Les noves versions de Microsoft Windows, el Windows 2000 i el WindowsXP són els sistemes operatius que us trobeu instal·lats en les noves compres de PC de sobretaula des de fa ben bé un any. Per als antics usuaris de Windows 95/98 aquestes noves versions representen un canvi molt important respecte el que es feia servir abans. Sota l’epígraf “fent servir tecnologia NT” que veieu a la pantalla de benvinguda s’hi amaguen forts canvis que, per fi, intenten posar el sistema operatiu de Microsoft a l’altura dels que podem anomenar “seriosos”. 

En aquest article us parlem del Windows XP i us donem algunes recomanacions per evitar possibles problemes de seguretat que es deriven directa o indirectament de les noves característiques d’aquest sistema operatiu.

Usuaris

El primer que cal observar és que ja no és possible fer servir l’ordinador si no s’introdueix el nom d’un usuari i la corresponent contrasenya. Això significa un control ben disposat d’accés als recursos de la màquina.

Ben lligat amb el compromís anterior, aquest sistema operatiu fa possible un tipus d’usuari molt especial: l’administrador del sistema. Aquest concepte, ben conegut pels que fa anys (o fins i tot dècades) feu servir altres sistemes operatius, significa que certes operacions que comprometen el bon funcionament de la màquina només es poden fer per l'esmentat administrador, al qui se li pressuposen habilitats especialitzades, diferents de les dels usuaris normals d’un ordinador que el fem servir com una eina de producció.

Complementàriament, queden a la nostra disposició les eines necessàries per a mantenir la màquina de tal manera que totes les accions que se’ns deixa fer com a usuaris “normals” no puguin destarotar el funcionament de tot l’ordinador.

Serveis

Una altra característica del nou Windows és que pot actuar com a “servidor” respecte de la resta de la xarxa. S’hi poden mantenir funcionant programes i serveis per a usar el disc, un servidor de web, i moltes altres coses sense necessitat d’estar present davant de la màquina, accedint-hi des d’altres ordinadors.

Algunes recomanacions de seguretat

Malauradament una configuració imperfecta de les dues característiques que hem esmentat, la gestió d’usuaris i la gestió de serveis, pot representar un perill per la integritat de la informació que hi posem. Passem breument a descriure algunes possibles fonts de problemes i el que caldria que féssiu per corregir-los:

• Recordeu tenir cura de la seguretat física de la màquina: aquesta recomanació és extensible a qualsevol maquinari informàtic, però en particular recordeu que mai heu d’abandonar la màquina amb una sessió oberta o sense haver bloquejat la pantalla (el salvapantalles o screensaver) amb contrasenya. Això és especialment greu si heu obert una sessió com a administrador. No està de més pensar en mantenir l’ordinador sota clau, ja sigui de l’habitació o del pany que alguns maquinaris ja inclouen.
  A l'escriptori feu clic amb el botó dret i seleccioneu Propietats de pantalla (o bé aneu al botó Inicio, Panel de control i seleccioneu Pantalla). Seleccionar la fitxa Protector de pantalla i activar l’opció Proteger con contraseña al reanudar.

• Tothom en general i els que no formeu part del domini UAB en particular, els que no sou al servei 2002, hauríeu de desactivar l’anomenat simple file sharing. Si no ho feu, les carpetes i fitxers compartits estaran a l’abast de tothom. Per fer-ho aneu a Incio, Mi PC, Herramientas, Opciones de carpeta..., Ver

• Manteniu tots els comptes d’usuari de la vostra màquina amb password, no el deixeu mai en blanc, que és com està configurat de fàbrica.
  Per administrar els usuaris de l’equip aneu a Incicio, Panel de control, Cuentas de usuario

• Restringiu força el grup de comptes d’usuari amb permís d’administrador. En el WindowsXP Home Edition tots els usuaris estan configurats, en principi, com a administradors.
• Intenteu treballar el menor temps possible en una sessió oberta com a administrador, reservant-la únicament per a fer les tasques pròpies que hem comentat.
• Deshabiliteu el compte d’usuari anomenant “convidat”, “Invitado” o “guest” o doteu-lo d’una contrasenya excepcionalment llarga i complicada.
  Per veure els usuaris definits al vostre sistema aneu a Inicio, Panel de control, Cuentas de usuario i seleccioneu Opciones avanzadas

• Recordeu que ja teniu disponible en els serveis informàtics les noves versions d’antivirus per a aquest sistema operatiu. Tant important és instal·lar-lo com mantenir-lo ben actualitzat.
• Valoreu configurar l’actualització automàtica del sistema operatiu. Això farà que periòdicament es connecti al servidor del fabricant (Microsoft) i instal·li els afegits correctors de problemes i errors que es vagin publicant.

