capitulo_6
TRANSCRIPT
CAPITULO 6. ACCESO A RECURSOS
6.1. Introducción
Este capítulo presenta la función de administración de acceso a recursos,
cubre los conocimientos teóricos y prácticos necesarios para explicar cómo se
administra el acceso a archivos y carpetas mediante permisos de carpeta
compartida, permisos NTFS o permisos efectivos y cómo se administra el
acceso a recursos compartidos mediante caché sin conexión.
Los temas que se trataran en este capítulo son:
Administrar el acceso a recursos.
Administrar el acceso a carpetas compartidas.
Administrar el acceso a archivos y carpetas mediante permisos NTFS.
Establecer permisos efectivos.
Administrar el acceso a archivos compartidos mediante caché sin
conexión.
6.2. Permisos NTFS.
A continuación se resumen los términos más importantes sobre acceso a
recursos, proceso que necesita una autentificación para poder autorizar el
acceso a los recursos.
Figura 1. Autentificación y autorización
A continuación se explica los términos básicos como SID, DALC, ACE, etc.
Objeto principal de
seguridad. Es una
cuenta que puede
autenticarse Como
son:
o Usuarios
o Grupos
o .Equipos
Identificador de
seguridad (SID,
Security Identifier).
Un SID es una
estructura
alfanumérica que se
emite al crear una
cuenta e identifica de
forma exclusiva al
objeto principal de
seguridad.
Lista de control de
acceso discrecional
(DACL, Discretionary
Access control list).
Cada recurso se
asocia a una DACL
para identificar a los
usuarios y grupos a
los que se les permite
o deniega el acceso
al recurso.
Una DACL contiene
varias ACE. Cada
ACE (ACE, Access
Control Entry)
especifica un SID,
permisos especiales,
información de
herencia y un permiso
Denegar o Permitir.
En la figura 68 se resume el proceso de autorización para que un usuario
acceda a una carpeta:
El usuario hace clic en la carpeta o archivo.
Se consulta en el DACL de la carpeta o archivo si existe un ACE que
contenga el SID del usuario.
Si encuentra lee la información sobre los permisos, si son permitidos
autoriza el ingreso, caso contrario deniega.
Figura 2. Autorización de acceso a un recurso
6.2.1. Definición de permisos
Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo
para un objeto. Por ejemplo, puede permitir a un usuario leer el contenido de un
archivo, dejar que otro usuario realice cambios en el archivo e impedir a los
demás usuarios el acceso al archivo. Puede establecer permisos similares en
impresoras para que determinados usuarios puedan configurar una impresora y
otros usuarios sólo puedan imprimir en ella.
Los permisos se aplican a cualquier objeto protegido, como archivos, objetos
del servicio de directorios Directorio Activo® y objetos del registro. Los
permisos se pueden conceder a cualquier usuario, grupo o equipo.
Figura 3. Principios de los permisos
Al establecer permisos, se especifica el nivel de acceso de los grupos y
usuarios. Los permisos adjuntos a un objeto dependen del tipo de objeto. Por
ejemplo, los permisos que se adjuntan a un archivo son diferentes de los que
se adjuntan a una clave de registro. Sin embargo, algunos permisos, son
comunes a la mayoría de los tipos de objeto. Los permisos siguientes son
permisos comunes:
Permisos de lectura
Permisos de escritura
Permisos de eliminación
6.2.2. Permisos estándares y especiales
Puede conceder permisos estándar y especiales para objetos. Los permisos
estándar son los que se asignan con mayor frecuencia. Los permisos
especiales ofrecen un grado de control más preciso para asignar acceso a
objetos.
El sistema tiene un nivel de configuración de seguridad predeterminado para un
determinado objeto. Esta configuración constituye el conjunto de permisos más
habituales que suele utilizar diariamente un administrador de sistema. La lista
de permisos estándar disponibles varía en función del tipo de objeto para el
que se está modificando la seguridad.
Los permisos especiales conforman una lista más detallada. Un permiso NFTS
de lectura estándar está relacionado con los siguientes permisos especiales:
Mostrar lista de carpetas/leer datos
Leer atributos
Leer atributos extendidos
Leer permisos
Si el administrador del sistema elimina un permiso especial relacionado con un
permiso estándar, la casilla de verificación del permiso estándar deja de estar
activada. En su lugar, se activa la casilla de verificación del permiso especial
incluido en la lista de permisos estándar.
