RESUMEN DE TEMA 2 ASO
En Windows 2003 tanto como en todos los sistemas operativos, un usuario es cada persona que puede entrar al ordenador (sistema). La información que tiene el sistema de cada usuario se almacena cuentas de usuarios distintos. Algunos de los datos de más relevancia son los siguientes:
- Nombre completo: indica el nombre de usuario
- Contraseña: indica la contraseña con la que tiene que autentificarse
- Directorio de conexión: lugar donde se guardan los datos del usuario.
- Horas de conexión: indica el horario donde de conexión de usuario (hora de inicio y fin)
- Activada: indica si la cuenta está activa
- SID: es una especie de identificador por cada usuario que el sistema crea cuando se crea un nuevo usuario.
Este SID servirá mas tarde para ver los privilegios y permisos de los usuarios en los movimientos que vaya a realizar.
También se encuentran usuarios dentro del sistema, como el administrador y el invitado que son 2 tipos de “usuarios imborrables” que siempre tienen que estar en el ordenador.
La cuenta de administrador o root se utiliza para manejar prácticamente todo, es decir, privilegios sobre todo el sistema, usuarios, grupos, directivas, dominios, carpetas, lugares… Dicha cuenta no podrá ser ni borrada, ni modificada (a no ser que sea por dicho usuario)
Después también están los grupos de usuarios que sirven para agrupar un cierto numero de usuarios del sistema, establecer permisos y bloqueos a ciertos lugares y accesos del sistema.
Las cuentas de grupos también tienen su propio identificador (SID), posee permisos para los usuarios que contiene y bloqueos a dichos usuarios.
Lo correcto sería asociar los permisos con los grupos y no con los usuarios, puesto que de esta forma es mas seguro. Al igual que el usuario administrador y el invitado, el sistema también ofrece varios grupos por defecto.
Windows 2003 define dos conceptos distintos y complementarios:
el derecho o privilegio de usuario es un atributo de un usuario o de un grupo que le permite realizar una accion que afecta al sistema en su conjunto. Existe un conjunto fijo y predefinido de derechos en Windows 2003. Para determinar qué usuarios poseen qué derechos, cada derecho posee una lista donde se especifican los grupos/usuarios que tienen concedido este derecho. Un permiso es una característica de cada recurso, carpeta, o movimiento del sistema, que concede o deniega el acceso al mismo a un usuario o grupo concreto.
Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows 2003,el sistema construye para él una acreditación denominada Security Access Token o SAT.
El SAT almacena los siguientes atributos:
- SID del usuario
- SID de sus grupos
- Derechos del usuario
Windows 2003 distingue entre dos tipos de derechos:
- Derechos de conexión: Los derechos de conexión primeros contienen las formas en que un usuario puede conectarse al sistema
- Privilegios: movimientos o recursos que puede realizar un usuario cuando ya está dentro del sistema
En caso de error, o problema entre el que concede o deniega un permiso, y lo que concede o deniega un derecho, el que mas valor posee es el del derecho.
En Windows 2003, los derechos son un tipo de directivas de seguridad , donde dentro de estas directivas se indican los permisos y denegaciones a los usuarios.
Algunos de los apartados que se pueden controlar por medio de las directivas son:
- Las cuentas de usuarios
- Directivas locales
- Claves públicas
- Cada carpeta o archivo poseen los siguientes atributos de protección
- SID del propietario
- Lista de control de acceso de protección
- Lista de control de acceso de seguridad
Para mas información aquí dejo una dirección referente a este tema:
Juan A. Rodriguez de la Rosa
2ºASIR
No hay comentarios:
Publicar un comentario