Administración de usuarios y grupos

ADMINISTRACIÓN DE USUARIO Y GRUPO

Cuenta Usuario

• Nombre
• Contraseña
• Permisos y derechos
• Grupo al que pertenece

Administradores (cometidos)

• Crear[pic 1]
• Eliminar             Usuarios        
• Administrar

La seguridad en Windows 2000 es discrepcional (cada uno de  los recursos del sistema tienen sus propios atributos de seguridad). Un recurso pertenecerá al usuario que lo ha creado. El administrador de sistema puede tomar  la propiedad de los recursos que ha creado.

MODELO DE PROTECCIÓN W2K:

Derechos y privilegios: Un derecho nos permite realizar una serie de operaciones sobre un sistema afectando al sistema de subconjunto. Un permiso es  una característica de cada recurso del sistema, que concede o deniega el acceso al mismo a un usuario o grupo concreto.

ATRIBUTOS DE PROTECCIÓN DE LOS PROCESOS:

• SAT (Security Acces Token):

• SID del usuario
• Lista de SID’s de los grupos a los que pertenece el usuario
• Lista de derechos de usuario

DERECHOS DE USUARIOS

• Derechos de conexión

• Acceder a este equipo desde la red
• Conectarse localmente

• Privilegios

• Añadir estaciones al dominio
• Hacer copias de seguridad
• Restaurar copias de seguridad
• Atravesar carpetas
• Cambiar la hora del sistema
• Instalar manejadores de dispositivo
• Apagar el sistema
• Tomar posesión de archivos y otros objetos

REGLAS DE SEGURIDAD PARA CONFIGURACIÓN LOCAL

• Especificar contraseñas
• Políticas de bloqueo para todos los usuarios de una computadora
• Asignar derechos a usuarios y grupos
• Auditar eventos y configurar la seguridad general del sistema

DIRECTIVAS DE BLOQUEOS DE CUENTAS

• Umbral de bloqueos de cuentas
• Duración del bloqueo de cuenta
• Restablecer la cuenta de bloqueos después de

Windows 2000 define respectivamente dos conceptos distintas y complemetarios: El concepto de derecho y de permiso.

• El derecho y privilegio de un usuario es un atributo de un usuario que le permite realizar una accion que afecta al sistema de subconjunto ( no un objeto o recurso en concreto)
• Un permiso es una característica de cada recurso del sistema, que concede o deniega el acceso al mismo a un usuario o grupo en concreto.

ATRIBUTOS DE PROTECCIÓN DE LOS RECURSOS

• SID: Usuario propietario
• Lista de  control de acceso de protección: Esta lista contiene los usuarios que hay sobre las carpetas.
• Lista de control de acceso de seguridad: Se utiliza para definir que acciones sobre un archivo o carpeta tiene que auditar el sistema.

        DACL[pic 2]

Listas de control de Acceso[pic 3]

        DACL

En cada una de dichas listas de control de acceso se divide realmente en dos listas cada una de ellas denominada Discretionary Access Control List (Lista de control de acceso discrecional). Cada elemento DACL se denomina Access control Entri (entrada de control de acceso) y liga un SID  de usuario con la concesión o denegación de un permiso en concreto.

Mecanismo de herencia de permisos: Cada archivo o carpeta puede heredar implícitamente

Si una cierta carpeta define permisos explícitos (estos juntos con sus permisos heredados ) serán a la vez los permisos heredados de sus  subcarpetas y archivos y así sucesivamente.

        Permisos heredados[pic 4]

Crear Archivo / Carpeta:

        Ningún permiso explicito (propietario puede definir estos

        permisos)

Control sobre la herencia de permisos se puede realizar a dos niveles:

1. Cada objeto, archivo o carpeta tiene la potestad de decidir si desea heredar los permisos de su carpeta padre.
2. Cuando se define un permiso explicito en una carpeta se puede decidir también que objetos por debajo van a heredarlo

Copiar un archivo o carpeta a otra ubicación se considera una creación y por tanto el archivo copiado y por tanto el archivo copiado recibe una lista de  permisos explícitos vacía y se activa la herencia de la carpeta correspondiente a  la nueva ubicación.

