Professional Documents
Culture Documents
Alberto
Un recurso local es cualquier elemento del sistema que pueden usar los usuarios. As, una impresora, una carpeta, un fichero o una conexin de red son recursos. Por cada recurso el sistema cuenta con una lista donde apunta los usuarios que pueden usar dicho recurso y de qu forma pueden usarlo. Si un usuario no est en esta lista, el sistema le impedir usar el recurso.
LISTA Quin puede usar el archivo pepito.sh? Tiene permiso de lectura o de escritura?
El sistema no ve usuarios y grupos, realmente ve Identificadores de Seguridad (SID), de modo que lo que dicha lista realmente tiene en su interior es una serie de SIDs y los permisos que cada uno de esos SIDs tiene sobre el recurso. Esta lista con la que cuenta cada recurso se conoce como ACL (Access Control List, o Lista de Control de Acceso). Cuando un usuario intenta acceder a un recurso, pide autorizacin al sistema para hacerlo. El sistema comprobar entonces si en el ACL de dicho recurso aparece el SID del usuario, y en caso contrario, comprobar si aparece el SID de algn grupo al que pertenezca el usuario. Si no aparece en la ACL ningn SID del usuario o de algn grupo del que sea miembro, el sistema niega el acceso al usuario a dicho recurso. Si aparece en la ACL algn SID del usuario, el recurso comprueba si la accin que quiere realizar el usuario (leer, borrar, escribir, etc.) est permitida para ese SID en la ACL, si lo est le autoriza para hacerlo, en caso contrario se lo impide. Puede ocurrir que un usuario tenga permisos contradictorios Imaginemos que en la ACL de la carpeta FOTICOS aparece que el SID del usuario PACO puede escribir en la carpeta, pero PACO pertenece al grupo PROFESORES que aparece en el ACL de FOTICOS como que no tiene derecho a escribir. Bien, en este caso se aplican las siguientes reglas: 1. Lo que ms pesa en cualquier ACL es la denegacin implcita de permisos. Si un permiso est denegado, no se sigue mirando, se deniega inmediatamente. 2. Basta con que un permiso est concedido en cualquier SID para que se considere concedido. (A excepcin de la regla 1, es decir, que no est denegado implcitamente en ningn sitio) Esto se entiende mejor gestionando el ACL de algn recurso. Por ejemplo, creemos en la raz de nuestro volumen (en NTFS) una carpeta con nombre FOTICOS. Una vez creada, accedemos a sus propiedades y en
Alberto
H E R E N CIA.
Imaginemos que creamos una carpeta por ejemplo CONTABLES y la preparamos minuciosamente para que pueden leer y escribir en ella los usuarios
Alberto
que sean miembros del grupo CONTABLES, tambin la configuramos para que slo puedan leer los del grupo JEFES pero no escribir, y que los dems usuarios no puedan ni leer en ella ni escribir. Bien, si ahora dentro de la carpeta CONTABLES creamos una nueva carpeta INFORMES, no sera lgico que esta carpeta INFORMES heredara la ACL de su carpeta madre CONTABLES para que no tuviramos que configurarla nuevamente? Pues precisamente eso es lo que hace Windows. Cualquier recurso que se crea hereda automticamente la ACL de su recurso padre si es que existe. En nuestro caso, la carpeta FOTICOS ha heredado la ACL de su padre, es decir, la raz de nuestro volumen. De modo que no podremos quitar usuarios, quitar permisos, etc. Para realizar cambios en la ACL de nuestra carpeta MARGARITA, debemos indicarle que rompa con la herencia, es decir, que deseamos retocar manualmente su ACL.
Para ello, accedemos al botn de Opciones Avanzadas que est en la pestaa Seguridad.
Cuidado ahora, una vez quitada la herencia, el sistema nos da a elegir entre dos opciones:
Si escogemos la opcin Copiar, la herencia se interrumpir y podremos retocar la ACL como nos plazca, pero dicha ACL ser la que ahora mismo tiene el recurso, heredada de su objeto principal. Es decir, seguiremos viendo los usuarios que veamos antes con sus permisos tal como estaban, pero ahora ya podremos retocarlos como nos venga en gana. Si escogemos la opcin Quitar, la ACL se borrar totalmente, se interrumpir la herencia y la podremos crear desde cero. Es decir, la lista de usuarios y permisos quedar en blanco y la tendremos que crear a pelo. Si elegimos quitar y empezar desde cero, hay que tener en cuenta que en las ACL no solo deben aparecer nuestras SID normales, sino que grupos como Creator Owner o System son necesarios para que el sistema pueda trabajar sin problemas con dichas carpetas. Si quitamos estos SID tendremos problemas en el futuro (copias de seguridad, auditoras, etc.).
