En un excelente articulo escrito por Randall Franklin Smitth de Monterey Technology Group y publicado por la revista Information Security, se analizan cuales serán las funcionalidades que incluirá el sucesor de Windows 2000 para cumplir con las 3 D de la iniciativa Trustworthy Computing de Microsoft: “Seguro por diseño, Seguro por defecto y Seguro en el despliegue (deployment)”.

El nuevo Windows 2003 será el primer producto que mostrará si realmente la tan mentada (y costosa) iniciativa pro-seguridad de Microsoft no ha sido en vano. Y, según la evaluación que la empresa de Smith llevó adelante para el artículo, al menos parecen haber mejorado las cosas respecto de las versiones anteriores, lo cual, ya es todo un logro.

La arquitectura del nuevo sistema operativo es similar a la de Windows NT, con algunos pequeños cambios y refinamientos, como la inclusión de soporte para la plataforma y servicios .NET. Pero, lo que si ha cambiado, es que muchos servicios potencialmente peligrosos que, por defecto, estaban activos en las versiones anteriores, se encuentran desactivados en Windows 2003 para evitar problemas.

Entre estos cambios de la configuración por defecto, el más importante ha sido el hecho de no incluir el IIS 6.0 en la instalación inicial, lo que impide que el servidor se vuelva automáticamente vulnerable apenas terminada su instalación.

También ha agregado mayor granularidad en la administración de permisos de usuario y grupo respecto de Windows 2000, incluyendo también dos nuevas cuentas de usuario para la ejecución de servicios (LocalService y NetworkService) que ayudan a limitar la exposición del sistema si es comprometido a través de un servicio que se ejecute con sus permisos, en lugar de con los de administrador.

Además, ha incluido varias nuevas funcionalidades de seguridad, incluyendo sistemas de encriptación avanzada, mejoras en las VPN, inclusión de nuevas medidas de certificación y autorización, y una seguridad de red mejorada respecto de Windows NT/2000.

Con estas medidas, la seguridad por defecto del sistema ha mejorado respecto de las versiones anteriores, pero sin abandonar la usabilidad a favor de ella. Porque, no sólo los cambios se verán en el exterior, sino que Microsoft también ha informado que las prácticas de programación aplicadas al desarrollo de Windows 2003 han sido mejoradas notablemente respecto de las que se llevaban a cabo con anterioridad, y espera que esto reduzca los agujeros de seguridad en su producto.

Citando directamente al autor del artículo de Information Security, “sólo el tiempo dirá” si Windows 2003 es tan seguro como se espera, pero al menos, las mejoras se pueden palpar, y problemas que hasta hoy eran una constante, seguramente no existirán más.

Fuente: Information Security Magazine