Cómo entender esos confusos permisos de archivos / recursos compartidos de Windows 7

¿Alguna vez ha intentado averiguar todos los permisos en Windows? Hay permisos para compartir, permisos NTFS, listas de control de acceso y más. Así es como funcionan todos juntos.

El identificador de seguridad

Los sistemas operativos Windows utilizan SID para representar todos los principales de seguridad. Los SID son simplemente cadenas de caracteres alfanuméricos de longitud variable que representan máquinas, usuarios y grupos. Los SID se agregan a las ACL (listas de control de acceso) cada vez que otorga permiso a un usuario o grupo sobre un archivo o carpeta. Detrás de la escena, los SID se almacenan de la misma manera que todos los demás objetos de datos, en binario. Sin embargo, cuando vea un SID en Windows, se mostrará con una sintaxis más legible. No es frecuente que vea algún tipo de SID en Windows, el escenario más común es cuando le otorga a alguien permiso para un recurso, luego se elimina su cuenta de usuario, luego aparecerá como un SID en la ACL. Así que echemos un vistazo al formato típico en el que verá los SID en Windows.

La notación que verá tiene una sintaxis determinada, a continuación se muestran las diferentes partes de un SID en esta notación.

  1. Un prefijo ‘S’
  2. Número de revisión de estructura
  3. Un valor de autoridad de identificador de 48 bits
  4. Un número variable de valores de identificador relativo o subautoridad de 32 bits (RID)

Usando mi SID en la imagen a continuación, dividiremos las diferentes secciones para comprender mejor.

La estructura de SID:

‘S’ : el primer componente de un SID es siempre una ‘S’. Esto tiene como prefijo a todos los SID y está ahí para informar a Windows que lo que sigue es un SID.
‘1’ : el segundo componente de un SID es el número de revisión de la especificación del SID, si la especificación del SID cambiara, proporcionaría compatibilidad con versiones anteriores. A partir de Windows 7 y Server 2008 R2, la especificación SID aún se encuentra en la primera revisión.
‘5’ : la tercera sección de un SID se denomina Autoridad de identificación. Esto define en qué alcance se generó el SID. Los valores posibles para estas secciones del SID pueden ser:

  1. 0 – Autoridad nula
  2. 1 – Autoridad mundial
  3. 2 – Autoridad local
  4. 3 – Autoridad creadora
  5. 4 – Autoridad no única
  6. 5 – Autoridad del NT

’21’ : el cuarto componente es la subautoridad 1, el valor ’21’ se utiliza en el cuarto campo para especificar que las subautoridades que siguen identifican la máquina local o el dominio.
‘1206375286-251249764-2214032401’ : se denominan subautoridades 2, 3 y 4, respectivamente. En nuestro ejemplo, esto se usa para identificar la máquina local, pero también podría ser el identificador de un dominio.
‘1000’ : la subautoridad 5 es el último componente de nuestro SID y se denomina RID (Identificador relativo), el RID es relativo a cada principal de seguridad, tenga en cuenta que cualquier objeto definido por el usuario, los que no son enviados por Microsoft tendrá un RID de 1000 o más.

Principios de seguridad

Una entidad de seguridad es cualquier cosa que tenga un SID adjunto, estos pueden ser usuarios, computadoras e incluso grupos. Los principales de seguridad pueden ser locales o estar en el contexto del dominio. Las entidades de seguridad locales se administran a través del complemento Usuarios y grupos locales, en la administración de equipos. Para llegar allí, haga clic derecho en el acceso directo de la computadora en el menú de inicio y seleccione administrar.

Para agregar un nuevo principal de seguridad de usuario, puede ir a la carpeta de usuarios, hacer clic derecho y elegir un nuevo usuario.

Si hace doble clic en un usuario, puede agregarlo a un grupo de seguridad en la pestaña Miembro de.

Para crear un nuevo grupo de seguridad, navegue hasta la carpeta Grupos en el lado derecho. Haga clic derecho en el espacio en blanco y seleccione un nuevo grupo.

