Tema 2. Protección local en Windows 2003 Server.
2.1. Concepto de usuario: Nació para el control de personas que pueden entrar en un sistema (en este caso hablamos del sistema Windows 2003) y de las acciones que dichas personas están autorizadas a ejecutar. Como características especiales hay que destacar que tiene además de un nombre, tiene un SID (Identificador seguro).
2.2. Concepto de grupo: Permite agrupar de manera lógica a los usuarios y establecer permisos y restricciones a la vez. También poseen un nombre y un SID que los identifica.
Windows 2003 tiene una serie de usuarios y grupos integrados ya en el sistema que no se pueden borrar llamados “Built-in users” que son el administrador y el invitado y los “Built-in groups” que son Administradores, Operadores de Copia,
Usuarios Avanzados, Usuarios, e Invitados.
2.3. Derecho o privilegio: es un atributo de un usuario o grupo que le permite realizar una acción que afecta al sistema en su conjunto y no a un objeto o recurso en concreto.
Permiso: es una característica de cada recurso (carpeta, archivo, impresora…) del sistema, que concede o deniega el acceso al mismo a un usuario o grupo concreto. Por ejemplo listar carpetas, leer, escribir, ejecutar etc.
2.4. Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows 2003, el sistema construye para él una acreditación denominada Security Ac-cess Token o SAT. Esta acreditación contiene la información de protección del usuario, y Windows 2003 la incluye en los procesos que crea para dicho usuario. Se utilizan para controlar los accesos que el proceso realiza a los recursos del sistema en nombre de dicho usuario.
2.5. Principales derechos de usuario en Windows 2003:
DERECHOS DE CONEXIÓN:
Acceder a este equipo desde la red e inicio de sesión local.
PRIVILEGIOS:
Hacer copias de seguridad, añadir estaciones al dominio (permite al usuario añadir ordenadores al dominio actual), restaurar copias de seguridad, atravesar carpetas, instalar manejadores de dispositivos (Plug and Play) entre otros.
2.6. En un sistema de archivos NTFS de Windows 2003, cada carpeta o archivo posee los siguientes atributos de protección:
SID del propietario, lista de control de acceso de protección, lista de control de acceso de seguridad.
- La lista de control de acceso de protección se divide realmente en dos listas, cada una de ellas denominada Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesión o denegación de un permiso concreto.
2.7. Reglas de protección que controlan la comprobación de permisos a carpetas y archivos son:
- Una única acción de un proceso puede involucrar varias acciones individuales sobre varios archivos o carpetas.
- Los permisos en Windows 2003 son acumulativos.
- La ausencia un cierto permiso sobre un objeto supone implícitamente la imposibilidad de realizar la acción correspondiente sobre el objeto.
- Si se produce un conflicto en la comprobación de los permisos, los permisos negativos tienen prioridad sobre los positivos, y los permisos explícitos tienen prioridad sobre los heredados.
Módulo: Administración de sistemas operativos.
Realizado por: Raquel Esquinas Chaparro.
Curso: 2º ASIR.
No hay comentarios:
Publicar un comentario