Permisos y Derechos.
- Establece el control de acceso de los usuarios a los recursos
- Acciones que los usuarios pueden hacer sobre los recursos
- Basado en los atributos de protección asignados a los procesos de usuarios y al sistema y a sus recursos.
- Derechos: Atributos de usuario que le permite realizar una acción que afecta al sistema en su conjunto.
- Hay un conjunto fijo y predefinido de derecho en Windows
- Cada derecho tiene una lista de usuarios que lo tienen.
- Permisos: Características de cada recurso.
- Permite o deniega el acceso a cada recurso a un usuario concreto
- Cada recurso tiene una lista de usuarios/grupos (lectura, modificación...).
- Acreditación de Usuarios.
- Al autorizar la conexión a un usuario Windows construye el SAT (Security Access Token- Acreditación)
- SAT contiene información de protección del usuario
- Windows la incluye en los procesos que crea para el
- Atributos de protección del SAT
- SID - identificador del usuario
- SID de los grupos a los que pertenece el usuario
- Lista de derecho del usuario y del grupo.
- Derechos de usuario.
- Atributo para realizar una acción sobre el sistema
- El SAT tiene los derechos que el usuario tiene de manera individual y los que tiene por pertenecer a los grupos a los que pertenece
- Dos tipos de derechos
- Derechos de Conexión: Diferentes formas en las que un usuario puede conectarse al sistema
- Denegar el acceso desde la red a este equipo: conectar con el ordenador desde otro equipo
- Permitir el inicio de sesión local: en el ordenador
- Privilegios: Ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.
- Agregar estaciones de trabajo al dominio.
- Hacer copias de seguridad de archivos y directorios
- Restaurar archivos y directorios
- Cambiar la hora del sistema
- Dispositivos: impedir que los usuarios instales controladores de impresoras
- Apagar el sistema: Ordenador local
En Caso de conflicto prima el derecho
Por ejemplo: los miembros del grupo de operadores de copia pueden hacer copias de seguridad, incluso de aquellos ficheros sobre los que no tengan permisos.
- Directivas de seguridad.
Los derechos están agrupados en un conjunto de reglas de seguridad que se encuentran en las directivas de seguridad.
- 3 tipos.
- Directiva de seguridad local: para cuando el equipo es una estación de trabajo.
- Directiva de seguridad de dominio: para cuando el equipo es un controlador de dominio y se quiere modificar la seguridad todos los miembros del dominio.
- Directivas de seguridad del controlador de dominio: para cuando el equipo es un controlador de dominio y se quiere modificar la seguridad de todos los controladores de dominio
- Algunas directivas que se pueden establecer
- Directivas de cuentas: políticas de cuentas o de contraseña.
- Contraseñas
- bloqueo
- kerberos
- Directivas local: auditoria para registrar en el visor de sucesos ciertos eventos y derechos y privilegios.
- Directiva de clave publica: opciones de seguridad de clave publica.
- Atributos de protección de los recursos.
SID del propietario: Puede ser modificado
Lista de control de acceso de protección ACL: Permisos del usuario sobre el archivo. Se suele dividir en dos listas ( ambas se llaman igual)
- Lista de control de acceso discrecional DACL: cada elemento se denomina entrada de control de acceso. Une el SID con la concesión o denegación de un permiso
- Son dos por el mecanismo de herencia de permisos: Cada carpeta puede heredar los permisos y definir permisos propios.
Lista de control de acceso de seguridad: que acciones sobre archivo tiene que auditar el sistema. Al principio esta vacía.
- Asociación de permisos a recursos.
- Los archivos o carpetas nuevas heredan los permisos de su carpeta
- Los usuarios con control total podrán incluir nuevos permisos
- El control sobre la herencia de permisos se realiza en dos niveles
- En cada objeto se puede decidir si se desea o no heredar los permisos de su padre.
- Cuando se define un permiso en una carpeta, se puede también decidir que objetos van a heredarlo (archivos, carpetas o subcarpetas)
- Copiar un archivo a otra carpeta es una creación
- Mover un archivo supone dos casos
- Dentro del mismo volumen:adquiere los permisos de la nueva ubicación
- Volúmenes distintos: igual que una copia.