Compartir permisos y permisos NTFS

En Windows hay dos tipos de permisos de archivos y carpetas, en primer lugar están los permisos para compartir y en segundo lugar están los permisos NTFS también llamados permisos de seguridad. Tenga en cuenta que cuando comparte una carpeta de forma predeterminada, el grupo «Todos» recibe el permiso de lectura. La seguridad en las carpetas generalmente se realiza con una combinación de Compartir y Permiso NTFS, si este es el caso, es esencial recordar que siempre se aplica el más restrictivo, por ejemplo, si el permiso para compartir se establece en Todos = Leer (que es el predeterminado), pero el permiso NTFS permite a los usuarios realizar cambios en el archivo, el permiso para compartir tendrá preferencia y los usuarios no podrán realizar cambios. Cuando establece los permisos, la LSASS (Autoridad de seguridad local) controla el acceso al recurso. Cuando inicia sesión, se le otorga un token de acceso con su SID, cuando accede al recurso, el LSASS compara el SID que agregó a la ACL (Lista de control de acceso) y si el SID está en la ACL, determina si permite o denega el acceso. No importa qué permisos use, hay diferencias, así que echemos un vistazo para comprender mejor cuándo debemos usar qué.

Compartir permisos:

  1. Solo se aplica a los usuarios que acceden al recurso a través de la red. No se aplican si inicia sesión localmente, por ejemplo, a través de servicios de terminal.
  2. Se aplica a todos los archivos y carpetas del recurso compartido. Si desea proporcionar un tipo de esquema de restricción más granular, debe usar el permiso NTFS además de los permisos compartidos
  3. Si tiene volúmenes formateados FAT o FAT32, esta será la única forma de restricción disponible para usted, ya que los permisos NTFS no están disponibles en esos sistemas de archivos.

Permisos NTFS:

  1. La única restricción de los permisos NTFS es que solo se pueden configurar en un volumen formateado con el sistema de archivos NTFS.
  2. Recuerde que los NTFS son acumulativos, lo que significa que los permisos efectivos de un usuario son el resultado de combinar los permisos asignados al usuario y los permisos de cualquier grupo al que pertenezca.

Los nuevos permisos para compartir

Windows 7 compró una nueva técnica de compartir «fácil». Las opciones cambiaron de Leer, Cambiar y Control total a. Leer y leer / escribir. La idea formaba parte de la mentalidad de grupo de Home y facilita compartir una carpeta para personas sin conocimientos de informática. Esto se hace a través del menú contextual y se comparte fácilmente con su grupo base.

Si desea compartir con alguien que no está en el grupo base, siempre puede elegir la opción «Personas específicas …». Lo que daría lugar a un diálogo más «elaborado». Donde podría especificar un usuario o grupo específico.

Solo hay dos permisos como se mencionó anteriormente, juntos ofrecen un esquema de protección de todo o nada para sus carpetas y archivos.

  1. El permiso de lectura es la opción «mirar, no tocar». Los destinatarios pueden abrir, pero no modificar ni eliminar un archivo.
  2. Leer / Escribir es la opción «hacer cualquier cosa». Los destinatarios pueden abrir, modificar o eliminar un archivo.

El camino de la vieja escuela

El antiguo diálogo de compartir tenía más opciones y nos dio la opción de compartir la carpeta con un alias diferente, nos permitió limitar la cantidad de conexiones simultáneas y configurar el almacenamiento en caché. Ninguna de estas funciones se pierde en Windows 7, sino que está oculta bajo una opción llamada «Uso compartido avanzado». Si hace clic con el botón derecho en una carpeta y va a sus propiedades, puede encontrar estas configuraciones de «Uso compartido avanzado» en la pestaña Compartir.

Si hace clic en el botón «Uso compartido avanzado», que requiere credenciales de administrador local, puede configurar todos los ajustes con los que estaba familiarizado en versiones anteriores de Windows.

Si hace clic en el botón de permisos, se le presentarán las 3 configuraciones con las que todos estamos familiarizados.

