que necesita es un llegar a un consenso entre los miembros de su equipo.

-La seguridad a nivel de sistema operativo debe estar integrada con el mismo desde un buen principio. Si esas funciones básicas de seguridad no han sido implementadas al propio sistema operativo desde un principio, implementarlas con posterioridad será casi imposible. Por ejemplo, Microsoft no fue capaz de implementar una seguridad seria a sus versiones de 16 bits de Windows tras su fase de desarrollo.

---

Fue necesario un nuevo sistema operativo de 32 bits, y un nuevo modelo de programación (la API Win32) para poder hacerlo. Windows NT dispone de unas robustas funciones de seguridad que controla el acceso de los usuarios a los objetos como archivos, directorios, registro de sistema e impresoras.
También incluye un sistema de auditoría que permite a los administradores rastrear los accesos a los archivos u a otros objetos, reintentos de inicio de sesión, apagados y encendidos del sistema, etc… En cambio, Windows 95 dispone únicamente de un rudimentario sistema de seguridad en el inicio de sesión, y no dispone de seguridad a nivel de objetos.

-Encriptación de datos. Puede operar de distintas formas. Muchas aplicaciones disponen de encriptación por sí mismas. Algunos protocolos, como SSMTP (Secure Simple Mail Transfer Protocol) soportan encriptación automática. La encriptación ofrecida por terceras compañías, como PGP (Pretty Good Privacy) también está disponible. Incluso Microsoft ha añadido un sistema de encriptación básico, CAPI (Cryptography API) a la API Win32.

CAPI consiste en un juego de funciones que permiten a las aplicaciones y a los desarrolladores de sistemas de software acceder de forma independiente a los servicios de criptografía. NT dispone de un servicio básico de criptografía que nos permite codificar los datos facilitando así el almacenamiento seguro y una transmisión segura combinando claves públicas y privadas. El método de encriptación es similar al PGP.

Aspectos de la seguridad NT

NT ofrece seguridad en tres áreas fundamentales. Se trata de autentificación en el inicio de sesión, seguridad a nivel de objetos y derechos de los usuarios.

La "Local Security Authority" efectúa validaciones interactivas y remotas (a través del RAS), inicios de sesión locales y globales (en dominios) verificándolo contra SAM (Security Account Manager), la base de datos donde se almacenan los nombres de los usuarios y sus contraseñas. La "Local Security Authority" también gestiona los mensajes de auditoría.

El "Security Reference Monitor" verifica si un usuario tiene derecho a acceder a un objeto y ejecutar la acción solicitada. Además, es el responsable de los mensajes de auditoría. Con el diálogo permisos del Administrador de archivos (si se encuentra en NT 3.51) o el Explorador de archivos (en Windows NT 4.0), podrá controlar la seguridad de la mayoría de los objetos. Por ejemplo, la activación y el acceso al objeto servidor del DCOM (en Windows NT 4.0) están completamente integrados con el modelo de seguridad de Windows NT.

Aparte de la seguridad de los objetos, el NT permite controlar, y monitorizar funciones de sistema.

---

Con el Administrador de usuarios podrá controlar qué cuenta de usuario o grupo puede, por ejemplo, añadir estaciones de trabajo a un dominio, salvar o restaurar archivos y directorios, cambiar la hora del sistema, iniciar una sesión localmente, gestionar las registros de auditoría y seguridad y cerrar el sistema. La Local Security Authority mantiene la Planificación de cuentas de usuario.