Por fin, Windows NT 4.0 ha conseguida la anhelada y perseguida
certificación C2, tras mucho tiempo de espera el sistema
operativo de Microsoft puede presumir de esta prestigiosa
demostración de seguridad.
El pasado 2 de diciembre el gobierno de los Estados Unidos
anunció que Microsoft Windows NT Server y Workstation 4.0 había
completado y logrado con total éxito la evaluación de nivel C2 de
acuerdo al Trusted Computer System Evaluation Criteria (TCSEC,
Criterio de Evaluación de Sistemas de Computadoras Fiables).
Esta normativa también llamado libro naranja, por el color de su
portada, suministra los requisitos de seguridad para sistemas de
procesamiento automático de datos. Este libro se ve complementado
por el llamado libro rojo, que extiende la interpretación
anterior para la evaluación de sistemas fiables a redes de
computadoras. Estos libros se desarrollaron para que los usuarios
tuvieran una métrica con la que determinar el grado de fiabilidad
que pueden poner a un sistema.
El criterio de evaluación TSEC se divide en cuatro clases
principales, que van desde la D (la menos segura) hasta la A (la
más segura). La División C, también llamada protección discreta
se divide en dos niveles C1 y C2, siendo C2 la más segura. La
clase C2 se llama Protección de acceso controlado. Este nivel
incluye todos los requisitos de seguridad de la clase D y C1,
pero además, y ahí radica su importancia, requiere que se
suministre un mecanismo para conceder o restringir el acceso a
los archivos de datos en función de cada usuario. Además los
sistemas C2 deben ser capaces de identificar y ofrecer una
grabación de auditoría de exactamente que usuario ha realizado
una acción.
Microsoft diseñó Windows NT para que cumpliera los criterios C2
establecidos en el libro naranja, en el libro rojo y en el Libro
Azul (una versión del libro naranja para otros subsistemas). Pero
hasta el momento tan sólo las versiones de Windows NT Server y
Workstation 3.5 habían lobrado esta certificación. Por fin, y
cuando ya es inminente la llegada de Windows 2000 el sistema
operativo más potente de Microsoft ha conseguido la prestigiosa
certificación.
Por otra parte hay que aclarar y recordar que la seguridad de
cada sistema depende evidentemente de la propia configuración
establecida por el administrador. La propia Microsoft recomienda
que para conseguir un sistema Windows NT de forma que se cumplan
los requerimientos de seguridad distados por el libro naranja, se
deben seguir los pasos indicados en la “Guía de administradores
y usuarios de seguridad C2″.
Más información:
Microsoft
Guía de administradores y usuarios de seguridad C2
Zdnet
Preguntas frecuentes sobre Windows NT y C2
antonior@hispasec.com
Deja un comentario