  1. El permiso de lectura le permite ver y abrir archivos y subdirectorios, así como ejecutar aplicaciones. Sin embargo, no permite realizar cambios.
  2. El permiso de modificación le permite hacer cualquier cosa que permita el permiso de lectura , también agrega la capacidad de agregar archivos y subdirectorios, eliminar subcarpetas y cambiar datos en los archivos.
  3. Control total es el «hacer cualquier cosa» de los permisos clásicos, ya que le permite hacer todos y cada uno de los permisos anteriores. Además, le brinda el permiso NTFS de cambio avanzado, esto solo se aplica a las carpetas NTFS

Permisos NTFS

El permiso NTFS permite un control muy granular sobre sus archivos y carpetas. Dicho esto, la granularidad puede resultar abrumadora para un recién llegado. También puede establecer permisos NTFS por archivo y por carpeta. Para establecer el permiso NTFS en un archivo, debe hacer clic con el botón derecho del ratón y dirigirse a las propiedades del archivo, donde deberá ir a la pestaña de seguridad.

Para editar los permisos NTFS para un usuario o grupo, haga clic en el botón editar.

Como puede ver, hay bastantes permisos NTFS, así que vamos a desglosarlos. Primero, echaremos un vistazo a los permisos NTFS que puede establecer en un archivo.

  1. Control total le permite leer, escribir, modificar, ejecutar, cambiar atributos, permisos y tomar posesión del archivo.
  2. Modificar le permite leer, escribir, modificar, ejecutar y cambiar los atributos del archivo.
  3. Leer y ejecutar le permitirá mostrar los datos, atributos, propietario y permisos del archivo, y ejecutar el archivo si es un programa.
  4. Leer le permitirá abrir el archivo, ver sus atributos, propietario y permisos.
  5. Escribir le permitirá escribir datos en el archivo, agregarlos al archivo y leer o cambiar sus atributos.

Los permisos NTFS para carpetas tienen opciones ligeramente diferentes, así que echemos un vistazo.

  1. Control total le permite leer, escribir, modificar y ejecutar archivos en la carpeta, cambiar atributos, permisos y tomar posesión de la carpeta o archivos dentro.
  2. Modificar le permite leer, escribir, modificar y ejecutar archivos en la carpeta y cambiar los atributos de la carpeta o archivos dentro.
  3. Leer y ejecutar le permitirá mostrar el contenido de la carpeta y mostrar los datos, atributos, propietario y permisos de los archivos dentro de la carpeta, y ejecutar archivos dentro de la carpeta.
  4. Enumerar el contenido de la carpeta le permitirá mostrar el contenido de la carpeta y mostrar los datos, atributos, propietario y permisos de los archivos dentro de la carpeta.
  5. Leer le permitirá mostrar los datos, atributos, propietario y permisos del archivo.
  6. Escribir le permitirá escribir datos en el archivo, agregarlos al archivo y leer o cambiar sus atributos.

La documentación de Microsoft también establece que «Listar el contenido de la carpeta» le permitirá ejecutar archivos dentro de la carpeta, pero aún necesitará habilitar «Leer y ejecutar» para hacerlo. Es un permiso documentado de manera muy confusa.

Resumen

En resumen, los nombres de usuario y los grupos son representaciones de una cadena alfanumérica llamada SID (Identificador de seguridad), los permisos de recurso compartido y NTFS están vinculados a estos SID. El LSSAS verifica los permisos para compartir solo cuando se accede a ellos a través de la red, mientras que los permisos NTFS solo son válidos en las máquinas locales. Espero que todos comprendan bien cómo se implementa la seguridad de archivos y carpetas en Windows 7. Si tiene alguna pregunta, no dude en comentarla en los comentarios.

responroot

Entradas recientes

Steamlytics: La nueva herramienta imprescindible para los gamers de Steam

  El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…

1 año hace

Cuándo reemplazar su antigua unidad flash USB

Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…

2 años hace

¿Qué es una pantalla Nano IPS?

LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…

2 años hace

10 formas de jugar con un presupuesto bajo (o nulo)

Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…

2 años hace

¿Demasiadas suscripciones? Aquí está cómo empezar a cortarlos

Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…

2 años hace

Cómo configurar la puerta de enlace predeterminada en Linux

fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…

2 años hace