Figura 4. Permisos estándares y especiales
6.2.3. Estados de los permisos.
En la siguiente tabla se explica los estados de los permisos:
Estado del Permiso Forma
Permitido Explicito.- Cuando
se marca directamente las
casillas de los permisos para
permitir que un usuario o
grupo accedan al recurso.
Negado Explicito.- Cuando se
marca directamente las
casillas de los permisos para
denegar que un usuario o
grupo accedan al recurso.
Este estado tiene prioridad
sobre los demás.
Negado Implícito. Cuando no
se marca ni permitido ni
negado, se debe asumir que el
permiso esta negado.
Permitido Heredado.- Cuando
se ha permitido a la carpeta
contenedora y por herencia se
propaga el permiso hacia la
otra carpeta.
Negado Heredado. Cuando se
ha denegado a la carpeta
contenedora y por herencia se
propaga el permiso hacia la
otra carpeta.
6.2.4. Permisos NTFS de archivos y carpeta.
Figura 5. Permisos de archivos y de carpetas.
Los permisos NTFS se utilizan para especificar qué usuarios, grupos y equipos
pueden obtener acceso a los archivos y las carpetas y que acciones pueden
realizar los usuarios, grupos y equipos con el contenido de los archivos o
carpetas.
La siguiente tabla enumera los permisos de archivo NTFS estándar que se
pueden conceder y el tipo de acceso que brinda cada permiso.
Permiso Permite al usuario
Control total. Cambiar permisos, tomar posesión de
objetos y realizar las acciones autorizadas
por otros permisos de archivo NTFS.
Modificar. Modificar y eliminar el archivo y realizar las
acciones autorizadas por el permiso de
escritura y el permiso de lectura y
ejecución.
Leer y
ejecutar
. Ejecutar aplicaciones y realizar las
acciones autorizadas por el permiso de
lectura.
Escritura. Sobrescribir el archivo, cambiar los
atributos de archivo y ver sus permisos y
posesión.
Lectura. Leer el archivo y ver sus atributos,
permisos y posesión.
Tabla 4. Permisos de archivos NTFS
Los permisos controlan el acceso a las carpetas y a los archivos y subcarpetas
incluidos en estas carpetas. La siguiente tabla enumera los permisos de
carpeta NTFS estándar que se pueden conceder y el tipo de acceso que brinda
cada permiso.
Permiso NTFS Permite al usuario:
Control total Cambiar permisos, tomar posesión de objetos, eliminar
archivos y subcarpetas y realizar las acciones autorizadas
por otros permisos de carpeta NTFS.
Modificar Eliminar la carpeta y realizar las acciones autorizadas por
el permiso de escritura y el permiso de lectura y ejecución.
Leer y ejecutar Recorrer carpetas y realizar las acciones autorizadas por el
permiso de lectura y el permiso Mostrar el contenido de la
carpeta.
Escritura Crear nuevos archivos y subcarpetas en la carpeta,
cambiar los atributos de carpeta y ver sus permisos y
posesión.
Lectura Ver los archivos y subcarpetas de la carpeta y sus
atributos, permisos y posesión.
Mostrar el
contenido de la
carpeta
Ver los nombres de los archivos y subcarpetas de la
carpeta.
6.2.5. Efectos de los permisos NTFS al copiar y mover.
Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en
función de la ubicación a la que se mueva. Es importante conocer los cambios
que sufren los permisos al copiarse o moverse.
Figura 6. Resultados de copiar y mover archivos.
Al copiar un archivo o carpeta, se producen los siguientes efectos en los
permisos NTFS:
o Al copiar una carpeta o archivo en una única partición NTFS, la
copia de la carpeta o archivo hereda los permisos de la carpeta
de destino.
o Al copiar una carpeta o archivo a una partición NTFS diferente, la
copia de la carpeta o archivo hereda los permisos de la carpeta
de destino.
o Al copiar una carpeta o archivo a una partición no NTFS, como,
por ejemplo, una partición FAT, la copia de la carpeta o archivo
pierde los permisos NTFS debido a que las particiones no NTFS
no admiten este tipo de permisos.
