Omitir la comprobación de recorrido ¿ agujero de seguridad ?

Hoy vamos hacernos una práctica:

La práctica consiste en dejar permisos por ahí perdidos en ficheros o carpetas de niveles inferiores que no tienen los superiores, es decir los directorios padres. Por ejemplo por haber jugado con las herencias en las carpetas.

-Desde un usuario administrador creamos en el raíz del volumen una carpeta llamada datos y le damos permisos a un usuario (podría ser a un grupo entero) lola de lectura y escritura.

Lola es un usuario estándar o autenticado en el dominio.

Tener cuidado con la herencia al crear la carpeta del volumen donde lo hagáis, ya que por defecto lo más seguro es que tengáis al grupo “Todos” dentro de la pestaña de seguridad, por lo que es lo primero a eliminar, pretendemos que solo lola herede al resto de carpetas que crearemos dentro. Echándole imaginación sería lo mismo que si pretendemos poder que todos los usuarios puedan entrar a ver datos, pero solo los administradores en admin, que lo crearemos a continuación.


-Dentro de datos creamos dos carpetas llamadas secretos y ficherosCSV_Ficheros.

-Dentro de secretos creamos una carpeta llamada admin.

-Dentro de admin creamos un fichero que se llame claves.txt, lo editamos y escribimos mi clave. (aquí va tener acceso lola ya que fue heredando desde datos)

-Después a la carpeta secretos le quitamos los permisos de lectura y escritura a lola pero quitando la herencia, sino no va dejar además necesitamos que secretos siga albergando a lola. A esto se puede llegar de distintas maneras, pero así es una forma rápida para llegar a entender lo que queremos demostrar.

-Si nos logamos como lola debería impedir entrar en admin, por lo tanto no podemos bajar más en el nivel de carpetas.



Sin embargo si entramos escribiendo la ruta completa del fichero porque la sepa el usuario, por ejemplo desde línea de comandos y usando el comando notepad.exe, vamos a poder abrir claves.txt

-Ojo con los usuarios heredados del volumen al hacer la carpeta padre.


Y se nos abrirá el fichero aun no teniendo permisos en una carpeta padre.

Se puede evitar con la GPO Omitir la comprobación de recorrido -> si activamos esta GPO si no tenemos permisos sobre una carpeta padre no podemos acceder al fichero, esto por supuesto afecta al grupo “Todos” y puede ser un problema por ejemplo en casos de aplicaciones de empresa o servidores Web, en donde tienes que tener acceso a la carpeta que te muestra la web pero no a las superiores. Ejemplo: \inetpu\recursos\miweb\index.hmtl

La gpo está un poco escondida:


Saludos …

Publicado el febrero 5, 2013 en Microsoft y etiquetado en , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: