Descriptor de seguridad

Los descriptores de seguridad son estructuras de datos de información de seguridad para objetos de Windows que se pueden proteger , es decir, objetos que se pueden identificar por un nombre único. Los descriptores de seguridad se pueden asociar con cualquier objeto con nombre, incluidos archivos , carpetas , recursos compartidos, claves de registro , procesos, subprocesos, canales con nombre, servicios, objetos de trabajo y otros recursos. ^[1]

Los descriptores de seguridad contienen listas de control de acceso discrecional (DACL) que contienen entradas de control de acceso (ACE) que otorgan y deniegan el acceso a administradores como usuarios o grupos. También contienen una lista de control de acceso al sistema (SACL) que controla la auditoría del acceso a objetos. ^{[2] [3]} Las ACE se pueden aplicar explícitamente a un objeto o heredar de un objeto padre. El orden de las ACE en una ACL es importante, ya que las ACE de acceso denegado aparecen más arriba en el orden que las ACE que otorgan acceso. Los descriptores de seguridad también contienen el propietario del objeto.

El control de integridad obligatorio se implementa a través de un nuevo tipo de ACE en un descriptor de seguridad. ^[4]

Los permisos de archivos y carpetas se pueden editar con varias herramientas, entre las que se incluyen Windows Explorer , WMI , herramientas de línea de comandos como Cacls , XCacls, ICacls , SubInACL, ^[5] la consola Win32 gratuita FILEACL, ^{[6] [7]} la utilidad gratuita SetACL y otras utilidades. Para editar un descriptor de seguridad, un usuario necesita permisos WRITE_DAC para el objeto, ^[8] un permiso que normalmente se delega de forma predeterminada a los administradores y al propietario del objeto.

Permisos en NTFS

La siguiente tabla resume los permisos NTFS y sus funciones (en filas individuales). La tabla expone la siguiente información: ^{[9] [10] [11]}

• Código de permiso: cada entrada de control de acceso (ACE) especifica su permiso con un código binario. Hay 14 códigos (12 en los sistemas más antiguos).
• Significado: Cada código de permiso tiene un significado, dependiendo de si se aplica a un archivo o a una carpeta. Por ejemplo, el código 0x01 en un archivo indica el permiso para leer el archivo, mientras que en una carpeta indica el permiso para enumerar el contenido de la carpeta. Sin embargo, conocer el significado por sí solo es inútil. Un ACE también debe especificar a quién se aplica el permiso y si ese permiso se concede o se deniega.
• Incluido en: Además de los permisos individuales, un ACE puede especificar permisos especiales conocidos como "derechos de acceso genéricos". Estos permisos especiales son equivalentes a una serie de permisos individuales. Por ejemplo, GENERIC_READ (o GR) es el equivalente de "Leer datos", "Leer atributos", "Leer atributos extendidos", "Leer permisos" y "Sincronizar". Dado que tiene sentido solicitar estos cinco al mismo tiempo, solicitar "GENERIC_READ" es más conveniente.
• Alias: Las dos utilidades de línea de comandos de Windows ( icacls y cacls ) tienen sus propios alias para estos permisos.

La mayoría de estos permisos se explican por sí solos, excepto los siguientes:

1. Para cambiar el nombre de un archivo se requiere el permiso "Eliminar". ^[12]
2. El Explorador de archivos no muestra "Sincronizar" y siempre lo activa. Las aplicaciones multiproceso como el Explorador de archivos y el Símbolo del sistema de Windows necesitan el permiso "Sincronizar" para poder trabajar con archivos y carpetas. ^[13]

Notas al pie

1. GENERIC_READ, conocido como "Leer" en el Explorador de archivos
2. GENERIC_EXECUTE, conocido como "Leer y ejecutar" en el Explorador de archivos
3. GENERIC_WRITE, conocido como "Escribir" en el Explorador de archivos
4. GENERIC_ALL, conocido como "Control total" en el Explorador de archivos
5. Conocido como "Modificar" en el Explorador de archivos

Véase también

• Control de acceso § Seguridad informática
• Auditoría de seguridad de tecnologías de la información
• Autorización
• Seguridad informática
• Seguridad de la información
• Token (arquitectura de Windows NT)
• SID de Windows
• Licencia SDDL

Referencias

1. "Objetos protegibles". Microsoft . 24 de abril de 2008 . Consultado el 16 de julio de 2008 .
2. "¿Qué son los descriptores de seguridad y las listas de control de acceso?". Microsoft . Archivado desde el original el 5 de mayo de 2008. Consultado el 16 de julio de 2008 .
3. "DACL y ACE". Microsoft . 24 de abril de 2008 . Consultado el 16 de julio de 2008 .
4. https://msdn.microsoft.com/en-us/library/bb625957.aspx ¿Qué es el mecanismo de integridad de Windows?
5. Página de inicio de SubInACL
6. Página de inicio de FILEACL Archivado el 29 de agosto de 2012 en Wayback Machine.
7. "FILEACL v3.0.1.6". Microsoft . 23 de marzo de 2004. Archivado desde el original el 16 de abril de 2008. Consultado el 25 de julio de 2008 .
8. "Tipo de datos ACCESS_MASK". Microsoft . 24 de abril de 2008 . Consultado el 23 de julio de 2008 .
9. "Cómo funcionan los permisos". Microsoft . 2013-06-21 . Consultado el 2017-11-24 .
10. Richard Civil. "Cómo funcionan los permisos NTFS en TI, parte 2". Microsoft . Consultado el 24 de noviembre de 2017 .
11. Richard Civil. "Cómo funcionan los permisos NTFS en TI". Microsoft . Consultado el 24 de noviembre de 2017 .
12. Chen, Raymond (22 de octubre de 2021). "Cambiar el nombre de un archivo es un proceso de varios pasos, de los cuales solo uno es cambiar el nombre del archivo". The Old New Thing . Microsoft . Abrir con el permiso DELETE otorga permiso para cambiar el nombre del archivo. El permiso requerido es DELETE porque se está eliminando el nombre anterior.
13. Chen, Raymond (18 de noviembre de 2019). "Configuré la misma ACL con la GUI y con icacls, pero los resultados son diferentes". The Old New Thing . Microsoft .

Enlaces externos

• Descripción del comando CACLS en SS64.com
• Página SetACL de SourceForge