Sei sulla pagina 1di 3

Administración avanzada de Windows Server 2003

1. Concepto de Usuario

Usuario: persona que puede entrar en el sistema. Windows para poder controlar las entradas de los usuarios se basa en el concepto de cuenta de usuario (user account) que almacena toda la información que el sistema guarda de cada usuario. Windows dispone de cuentas de usuarios integrados (built-in users) que son el administrador y el invitado.

2. Grupos de usuarios.

Grupo de usuarios: permite agrupar de forma lógica a los usuarios de un sistema, dispone de un nombre y un SID y su correspondiente lista de usuarios que pertenecen al grupo. Al igual que ocurre con las cuentas de usuarios, hay una serie de grupos integrados (built- in group), estos son Administradores, Operadores de copia, Usuarios avanzados, Usuarios e Invitados. Por otro lado Windows dispone de grupos especiales:

Usuarios Interactivos: tienen derecho a iniciar sesión local en el sistema.

Usuarios de Red: usuarios que tienen el derecho a acceder al sistema desde la red.

Todos: que agrupa a todos los usuarios que el sistema conoce.

3. Modelo de protección

Derecho o privilegio de usuario(user right): atributo de usuario que permite realizar acciones que afectan al sistema en su conjunto (y no a un objeto o recurso). Permiso (permission): característica de cada recurso (carpeta,archivo,etc) del sistema que concede o deniega el acceso al mismo a un usuario o grupo de usuarios concreto.

4. Atributos de protección de los procesos.

Cuando un usuario es autorizado a conectarse a un sistema Windows el sistema construye una acreditación llamada Security Access Token (SAT), este contiene:

SID del usuario.

SIDs de sus grupos

Derechos. Lista construida mediante todo los derechos del usuario y del grupo al que pernetece.

5. Derechos de usuario.

En Windows 2003 se distinguen dos tipos de derecho: los derechos de conexión ( logon rights) que establecen la forma en la que el usuario puede conectarse y los privilegios (privileges) que hace referencia a las acciones predefinidas que el usuario puede realizar una vez conectado. *Nota: Debemos recordar que si hay un conflicto de permisos siempre prevalecen los mas

restrictivos. a. Otras directivas de seguridad.

Windows ha agrupado sus herramientas administrativas en una única denominada directivas de seguridad local:

Cuentas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema, entre ellas (Contraseñas, Bloqueo, Kerberos)

Directiva local: por un lado tenemos Auditoria del equipo que registra los eventos que son interesantes y por otro los derechos y privilegios explicados en el punto anterior.

Claves públicas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.

6. Atributos de protección de los recursos.

Un sistema NTFS de Windows 2003 posee los siguientes atributos:

SID del propietario.

Lista de control de acceso de protección: que incluye los permisos que los usuarios tienen sobre el archivo o carpeta. Esta lista se divide en dos cada una denominada Discretionary Access Control list o DACL (lista de control de acceso discrecional) y sus elementos Acces Control Entry (entrada de control de acceso).

Lista de control de acceso de seguridad se emplea para definir qué acciones Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.

*Nota: la razón por la que Windows establezca dos DACL es la de la herencia de permisos, ya que un archivo puede contener una DACL heredada y una explícita.

a. Asociación de permisos a recursos.

Se siguen las siguientes reglas:

Al crearse una carpeta o archivo este no tiene ningún permiso explícito y adquiere permisos heredados del padre.

Si se añaden permisos siempre se añaden a la lista de permisos explícitos.

El control sobre la herencia se realiza a dos niveles:

Si la carpeta o archivo decide heredar o no los permisos del padre (herencia desde arriba) Cada permiso lleva asociada una regla que indica recursos van a poder heredarlos (herencia hacia abajo).

Copiar se considera una creación.

Mover. Se distinguen dos casos , si se mueve dentro del mismo volumen se desactiva la herencia y se mantienen los permisos explícitos. Si el volumen destino es distinto entonces se actúa como una copia.

b. Permisos estándar e individuales.

//Mirar tabla

Modificación

protección.

c.

de

atributos

de

Las reglas que Windows dicta para indicar quién puede modificar los diferentes atributos de protección de los recursos son:

Propietario.

Lista de control de acceso de protección.

Lista de control de acceso de seguridad.

7. Reglas de protección

Una única acción de un proceso puede involucrar varias acciones sobre varios archivos y/o carpetas. En ese caso, el sistema verifica si el proceso tiene o no permisos para todas ellas. Si le falta algún permiso, la acción se rechaza con un mensaje de error.

Los procesos son acumulativos, un usuario posee implícitamente todos los permisos correspondiente a los SIDs de su acreditación. La ausencia un cierto permiso sobre un objeto supone implícitamente la imposibilidad de realizar la acción correspondiente sobre el objeto.

Al producirse un conflicto de permisos prevalecen los mas restrictivos.

Las condiciones que se deben de cumplir cuando Windows chequea las entradas DACL son:

Cada permiso involucrado en la acción solicitada está concedido explícitamente al SID del usuario o de algún grupo al que el usuario pertenece. En ese caso, se permite la acción.

Alguno de los permisos involucrados está explícitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la acción.

Si la lista ha sido explorada completamente y Windows no encontró ninguna entrada en este caso se deniega la acción