Windows 2003 permite un riguroso control de los usuarios que pueden ingresar en el sistema. Cada cuenta de usuario almacena una serie de datos (nombre, contraseña, etc), pero el dato más importante a remarcar es el SID. Un identificador único para cada cuenta de usuario y que el sistema utiliza para averiguar los permisos que posee dicho usuario.
Todos estos usuarios pueden ser administrados de una forma mucho más cómoda y sencilla con el uso de grupos. Los grupos de usuario se utilizan para englobar un conjunto de permisos y derechos a los cuales los usuarios pertenecientes a dichos grupos pueden disfrutar.
El sistema tiene de forma integrada una serie de grupos redefinidos en el sistema, estos grupos son conocidos como built-in groups.
El modelo de protección seguido en Windows server 2003 hace una distinción entre los derechos y permisos. Los derechos son pertenecientes a los usuarios, sin embargo los permisos le corresponden a los recursos del sistema (archivos, documentos, etc).
Diferencias entre derechos (usuarios) y permisos (archivos, etc).
Cuando un usuario está autorizado para conectarse interactivamente dentro del sistema, este le construye una acreditación denominada SAT que contiene la información de protección del usuario, además de utilizarse para el control de accesos que los procesos del usuario realiza en los recursos del sistema.
Los derechos son atributos de los usuarios o grupos que conceden a los usuarios la posibilidad de realizar una acción concreta en el sistema. Dentro de los derechos hay dos tipos, que son: derechos de conexión (cómo se puede conectar) y privilegios
(Qué puede hacer en el sistema). Hay que tener en cuenta que tienen prioridad los permisos y derechos restrictivos frente a los permisivos.
Los derechos son un tipo de directivas de seguridad. En este sentido el sistema ha agrupado un conjunto de reglas de seguridad antes dispersas dentro una única consola de administración unificando y simplificando la administración de las mismas (cuentas, directivas locales y claves públicas).
En cuanto a permisos, tenemos los atributos de protección de recursos los cuales poseen cada carpeta o archivo dentro del sistema y entre los que se encuentran el SID del propietario y dos listas de control de acceso (de protección y seguridad).
Estos permisos se asocian a los recursos siguiendo una serie de reglas.
Dentro de los permisos Windows 2003 hace una distinción entre permisos estándar y permisos individuales sobre carpetas y archivos. Dentro de estos permisos podemos encontrar la lectura, escritura, ejecución, etc.
Windows 2003 tiene de forma totalmente integrado un modelo de protección que define quién puede modificar los atributos de protección de los recursos, basándose en los permisos y derechos del usuario. Dictando por tanto que estos pueden ser los propietarios y cualquier usuario que esté dentro de las listas de control de acceso de protección y lista de control de seguridad con los permisos correspondientes.
Estos permisos siguen unas reglas básicas o reglas de protección, basadas en:
La verificación de permisos de cada acción o proceso.
Los permisos son acumulativos.
La ausencia de un cierto permiso supone la imposibilidad de realizar una determinada acción.
Si se producen conflictos en la comprobación de permisos, los más restrictivos son los que prevalecen exceptuando los permisos explícitos sobre los heredados.
No hay comentarios:
Publicar un comentario