Mover un archivo distingue dos casos:

• Si movemos una carpeta o archivo a otra ubicación dentro del mismo volumen (partición) NTFS se desactiva la herencia y se mantienen los permisos que tuviera como explícitos en la nueva ubicación.
• Si el volumen destino es distinto, entonces se actúa como en una copia.

Mover:

• Misma partición

• Conserva permisos explícitos
• Desactiva la herencia.

• Diferente partición:

• Copia

PERMISOS ESTANDAR E INDIVIDUALES

Windows 2000 distingue entre los permisos estándar de carpetas y los archivos. Los permisos estándar son combinaciones predefinidas de permisos individuales que son permisos que controlan cada una de las acciones individuales que se pueden realizar sobre carpetas y archivos. La existencia de esta combinaciones predefinidas es el resultad o de una agrupación lógica de los permisos individuales para facilitar la labor de administrar permisos.

PERMISOS ESTANDAR

• Carpetas

• Listar: Permite atravesar las carpetas
• Leer: Permite ver el contenido de los archivos y subcarpetas así como su propietarios, permisos y atributos.
• Escribir: Permite sobrescribir el archivo, modificar sus atributos, permisos .
• Leer y ejecutar: Permite ejecutar el archivo mas todos los permisos de leer.
• Modificar: Permite modificar y eliminar una carpeta y los permisos de escribir, leer y ejecutar.
• Control total: Permite eliminar, crear, modificar, etc.

• Archivos

• Leer: Permite ver el contenido de los archivos y subcarpetas así como su propietarios, permisos y atributos.
• Escribir: Permite sobrescribir el archivo, modificar sus atributos, permisos .
• Leer y ejecutar: Permite ejecutar el archivo mas todos los permisos de leer.
• Modificar: Permite modificar y eliminar una carpeta y los permisos de escribir, leer y ejecutar.
• Control total: Permite eliminar, crear, modificar, etc.

PERMISOS INDIVIDUALES

• Atravesar carpeta / Ejecutar archivo: Permite moverse por subcarpetas. Aplicado a un archivo permite su ejecución.
• Leer carpeta / Leer datos: Permitirá ver los nombres de sus ficheros y subcarpetas. Aplicado a un archivo permite leer su contenido.
• Leer Atributos: Permite leer los atributos del fichero / carpeta.
• Leer atributos extendidos: Permite ver los atributos extendidos de archivo o carpeta (estos atributos están definidos por los programas y pueden variar)
• Crear ficheros / Escribir datos: Aplicado a una carpeta permite crear un archivo en ella. Aplicado a un archivo permite modificar y sobrescribir su contenido.
• Crear carpetas / Anexar datos: Aplicado a una carpeta permite crear subcarpetas en ella. Aplicado a un archivo permite añadir datos al final del mismo.
• Escribir atributos: Permite modificar los atributos de un archivo o carpeta.
• Escribir atributos extendidos: Permite modificar los atributos extendidos de un archivo o carpeta.
• Borrar subcarpetas y archivos: Solo se puede aplicar a una carpeta y permite borrar archivos o subcarpetas de la misma aun no teniendo permisos de borrado en dichos objetos.
• Borrar: Permite eliminar la carpeta o archivo.
• Leer permisos: Permite leer los permisos de la carpeta o archivo.
• Cambiar permisos: Permite modificar los permisos de la carpeta o archivo.
• Tomar posesión: Permite tomar posesión de la carpeta o archivo.

                C. Total        Modificar        L / ESC.        Listar        Leer        Esc.

Atravesar carpeta / Ejecutar archivo                SI        SI                SI        NO        NO        NO

Leer carpeta / Leer datos                        SI        SI                SI        SI        SI        NO

Leer Atributos                                SI        SI                SI        SI        SI        NO

Leer atributos extendidos                                SI        SI                SI        SI        SI        NO

...