Para copiar archivos y carpetas en una única partición NTFS o entre
particiones NTFS, debe tener permiso de lectura para la carpeta de
origen y permiso de escritura para la carpeta de destino.
Al mover un archivo o carpeta, los permisos pueden cambiar en función
de los permisos de la carpeta de destino. Al mover un archivo o carpeta,
se producen los siguientes efectos en los permisos NTFS:
o Al mover una carpeta o archivo en una partición NTFS, la carpeta
o archivo conserva sus permisos originales.
o Al mover una carpeta o archivo a una partición NTFS diferente, la
carpeta o archivo hereda los permisos de la carpeta de destino. Al
mover una carpeta o archivo entre particiones, Windows Server
2003 copia la carpeta o archivo a la nueva ubicación y, a
continuación, la elimina de la antigua ubicación.
o Al mover una carpeta o archivo a una partición no NTFS, la
carpeta o archivo pierde los permisos NTFS debido a que las
particiones no NTFS no admiten este tipo de permisos.
Para mover archivos y carpetas en una única partición NTFS o entre
particiones NTFS, debe tener permiso de escritura para la carpeta de
destino y permiso de modificación para la carpeta o archivo de origen.
6.2.6. Herencia de permisos
Los permisos que se conceden a una carpeta principal son heredados de forma
predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear
archivos y carpetas, y al formatear una partición con NTFS, Windows Server
2008 asigna automáticamente permisos NTFS predeterminados.
Figura 7. Herencia de los permisos
Puede evitar que los archivos y las subcarpetas hereden los permisos
asignados a la carpeta principal. Al impedir la herencia de permisos, puede:
Copiar los permisos heredados de la carpeta principal
Eliminar los permisos heredados y mantener sólo aquéllos que se hayan
asignado explícitamente.
La carpeta en la que impide la herencia de permisos se convierte en la nueva
carpeta principal y las subcarpetas y los archivos incluidos en ella heredan los
permisos que se le asignaron.
La herencia de permisos simplifica la asignación de permisos a las carpetas
principales, las subcarpetas y los recursos. Sin embargo, es posible que desee
impedir la herencia para que los permisos no se propaguen desde una carpeta
principal a sus archivos y subcarpetas.
Por ejemplo, puede ser necesario incluir todos los archivos del Departamento
de Ventas en una carpeta de ventas en la que todos los empleados de este
departamento tengan permiso de escritura. Sin embargo, es posible que se
necesite limitar los permisos de lectura en algunos archivos de la carpeta. Para
ello, es necesario impedir la herencia y evitar así que los permisos de escritura
se propaguen a los archivos de la carpeta.
6.2.7. Procedimientos para administración de permisos NTFS.
6.2.7.1. Permisos Estándares
Para permitir o denegar permisos a carpetas y archivos se debe hacer clic
derecho en el objeto, seleccionar Propiedades y en la hoja de propiedades
Seguridad escoger el botón Editar.
Figura 8. Procedimiento para dar permisos NTFS
En la siguiente ventana se selecciona el botón Agregar y tendrá que
seleccionar al usuario, grupo o equipo para luego indicar que permiso se quiere
permitir o denegar.
6.2.7.2. Permisos Especiales
Para permitir o denegar permisos especiales a carpetas y archivos se debe
seguir los siguientes pasos:
1. Hacer clic
derecho en el
objeto,
seleccionar
Propiedades y
en la hoja de
propiedades
Seguridad
escoger el botón
Opciones
Avanzadas. En
este momento
se visualizara el
DACL del
objeto.
En esta ventana
se puede
Agregar, Editar
o Quitar los
ACE. También
se puede
desmarcar la
opción Incluir
todos los
permisos
heredables con
lo cual se quita
la herencia del
objeto
2. Al seleccionar
Agregar nos
pide se
seleccione al
usuario o grupo.
Seleccionar
Avanzadas y
luego Buscar
Ahora
3. Marcar la casilla
de Permitir o
Denegar en
cada permiso
especial y luego
Aceptar
Por defecto se
aplica al objeto.
Sí es una
carpeta
automáticament
e se aplicara a
subcarpetas y
archivos. De no
ser así
seleccione las
otras opciones
en Aplicar a.
Finalmente
seleccionar
Aceptar y ya se
visualizara el
nuevo ACE
agregado.
