lunes, 1 de diciembre de 2014

permisos

Unidad Tema 2

Definición de comunicación

El concepto de comunicación no es fácil de definir y con frecuencia se asume que todos tenemos  intuitivamente  la  idea  de  lo  que  es.  Para  las  personas  y  animales,  puede definirse como el intercambio de información entre individuos mediante un sistema común de símbolos, bien sea mediante lenguaje, signos o gestos. La definición anterior puede extenderse también a la comunicación entre máquinas, en cuyo caso los símbolos que representan la información deben reunir características especiales. La ingeniería de telecomunicación o ingeniería de comunicaciones es la rama de la ingeniería que se ocupa de la generación, transmisión, recepción y procesado de señales ya sea por medios eléctricos, electromagnéticos, electroacústicos, ópticos, etc., y los sistemas de telecomunicación son aquéllos que mediante el empleo de técnicas y dispositivos adecuados realizan el transporte de información entre una fuente y uno o más destinatarios finales.







Permisos de acceso a archivos y carpetas:

La  mayoría  de  los  sistema  de  archivos  modernos  permiten  asignar  permisos  (o derechos  de  acceso)  a  los  archivos  y  carpetas  para  determinados  usuarios  y  grupos  de usuarios. De esta manera, se puede restringir o permitir el acceso de un determinado usuario a un archivo para su visualización de contenidos, modificación y/o ejecución (en caso de un archivo ejecutable).

Cada contenedor y objeto de la red tiene asignada información de control de acceso. Esta información se denomina descriptor de seguridad y controla el tipo de acceso permitido a usuarios y grupos. Los permisos se definen en el descriptor de seguridad de un objeto. Se asocian o asignan a usuarios y grupos específicos.

Cuando se es miembro de un grupo de seguridad que está asociado a un objeto, se tiene cierta capacidad para administrar los permisos de ese objeto. En el caso de los objetos que se poseen, el control es total. Puede utilizar distintos métodos, como Servicios de dominio de Active Directory (AD DS), Directiva de grupo o listas de control de acceso, para administrar distintos tipos de objetos.


¿Qué son los permisos?

Cada contenedor y objeto de la red tiene información de control de acceso adjunta. Esta información se denomina descriptor de seguridad y controla el tipo de acceso permitido a usuarios y grupos. El descriptor de seguridad se crea automáticamente junto con el contenedor u objeto que se crea. Un ejemplo pico de objeto con un descriptor de seguridad es un archivo.

Los permisos se definen en el descriptor de seguridad de un objeto. Se asocian o asignan a usuarios y grupos específicos. Por ejemplo, para el archivo Temp.dat, el grupo de cuentas predefinidas de administrador podría tener asignados permisos para leer, escribir y eliminar, mientras que el grupo de operadores de copia de seguridad lo permisos para leer y escribir.

Cada asignación de permisos a un usuario o grupo se representa en el sistema como una entrada de control de acceso (ACE). Al conjunto completo de entradas de permiso de un descriptor de seguridad se le denomina conjunto de permisos o lista de control de acceso (ACL). De esta  forma, para un archivo denominado Temp.dat, el  conjunto de permisos

incluye dos entradas de permiso: una para el grupo de cuentas predefinidas de administrador y otra para el grupo de operadores de copia de seguridad.

Permisos explícitos y heredados:

Hay dos tipos de permisos: permisos expcitos y permisos heredados.

Los   permisos   explícitos   son   aquellos   que   se   establece d forma predeterminada en objetos que no son secundarios cuando se crea el objeto, o los que crea el usuario en objetos secundarios, primarios o que no son secundarios.
Los permisos heredados son los que se propagan a un objeto desde un objeto primario. Los permisos heredados facilitan la tarea de administrar permisos y aseguran su coherencia entre todos los objetos de un contenedor determinado.

De forma predeterminada, los objetos de un contenedor heredan los permisos desde ese contenedor cuando se crean los objetos. Por ejemplo, cuando crea la carpeta Mi carpeta, todas  las  subcarpetas  y  archivos  creados  en  la  carpeta  Mi  carpeta  heredan  de  forma automática los permisos de la carpeta. De esta manera, la carpeta Mi carpeta tiene permisos expcitos, mientras que las subcarpetas y los archivos heredan los permisos.


