10 octubre 2011

WINDOWS SERVER 2003

PROTECCIÓN LOCAL

1.- USUARIO 


Windows 2003 server permite tener un riguroso control de personas que pueden entrar en el sistema y de las acciones que realizan.


Usuario: persona que puede entrar en el sistema.

Cuenta de usuario (user account): para controlar la entrada y las acciones del usuario. Almacena toda su información, la más importante:
    • Nombre de usuario: ha de ser distinto para cada usuario.
    • Nombre completo.
    • Contraseña.
    • Directorio de conexión: donde residen los archivos del usuario, privado a menos que el usuario conceda permisos.
    • Horas de conexión: las horas permitidas a un usuario para que se conecte al sistema.
    • Activada: estado de la cuenta. Si es desactivado, aunque no esté borrada del sistema, no podrá acceder a él.
    SID (identificador seguro): dato especial, único para cada usuario, asociado a su cuenta y generado automáticamente por el sistema. 

    Built-in-users (Administrador e Invitado): usuario integrados por el sistema que no pueden ser borrados, aunque la cuenta de invitado puede ser desactivada por el administrador.


    2.- GRUPOS DE USUARIOS

    Permite agrupar a los usuarios del sistema y establecer permisos y restricciones a todo el grupo. Estas cuentas también poseen un SID.

    Built-in-groups: grupos integrados en el sistema.
    • Administradores: usuarios que deben poseer derechos adminsitrativos completos. Inicialmente sólo está el Administrador.
    • Operadores de copia: vacío inicialmente. Pueden hacer y restaurar una copia de todo el sistema.
    • Usuarios avanzados: vacío inicialmente. Tiene cierta capacidad administrativa.
    • Usuarios: vacío inicialmente. Usuarios normales.
    • Invitados: inicialmente sólo está el Invitado.
    Special Identities (grupos especiales): establecidos de forma automática por el sistema. Utilizados para la protección del sistema.
    • Usuarios interactivos (interactive): grupo de usuarios que tiene derecho a iniciar sesión local.
    • Usuarios de red (network): grupo de usuarios que tiene derecho a acceder al equipo desde la red.
    • Todos (everyone): grupo de usuarios existentes localmente y de otros sistemas conectados a la red, no incluye las conexiones anónimas.
    • Usuarios autentificados (authenticated users): grupo de usuarios que poseen una cuenta propia, no entra usuario invitado.

    3.- MODELO DE PROTECCIÓN

    Establece la forma en que el sistema lleva a cabo el control de acceso de cada usuario y grupo, mediante derechos y permisos:
    • Derecho / privilegio (user right): permite realizar una acción que afecta al sistema en su conjunto, no en concreto. Existen derechos ya predefinidos. Cada derecho posee una lista donde se especifican los grupos/usuarios que alberga.
    • Permiso (permission): característica de cada recurso del sistema que concede o deniega a un grupo/usuario concreto. También posee una lista y el tipo de acceso permitido (lectura, modificación, ejecución, borrado...).

    4.- ATRIBUTOS DE PROTECCIÓN DE LOS PROCESOS

    Cuando un usuario se conecta al sistema, éste construye para él una acreditación (security access token o SAT) que contiene la información de protección, presente en cada proceso del usuario. Así, el sistema puede controlar los accesos a los recursos del sistema hechos por cada usuario.

    SAT contiene los siguientes atributos de protección:
    1. SID: identificador único de usuario.
    2. SID's de sus grupos: lista de SID's de grupos a los que pertenece el usuario.
    3. Derechos: lista de derechos del usuario, otorgados por si mismo y por los grupos a los que pertenece.
    El nivel de acceso de un usuario incluye también a los niveles de los grupos a los que pertenece.


    5.- DERECHOS DE USUARIO
    • Derechos de conexión (logon rights): establecen las diferentes formas que un usuario puede conectarse al sistema
    • Privilegios (privileges): hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.
    El derecho prevalece sobre los privilegios, y estos ante los permisos.


    5.1.- Otras directivas de seguridad

    Los derechos son un tipo de directiva de seguridad, agrupadas en "directivas de seguridad local", estableciéndose las siguientes:
    1. Cuentas: política de cuentas o de contraseñas que sigue el equipo para sus usuarios locales. Se pueden distinguir reglas en tres epígrafes: Contraseñas, Bloqueo y Kerberos.
    2. Directiva local. Auditoría del equipo, que permite registrar en el visor de sucesos ciertos eventos que sean interesantes. Por otra parte, se incluye los derechos y privilegios.
    3. Claves públicas. se administran las opciones de seguridad de las claves públicas emitidas por el equipo.

    6.- ATRIBUTOS DE PROTECCIÓN DE LOS RECURSOS

    En un sistema de archivos NTFS de Windows 2003, cada carpeta o archivo posee los siguientes atributos de protección:
    • SID del propietario: inicialmente el propietario es siempre el usuario que ha creado el archivo o carpeta, aunque este atributo puede ser luego modificado (esto se explica más adelante).
    • Lista de control de acceso de protección: incluye los permisos que los usuarios tienen sobre el archivo o carpeta. Cada permiso puede ser positivo o negativo. Se divide en dos listas Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesión o denegación de un permiso concreto (o conjunto de permisos).
    • Lista de control de acceso de seguridad. define qué acciones sobre un archivo o carpeta tiene que auditar el sistema. Esta lista está inicialmente vacía en todos los objetos del sistema de archivos.


    6.1.- Asociación de permisos a recursos


    La asociación de permisos a archivos y carpetas sigue una serie de reglas:

    • Cuando se crea un nuevo archivo o carpeta, éste no posee ningún permiso explícito y adquiere como permisos heredados los permisos heredados y explícitos de su carpeta padre.
    • Si se desea añadir permisos sobre un archivo o carpeta, éstos se añaden siempre a la lista de permisos explícitos. De igual forma, sólo se puede modificar o eliminar individualmente un permiso si éste es explícito.
    • El control sobre la herencia de permisos se puede realizar a dos niveles de forma independiente:
    1. Cada carpeta o archivo tiene la potestad de decidir si desea o no heredar los permisos de su carpeta padre (herencia "desde arriba").
    2. Cada permiso lleva asociada una regla que indica qué recursos van a poder heredarlo (herencia "hacia abajo").
    Copiar un archivo o carpeta a otra ubicación se considera una creación, y por
    tanto el archivo copiado recibe una lista de permisos explícitos vacía y se activa la herencia de la carpeta padre correspondiente a la nueva ubicación.
    Mover un archivo distingue dos casos: si movemos una carpeta o archivo a otra ubicación dentro del mismo volúmen (partición) NTFS, se desactiva la herencia y se mantienen los permisos que tuviera como explíticos en la nueva ubicación. Si el volúmen destino es distinto, entonces se actúa como en una copia (sólo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicación).


    6.2.- Permisos estándar e individuales



    Los permisos estándar son combinaciones predefinidas de permisos individuales, que son aquellos que controlan cada una de las acciones individuales que se pueden realizar sobre carpetas y archivos.
    La existencia de estas combinaciones predefinidas es el resultado de una agrupación "lógica" de los permisos individuales para facilitar la labor del administrador (y de cada usuario cuando administra los permisos de sus archivos). Por este motivo, los permisos estándar se conocen también como "plantillas de permisos".


    Publicado por Charo y Débora en 22:23

    1 comentarios:

    Unknown dijo...

    muy buena información, me gusto mucho este blog...

    6 de abril de 2016, 18:39

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)
     
    ;