6.3. Carpetas y Archivos Compartidos.
6.3.1. Conceptos
La familia Windows Server 2008 organiza los archivos en directorios,
representados gráficamente como carpetas. Estas carpetas contienen todo tipo
de archivos y pueden incluir subcarpetas. Algunas de estas carpetas se
reservan para los archivos del sistema operativo y los archivos de programa.
Los usuarios no deberían introducir datos en las carpetas del sistema operativo
o de los archivos de programa.
Las carpetas compartidas proporcionan acceso a archivos y carpetas a través
de una red. Los usuarios pueden conectarse a la carpeta compartida a través
de la red para obtener acceso a los archivos y las carpetas que contiene. Las
carpetas compartidas pueden contener aplicaciones, datos públicos o datos
personales del usuario. Mediante la utilización de carpetas de aplicaciones
compartidas, se centraliza la administración, permitiendo así la instalación y
mantenimiento de las aplicaciones en un servidor en lugar de utilizar equipos
clientes. La utilización de carpetas de datos compartidas ofrece una ubicación
central desde la que los usuarios pueden obtener acceso a los archivos
comunes. De este modo, se simplifica el almacenamiento de seguridad de los
datos que contienen estos archivos.
6.3.2. Características de las carpetas compartidas.
A continuación, se enumeran algunas de las características más comunes de
las carpetas compartidas:
Una carpeta compartida se distingue en el Explorador de Windows por el
siguiente icono.
Sólo se pueden compartir carpetas, no archivos individuales. Si varios
usuarios necesitan obtener acceso al mismo archivo, debe introducirlo
en una carpeta y compartir ésta a continuación. En Windows 2008 si se
puede compartir archivos pero siempre y cuando estén en la carpeta del
perfil de usuario.
Cuando se comparte una carpeta, se concede un permiso de lectura al
grupo Todos de forma predeterminada. Elimine el permiso
predeterminado y conceda permiso de cambio o de lectura a los grupos
según sea necesario.
Cuando se agregan usuarios o grupos a una carpeta compartida, el
permiso
predeterminado es el de lectura.
Al copiar una carpeta compartida, se sigue compartiendo la carpeta
compartida original, pero no así su copia. Cuando una carpeta
compartida se mueve a otra ubicación, deja de estar compartida.
Puede ocultar una carpeta compartida si pone un signo de dólar ($) al
final del nombre de la carpeta. El usuario no puede ver la carpeta
compartida en la interfaz de usuario, pero puede obtener acceso a ella
escribiendo el nombre UNC (Universal Naming Convention, Convención
de nomenclatura universal). Por ejemplo \\servidor\examenes$.
6.3.3. Permisos de las carpetas compartidas.
Los permisos de las carpetas compartidas sólo se aplican a los usuarios que se
conectan a la carpeta a través de la red. No restringen el acceso de los
usuarios a la carpeta del equipo en el que está almacenada. Puede conceder
permisos de carpeta compartida a cuentas de usuario, grupos y cuentas de
equipo.
Figura 9. Permisos de carpetas compartidas
Entre los permisos de carpeta compartida, se incluyen:
Lectura. El permiso de lectura es el permiso de carpeta compartida
predeterminado y se aplica al grupo Todos. El permiso de lectura le
permite:
• Ver datos de archivos y atributos.
• Ver los nombres de archivos y subcarpetas.
• Ejecutar archivos de programa.
Cambio. El permiso de cambio incluye todos los permisos de lectura y
también le permite:
• • Agregar archivos y subcarpetas.
• • Cambiar datos en archivos.
• • Eliminar subcarpetas y archivos.
Control total. El permiso de control total incluye todos los permisos de
lectura y cambio y, además, le permite cambiar los permisos de los
archivos y las carpetas NTFS.
6.3.4. Carpetas compartidas administrativas
Windows Server 2008 comparte automáticamente carpetas que permiten
realizar tareas administrativas. Se caracterizan por incluir un signo de dólar ($)
al final del nombre de carpeta. El signo de dólar permite ocultar la carpeta
compartida a los usuarios que examinan el equipo desde la red. Los
administradores pueden administrar de forma rápida archivos y carpetas en
servidores remotos utilizando estas carpetas compartidas ocultas.
