Tanto en
sistemas personales como en sistemas en red controlados por servicios de
directorio como LDAP o Active Directory bajo Windows Server, el control sobre
la seguridad de los objetos del sistema (archivos, carpetas, procesos, recursos
de red, recursos hardware, etc) se realiza mediante el control y asignación de
permisos.
Sobre el
sistema de archivos es posible establecer listas de control de acceso (ACL) que
de forma individual permita asignar permisos a un usuario, sin tener en cuenta
el grupo al que pertenece.
Windows:
Para
modificar la configuración de seguridad local iremos a Panel de Control/Herramientas administrativas /Directiva de seguridad
local. Podremos modificar Directiva
de auditoría, Asignación de derechos de usuario u Opciones de seguridad, en
el árbol de la consola haz clic en Directivas locales, estas directivas se
aplican a un equipo y contiene tres subconjuntos:
- Directiva de auditoría: Determina si los sucesos de seguridad se registran en el registro de seguridad del equipo. El registro de seguridad forma parte del visor de sucesos.
- Asignación de derechos de usuario: Determina que usuarios o grupos tienen derechos de inicio de sesión o privilegios en el equipo, entre otros:
- Ajustar cuotas de memoria para un proceso, permitir el inicio de sesión local, hacer copias de seguridad y restaurar archivos y directorios, generar auditorias de seguridad, o tomar posesión de archivos y otros objetos.
- Opciones de seguridad: Habilita o deshabilita la configuración de seguridad del equipo, como la firma de datos, nombres de las cuentas Administrador e Invitado, acceso a CD-ROM y unidades de disco, instalación de controladores y solicitudes de inicio de sesión.
Para tener un mayor control
sobre la configuración del nivel de acceso por parte de cada usuario a cada
recurso del sistema, como por ejemplo una carpeta, es necesario realizar la
configuración de ACL. En Windows es posible realizarla mediante el comando cacls
(obsoleto, hoy en día sería icacls).
.
Como sabemos, en un sistema
local las carpetas de usuario no son accesibles por otros usuarios del sistema.
En caso de querer que un usuario 1 de acceso de lectura, solo a
un usuario 2 a su carpeta Mis
Documentos/Música, podremos ejecutar con el usuario 1 en la consola de comandos: cacls (icacls) “Mis
Documentos\Música/t/t/
g Usuario2:R
Las
opciones principales son:
/t: modifica las ACL de los
archivos especificados en el directorio actual y subdirectorios.
/e: modifica en vez de
reemplazar la ACL.
g/: usuario: permisos R
(lectura), E (escritura), C (cambiar), F (control). Permite asignarlos (grant).
/p: permite reemplazar los existente o quitárselo todos con: N.
NOTA:
cacls está obsoleto.
UTILIZAREMOS Icacls.
No hay comentarios:
Publicar un comentario