- Taylor Gibb
@taybgibb
- Actualizado el 28 de octubre de 2019, 8:49am EDT
¿Has intentado alguna vez averiguar todos los permisos de Windows? Hay permisos para compartir, permisos NTFS, listas de control de acceso, y más. Aquí es cómo todos ellos trabajan juntos.
El Identificador de Seguridad
Los sistemas operativos de Windows utilizan SIDs para representar todos los principios de seguridad. Los SIDs son sólo cadenas de longitud variable de caracteres alfanuméricos que representan máquinas, usuarios y grupos. Los SIDs se añaden a las ACLs (Listas de Control de Acceso) cada vez que se concede a un usuario o grupo permiso para un archivo o carpeta. Detrás de la escena, los SID se almacenan de la misma manera que todos los demás objetos de datos, en binario. Sin embargo, cuando vea un SID en Windows, se mostrará utilizando una sintaxis más legible. No es frecuente que veas cualquier forma de SID en Windows, el escenario más común es cuando concedes a alguien permiso para un recurso, luego su cuenta de usuario es eliminada, entonces aparecerá como un SID en la ACL. Así que vamos a echar un vistazo al formato típico en el que usted verá SIDs en Windows.
La notación que usted verá toma una cierta sintaxis, a continuación son las diferentes partes de un SID en esta notación.
- Un prefijo ‘S’
- Número de revisión de la estructura
- Un valor de autoridad del identificador de 48 bits
- Un número variable de valores de sub-autoridad o identificador relativo (RID) de 32 bits
Usando mi SID en la imagen de abajo vamos a desglosar las diferentes secciones para tener una mejor comprensión.
La estructura del SID:
‘S’ – El primer componente de un SID es siempre una ‘S’. Se antepone a todos los SID y está ahí para informar a Windows de que lo que sigue es un SID.
‘1’ – El segundo componente de un SID es el número de revisión de la especificación del SID, si la especificación del SID fuera a cambiar proporcionaría compatibilidad hacia atrás. A partir de Windows 7 y Server 2008 R2 la especificación del SID está todavía en la primera revisión.
‘5’ – La tercera sección de un SID se llama Autoridad de Identificación. Esto define en qué ámbito se generó el SID. Los valores posibles para esta sección del SID pueden ser:
- 0 – Autoridad nula
- 1 – Autoridad mundial
- 2 – Autoridad local
- 3 – Autoridad creadora
- 4 – Autoridad no única
- 5 – Autoridad NT
’21’ – El cuarto componente es la sub-autoridad 1, el valor ’21’ se utiliza en el cuarto campo para especificar que las sub-autoridades que siguen identifican la máquina local o el dominio.
‘1206375286-251249764-2214032401’ – Se denominan sub-autoridad 2,3 y 4 respectivamente. En nuestro ejemplo se utiliza para identificar la máquina local, pero también podría ser el identificador de un dominio.
‘1000’ – La sub-autoridad 5 es el último componente de nuestro SID y se llama RID (Relative Identifier), el RID es relativo a cada entidad de seguridad, tenga en cuenta que cualquier objeto definido por el usuario, los que no son enviados por Microsoft tendrán un RID de 1000 o más.
Principales de seguridad
Un principal de seguridad es cualquier cosa que tenga un SID asociado a él, estos pueden ser usuarios, ordenadores e incluso grupos. Los security principals pueden ser locales o estar en el contexto del dominio. Las entidades de seguridad locales se gestionan a través del complemento Usuarios y grupos locales, en la gestión de equipos. Para llegar allí haga clic con el botón derecho en el acceso directo del ordenador en el menú de inicio y elija administrar.
Para añadir un nuevo principal de seguridad de usuario puede ir a la carpeta de usuarios y hacer clic con el botón derecho y elegir nuevo usuario.
Si hace doble clic en un usuario puede añadirlo a un Grupo de Seguridad en la pestaña Miembro de.
Para crear un nuevo grupo de seguridad, vaya a la carpeta Grupos en el lado derecho. Haz clic con el botón derecho del ratón en el espacio en blanco y selecciona nuevo grupo.