- Permisos NTFS Estándar y Especiales.
- Especiales: Controla las acciones sobre archivos o carpetas
- Estándar: Combinaciones de los especiales que están predefinidas.
- Si no se cumplen los permisos estándar, se recurre a los permisos especiales
- Reglas que controlan la aplicación de los permisos:
- Una Acción puede involucrar varias acciones individuales.El sistema verificara si tiene o no permisos para todas ellas. Si le falta uno informa del error
- En Windows los permisos son acumulativos. Un proceso de usuario posee todos los permisos de los usuarios y de los grupos a los que pertenezca
- La ausencia de un permiso supone la imposibilidad de realizar la acción
- En caso de conflicto prima el negativo.
- Permisos de recursos compartidos.
- Los permisos sobre directorios compartidos son efectivos solo cuando se tiene acceso a dicho directorio a través de la red ( no lo protegen en local).
- Para los directorios locales se usan los permisos NTFS archivos y subdirectorios del directorio compartido y se puede limitar el numero de usuario que pueden acceder a el simultáneamente.
- Para controlar el acceso a los recursos compartidos hay 3 métodos:
- Permisos de recursos compartidos que son sencillos de aplicar y administrar
- Permisos de NTFS que proporcionan un control mas detallado
- Combinación de los métodos anteriores ( siempre se aplicara el permiso mas restrictivo)
La Compartición de directorios.
Al instalar el directorio activo en Windows Server se compartieron 2 carpetas:
SYSVOL: Tiene una carpeta con el nombre del dominio con dos subdirectorios
- Policies: Directivas de grupo
- Scripts: Archivos de scripts. el nombre de este es NETLOGON
- Inicio / Herramientas Administrativas / Administración de equipos. A la izquierda buscar carpetas compartidas y recursos compartidos.
- Permisos de las carpetas compartidas.
- Se aplican a todos los archivos y subcarpetas dentro de la carpeta
- Se pueden especificar ademas el numero máximo de usuarios.
- Hay que se administrador
- 4 tipos de permisos (in crecendo)
- Sin acceso
- Leer
- cambiar
- Control Total
- Recursos compartidos especiales.
- Aquello creados por el sistema y que no deberían cambiarse ( aunque el usuario puede crearlos).
- Son:
- ADMIN$: Recursos para la administración remota del equipo Corresponde a C.\Windows.
- IPC$:Recurso que comparte las canalizaciones con nombre para la comunicación entre programas.
- NETLOGON: Recurso para inicio de sesión para procesar el script
- PRINT$:Recurso para administración remota de impresoras.
- FAX$: Recurso usado por los clientes en el proceso de envío de un fax.
- Letra_de_unidad$:Recurso para conectar con el directorio raíz de un dispositivo de almacenamiento. Por ejemplo C$ es el recurso para conectar con el disco duro C a través de la red.
Permisos NTFS.
Para definir el acceso de un usuario a un directorio solo los puede cambiar el propietario o el que haya recibido el permiso del propietario.
Afectara a los archivos y subcarpetas que desciendan de el, tanto los que ya estaban como los nuevos ( herencia ) aunque estos se puede cambiar
3 formas de cambiar los permisos heredados:
Para definir el acceso de un usuario a un directorio solo los puede cambiar el propietario o el que haya recibido el permiso del propietario.
Afectara a los archivos y subcarpetas que desciendan de el, tanto los que ya estaban como los nuevos ( herencia ) aunque estos se puede cambiar
3 formas de cambiar los permisos heredados:
- Cambiar los permisos de las carpeta padre ( y se cambiará la de sus hijos).
- Seleccionar el permiso contrario ( denegar -permitir ) para sustituir el permiso heredado
- Desactivar la casilla de verificación incluir todos los objetos...
- Control Total
- Modificar
- Lectura y Ejecución.
- Mostar el contenido de la carpeta.
- Lectura
- Escritura.
No hay comentarios:
Publicar un comentario