Con  los  permisos  NTFS  indicamos  que  usuarios  y  grupos  tienen  acceso  a determinados archivos y carpetas. Su principal cometido es dar seguridad a los datos almacenados en los dispositivos de almacenamiento.
Los permisos NTFS se instrumentan en unas marcas que se realizan en los ficheros y carpetas y que se traducen en una lista de control de acceso (ACL) para ese fichero o carpeta en cuestión. Cuando iniciamos el sistema operativo, el kernel lee estas marcas y aplica las restricciones. De esta afirmación se desprende que si hay acceso al sistema de ficheros y no se está ejecutando un sistema operativo que use esas marcas, se obtiene el control total de todos los ficheros y carpetas del medio. Un ejemplo de esta situación es el caso en el que se ejecuta un sistema operativo desde el CD que sea capaz de leer NTFS.
La moraleja de todo esto es que NTFS solo protege si el sistema operativo se está ejecutando. Si existe la posibilidad de acceso físico a los datos de un equipo la única manera de protegerlos es mediante el cifrado de los mismos.

Permisos NTFS:

Para administrar los permisos en una carpeta o fichero, accedemos a sus propiedades y a la pestaña seguridad, agregamos los grupos y los usuarios a la ACL y administramos sus permisos. Para una mayor granularidad en la aplicación de los permisos, podemos usar los permisos especiales con el botón avanzada.
Por defecto, cuando se crea un fichero o una carpeta hereda los atributos de seguridad de la carpeta inmediatamente superior. El problema está en que la más alta es el disco y este por  defecto  se  configurcon  permisos  para  el  grupo  todos  con  control  total.  Esta configuración debe ser cambiada a otra que incluya usuarios autentificados con permiso de modificar y solo el grupo administradores debe tener control total.

Los permisos son reglas asociadas a los objetos de un equipo o red, como archivos y carpetas. Los permisos determinan si se puede obtener acceso a un objeto y lo que se puede hacer con él. Por ejemplo, puede obtener acceso a un documento de una carpeta compartida de la red, pero lo puede leerlo, no modificarlo. Los administradores del sistema y los usuarios con cuentas de administrador pueden asignar permisos a usuarios individuales o a grupos.

Archivo. La ACL de los archivos incluye los siguientes permisos:
Lectura: Se puede leer el archivo y ver sus permisos, atributos y quién es su propietario.
Escritura: Es posible sobrescribir en el archivo. Ver al propietario y los permisos del archivo. Modificar sus atributos.
Lectura y Ejecución: Se pueden ejecutar aplicaciones.
Modificar: Se puede  modificar o  eliminar el  archivo, e  incluye los permisos Escribir, y Lectura y ejecución.

Control Total: Puedes tomar la propiedad y modificar los permisos, e incluye todos los permisos anteriores.

Carpeta. La ACL de las carpetas incluyen los siguientes permisos:

Lectura: Permite ver archivos y subcarpetas dentro de la carpeta, ver los permisos y atributos de carpeta y saber quién es el propietario.

Escritura: Permite crear archivos y subcarpetas en la carpeta, modificar atributos de carpeta, ver el propietario y los permisos.

Mostrar el Contenido de la Carpeta: Ver los nombre de archivos y subcarpetas en la carpeta.

Lectura y Ejecución: Te puedes mover o navegar por las carpetas para llegar a leer otros archivos y carpetas donde en principio no tendrías permisos, además incluye los permisos de Leer y Listar el contenido de la carpeta.


Modificar: Puedes eliminar la carpeta e incluye los permiso de Escribir y Lectura y ejecución.

Control Total: Puedes modificar los permisos, tomar la propiedad, eliminar subcarpetas y archivos, y además tienes todos los permisos anteriores.

