Practica N 7 Listas de Control de Acceso Benavente Gallardo L I S T A S D E C O N T R O L D E A C C E S O (A C L ).

Alberto

Un recurso local es cualquier elemento del sistema que pueden usar los usuarios. As, una impresora, una carpeta, un fichero o una conexin de red son recursos. Por cada recurso el sistema cuenta con una lista donde apunta los usuarios que pueden usar dicho recurso y de qu forma pueden usarlo. Si un usuario no est en esta lista, el sistema le impedir usar el recurso.

LISTA Quin puede usar el archivo pepito.sh? Tiene permiso de lectura o de escritura?
El sistema no ve usuarios y grupos, realmente ve Identificadores de Seguridad (SID), de modo que lo que dicha lista realmente tiene en su interior es una serie de SIDs y los permisos que cada uno de esos SIDs tiene sobre el recurso. Esta lista con la que cuenta cada recurso se conoce como ACL (Access Control List, o Lista de Control de Acceso). Cuando un usuario intenta acceder a un recurso, pide autorizacin al sistema para hacerlo. El sistema comprobar entonces si en el ACL de dicho recurso aparece el SID del usuario, y en caso contrario, comprobar si aparece el SID de algn grupo al que pertenezca el usuario. Si no aparece en la ACL ningn SID del usuario o de algn grupo del que sea miembro, el sistema niega el acceso al usuario a dicho recurso. Si aparece en la ACL algn SID del usuario, el recurso comprueba si la accin que quiere realizar el usuario (leer, borrar, escribir, etc.) est permitida para ese SID en la ACL, si lo est le autoriza para hacerlo, en caso contrario se lo impide. Puede ocurrir que un usuario tenga permisos contradictorios Imaginemos que en la ACL de la carpeta FOTICOS aparece que el SID del usuario PACO puede escribir en la carpeta, pero PACO pertenece al grupo PROFESORES que aparece en el ACL de FOTICOS como que no tiene derecho a escribir. Bien, en este caso se aplican las siguientes reglas: 1. Lo que ms pesa en cualquier ACL es la denegacin implcita de permisos. Si un permiso est denegado, no se sigue mirando, se deniega inmediatamente. 2. Basta con que un permiso est concedido en cualquier SID para que se considere concedido. (A excepcin de la regla 1, es decir, que no est denegado implcitamente en ningn sitio) Esto se entiende mejor gestionando el ACL de algn recurso. Por ejemplo, creemos en la raz de nuestro volumen (en NTFS) una carpeta con nombre FOTICOS. Una vez creada, accedemos a sus propiedades y en

Practica N 7 Listas de Control de Acceso Benavente Gallardo

ellas a la pestaa Seguridad. Podemos ver cmo en la parte superior tenemos las SID a las que concedemos permisos (usuarios y grupos) y en la parte inferior tenemos los permisos concretos que le concedemos a dicha SID. Aparecen dos columnas por cada permiso, podemos tanto Permitir como Denegar un permiso. La denegacin de un permiso es la que ms pesa, y se aplica inmediatamente. De hecho, se aconseja no denegar permisos NUNCA, a menos que sea absolutamente necesario. Puede ocurrir que en las propiedades de vuestro recurso no aparezca la pestaa Seguridad. Esto ocurre porque an tendris activado el uso compartido simple de archivos de Windows XP, que es una forma de olvidarnos de las ACL y trabajar de una forma muy simple, indicada para usuarios que no desean preocuparse por estos temas. Para desactivar este uso compartido simple, accedemos a Mi PC, y all en el men Herramientas Opciones de carpeta Ver accedemos al final de la lista y all encontramos dicha opcin que hay que desactivar. Otra opcin por la que no veramos la pestaa de seguridad es que estemos en un volumen de datos FAT, en lugar de NTFS. Las ACL necesitan ser almacenadas en el volumen de datos conjuntamente con el recurso al que pertenecen y esto es algo que solamente se puede realizar con el sistema de ficheros NTFS. Ms o menos todo lo que se ve en la ACL deberais entenderlo sin problemas. Con los botones agregar y quitar podemos aadir o quitar SID de la ACL. En la parte inferior podemos pulsar en las casillas de Permitir y Denegar para dar y quitar permisos. Pero por qu aparece la columna de Permitir en gris y no nos deja cambiarla? Bien, ha llegado el momento de hablar de la herencia.

