Descriptor de seguridad

Los descriptores de seguridad son estructuras de datos de información de seguridad para objetos de Windows asegurables , es decir, objetos que pueden identificarse por un nombre único. Los descriptores de seguridad se pueden asociar con cualquier objeto con nombre, incluidos archivos , carpetas , recursos compartidos, claves de registro , procesos, subprocesos, canalizaciones con nombre, servicios, objetos de trabajo y otros recursos. ^[1]

Los descriptores de seguridad contienen listas de control de acceso discrecional (DACL) que contienen entradas de control de acceso (ACE) que otorgan y deniegan el acceso a administradores como usuarios o grupos. También contienen una lista de control de acceso al sistema (SACL) que controla la auditoría del acceso a objetos. ^{[2] [3]} Las ACE pueden aplicarse explícitamente a un objeto o heredarse de un objeto principal. El orden de las ACE en una ACL es importante: las ACE con acceso denegado aparecen más arriba en el orden que las ACE que otorgan acceso. Los descriptores de seguridad también contienen el propietario del objeto.

El control de integridad obligatorio se implementa mediante un nuevo tipo de ACE en un descriptor de seguridad. ^[4]

Los permisos de archivos y carpetas se pueden editar con varias herramientas, incluidas Windows Explorer , WMI , herramientas de línea de comandos como Cacls , XCacls, ICacls , SubInACL, ^[5] la consola Win32 gratuita FILEACL, ^{[6] [7]} la utilidad de software gratuita SetACL y otras utilidades. Para editar un descriptor de seguridad, un usuario necesita permisos WRITE_DAC para el objeto, ^[8] un permiso que generalmente se delega de forma predeterminada a los administradores y al propietario del objeto.

Permisos en NTFS

La siguiente tabla resume los permisos NTFS y sus funciones (en filas individuales). La tabla expone la siguiente información: ^{[9] [10] [11]}

• Código de permiso: cada entrada de control de acceso (ACE) especifica su permiso con código binario. Hay 14 códigos (12 en sistemas más antiguos).
• Significado: Cada código de permiso tiene un significado, dependiendo de si se aplica a un archivo o a una carpeta. Por ejemplo, el código 0x01 en un archivo indica el permiso para leer el archivo, mientras que en una carpeta indica el permiso para enumerar el contenido de la carpeta. Sin embargo, conocer el significado por sí solo es inútil. Una ACE también debe especificar a quién se aplica el permiso y si ese permiso se concede o deniega.
• Incluido en: Además de los permisos individuales, una ACE puede especificar permisos especiales conocidos como "derechos de acceso genéricos". Estos permisos especiales son equivalentes a varios permisos individuales. Por ejemplo, GENERIC_READ (o GR) es el equivalente a "Leer datos", "Leer atributos", "Leer atributos extendidos", "Leer permisos" y "Sincronizar". Debido a que tiene sentido solicitar estos cinco al mismo tiempo, es más conveniente solicitar "GENERIC_READ".
• Alias: las dos utilidades de línea de comandos de Windows ( icacls y cacls ) tienen sus propios alias para estos permisos.

La mayoría de estos permisos se explican por sí mismos, excepto los siguientes:

1. Cambiar el nombre de un archivo requiere el permiso "Eliminar". ^[12]
2. El Explorador de archivos no muestra "Sincronizar" y siempre lo configura. Las aplicaciones multiproceso como el Explorador de archivos y el símbolo del sistema de Windows necesitan el permiso "Sincronizar" para poder trabajar con archivos y carpetas. ^[13]

Notas a pie de página

1. GENERIC_READ, conocido como "Leer" en el Explorador de archivos
2. GENERIC_EXECUTE, conocido como "Leer y ejecutar" en el Explorador de archivos
3. GENERIC_WRITE, conocido como "Escribir" en el Explorador de archivos
4. GENERIC_ALL, conocido como "Control total" en el Explorador de archivos
5. Conocido como "Modificar" en el Explorador de archivos

Ver también

• Control de acceso § Seguridad informática
• Auditoría de seguridad de la tecnología de la información.
• Autorización
• Seguridad informática
• Seguridad de la información
• Token (arquitectura Windows NT)
• ID de Windows
• SDDL

Referencias

1. "Objetos asegurables". Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .
2. "¿Qué son los descriptores de seguridad y las listas de control de acceso?". Microsoft . Archivado desde el original el 5 de mayo de 2008 . Consultado el 16 de julio de 2008 .
3. "DACL y ACE". Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .
4. https://msdn.microsoft.com/en-us/library/bb625957.aspx ¿Qué es el mecanismo de integridad de Windows?
5. Página de inicio de SubInACL
6. Página de inicio de FILEACL Archivado el 29 de agosto de 2012 en Wayback Machine.
7. "FILEACL v3.0.1.6". Microsoft . 2004-03-23. Archivado desde el original el 16 de abril de 2008 . Consultado el 25 de julio de 2008 .
8. "Tipo de datos ACCESS_MASK". Microsoft . 2008-04-24 . Consultado el 23 de julio de 2008 .
9. "Cómo funcionan los permisos". Microsoft . 2013-06-21 . Consultado el 24 de noviembre de 2017 .
10. Ricardo Civil. "Cómo funcionan los permisos NTFS, parte 2". Microsoft . Consultado el 24 de noviembre de 2017 .
11. Ricardo Civil. "Cómo funcionan los permisos NTFS". Microsoft . Consultado el 24 de noviembre de 2017 .
12. Chen, Raymond (22 de octubre de 2021). "Cambiar el nombre de un archivo es un proceso de varios pasos, de los cuales sólo uno es cambiar el nombre del archivo". Lo viejo y nuevo . Microsoft . Abrir con el permiso BORRAR otorga permiso para cambiar el nombre del archivo. El permiso requerido es ELIMINAR porque se está eliminando el nombre anterior.
13. Chen, Raymond (18 de noviembre de 2019). "Configuré la misma ACL con la GUI y con icacls, pero los resultados son diferentes". Lo viejo y nuevo . Microsoft .

Enlaces externos

• Descripción del comando CACLS en SS64.com
• Establecer página ACL SourceForge