Permisos especiales. Los permisos especiales permiten una mayor granularidad a la hora de aplicar restricciones. En realidad, lo permisos antes descritos son conjuntos de estos permisos.
La herencia de permisos. Los permisos heredados son los que se propagan a un objeto desde un objeto primario. Los permisos heredados facilitan la tarea de administrar  permisos  y  aseguran  su  coherencia  entre  todos  los  objetos  de  un contenedor determinado.Si las casillas de permisos Permitir y Denegar de las distintas partes de la interfaz de usuario de control de acceso están sombreadas cuando ve los permisos de un objeto, el objeto tendrá permisos heredados de un objeto primario. Puede configurar estos permisos heredados mediante la ficha Permisos de la página de propiedades Configuración de seguridad avanzada.


-Hay tres modos recomendados de realizar cambios en los permisos heredados:
Realice los cambios en el objeto primario donde los permisos se definen de forma expcita, y el objeto secundario heredará estos permisos.Seleccione el permiso Permitir para invalidar el permiso Denegar heredado. Desactive la casilla Incluir todos los permisos heredables del objeto primario de este objeto. A continuación, puede realizar cambios en los permisos o quitar usuarios o grupos de la lista Permisos. Sin embargo, el objeto ya no heredará los permisos del objeto principal.

Si la entrada Permisos especiales de Permisos de <usuario o grupo> aparece sombreada, no implica que este permiso se haya heredado. Significa que se ha seleccionado un permiso especial. En la ficha Permisos de la página Configuración de seguridad avanzada para
<carpeta>, en Entradas de permisos, en la columna Aplicar a se muestran las carpetas o subcarpetas a las que se aplica un permiso. En la columna Heredado de se muestra de dónde se han heredado los permisos.

Puede  utilizar  el  campo  Aplicar  en  de  la  página  Entrada  de  permiso  para
<Carpeta> para seleccionar las carpetas o subcarpetas a las que desea que se apliquen estos permisos.

Bloqueo de herencia desde la carpeta hija:

Los permisos se heredan desde la carpeta padre a las subcarpetas y archivos hijos, si bien este comportamiento se puede modificar. En la pestaña seguridad existe una opción  para  bloquear  la   herencia  entre  l carpeta  padr y  la   que  estamos administrando:.

Forzar la herencia desde la carpeta padre:

Si desde la pestaña seguridad hacemos clic en avanzada podemos modificar el comportamiento desde la carpeta padre para que obligue a todas sus hijas a heredar sus permisos:

A pesar de haber bloqueado la herencia en la carpeta hija, marcando esta opción en la carpeta padre sobrescribe la ACL de la carpeta hija.

Bloquear la herencia desde la carpeta padre:

Por último, para administrar un permiso en la carpeta padre y que este no se herede a las carpetas hijas configuradas para heredar, vamos a la pestaña en la que se administran los permisos especiales y marcamos la siguiente:

Así los permisos que apliquemos en esta ventana a la carpeta padre no se heredan a las carpetas hijas aunque estas estén configuradas para heredar. Es decir, bloqueamos la herencia desde la carpeta padre.

    Las Leyes de los permisos NTFS.

1.  Lo que no está expcitamente permitido, está impcitamente denegado.

2.  Los permisos NTFS se suman por pertenencia a grupos. Esto quiere decir que si por la pertenencia a un grupo tenemos permiso de lectura y por pertenencia a otro lo tenemos de escritura, se sumarán y obtendremos lectura y escritura.

3. Siempre prevalece denegar. Si una cuenta tiene privilegios de lectura por pertenencia a un grupo y de denegar leer por pertenencia a otro, prevalece denegar.  No  se  recomienda  usar  denegar  por  la  dificultad  que  entraña  el posterior rastreo de permisos.

4.  Prevalecen los permisos de fichero sobre los de carpeta: Si sobre una carpeta no tenemos permisos pero sobre un fichero que hay dentro de ella sí, podremos acceder a él usando file:// y la ruta al fichero desde ejecutar.

Tomar posesión. Por defecto el usuario que crea una carpeta o un fichero pertenece al grupo CREATOR OWNER de esa carpeta o fichero. Este grupo tiene permisos de control total sobre los recursos que crea. Puede ocurrir que un usuario administre la ACL  de  un  recurso,  deniegue  a  todos  los  usuarios  el  acceso  sea  necesario reestablecer los permisos. Un administrador siempre puede hacerse con la posesión de una carpeta o fichero del que no es propietario.