Alberto

H E R E N CIA.
Imaginemos que creamos una carpeta por ejemplo CONTABLES y la preparamos minuciosamente para que pueden leer y escribir en ella los usuarios

Practica N 7 Listas de Control de Acceso Benavente Gallardo

Alberto

que sean miembros del grupo CONTABLES, tambin la configuramos para que slo puedan leer los del grupo JEFES pero no escribir, y que los dems usuarios no puedan ni leer en ella ni escribir. Bien, si ahora dentro de la carpeta CONTABLES creamos una nueva carpeta INFORMES, no sera lgico que esta carpeta INFORMES heredara la ACL de su carpeta madre CONTABLES para que no tuviramos que configurarla nuevamente? Pues precisamente eso es lo que hace Windows. Cualquier recurso que se crea hereda automticamente la ACL de su recurso padre si es que existe. En nuestro caso, la carpeta FOTICOS ha heredado la ACL de su padre, es decir, la raz de nuestro volumen. De modo que no podremos quitar usuarios, quitar permisos, etc. Para realizar cambios en la ACL de nuestra carpeta MARGARITA, debemos indicarle que rompa con la herencia, es decir, que deseamos retocar manualmente su ACL.

Para ello, accedemos al botn de Opciones Avanzadas que est en la pestaa Seguridad.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

Podemos ver en estas opciones avanzadas cuatro pestaas, de momento nos quedamos en la primera, permis os. Vemos cmo en la parte inferior de esta ventana, est marcada la opcin de Heredar del objeto principal las entradas de permiso relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aqu de forma explcita. Si desmarcamos dicha opcin mataremos la relacin de herencia de nuestro recurso y podremos gestionar su ACL a pelo. Hagmoslo.

Cuidado ahora, una vez quitada la herencia, el sistema nos da a elegir entre dos opciones:

Si escogemos la opcin Copiar, la herencia se interrumpir y podremos retocar la ACL como nos plazca, pero dicha ACL ser la que ahora mismo tiene el recurso, heredada de su objeto principal. Es decir, seguiremos viendo los usuarios que veamos antes con sus permisos tal como estaban, pero ahora ya podremos retocarlos como nos venga en gana. Si escogemos la opcin Quitar, la ACL se borrar totalmente, se interrumpir la herencia y la podremos crear desde cero. Es decir, la lista de usuarios y permisos quedar en blanco y la tendremos que crear a pelo. Si elegimos quitar y empezar desde cero, hay que tener en cuenta que en las ACL no solo deben aparecer nuestras SID normales, sino que grupos como Creator Owner o System son necesarios para que el sistema pueda trabajar sin problemas con dichas carpetas. Si quitamos estos SID tendremos problemas en el futuro (copias de seguridad, auditoras, etc.).

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

Vemos cmo debajo de la opcin de Heredar del objeto principal, tenemos otra opcin que nos permite activar que los objetos por debajo del nuestro hereden las modificaciones que hagamos en nuestra ACL. Esto es importante tenerlo en cuenta si queremos que los cambios que hagamos en la ACL se repliquen en los objetos hijos del nuestro, ya que hemos roto la herencia y a veces tendremos que forzar dichos cambios.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

Realiza el siguiente ejercicio: 1. Crea 4 usuarios con nombre MELINDA, BELINDA, ROSALINDA y DESIDERIA.

2. Introduce los 4 usuarios anteriores en el grupo DANZA, que tambin tendrs que crear.

3.

Crea una carpeta en la raz de vuestro volumen con nombre BAILE. Modifica su ACL para que slo puedan leer y escribir en dicha carpeta los miembros del grupo DANZA. Quita el grupo Administradores, Usuarios, etc. Deja los que aparecen en maysculas (creator owner y system) para que no tengamos problemas con la carpeta. NOTA: Nos dar un mensaje relativo a la herencia qu debes hacer?

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

Debo de hacer una copia de los permisos antes de eliminrselos para poder restablecerlos en caso de error o restablecimiento de los mismos. Esto es en opciones avanzadas.

3. Comprueba abriendo sesin con los usuarios nuevos que efectivamente ellos pueden entrar y escribir en dicha carpeta y los dems usuarios del sistema no.

