viernes, 1 de mayo de 2015

Administración de acceso a dominios.

Administración de acceso a dominios

Permisos y derechos:

  • Establece el control de acceso de los usuarios a los recursos.
  • Acciones que los usuarios pueden hacer sobre los recursos.
  • Basado en los atributos de protección asignados a los procesos de usuario y al sistema y a  sus recursos.
    • Derechos: Atributos de usuario que le permite realizar una acción que afecta al sistema en su conjunto.
      • Hay un conjunto fijo y predefinido de derechos de Windows.
      • Cada derecho tiene una lista de usuarios que lo tienen.
    • Permisos: Característica de cada recurso.
      • Permite o deniega el acceso a cada recurso a un usuario concreto.
      • Cada recurso tiene una lista de usuarios/grupos (lectura, modificación...)

Acreditación de usuarios:

  • Al autorizar la conexión a un usuario Windows construye el SAT (Security Access Token - Acreditación)
  • SAT contiene información de protección del usuario.
  • Windows la incluye en los procesos que crea para él.
  • Atributos de protección del SAT:
    • SID - Identificador de usuario.
    • SID de los grupos a los que pertenece el usuario.
    • Lista de derechos del usuario y del grupo.

Derechos de usuario:

  • Atributo para realizar una acción sobre el sistema.
  • El SAT tiene los derechos que el usuario tiene de manera individual y los que tiene por pertenecer a los grupos a los que pertenece.
  • Dos tipos de derecho:
    • Derechos de conexión: Diferentes formas en las que un usuario puede conectarse al sistema.
      • Denegar el acceso desde la red a este equipo: conectar con el ordenador desde otro equipo.
      • Permitir el inicio de sesión local: en el ordenador.
    • Privilegios: Ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.
      • Agregar estaciones de trabajo al dominio.
      • Hacer copias de seguridad de archivos y directorios.
      • Restaurar archivos y directorios.
      • Cambiar la hora del sistema.
      • Dispositivos: impedir que los usuarios instalen controladores de impresoras.
      • Apagar el sistema: Ordenador local.
  • En caso de conflicto prima el derecho.
    • Ejemplo: Los miembros del grupo de operadores de copia pueden hacer copias de seguridad, incluso aquellos ficherps sobre los que no tengan permisos.

Directivas de seguridad:

  • Los derechos están agrupados en un conjunto de reglas de seguridad que se encuentran en las directivas de seguridad.
  • Existen 3 tipos:
    • Directiva de seguridad local: Para cunado el equipo es una estación de trabajo.
    • Directiva de seguridad de dominio: Para cuando el equipo es un controlador de dominio y se requiere modificar la seguridad de todos los miembros del dominio.
    • Directiva de seguridad del controlador de dominio: Para cuando el equipo es un controlador de dominio y se requiere modificar la seguridad de todos los controladores de dominio.
  • Algunas directivas que se pueden establecer:
    • Directivas de cuentas: Políticas de cuentas o de contraseña. 3 grupos:
      • Contraseñas.
      • Bloqueo.
      • Kerberos.
    • Directiva local: Auditoría para registrar en el visor de sucesos ciertos eventos y derechos y privilegios.
    • Directiva de clave pública: opciones de seguridad de clave pública.


Atributos de protección de los recursos:

En un sistema de archivos NTFS cada carpeta o fichero posee los siguientes atributos de protección:
  • SID de propietario: Puede ser modificado.
  • Lista de control de acceso de protección ACL: Permisos del usuario sobre el archivo. Se suele dividir en dos listas (ambas se llaman igual):
    • Lista de control de acceso discrecional DACL: Cada elemento se denomina entrada de control de acceso. Une el SID con la concesión o denegación de un permiso. Son dos por el mecanismo de herencia de permisos: Cada carpeta puede heredar los permisos y definir permisos propios.
  • Lista de control de acceso de seguridad: Qué acciones sobre un archivo tiene que auditar el sistema. En un principio está vacía.