2. Introduce los 4 usuarios anteriores en el grupo DANZA, que tambin tendrs que crear.
3.
Crea una carpeta en la raz de vuestro volumen con nombre BAILE. Modifica su ACL para que slo puedan leer y escribir en dicha carpeta los miembros del grupo DANZA. Quita el grupo Administradores, Usuarios, etc. Deja los que aparecen en maysculas (creator owner y system) para que no tengamos problemas con la carpeta. NOTA: Nos dar un mensaje relativo a la herencia qu debes hacer?
3. Comprueba abriendo sesin con los usuarios nuevos que efectivamente ellos pueden entrar y escribir en dicha carpeta y los dems usuarios del sistema no.
P R O P I E D A D.
Ahora bien, esa entrada en la ACL que se ve como Creator Owner indica el usuario que cre la carpeta y que por lo tanto es su propietario. Si dicha carpeta la creamos por ejemplo con nuestro usuario que se llama Jose, veremos cmo este usuario Jose tiene permisos sobre dicha carpeta aunque no aparezca como Jose en el ACL, ya que es su Creator Owner. Para evitar esto, repite el ejercicio pero crea la carpeta con MELINDA por ejemplo. (En vez de con una carpeta BAILE hazlo con la carpeta BAILARINAS). Bien, ahora tendremos una carpeta BAILARINAS donde ni los miembros del grupo Administradores ni el Administrador pueden entrar, leer o escribir (comprueba). Es solamente para los usuarios del grupo DANZA o no? Es imposible que un usuario en un sistema impida que el Administrador realice alguna funcin (siempre que el Administrador sepa lo que es administrar un sistema, claro). En este caso como Administrador (o miembro del grupo Administradores) podemos hacer lo siguiente: Accedemos a las propiedades de la carpeta rebelde, si bien en ella no podemos modificar nada, s que podemos acceder a sus propiedades avanzadas y dentro de
2. Crea 20 usuarios con nombre Alumno01, Alumno02. Alumno20 (os aconsejo que lo hagis desde CLI y con un proceso por lotes -BAT).
4. Abre sesin como Alumno01 y crea una carpeta en la raz de tu volumen con nombre Mi_Carpeta.
5. Modifica sus permisos para que slo los miembros del grupo Alumnos puedan leer, escribir, etc., en dicha carpeta. Quita todas las dems SID de su ACL, incluidas las SID especiales.
6. Comprueba que nadie fuera del grupo Alumnos puede acceder a la carpeta Mi_Carpeta.
7. Abre sesin como Alumno20, crea dentro de Mi_Carpeta un subdirectorio con nombre Privado. Modifica los permisos de dicha carpeta para que solo pueda acceder Alumno20.
8. Dentro de Privado, crea un fichero de texto con nombre contraseas.txt y escribe algn texto dentro de dicho fichero. Comprueba la ACL de dicho fichero.
9.
10. Crea un usuario con nombre HACKER y hazlo miembro del grupo Administradores pero no del grupo Alumnos.
11. Abre sesin como el usuario HACKER y consigue acceder a Mi_Carpeta, modificando las propiedades de dicha carpeta como sea preciso. Comprueba que puedes leer el fichero contraseas.txt.
PERMISOS
Los distintos permisos que se pueden aplicar para cada SID en la ACL no son nicamente los que vemos en las propiedades de la carpeta, si entramos en opciones avanzadas y all en permisos agregar veremos cmo podemos indicar otro tipo de permisos. El permiso Recorrer carpeta permite o impide que el usuario pase de una carpeta a otra para llegar a otros archivos o carpetas, incluso aunque el usuario no tenga permisos para las carpetas recorridas (slo se aplica a carpetas). El permiso Atributos de lectura permite o impide que el usuario vea los atributos de un archivo o de una carpeta, como slo lectura y oculto. Los atributos estn definidos por el sistema de archivos NTFS. El permiso Atributos de escritura permite o impide que el usuario cambie los atributos de un archivo o de una carpeta. El permiso Leer permisos permite o impide que el usuario lea permisos del archivo o de la carpeta, como Control total, Leer y Escribir. El permiso Tomar posesin permite o impide que el usuario tome posesin del archivo o de la carpeta. El propietario de un archivo o de una carpeta puede cambiar los permisos correspondientes, cualesquiera que sean los