You are on page 1of 3

Administracin avanzada de Windows Server 2003

1.

Concepto de Usuario

Usuario: persona que puede entrar en el sistema. Windows para poder controlar las entradas de los usuarios se basa en el concepto de cuenta de usuario (user account) que almacena toda la informacin que el sistema guarda de cada usuario. Windows dispone de cuentas de usuarios integrados (built-in users) que son el administrador y el invitado.
2.

Grupos de usuarios.

Grupo de usuarios: permite agrupar de forma lgica a los usuarios de un sistema, dispone de un nombre y un SID y su correspondiente lista de usuarios que pertenecen al grupo. Al igual que ocurre con las cuentas de usuarios, hay una serie de grupos integrados (builtin group), estos son Administradores, Operadores de copia, Usuarios avanzados, Usuarios e Invitados. Por otro lado Windows dispone de grupos especiales: Usuarios Interactivos: tienen derecho a iniciar sesin local en el sistema. Usuarios de Red: usuarios que tienen el derecho a acceder al sistema desde la red. Todos: que agrupa a todos los usuarios que el sistema conoce.
3.

Modelo de proteccin

Derecho o privilegio de usuario(user right): atributo de usuario que permite realizar acciones que afectan al sistema en su conjunto (y no a un objeto o recurso). Permiso (permission): caracterstica de cada recurso (carpeta,archivo,etc) del sistema que concede o deniega el acceso al mismo a un usuario o grupo de usuarios concreto.

4.

Atributos de proteccin de los procesos.

Cuando un usuario es autorizado a conectarse a un sistema Windows el sistema construye una acreditacin llamada Security Access Token (SAT), este contiene: SID del usuario. SIDs de sus grupos Derechos. Lista construida mediante todo los derechos del usuario y del grupo al que pernetece.
5.

Derechos de usuario.

En Windows 2003 se distinguen dos tipos de derecho: los derechos de conexin ( logon rights) que establecen la forma en la que el usuario puede conectarse y los privilegios (privileges) que hace referencia a las acciones predefinidas que el usuario puede realizar una vez conectado. *Nota: Debemos recordar que si hay un conflicto de permisos siempre prevalecen los mas restrictivos.
a.

Otras directivas de seguridad.

Windows ha agrupado sus herramientas administrativas en una nica denominada directivas de seguridad local: Cuentas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema, entre ellas (Contraseas, Bloqueo, Kerberos) Directiva local: por un lado tenemos Auditoria del equipo que registra los eventos que son interesantes y por otro los derechos y privilegios explicados en el punto anterior. Claves pblicas: Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.
6.

Atributos de proteccin de los recursos.


Un sistema NTFS de Windows 2003 posee los siguientes atributos: SID del propietario. Lista de control de acceso de proteccin: que incluye los permisos que los usuarios tienen sobre el archivo o carpeta. Esta lista se divide en dos cada una denominada Discretionary Access Control list o DACL (lista de control de acceso discrecional) y sus elementos Acces Control Entry (entrada de control de acceso). Lista de control de acceso de seguridad se emplea para definir qu acciones Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema.

*Nota: la razn por la que Windows establezca dos DACL es la de la herencia de permisos, ya que un archivo puede contener una DACL heredada y una explcita.
a.

Asociacin de permisos a recursos.

Se siguen las siguientes reglas: Al crearse una carpeta o archivo este no tiene ningn permiso explcito y adquiere permisos heredados del padre. Si se aaden permisos siempre se aaden a la lista de permisos explcitos. El control sobre la herencia se realiza a dos niveles: Si la carpeta o archivo decide heredar o no los permisos del padre (herencia desde arriba) Cada permiso lleva asociada una regla que indica recursos van a poder heredarlos (herencia hacia abajo). Copiar se considera una creacin. Mover. Se distinguen dos casos , si se mueve dentro del mismo volumen se desactiva la herencia y se mantienen los permisos explcitos. Si el volumen destino es distinto entonces se acta como una copia.
b.

Permisos estndar e individuales.


c. Modificacin proteccin.

//Mirar tabla

de

atributos

de

Las reglas que Windows dicta para indicar quin puede modificar los diferentes atributos de proteccin de los recursos son: Propietario. Lista de control de acceso de proteccin. Lista de control de acceso de seguridad.

7.

Reglas de proteccin
Una nica accin de un proceso puede involucrar varias acciones sobre varios

archivos y/o carpetas. En ese caso, el sistema verifica si el proceso tiene o no permisos para todas ellas. Si le falta algn permiso, la accin se rechaza con un mensaje de error. Los procesos son acumulativos, un usuario posee implcitamente todos los permisos correspondiente a los SIDs de su acreditacin. La ausencia un cierto permiso sobre un objeto supone implcitamente la imposibilidad de realizar la accin correspondiente sobre el objeto. Al producirse un conflicto de permisos prevalecen los mas restrictivos. Las condiciones que se deben de cumplir cuando Windows chequea las entradas DACL son:
Cada permiso involucrado en la accin solicitada est concedido explcitamente

al SID del usuario o de algn grupo al que el usuario pertenece. En ese caso, se permite la accin. Alguno de los permisos involucrados est explcitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la accin.

Si la lista ha sido explorada completamente y Windows no encontr ninguna

entrada en este caso se deniega la accin

Bibliografa Para aprender ms