Asociación de permisos a recursos:

La asociación sigue una serie de reglas:
  • Los archivos o carpetas nuevas heredan los permisos de su carpeta.
  • Los usuarios con control total podrán incluir nuevos permisos.
  • El control sobre la herencia de permisos se realiza en dos niveles:
    • En cada objeto se puede decidir si se desea o no heredar los permisos de su padre.
    • Cuando se define un permiso en una carpeta, se puede también decidir qué objetos van a heredarlo (archivos, carpetas o subcarpetas).
  • Copiar un archivo a otra carpeta es un creación.
  • Mover un archivo supone dos casos:
    • Dentro del mismo volumen: Adquiere los permisos de la nueva ubicación.
    • Volúmenes distintos: Igual que una copia.

Permisos NTFS. Estándar y especiales:

Especiales: Controlan las acciones sobre archivos o carpetas.
Estándar: Combinaciones de los especiales que están predefinidas.

Si no se cumplen los permisos estándar, se recurre a los permisos especiales.

Reglas que controlan la aplicación de los permisos:
  • Una acción puede involucrar varias acciones individuales. El sistema verificará si tiene o no permisos para todas ellas. Si le falta alguno informa del error.
  • En Windows los permisos son acumulativos. Un proceso de usuario posee todos los permisos de los usuarios y de los grupos a los que pertenezca.
  • La ausencia de un permiso supone la imposibilidad de realizar la acción.
  • En caso de conflicto prima el negativo.


Permisos de recursos compartidos:

Los permisos sobre directorios compartidos son efectivos solo cunado se tiene acceso a dicho directorio a través de la red (no lo protegen en local).
Para los directorios locales se usan los permisos NTFS.
Los permisos de recursos compartidos se aplican a todos los archivos y subdirectorios del directorio compartido y se puede limitar el número de usuarios que pueden acceder a él simultáneamente.

Para controlar el acceso a los recursos compartidos hay 3 métodos:
  • Permisos de recursos compartidos que son sencillos de aplicar y administrar.
  • Permisos NTFS que proporcionan un control más detallado.
  • Combinación de los métodos anteriores (siempre se aplicará el permiso más restrictivo).


La compartición de directorios:

Al instalar el directorio activo en Windows Server se compartieron 2 carpetas:
SYSVOL: Tiene una carpeta con el nombre del dominio con dos subdirectorios.
  • Policies: Directivas de grupo.
  • Scripts: Archivos de scripts. El nombre de éste es NETLOGON.
Para ver los directorios compartidos:
Inicio --> Herramientas administrativas --> Administración de equipos. A la izquierda buscar carpetas compartidas y recursos compartidos.


Permisos de las carpetas compartidas:
  • Se aplican a todos los archivos y subcarpetas dentro de la carpeta.
  • Se puede especificar además el número máximo de usuarios.
  • Hay que ser administrador.
  • 4 tipos de permisos (in crescendo)
    • Sin acceso.
    • Leer.
    • Cambiar.
    • Control total.


Recursos compartidos especiales:

Son aquellos creados por el sistema y que no deberían cambiarse (aunque el usuario puede crearlos).
Estos recursos son:
  • ADMIN$: Recursos para la administración remota del equipo. Corresponde a C:\\Windows.
  • IPC$: Recurso que comparte las canalizaciones con nombre para la comunicación entre programas.
  • NETLOGON: Recurso para inicio de sesión para procesar el script.
  • SYSVOL: Recurso para inicio de sesión para controladores de dominio.
  • PRINT$: Recurso para administración remora de impresoras.
  • FAX$: Recurso usado por los clientes en el proceso de envío de un fax.
  • Letra_de_unidad$: Recurso para conectar con el directorio raíz de un dispositivo de almacenamiento. Por ejemplo C$ es el recurso para conectar con el disco duro C a través de la red.

Permisos NTFS:

Para definir el acceso de u usuario a un directorio.
Solo los puede cambiar el propietario o el que haya recibido el permiso del propietario.
Afectará a los archivos y subcarpetas que desciendan de él, tanto los que ya estaban como los nuevos (herencia) aunque esto se puede cambiar.

3 formas de cambiar los permisos heredados:
  • Cambiar los permisos de la carpeta padre (y se cambiará la de sus hijos).
  • Seleccionar el permiso contrario (denegar-permitir) para sustituir el permiso heredado.
  • Desactivar la casilla de verificación Incluir todos los objetos...
Los permisos son:
  • Control total.
  • Modificar (Archivos).
  • Lectura y ejecución (Archivos).
  • Mostrar el contenido de la carpeta (Directorios).
  • Lectura (Directorios).
  • Escritura (Directorios).


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)