Permisos para compartir y permisos NTFS
En Windows hay dos tipos de permisos para archivos y carpetas, por un lado están los Permisos para compartir y por otro los Permisos NTFS también llamados Permisos de seguridad. Ten en cuenta que cuando compartes una carpeta por defecto el grupo «Todos» recibe el permiso de lectura. La seguridad en las carpetas se hace normalmente con una combinación de permisos de Compartir y NTFS, si este es el caso, es esencial recordar que siempre se aplica el más restrictivo, por ejemplo, si el permiso de compartir se establece en Todos = Lectura (que es el valor predeterminado), pero el permiso NTFS permite a los usuarios hacer un cambio en el archivo, el permiso de Compartir tendrá preferencia y los usuarios no podrán hacer cambios. Cuando se establecen los permisos, el LSASS (Local Security Authority) controla el acceso al recurso. Cuando usted ingresa se le da un token de acceso con su SID en él, cuando usted va a acceder al recurso el LSASS compara el SID que usted agregó a la ACL (Lista de Control de Acceso) y si el SID está en la ACL determina si permite o niega el acceso. No importa qué permisos utilices, hay diferencias, así que vamos a echar un vistazo para entender mejor cuándo debemos utilizar qué.
Permisos para compartir:
- Sólo se aplican a los usuarios que acceden al recurso a través de la red. No se aplican si se accede localmente, por ejemplo a través de servicios de terminal.
- Se aplica a todos los archivos y carpetas del recurso compartido. Si desea proporcionar un tipo de esquema de restricción más granular, debe utilizar Permisos NTFS además de los permisos compartidos
- Si tiene algún volumen con formato FAT o FAT32, ésta será la única forma de restricción disponible para usted, ya que los Permisos NTFS no están disponibles en esos sistemas de archivos.
Permisos NTFS:
- La única restricción de los permisos NTFS es que sólo pueden establecerse en un volumen que esté formateado en el sistema de archivos NTFS
- Recuerde que los NTFS son acumulativos, lo que significa que los permisos efectivos de un usuario son el resultado de la combinación de los permisos asignados al usuario y los permisos de cualquier grupo al que pertenezca.
Los nuevos permisos para compartir
Windows 7 trajo consigo una nueva técnica «fácil» para compartir. Las opciones cambiaron de Lectura, Cambio y Control total a. Leer y Leer/Escribir. La idea era parte de la mentalidad de todo el grupo de Inicio y hace que sea fácil compartir una carpeta para las personas que no tienen conocimientos de informática. Esto se hace a través del menú contextual y comparte con su grupo de casa fácilmente.
Si usted quería compartir con alguien que no está en el grupo de casa siempre se puede elegir la opción «Personas específicas…». Lo que haría aparecer un diálogo más «elaborado». Donde podría especificar un usuario o grupo específico.
Sólo hay dos permisos como se mencionó anteriormente, juntos ofrecen un esquema de protección de todo o nada para sus carpetas y archivos.
- El permiso de lectura es la opción «mira, no toques». Los destinatarios pueden abrir, pero no modificar o eliminar un archivo.
- Lectura/Escritura es la opción de «hacer cualquier cosa». Los destinatarios pueden abrir, modificar o borrar un archivo.
La forma de la vieja escuela
El antiguo diálogo de compartir tenía más opciones y nos daba la opción de compartir la carpeta bajo un alias diferente, nos permitía limitar el número de conexiones simultáneas, así como configurar la caché. Ninguna de estas funcionalidades se ha perdido en Windows 7, sino que están ocultas bajo una opción llamada «Uso compartido avanzado». Si hacemos clic con el botón derecho del ratón sobre una carpeta y vamos a sus propiedades podemos encontrar estos ajustes de «Uso compartido avanzado» bajo la pestaña de uso compartido.
Si hacemos clic en el botón «Uso compartido avanzado», que requiere credenciales de administrador local, podemos configurar todos los ajustes que ya conocíamos en versiones anteriores de Windows.
Si haces clic en el botón de permisos te aparecerán las 3 configuraciones que todos conocemos.