P R O P I E D A D.
Ahora bien, esa entrada en la ACL que se ve como Creator Owner indica el usuario que cre la carpeta y que por lo tanto es su propietario. Si dicha carpeta la creamos por ejemplo con nuestro usuario que se llama Jose, veremos cmo este usuario Jose tiene permisos sobre dicha carpeta aunque no aparezca como Jose en el ACL, ya que es su Creator Owner. Para evitar esto, repite el ejercicio pero crea la carpeta con MELINDA por ejemplo. (En vez de con una carpeta BAILE hazlo con la carpeta BAILARINAS). Bien, ahora tendremos una carpeta BAILARINAS donde ni los miembros del grupo Administradores ni el Administrador pueden entrar, leer o escribir (comprueba). Es solamente para los usuarios del grupo DANZA o no? Es imposible que un usuario en un sistema impida que el Administrador realice alguna funcin (siempre que el Administrador sepa lo que es administrar un sistema, claro). En este caso como Administrador (o miembro del grupo Administradores) podemos hacer lo siguiente: Accedemos a las propiedades de la carpeta rebelde, si bien en ella no podemos modificar nada, s que podemos acceder a sus propiedades avanzadas y dentro de

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

dichas propiedades accedemos a Propietario. Puedes ver cmo desde aqu podemos cambiar el propietario actual del objeto (owner) e indicar que el propietario actual es el grupo Administradores (o el usuario actual si es del grupo Administradores). Basta con que seleccionemos el grupo Administradores y marquemos abajo Reemplazar propietario en sub contenedores y objetos y demos aplicar aceptar. Seremos propietarios de la carpeta. IMPORTANTE. Siempre que hagamos algo as, deja como propietario al GRUPO administradores, nunca al usuario Administrador. De esta forma la carpeta no se estropear si es un perfil (los perfiles se ven ms adelante, un perfil de usuario contiene todas las caractersticas y ficheros que forman parte de entorno de trabajo de dicho usuario). Basta con que actualicemos la ventana de permisos y ya podremos modificar la ACL del recurso como queramos. Esto no nos permite acceder a la carpeta directamente, pero si nos permite modificar su ACL donde tendremos que introducir el SID del grupo Administradores para as poder acceder a la carpeta con los permisos que indiquemos. Otro ejercicio ms para comprobar todo lo visto hasta ahora: 1. Abre sesin con tu usuario, que debe ser miembro del grupo Administradores.

2. Crea 20 usuarios con nombre Alumno01, Alumno02. Alumno20 (os aconsejo que lo hagis desde CLI y con un proceso por lotes -BAT).

3. Crea un grupo Alumnos e introduce dentro los 20 usuarios anteriores.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

4. Abre sesin como Alumno01 y crea una carpeta en la raz de tu volumen con nombre Mi_Carpeta.

5. Modifica sus permisos para que slo los miembros del grupo Alumnos puedan leer, escribir, etc., en dicha carpeta. Quita todas las dems SID de su ACL, incluidas las SID especiales.

6. Comprueba que nadie fuera del grupo Alumnos puede acceder a la carpeta Mi_Carpeta.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

7. Abre sesin como Alumno20, crea dentro de Mi_Carpeta un subdirectorio con nombre Privado. Modifica los permisos de dicha carpeta para que solo pueda acceder Alumno20.

8. Dentro de Privado, crea un fichero de texto con nombre contraseas.txt y escribe algn texto dentro de dicho fichero. Comprueba la ACL de dicho fichero.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

9.

Abre sesin con tu usuario normal.

10. Crea un usuario con nombre HACKER y hazlo miembro del grupo Administradores pero no del grupo Alumnos.

11. Abre sesin como el usuario HACKER y consigue acceder a Mi_Carpeta, modificando las propiedades de dicha carpeta como sea preciso. Comprueba que puedes leer el fichero contraseas.txt.

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

PERMISOS
Los distintos permisos que se pueden aplicar para cada SID en la ACL no son nicamente los que vemos en las propiedades de la carpeta, si entramos en opciones avanzadas y all en permisos agregar veremos cmo podemos indicar otro tipo de permisos. El permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (slo se aplica a carpetas). El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como slo lectura y oculto. Los atributos estn definidos por el sistema de archivos NTFS. El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta. El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir. El permiso Tomar posesin permite o impide que el usuario tome posesin del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los

Practica N 7 Listas de Control de Acceso Alberto Benavente Gallardo

permisos existentes que protegen el archivo o la carpeta. Un permiso muy especial es el de Control Total. Si este permiso se lo otorgamos a un usuario en una carpeta, este usuario podr eliminar cualquier cosa que haya en esa carpeta, incluso si le denegamos el permiso de eliminacin en esos recursos. Hay que tener mucho cuidado al conceder este permiso.