Si necessiteu més seguretat

Si voleu aprofundir més en la seguretat del vostre sistema us recomanem:

• Ja sabeu que la contrasenya sempre hauria de tenir com a mínim 8 lletres i, a més, hauria de contenir algun número o signe de puntuació. En cap cas ha de ser una paraula que es pugui trobar en un diccionari, si no més aviat alguna cosa sense sentit. Algunes d’aquestes condicions es poden configurar perquè us rebutgi el nou password que trieu si no el considera prou bo.
• No mantingueu comptes d’usuari que no feu servir, elimineu-los.
• Molts dels atacs contra la seguretat dels ordinadors de sobretaula es basen en la difusió d’atacs automatitzats a tot un conjunt de màquines. Aquests atacs intenten obrir una sessió com a administrador de la màquina, són els anomenats script kiddies o rootkits. Per a fer més difícil l’èxit d’aquestes eines malicioses canvieu el nom del compte de l’administrador que per defecte es diu “administrator” o “administrador” per un altre nom gens evident. Una altra mesura per a dificultar l’acció dels atacs esmentats és mantenir aquest compte “administrator” i dotar-lo d’un password exageradament llarg i complicat, que no cal recordar, doncs tindrem un altre compte d’administració. Així desviarem alguns atacs, els més senzills, que s’estavellaran contra un mur impenetrable.
• Quan configureu les polítiques d’accés als vostres dispositius com ara impressores compartides, recordeu de no fer servir everyone (qualsevol) i usar authenticated users (usuaris contrastats).
• Elimineu la possibilitat que us aparegui el nom del darrer usuari en usar la màquina a l’hora d’obrir una sessió, així eliminem una pista més per al possible intrús que vulgui fer servir l’ordinador.
• Assegureu-vos que el remote desktop està desactivat. Afortunadament, aquesta opció no ve activada de fàbrica. Si el necessiteu, useu-lo amb responsabilitat.

Elimineu tots aquells serveis (recordeu el que dèiem a la introducció) que no facin falta:

• Servidor de web (el tristement famós IIS, cau de forats de seguretat)
• La compartició remota d’escriptori del Netmeeting
• Remote desktop help session manager
• Remote registry
• Routing & remote access
• SSDP discovery service
• Universal plug and play device host (responsable de molts forats de seguretat)
• Telnet

Si les vostres necessitats de seguretat són molt més altes també podeu fer:

• Encripteu el disc (EFS o Encrypting file system), així si us el prenen (els portàtils semblen més proclius a aquest perill), no el podran llegir en una altra màquina.
• Encripteu el local cache.
• Encripteu el directori temporal
• Feu que el sistema elimini o netegi el fitxer de paginació just abans d’apagar-se. Pot contenir dades o passwords que es poden extreure si el disc dur queda compromès (si us el prenen, per exemple).

Lògicament es pot fer servir una política de seguretat encara més complexa, aquí van alguns exemples:

• Habiliteu el sistema d’auditoria de seguretat. Aquesta eina permet registrar totes les accions sensibles o delicades. Recordeu que és inútil registrar res si després no hi ha algú que s’ho miri.
• Deshabiliteu els volums compartits que es proposen de fàbrica (c$ d$ e$ admin$ fax$ ipc$ netlogon  i print$) i feu-ne servir altres. Alguns programes necessiten aquests noms de fàbrica i poden deixar de funcionar.
• Deshabiliteu la possibilitat d’engegar el sistema des d’un disquet o des del CD-ROM, configurant les “bios” de la màquina.
• Deshabiliteu la característica que permet que s’executin programes només pel fet d’inserir un CD-ROM (l’anomenat autorun)

Més enllà queden altres mesures com ara la utilització de sistemes de reconeixement de les empremtes de la polpa dels dits com a sistema d’accés o l’adopció del protocol Ipv6 de xarxa per a l’ús dels serveis que hi manteniu