- El permiso de lectura permite ver y abrir archivos y subdirectorios, así como ejecutar aplicaciones. Sin embargo, no permite realizar ningún cambio.
- El permiso de Modificación permite hacer todo lo que permite el permiso de Lectura, además de añadir la posibilidad de añadir archivos y subdirectorios, eliminar subcarpetas y cambiar los datos de los archivos.
- El Control Completo es el «haz todo» de los permisos clásicos, ya que permite realizar todos y cada uno de los permisos anteriores. Además, le da el cambio avanzado de permisos NTFS, esto sólo se aplica en carpetas NTFS
Permisos NTFS
Permisos NTFS permiten un control muy granular sobre sus archivos y carpetas. Dicho esto, la cantidad de granularidad puede ser desalentadora para un recién llegado. También puede establecer el permiso NTFS por archivo, así como por carpeta. Para establecer los permisos NTFS en un archivo, haga clic con el botón derecho del ratón y vaya a las propiedades de los archivos, donde tendrá que ir a la pestaña de seguridad.
Para editar los permisos NTFS de un usuario o grupo, haga clic en el botón de edición.
Como puede ver, hay una gran cantidad de permisos NTFS, así que vamos a desglosarlos. En primer lugar vamos a echar un vistazo a los permisos NTFS que puede establecer en un archivo.
- El control total le permite leer, escribir, modificar, ejecutar, cambiar los atributos, los permisos, y tomar la propiedad del archivo.
- Modificar le permite leer, escribir, modificar, ejecutar y cambiar los atributos del archivo.
- Leer & Ejecutar le permitirá mostrar los datos del archivo, los atributos, el propietario y los permisos, y ejecutar el archivo si es un programa.
- Leer le permitirá abrir el archivo, ver sus atributos, propietario y permisos.
- Escribir le permitirá escribir datos en el archivo, anexar al archivo y leer o cambiar sus atributos.
NTFS Los permisos para las carpetas tienen opciones ligeramente diferentes, así que vamos a echarles un vistazo.
- El control total le permite leer, escribir, modificar y ejecutar archivos en la carpeta, cambiar los atributos, los permisos y tomar la propiedad de la carpeta o los archivos que contiene.
- Modificar le permite leer, escribir, modificar y ejecutar archivos en la carpeta, y cambiar los atributos de la carpeta o archivos dentro.
- Leer & Ejecutar le permitirá mostrar el contenido de la carpeta y mostrar los datos, atributos, propietario y permisos de los archivos dentro de la carpeta, y ejecutar los archivos dentro de la carpeta.
- Listar el contenido de la carpeta le permitirá mostrar el contenido de la carpeta y mostrar los datos, atributos, propietario y permisos de los archivos dentro de la carpeta.
- Leer le permitirá mostrar los datos, los atributos, el propietario y los permisos del archivo.
- Escribir le permitirá escribir datos en el archivo, anexar al archivo y leer o cambiar sus atributos.
La documentación de Microsoft también indica que «Listar el contenido de la carpeta» le permitirá ejecutar archivos dentro de la carpeta, pero todavía tendrá que habilitar «Leer & Ejecutar» para hacerlo. Es un permiso documentado de forma muy confusa.
Resumen
En resumen, los nombres de usuario y los grupos son representaciones de una cadena alfanumérica llamada SID (Identificador de Seguridad), los Permisos de Compartir y NTFS están ligados a estos SIDs. Los permisos para compartir son comprobados por el LSSAS sólo cuando se accede a través de la red, mientras que los permisos NTFS sólo son válidos en las máquinas locales. Espero que todos ustedes tengan una buena comprensión de cómo se implementa la seguridad de archivos y carpetas en Windows 7. Si tienen alguna pregunta, no duden en expresarla en los comentarios.
Taylor Gibb es un desarrollador de software profesional con casi una década de experiencia. Fue director regional de Microsoft en Sudáfrica durante dos años y ha recibido varios premios MVP (Most Valued Professional) de Microsoft. Actualmente trabaja en R&D en Derivco International.Read Full Bio »