Para fortalecer la seguridad del sistema podemos realizar dos operaciones básicas:

• Establecer directivas de cuentas de usuario.
• Establecer un sistema de ficheros independiente para los perfiles de los usuarios.

Las directivas de cuentas permiten establecer la política de seguridad de las contraseñas de los usuarios (p.e. longitud, complejidad), la directiva de bloqueo de cuentas (p.e. número de intentos fallidos para bloquear una cuenta) y la directiva Kerberos (para establecer restricciones y vigencia de en los billetes de intercambio de claves). Además puede establecer un sistema de ficheros independiente que contenga los perfiles de los usuarios para “enjaular� a los usuarios para que no tengan acceso a ningún otro sistema de ficheros. Veamos cada una de estas opciones:

Directivas de cuentas de usuario

Figura 1. Configuración de seguridad local

Uno de los puntos más importantes de un sistema es la fortaleza de las contraseñas de los usuarios. Si un usuario que tiene muchos privilegios utiliza como contraseña “hola�, entonces nuestro sistema correrá un grave peligro. Los usuarios siempre han demostrado sus escasas habilidades a la hora de generar contraseñas, pero han sido incluso peores a la hora de guardar el secreto. Quizá la organización tenga una seguridad casi perfecta, pero una contraseña débil puede suponer revelar los secretos de la organización, su uso para iniciar un ataque por denegación de servicio o, incluso sabotear la red. Salvo que se utilicen métodos de autentificación de varios factores para todos los usuarios en la red (p.e. huella dactilar, tarjeta), debe implementar las opciones de seguridad de contraseña.

Dentro de Inicio, Herramientas administrativas ejecute el Administrador de directivas de seguridad local para establecer los requisitos que deben cumplir las contraseñas de los usuarios (véase figura 1).

Existen tres tipos de directivas de cuentas:

• Directivas de contraseñas
• Directivas de bloqueo de cuentas
• Directivas locales

Establecer un sistema de ficheros independiente

Figura 2. Entrada del registro ProfileDirectory

Para prevenir posibles daños por parte de los usuarios, ante una violación de seguridad, puede establecer un sistema de ficheros independiente para los datos de los usuarios; o de forma coloquial “enjaular� a los usuarios en un sistema de ficheros.

Por defecto los perfiles de los usuarios se guardan en C:\Users. El guardar los datos de los usuarios en el mismo sistema de ficheros que el sistema operativo tiene dos grandes inconvenientes:

• Es difícil limitar a los usuarios el acceso al sistema de ficheros en el que se encuentra el sistema operativo.
• Si se produce una violación de seguridad es más fácil cambiar de directorio (cd .. o ../directorio_anterior ) que cambiar de unidad.

Puede enjaular los usuarios de dos formas diferentes:

• Cambiando manualmente, en las propiedades de usuario, donde se encuentra el perfil de cada usuario.
• O estableciendo por defecto la ubicación del directorio que contiene los perfiles de los usuarios.

Si desea realizar la primera opción consulte el Apartado 2-3. Perfiles de usuario. Pero lo recomendable es establecer por defecto la ubicación del directorio que contiene los perfiles de los usuarios. La entrada del registro que permite cambiarlo se encuentra en Hkey_Local_Machine\Software\Microsoft\Windows NT\Current Version\ProfileList son:

• ProfileDirectory. Permite establecer la carpeta donde se encuentran los perfiles de los usuarios. Por defecto tiene el valor  %SystemDrive%Users y, por ejemplo, debe poner D:/Users, donde D: es la unidad independiente que desea utilizar.

Una vez cambiada la unidad de trabajo de los usuarios, el siguiente paso que debe realizar es limitar el acceso a la unidad donde se encuentra el sistema operativo. Para ello seleccione la unidad (normalmente C:) y establezca el permiso de Sólo lectura para todos los usuarios (excepto para el Administrador).

	Alerta de seguridad
	La unidad que almacena los perfiles de usuario debe tener el sistema de ficheros NTFS.