Figura 10. Carpetas compartidas administrativas
Los miembros del grupo Administradores tienen, de manera predeterminada,
permiso de control total en las carpetas compartidas administrativas. No se
pueden modificar los permisos de las carpetas compartidas administrativas.
La siguiente tabla describe la finalidad de las carpetas compartidas
administrativas que ofrece automáticamente Windows Server 2008:
C$, D$, E$ Utilice estas carpetas compartidas para conectarse de forma
remota a un equipo y realizar tareas administrativas. La raíz de cada
partición (que tenga una letra de unidad asignada) del disco duro se
comparte automáticamente. Al conectarse a esta carpeta, tiene acceso a
toda la partición.
Admin$ Ésta es la carpeta raíz del sistema, que se encuentra de forma
predeterminada en C:\WINDOWS. Los administradores pueden obtener
acceso a esta carpeta compartida para administrar Windows Server
2003 sin necesidad de conocer en qué carpeta está instalada esta
aplicación.
Print$ Esta carpeta ofrece acceso a los archivos de controladores de
impresora de los equipos clientes. Al instalar la primera impresora
compartida, la carpeta ubicada en Systemroot\System32\Spool\Drivers
se comparte con el nombre Print$. Sólo los miembros de los grupos
Administradores, Operadores de servidor y Operadores de impresión
tienen permiso de control total para esta carpeta. El grupo Todos tiene
permiso de lectura para esta carpeta.
IPC$ IPC$ se utiliza durante la administración remota de un equipo y al
ver sus recursos compartidos.
Users.- Esta carpeta compartida se utiliza para almacenar los perfiles
de todos los usuarios que tengan cuenta en el equipo, que contienen la
siguiente información:
Figura 11. Archivos de perfil de usuarios
Para acceder a estas carpetas se escribe en la línea de comandos \\nombre
del servidor\nombre del recurso compartido. Ejemplo. \\servidor\users
En Windows Server 2008, los únicos grupos que pueden crear carpetas
compartidas son Administradores, Operadores de servidor y Usuarios
avanzados. Son grupos integrados ubicados en la carpeta Grupo de
Administración de equipos o en la carpeta integrada de Usuarios y grupos de
Directorio Activo.
Figura 12. Grupos que pueden compartir carpetas.
6.3.5. Procedimiento para compartir archivos y carpetas.
Puede compartir archivos y carpetas de diferentes maneras. La manera más
habitual de compartir archivos en Windows es compartirlos directamente
desde el equipo. Windows proporciona dos métodos para compartir archivos
de esta manera: puede compartir desde cualquier carpeta del equipo o desde
la carpeta pública (C:\users\public). El método que use depende de si se
desea almacenar las carpetas compartidas y cuanto control desea tener sobre
los archivos. Cualquier método le permite compartir archivos o carpetas con
alguien que use el equipo u otro equipo en la misma red.
Al compartir archivos, puede decidir quién podrá realizar cambios a los
archivos que comparte y qué tipo de cambios puede realizar en los mismos:
6.3.5.1. Método 1.
1. Clic derecho
en la carpeta
o archivos,
seleccionar
Compartir o
en la barra
de
herramientas
seleccione
2. Luego
seleccione el
usuario o
grupo y el
nivel de
permiso.
Si es solo de
lectura, o si
desea que
modifique
seleccione
Colaborador,
o
Copropietario
para que
tenga todos
los permisos.
También se
puede Quitar
los permisos.
3. Seleccione
Compartir,
con lo que se
presentara,
la pantalla
final, en la
misma se
puede
notificar por
correo al
usuario.
Finalmente se
debe
seleccionar
Listo
6.3.5.2. Método 2
1. Clic derecho en la
carpeta o archivo,
seleccione
Propiedades. Luego
seleccione la hoja
Compartir.
Si selecciona el
botón Compartir
llegamos al mismo
procedimiento
explicado en el
método 1.
Pulse el botón Uso
compartido
avanzado.
2. Marque la casilla
Compartir esta
carpeta, que
activara todas las
opciones.
Debe establecer el
límite de usuarios
simultáneos, caso
contrario dejar la
cantidad
por defecto.
Clic en el botón
Permisos.
Se puede L
seleccionar el botón
Cache donde se
establece si la
carpeta debe
copiarse en cache
para que esté
disponible cuando el
usuario se
desconecte de la
red.
3. Clic en el botón
Agregar y
seleccionar el
usuario o grupo.
