Tema 2: Protección local en Windows 2003Dolores Ruz Jiménez
Administración de Sistemas Operativos2.1 Concepto UsuarioUn usuario es cada persona que puede entrar al sistema.Cuenta de ...
Administración de Sistemas OperativosExisten también una serie de grupos especiales, estos no se establecen de forma manua...
Administración de Sistemas OperativosEn Windows 2003, los derechos son un tipo de directivas de seguridad.Dentro de esta h...
Próxima SlideShare
Cargando en…5
×

Protección Local en Windows 2003

325 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
325
En SlideShare
0
De insertados
0
Número de insertados
11
Acciones
Compartido
0
Descargas
2
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Protección Local en Windows 2003

  1. 1. Tema 2: Protección local en Windows 2003Dolores Ruz Jiménez
  2. 2. Administración de Sistemas Operativos2.1 Concepto UsuarioUn usuario es cada persona que puede entrar al sistema.Cuenta de usuario (user-account) almacena toda la información que el sistema guarda acercade cada usuario.Los datos más importantes que son almacenados son los siguientes: -Nombre de usuario -Nombre completo -Contraseña -Horas de conexión. -Activada -Directorio de conexiónEl dato más importante es el que se asocia a cada cuenta que es el SID, es un identificadorinterno y es generado automáticamente por el sistema cuando se crea una nueva cuenta.Para ver si el usuario tiene los permisos suficientes para poder llevar a cabo cualquiera de susacciones Windows 2003 Server utiliza siempre el SID y no el nombre del usuario. Al ser un datointerno ningún usuario puede establecerlo en ningún sitio, por lo tanto nadie puede tener unmayor grado de privilegio intentando suplantar la identidad de otro usuario.Existen dos usuarios integrados (built-in users), son los siguientes: -Administrador es el que administra todo lo siguiente: -usuarios, grupos de usuario, contraseñas, recursos, derechos,etc…Esta cuenta no puede ser ni eliminada ni desactivada. -Invitado: es la que utilizan las personas que no tienen usuario propio para poderacceder al sistema. Esta cuenta no tiene ni contraseña puesto que el nivel de privilegios quetiene asociado es mínimo. Esta cuenta la puede desactivar el Administrador.2.2 Grupos de UsuariosGrupo de usuarios permite agrupar de forma lógica a los usuarios de un sistema, del mismomodo establecer permisos y restricciones a todo el grupo de una vez. Este grupo de usuarios,posee un SID( identificador interno) lo mismo que los usuarios, y un nombre. Se recomiendaaplicar los permisos a los grupos en lugar de a los usuarios.Existen varios grupos integrados en el sistema, son los siguientes: -Usuarios -Operadores de copia -Usuarios Avanzados -Administradores.Autora: Dolores Ruz Jiménez
  3. 3. Administración de Sistemas OperativosExisten también una serie de grupos especiales, estos no se establecen de forma manual, sondeterminados de forma dinámica y automática por el sistema, son también llamadosidentidades especiales(special identities) son los siguientes: -Usuarios Interactivos -Usuarios de Red -Todos -Usuarios autentificados2.3 Modelo de ProtecciónEs el modelo que sigue el sistema para establecer las acciones que el usuario o grupo estáautorizado a llevar a cabo. Está basado en la definición y contrastación de ciertos atributos deprotección que se asignan a los procesos de usuarios por un lado, y al sistema y sus recursospor otro lado. Windows 2003 define dos conceptos distintos y complementarios: -Derecho o privilegio (user right) es un atributo de un usuario (o grupo) que permiterealizar una acción que afecta al sistema en su conjunto y no solo a un objeto o recurso enconcreto. En Windows 2003 existe un conjunto fijo y predefinido de derechos. Para determinarcuáles son los usuarios que poseen derechos, cada privilegio o derecho posee una lista dondese especifica cuáles son los usuarios o grupos que tienen concedido estos derechos. -Permiso (permisssion) es una característica de cada recurso del sistema como porejemplo una carpeta, un archivo, etc) que concede o deniega el acceso al mismo a unusuario/grupo. Cada permiso posee una lista donde se especifica cuáles son los usuarios ogrupos que pueden acceder a dicho recurso y que tipo de acceso puede hacer cada uno.2.4 Atributos de protección de los procesosCuando el usuario es autorizado a conectarse interactivamente a un sistema Windows 2003,esté construye para él una acreditación denominada SAT.El SAT almacena los siguientes atributos: -SID del usuario -SID de sus grupos -Derechos del usuario2.5 Derechos de usuarioExisten dos tipos de derechos de usuario, y son los siguientes: -Derechos de conexión: son los que establecen las diferentes formas en las que elusuario puede conectase al sistema. -Privilegios: son los que hacen referencia a ciertas acciones predefinidas que el usuariopuede realizar una vez conectado al sistema.Autora: Dolores Ruz Jiménez
  4. 4. Administración de Sistemas OperativosEn Windows 2003, los derechos son un tipo de directivas de seguridad.Dentro de esta herramienta de administración se pueden establecer algunos tipos de reglas deseguridad para el equipo local, son los siguientes: -Cuentas -Directiva local -Clave pública2.6 Atributos de protección de los recursosEn un sistema de archivos NTFS de W2003 cada carpeta o archivo posee los siguientesatributos de protección: -SID del propietario -Lista de control de acceso de protección -Lista de control de acceso de seguridadLa lista de protección se divida en dos listas llamadas: -DACL(lista de control de acceso discrecional) y cada elemento de una DACL sedenomina ACE(entrada de control de acceso).Cada entrada liga un SID de usuario o grupo con la concesión o denegación de un permisoconcreto.2.7 Reglas de protecciónSon las que controlan la comprobación de permisos a carpetas y archivos. Existen lassiguientes reglas: -Los permisos en W2003 son acumulativos. -La única acción de un proceso puede involucrar varias acciones individuales sobervarios archivos o carpetas. -La ausencia sobre un objeto supone la imposibilidad de realizar la accióncorrespondiente sobre el objeto. -Si se produce conflicto en la comprobación de los permisos, los permisos negativostienen prioridad sobre los positivos y los permisos explícitos tiene prioridad sobre losheredados.Bibliografía:http://moodle.iesgrancapitan.org/file.php/53/w2k3-avanzado.pdfAutora: Dolores Ruz Jiménez

×