Introducción al control de acceso

 

Se aplica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

En este tema para profesionales de TI describe el control de acceso en Windows, que es el proceso de autorizar a usuarios, grupos y equipos para tener acceso a objetos en el equipo o red. Conceptos clave que componen el control de acceso son: permisos, posesión de objetos, herencia de permisos, derechos de usuario y auditoría de objetos.

Descripción de la característica

Equipos que ejecutan una versión compatible de Windows pueden controlar el uso de recursos del sistema y la red a través de mecanismos interrelacionados de autenticación y autorización. Cuando un usuario está autenticado, el sistema operativo Windows usa tecnologías integradas de control de acceso y autorización para implementar la segunda fase de protección de recursos: determinar si un usuario autenticado tiene los permisos correctos para tener acceso a un recurso.

Aparte de para su propietario, los recursos compartidos están disponibles para los usuarios y grupos, por lo que deben estar protegidos de un posible uso no autorizado. En el modelo de control de acceso, usuarios y grupos (conocidos también como entidades de seguridad) se representan mediante identificadores de seguridad únicos (SID). Se asignan derechos y permisos que informan al sistema operativo lo que pueden hacer cada usuario y grupo. Cada recurso tiene un propietario que otorga permisos a las entidades de seguridad. Durante la comprobación de control de acceso, estos permisos se examinan para determinar qué entidades de seguridad pueden obtener acceso al recurso y de qué manera.

Las entidades de seguridad realizan acciones (que incluyen la lectura, escritura, modificación o control total) en objetos. Entre estos objetos se incluyen archivos, carpetas, impresoras, claves del Registro y objetos de Servicios de dominio de Active Directory (AD DS). Compartir listas de control de acceso (ACL) para asignar permisos de recursos utilice. Esto permite a los administradores de recursos exigir el control de acceso de las maneras siguientes:

• Denegar el acceso a usuarios y grupos no autorizados

• Establecer límites bien definidos en el acceso que se proporciona a usuarios y grupos autorizados

Los propietarios de objetos suelen conceder permisos a grupos de seguridad, no a usuarios individuales. Los usuarios y los equipos que se agregan a un grupo existente adquieren los permisos de ese grupo. Si un objeto (como una carpeta) puede contener otros objetos (como subcarpetas y archivos), se le llama contenedor. En una jerarquía de objetos, la relación entre un contenedor y su contenido se expresa mediante una referencia al contenedor como el elemento primario. Un objeto en el contenedor se conoce como el elemento secundario y el elemento secundario hereda la configuración de control de acceso del elemento primario. Con frecuencia, los propietarios de objetos definen permisos para objetos de contenedor en lugar de para objetos secundarios individuales, ya que así la administración de control de acceso es más sencilla.

Este conjunto de contenido contiene:

• Introducción al control de acceso dinámico

• Introducción técnica de identificadores de seguridad

• Introducción técnica de las entidades de seguridad

  • Cuentas locales

  • Cuentas de Active Directory

  • Cuentas de Microsoft

  • Cuentas de servicio

  • Grupos de seguridad de Active Directory

Aplicaciones prácticas

Los administradores que usan la versión admitida de Windows pueden refinar la aplicación y la administración de control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:

• Evitar que se haga un uso incorrecto de una mayor cantidad y variedad de recursos.

• Aprovisionamiento de usuarios para tener acceso a recursos de una manera coherente con las directivas de la organización y los requisitos de sus trabajos.

• Permitir a los usuarios acceder a los recursos desde diversos dispositivos en distintas ubicaciones.

• Capacidad de los usuarios de la actualización para obtener acceso a recursos de forma regular, como las directivas de la organización cambie o que los trabajos de los usuarios.

• Cuenta de un número creciente de escenarios de uso (por ejemplo, el acceso desde ubicaciones remotas o desde una variedad de dispositivos, como teléfonos móviles y tablet PC rápida expansión).

• Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los recursos que necesitan para realizar sus tareas.