En la pestaña seguridad hacemos clic en avanzada y vamos a la pestaña propietario. En ella encontramos la lista de los usuarios y grupos que pueden hacerse con la posesión de la carpeta o fichero. Como se observa podemos elegir reemplazar también el propietario en las carpetas hijas y ficheros de la carpeta que estamos administrando.

Permisos de recurso compartido:

En un servidor de archivos, el acceso a una carpeta puede estar determinado por dos conjuntos de entradas de permisos: los permisos de recurso compartido definidos en una carpeta y los permisos NTFS definidos en la carpeta (que también se puede definir en los archivos). Los permisos de recurso compartido suelen utilizarse para administrar equipos con sistemas de archivos FAT32 u otros equipos que no utilizan el sistema de archivos NTFS.

Los permisos de recurso compartido y los permisos NTFS son independientes en el sentido  de  que  ninguno modifical  otro.  Los  permisos de  acceso  final  en  una  carpeta compartida se determinan teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS. Se aplicarán siempre los permisos más restrictivos.

Los permisos SHARE (compartir) se aplican cuando accedemos por red a una carpeta. Son más sencillos que los permisos NTFS y solo son tres: Control Total, Cambiar y Leer. Estos permisos se pueden aplicar incluso si no tenemos una partición NTFS en el sistema.

Los permisos SHARE se administran en las propiedades de la carpeta, en la pestaña compartir haciendo clic en permisos.

Al mezclar los permisos NTFS con los SHARE prevalece siempre el más restrictivo de los dos.

La lista de permisos posibles para gestionar el recurso compartido, ordenados de mayor a menor restricción, es la siguiente:

Sin acceso: No se han concedido permisos sobre el recurso.

Lectura: Los usuarios o grupos de usuarios con este permiso pueden:

o Examinar los nombres de archivos y subcarpetas.
o Acceder a las subcarpetas del recurso.
o Leer la información contenida en los archivos y sus atributos.
o Ejecutar programas.

Modificar: Los usuarios o grupos de usuarios tienen permiso de lectura y además pueden:

o Crear archivos y subcarpetas.
o Modificar archivos.
o Modificar los atributos de archivos y subcarpetas.
o Eliminar archivos y subcarpetas.

Control Total: Los usuarios o grupos de usuarios tienen permiso de lectura y modificación, a como las siguientes capacidades adicionales sobre volúmenes NTFS:

o Cambiar los permisos de archivos y carpetas.
o Tomar posesión de los archivos y carpetas.






O a través de la opción uso compartido avanzado, desde el botón correspondiente, el cual permitirá realizar una gestión más avanzada para la compartición del recurso.

La correcta administración de los permisos pasa por utilizar permisos más restrictivos en NTFS y más relajados en SHARE. Así conseguimos por red los mismos resultados, pero protegemos también localmente ante un eventual acceso local no autorizado.

En la siguiente tabla se proponen permisos equivalentes que un administrador puede conceder al grupo Usuarios para determinados tipos de carpetas compartidas. También se pueden establecer los permisos de recurso compartido en Control total para el grupo Todos y usar los permisos NTFS para restringir el acceso.

Permisos asociados a carpetas compartidas.



Consideraciones adicionales sobre el permiso de Control Total:

Conceder a un usuario el permiso NTFS Control total en una carpeta permite a ese usuario tomar posesión de la carpeta a menos que esté restringido de alguna forma. Tenga especial cuidado al conceder Control total.

Si desea administrar el acceso a carpetas exclusivamente mediante permisos NTFS, establezca los permisos de recurso compartido en Control total para el grupo Todos.

Los permisos NTFS influyen sobre el acceso tanto local como remoto. Se aplican con independencia del protocolo. Por el contrario, los permisos de recurso compartido lo se aplican a recursos compartidos de red. No restringen el acceso a ningún usuario local ni a ningún usuario de Terminal Server del equipo en el que tenga establecidos permisos de recurso compartido. Por lo tanto, no ofrecen privacidad entre usuarios de un equipo que utilizan varios usuarios, ni en un servidor de Terminal Server al que tienen acceso varios usuarios.