Luego Permitir o
Denegar el permiso
que se desea
conceder.
Finalmente Aplicar,
Aceptar y Cerrar.
6.3.5.3. Método 3.
1. Seleccione de la
barra de
herramientas del
complemento
Recursos
compartidos de
Carpetas
Compartidos en el
Administrador de
equipos.
Se presentara un
asistente. Pulse en
Siguiente.
2. Clic en Examinar.
Seleccionar la
carpeta o crear una
nueva.
Fíjese que en la parte
superior le indica en
que equipo se está
creando la carpeta
compartida. Si se
desea crear en otro
equipo se debe
conectar a otro
equipo en el
Administrador de
Equipos.
Pulse en Siguiente
3. Escriba una
descripción del
propósito de crear la
carpeta compartida.
Si se desea
seleccione Cambiar,
para configurar el
comportamiento de la
carpeta sin conexión.
Pulse Siguiente.
4. Seleccione el tipo de
permiso que se
desea dar a la
carpeta compartida,
según se describe en
la ventana.
Si no hay opción que
se ajuste a los
requerimientos
seleccione en
Personalizar,(metodo
2).
Finalmente clic en
Finalizar
6.3.6. Carpetas Compartidas Publicadas.
Los recursos de publicación y las carpetas compartidas de Directorio Activo
permiten a los usuarios buscar en Directorio Activo recursos de la red, incluso
aunque cambie la ubicación física de los recursos.
Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los
accesos directos que señalan al objeto de Directorio Activo que representa a la
carpeta compartida publicada siguen funcionando, siempre que se actualice la
referencia a la ubicación física. No es necesario que los usuarios actualicen las
conexiones.
Puede publicar una carpeta compartida en Directorio Activo a la que se pueda
obtener acceso mediante un nombre UNC. Una vez publicada una carpeta
compartida, el usuario del equipo puede utilizar Directorio Activo para buscar el
objeto que representa a la carpeta compartida y conectarse a ésta.
Al publicar la carpeta compartida en Directorio Activo, ésta se convierte en un
objeto secundario de la cuenta de equipo. Para ver las carpetas compartidas
como objetos, haga clic en Usuarios, grupos y equipos como contenedores en
el menú Ver de Usuarios y equipos de Directorio Activo. A continuación, en el
árbol de la consola, haga clic en la cuenta de equipo. Verá, en el panel de
detalles, todas las carpetas compartidas publicadas que están asociadas a la
cuenta de equipo.
El procedimiento para publicar carpetas es:
1. Seleccionar en
Herramientas
Administrativas
Administrador de
Equipos.
Expanda carpetas
compartidas y
seleccione
Recursos
compartidos.
2. Seleccione el objeto
y clic derecho y
luego Propiedades.
En las propiedades
de la carpeta
seleccione Publicar.
3. Marque la casilla
Publicar este
recurso compartido
en Active Directory.
Escriba un
descripción si es
necesario y un
palabra clave que
ayude a las
búsquedas.
Finalmente pulse
Aplicar y Aceptar.
6.3.7. Permisos Efectivos.
Si se conceden permisos NTFS a una cuenta de usuario individual y a un grupo
al que pertenezca el usuario, se le conceden también varios permisos al
usuario. Existen reglas para determinar cómo NTFS puede combinar estos
permisos múltiples con el fin de producir los permisos efectivos del usuario.
Windows Server 2008 ofrece una herramienta que muestra los permisos
efectivos, es decir, los permisos acumulados basados en la pertenencia a un
grupo. La información se calcula a partir de las entradas de permisos existentes
y se muestra en formato de sólo lectura. Se accede mediante el Botón
Opciones Avanzadas de la Hoja Seguridad de las Propiedades del Objeto.
Luego seleccionamos Permisos Efectivos y seleccionamos el usuario o grupo.
Figura 13. Permisos efectivos
Los permisos efectivos tienen las siguientes características:
Los permisos acumulados son la combinación de los permisos NTFS de
más alto nivel concedidos al usuario y todos los grupos de los que el
usuario es miembro.
Los permisos de archivo NTFS tienen prioridad sobre los permisos de
carpeta.
Los permisos Denegar suplantan a todos los permisos.
