Entender permisos NTFS de Windows – 4

Permitir contra Denegar permisos

Al establecer los permisos, es necesario especificar si la entrada debe tener acceso (Permitir) o no (deny) al recurso. La autoridad de seguridad local (LSASS) controla el acceso al recurso, basado en el identificador de seguridad (SID) que se coloca en la ACL y el SID colocado en el token de seguridad que se le da al usuario al iniciar sesión.

Si el SID asociado con el usuario se encuentra en la ACL, el LSASS debe determinar si el acceso está configurado para permitir o denegar. El permitir y denegar permisos posteriormente se heredan a través de la estructura como se describe anteriormente en la sección sobre la herencia.

Recibirás las advertencias desde el editor de ACL cuando creas entradas denegadas, como se muestra en la Figura4:

Figura 4: Denegar las entradas de la ACL hacen que el sistema nos muestre una advertencia sobre el acceso limitado que estamos proporcionando.

No es común configurar recursos con permisos Denegados, debido a la naturaleza de cómo se evalúan los permisos. Es más común de excluir al usuario o grupo de la ACL en lugar de configurar que tengan permisos Denegados explícitos. El hecho de que el SID del usuario o el grupo no esté en la ACL tendrá el mismo resultado de «Sin acceso» al recurso.

En el raro caso de que a un usuario o grupo se le deba denegar el acceso de forma explícita, nosotros deberemos configurar los permisos de denegación. Denegar acceso a los recursos mediante una ACL, por omisión es más fácil de solucionar, gestionar y configurar.

Permiso de precedencia

Oigo todo el tiempo de los administradores de red, profesores o estudiantes (incluso el cuadro de diálogo en la Figura 4) que denegar los permisos tienen prioridad sobre los permisos, yo mismo lo digo por regla general, pero desafortunadamente no es siempre así.

Para probar lo que digo, echemos un vistazo a un escenario que podéis realizar a la ver que lees estas líneas.

En nuestro escenario, vamos a ver una carpeta C:\Datos\HR, que contiene los archivos públicos y privados. Hemos permitido que el directorio C:\Datos\HR herede los permisos de C:\Datos, que incluye sólo permisos básicos de la carpeta raíz. También hemos incluido el grupo de HR en la ACL, dándole al grupo permisos Permitir Leer y ejecutar. La última entrada en la ACL explícita es para el grupo no_HR, que se da Denegar Control total.

Por debajo de la carpeta de recursos humanos colocamos dos archivos: Public.doc y Private.doc. El permiso de la carpeta pública sólo permite permisos normales de herencia, así que no hay permisos especiales añadidos a la ACL. Sin embargo, el archivo privado tiene algunos permisos explícitos agregados a la ACL. Desde el grupo executives debe ser capaces de leer el contenido de la carpeta privada, este grupo se le añaden permisos explícitos de permitir lectura y ejecución. El resultado de esta configuración se muestra en la Figura 5, muestra claramente que permitir (allow) para el grupo ejecutivo tiene una prioridad más alta que el permiso Denegar asociado con el grupo de non-HR. Dado que todos los ejecutivos se incluye en ambos grupos, se puede ver que aquí un caso en el que los permisos de ALLOW tienen prioridad sobre los permisos de DENY. Os recuerdo que estas ACL como en cisco se hacen de arriba abajo.

Figura 5: Los permisos Permitir pueden tener prioridad sobre los permisos de denegación.

El escenario demuestra que hay una jerarquía de permisos NTFS para los recursos 5.0. La jerarquía de precedencia de los permisos se pueden resumir de la siguiente manera, con los permisos de nivel superior de prioridad que figuran en la parte superior de la lista:

Denegar explícitos
Permitir explícitos
Denegar heredados
Permitir heredados

 

Effective Permissions, permisos efectivos

En la ficha Permisos efectivos de la configuración de seguridad avanzada para un archivo o carpeta, puede seleccionar un usuario o grupo y ver los permisos efectivos. Estos son los resultados de los permisos asignados directamente al archivo o carpeta y los permisos heredados de las carpetas principales.

Como habíamos comentado en post anteriores los permisos van sumándose.

Anuncio publicitario