De forma predeterminada, el grupo Todos no incluye el grupo Anónimo, por lo quelos permisos que se aplican al grupo Todos no afectan al grupo Anónimo.





Permisos Efectivos:

Trataremos de resumir y aclarar algunos conceptos importantes en cuanto se refiere a la aplicación de permisos en ambiente Windows.

En esta ocasión no haremos una descripción detallada de cada uno y su uso, ya que esto se ha realizado con anterioridad, pero como para comprender su funcionamiento.
Dependiendo del tipo de acceso nos afectarán lo los de Seguridad, o ambos.


Permisos de Seguridad (NTFS):

Los permisos de Seguridad nos afectarán siempre, esto es, tanto cuando accedemos remotamente a un equipo, como cuando estamos trabajando localmente en el mismo.

Estos permisos residen en el sistema de archivos (File System) y son propios de las unidades con formato NTFS
Tienen varias ventajas, entre las que podemos citar:

Los podemos manejar individualmente por cada carpeta y archivo.Hay permisos standard” que son los de uso más común, y además hay permisos “avanzados. Los primeros son combinaciones ya hechas de los segundos. Cada permiso tiene la opción específica de Permitir o Denegar. Normalmente un usuario pertenece a varios grupos, y cada uno puede tener diferentes permisos sobre un recurso. Inclusive, aunque no recomendado, el propio usuario puede tener permisos. Entonces ¿Cuál es el permiso efectivo (final) de este usuario sobre ese archivo o carpeta?


El    permiso    efectivo    de    Seguridad,    es    la    combinación    de    todos    los permisos “Permitido”, salvo que los de “Denegar siempre prevalecen (ganan).


Por ejemplo, si de la pertenencia a un grupo tengo Permitir Lectura y de otro grupo Permitir      Escritura”,      el      permiso      efectivo      es      Lectura      +      Escritura”. Pero si por pertenencia a otro grupo obtengo algún Denegar”, éste será el efectivo. No tener permisos, implica que no se puede acceder, en cambio Denegar” siempre ganará a los Permitir”. No tener permisos no resta. ¿Qué sucede con los permisos cuando copiamos un archivo/carpeta? Cuando se copia, se genera un objeto nuevo, el original no se altera. La copia hereda los permisos de la carpeta que lo contiene. Tener en cuenta que la raíz de un disco, es una carpeta. ¿Qué sucede con los permisos cuando movemos un archivo/carpeta? Se pueden producir dos situaciones diferentes depende si se mueve en mismo disco, o entre discos diferentes. Si movemos un archivo/carpeta, dentro del mismo disco (partición o volumen), cambian los permisos heredados, pero se mantienen los permisos específicamente dados sobre el archivo/carpeta. En cambio, si movemos un archivo/carpeta, entre discos diferentes, lo hereda los nuevos permisos, Eso es así, porque el mover entre discos en realidad es copiar seguido de borrar el original.

    Permisos de Compartido (Share):

Los Permisos de Compartido, a diferencia de los anteriores, nos afectan únicamente cuando estamos accediendo remotamente (desde otro equipo). No tienen ningún efecto cuando estamos trabajando directamente sobre el equipo.

Se aplican únicamente a Carpetas, y será el mismo permiso para todo el contenido de dicha carpeta, y todos los archivos y subcarpetas contenidos en la primera. Además
debemos tener en cuenta, que no residen en el Sistema de Archivos, sino que están especificados en el Registro del sistema operativo Además podemos observar que son mucho más limitados” que los de Seguridad.

Igual que en el caso anterior, por pertenencia a grupos podemos recibir diferentes permisos por cada grupo, y análogamente al caso anterior:


El  permiso  efectivo  de  Compartido,  es  la  combinación  de  todos  los  permisos
Permitido”, salvo que los de “Denegar siempre prevalecen (ganan).


    Permisos Efectivos:

Resumiendo,  cuando  trabajamos  localmente,  nos  afectan  lo  los  permisos  de
Seguridad. Pero cuando lo hacemos remotamente nos afectan ambos.

Y en este caso ¿cuál va a ser el permiso efectivo (final)?



El permiso efectivo (final) va a resultar ser el más restrictivo entre los de Seguridad y los de Compartido.

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)