Cada objeto, ya sea de un volumen NTFS o de Directorio Activo, tiene
un propietario. El propietario controla el modo en que se establecen los
permisos del objeto y a quién se conceden.
El propietario es de manera predeterminada el grupo Administradores. El
propietario puede cambiar en todo momento los permisos de un objeto,
incluso aunque se le haya denegado el acceso a este objeto.
Al permitir el acceso a los recursos de red de un volumen NTFS, es
recomendable utilizar los permisos NTFS más restrictivos para controlar
el acceso a las carpetas y los archivos, en combinación con los permisos
de carpeta compartida más restrictivos para controlar el acceso de red.
Al crear una carpeta compartida en una partición con formato NTFS, los
permisos de la carpeta compartida y los permisos NTFS se combinan
para proteger los recursos de archivo. Los permisos NTFS se aplican si
se tiene acceso al recurso de forma local o a través de la red.
Al conceder permisos de carpeta compartida en un volumen NTFS, se
aplican las siguientes reglas:
o Son necesarios permisos NTFS en volúmenes NTFS. El grupo
Todos tiene permiso de lectura de forma predeterminada.
o Los usuarios deben tener los permisos NTFS adecuados para
cada archivo y subcarpeta de una carpeta compartida, además de
los permisos de carpeta adecuados, para obtener acceso a estos
recursos.
o Al combinar estos dos tipos de permiso, el permiso resultante es
la combinación de los permisos de carpeta compartida y los
permisos NTFS más restrictivos.
6.4. Auditorias.
Después de configurar los permisos necesarios, siempre hay la posibilidad que
alguien intente ingresar o utilizar recursos que no le están permitidos. Por lo
que auditar es un procedimiento imprescindible especialmente en los recursos
críticos de la empresa.
Para auditar se debe seguir los siguientes pasos.
1. Habilitar las auditorias.
2. Configurar el objeto a auditar.
3. Visualizar el registro
6.4.1. Habilitar las auditorias.
Las auditorias normalmente están deshabilitadas, se debe habilitar solo si es
necesario, caso contrario se recarga al sistema y puede haber riesgo de
pérdida en el rendimiento. Se puede auditar lo siguiente:
Acceso a objetos
Acceso a servicios de directorio
Acceso a cambiar las directivas y derechos de usuario.
Inicio y cierre de sesiones.
Eventos del sistema.
Administración cuentas.
Los pasos para habilitar son:
1. En herramientas
administrativas
seleccione
Directiva de
seguridad local.
2. Seleccione
Directivas Locales
y luego Directiva
de Auditoria.
Y seleccione el
tipo de auditoria
que desee activar.
3. Luego seleccione
una opcion
Correcto para
indicar que grabe
un registro
cuando el acceso
al recurso tuvo
éxito. Erroneo
para que se grabe
un registro
cuando no hay
éxito en la
operación que se
intento realizar.
Finalmene pulse
Aceptar
6.4.2. Configurar el objeto auditar
En cada carpeta o archivo se debe indicar a que usuario o grupo se le debe
realizar el seguimiento, para lo cual se realiza los siguientes pasos:
1. Seleccione
Opciones
avanzadas en la
hoja Seguridad
de las
propiedades de
la carpeta o
archivo y luego
en la Hoja
Auditorias
seleccione Editar
y luego Agregar.
Seleccione el
usuario o grupo y
Aceptar.
2. Seleccione el
permiso que se
desee auditar,
tanto en Correcto
como Incorrecto,
y Luego 4 veces
clic en Aceptar.
6.4.3. Visualizar el registro.
Cada acción que realice el usuario o el grupo de usuarios son grabados en
registros, los mismos que se pueden obtener mediante el Visor de sucesos.
El Visor de sucesos nos permite obtener entre otros, los siguientes registros:
Seguridad.- Todo lo relacionado con registros de auditoria y ataques al
sistema.
Aplicación. Provenientes de los programas instalados.
Sistemas. Eventos del sistema operativo
Para revisar los eventos de auditorías, seguimos los siguientes pasos:
1. En herramientas
administrativas clic
Administrador de Equipos.
Luego se expande Visor
de eventos, luego
Registros de Windows y
Seguridad.
2. En esta ventana se podra
revisar cada uno de los
registros los mismos que
se pueden guardar o
copiar para posterior
analisis.
3. Al pulsar clic derecho en
el registro y luego copiar y
seleccionar copiar detalles
como texto.
Luego, pegar se obtiene
un informe como el que se
presenta.
Auditoría correcta 24/04/2011 16:05:40
Microsoft Windows security auditing. 5140
Recurso compartido de archivos
Nombre de registro:Security
Origen: Microsoft-Windows-Security-Auditing
Fecha: 24/04/2011 16:05:40
Id. del evento:5140
Categoría de la tarea:Recurso compartido de archivos
Nivel: Información
Palabras clave:Auditoría correcta
Usuario: jandrade
Equipo: SERVIDOR.FIE.COM
Descripción: Se tuvo acceso a un objeto de recurso
compartido de red.
Sujeto:
Id. de seguridad: FIE\WIN7$
Nombre de cuenta: WIN7$
Dominio de cuenta: FIE
Id. de inicio de sesión: 0xf2aad
Información de red:
Dirección de origen:
192.168.1.2
Puerto de origen: 49215
Capítulo 7. IMPRESORAS
7.1. Introducción
Las impresoras son recursos comunes compartidos por varios usuarios de la
red. El administrador de sistemas debe configurar una estrategia de impresión
para toda la red que satisfaga las necesidades de los usuarios. Para configurar
una red de impresoras eficiente, habrá que saber instalar y compartir
impresoras de red, y administrar los controladores y las ubicaciones de las
impresoras.
Los equipos cliente pueden tener acceso a una impresora en cuanto algún
administrador de sistemas la agregue a un servidor de impresión con Windows
Server 2008. Los servidores de impresión con Windows Server 2008 admiten
clientes como:
Clientes Microsoft. Todos los clientes con Windows de 32 y 64 bits y los
clientes con Microsoft
Clientes NetWare. Los clientes NetWare requieren que los Servicios de
archivos e impresoras para el servicio NetWare estén instalados en el
servidor de impresión que tiene Windows Server 2008. También
requieren que se instale el transporte compatible con Intercambio de
paquetes entre redes/Intercambio secuencial de paquetes (IPX/SPX,
Internet Packet Exchange/Sequenced Packet
Clientes Macintosh. Los clientes Macintosh requieren que los Servicios
de impresión para Macintosh estén instalados en el servidor de
impresión que tiene Windows Server 2008. También requieren que se
instale el transporte del protocolo de red AppleTalk en el servidor de
impresión de cada cliente.
Clientes UNIX. Los clientes UNIX requieren que los Servicios de
impresión para UNIX estén instalados en el servidor de impresión con
Windows Server 2008. Los clientes UNIX que admiten la especificación
Acceso remoto a impresoras en línea (LPR, Line Printer Remote) se
conectan a los servidores de impresión a través del servicio Demonio de
impresoras en línea (LPD, Line Printer Daemon).
Cliente que admite el Protocolo de impresión en Internet 1.0 (IPP,
Internet Printing Protocol). Todos los clientes que admiten IPP pueden
imprimir en un servidor de impresión con Windows Server 2008, para lo
que deben utilizar el Protocolo de transferencia de hipertexto (HTTP).
Primero hay que instalar Microsoft Internet Information Services (IIS) o
Servicios Web punto a punto (PWS, Peer Web Services) de Microsoft en
el equipo con Windows Server 2003.
Los equipos con Windows Server 2008 funcionan como servidores de
impresión. El equipo agrega la impresora y la comparte con los restantes
usuarios. Los equipos con Microsoft Windows XP o 7 Profesional también
pueden funcionar como servidores de impresión. Sin embargo, no admiten los
servicios de Macintosh ni de NetWare, y están limitados a 10 conexiones en
una sola red de área local (LAN, Local Área Network).
La impresión con servidor de impresión tiene las siguientes ventajas:
El servidor de impresión administra la configuración del controlador de la
impresora.
Aparece una sola cola de impresión en todos los equipos conectados a
la impresora, lo que permite que todos los usuarios vean dónde están
sus trabajos de impresión en relación con los restantes que están
esperando para imprimirse.
Dado que aparecen mensajes de error en todos los equipos, todo el
mundo conoce el estado real de la impresora.
Una parte del procesamiento pasa del equipo cliente al servidor de
impresión.
Se puede tener un solo registro para los administradores que deseen
auditar los sucesos de la impresora.