Permisos

Los permisos definen el tipo de acceso que se concede a un usuario o grupo para un objeto o propiedad de objeto. Por ejemplo, se puede conceder al grupo Finanzas permisos de lectura y escritura para un archivo denominado Payroll.dat.

Mediante el uso de la interfaz de usuario de control de acceso, puede establecer permisos NTFS para objetos como archivos, objetos de Active Directory, objetos del registro u objetos de sistema como procesos. Los permisos pueden concederse a cualquier usuario, grupo o equipo. Es una buena práctica de asignar permisos a grupos, ya que esto mejora el rendimiento del sistema al comprobar el acceso a un objeto.

Para cualquier objeto, puede conceder permisos para:

• Grupos, usuarios y otros objetos con identificadores de seguridad en el dominio.

• Grupos y usuarios de dominio y de cualquier dominio de confianza.

• Grupos y usuarios locales en el equipo donde reside el objeto.

Los permisos concedidos a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se pueden adjuntar a un archivo son diferentes de las que se pueden adjuntar a una clave del registro. Algunos permisos, sin embargo, son comunes a la mayoría de los tipos de objetos. Estos permisos comunes son:

• Leer

• Modificar

• Cambiar propietario

• Eliminar

Al establecer los permisos, especifique el nivel de acceso para usuarios y grupos. Por ejemplo, puede permitir a un usuario leer el contenido de un archivo, permitir que otro usuario realizar cambios en el archivo y evitar que todos los demás usuarios tengan acceso al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurarlas y otros usuarios sólo puedan imprimir.

Cuando necesite cambiar los permisos en un archivo, ejecute el Explorador de Windows, haga clic en el nombre de archivo y haga clic en propiedades. En el seguridad ficha, puede cambiar los permisos en el archivo. Para obtener más información, consulte Administrar permisos.

Nota

Otro tipo de permisos, denominados permisos de recurso compartido se establecen en la ficha uso compartido de una carpeta propiedades página o mediante el Asistente para carpetas compartidas. Para obtener más información, consulte compartidos y permisos de NTFS en un servidor de archivos.

Propiedad de objetos

Cuando se crea un objeto, se le asigna un propietario. De forma predeterminada, el propietario es el creador del objeto. Independientemente de qué permisos se establecen en un objeto, el propietario del objeto siempre puede cambiar los permisos. Para obtener más información, consulte Administrar la propiedad.

Herencia de permisos

La herencia permite a los administradores asignar y administrar permisos fácilmente. Esta característica hace automáticamente objetos dentro de un contenedor hereden todos los permisos heredables de ese contenedor. Por ejemplo, los archivos de una carpeta heredan los permisos de la carpeta. Se hereda sólo los permisos marcados para ser heredado.

Derechos de usuario

Derechos de usuario conceden determinados privilegios y derechos de inicio de sesión a usuarios y grupos en su entorno informático. Los administradores pueden asignar derechos específicos a las cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios realizar acciones específicas, como inicio de sesión en un sistema de forma interactiva o copia de seguridad de archivos y directorios.

Derechos de usuario son diferentes de los permisos porque los derechos de usuario se aplican a las cuentas de usuario y permisos se asocian a objetos. Aunque se pueden aplicar a cuentas de usuario individuales, se administran mejor en una base de la cuenta de grupo. No hay compatibilidad en la interfaz de usuario de control de acceso para conceder derechos de usuario. Sin embargo, la asignación de derechos de usuario se puede administrar mediante configuración de seguridad Local.

Para obtener más información acerca de los derechos de usuario, consulte asignación de derechos de usuario.

Auditoría de objetos

Derechos de administrador, puede auditar el acceso correcto o incorrecto de los usuarios a los objetos. Puede seleccionar el acceso al objeto a auditar con la interfaz de usuario de control de acceso, pero primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en directivas locales en configuración de seguridad Local. A continuación, puede ver estos eventos relacionados con la seguridad en el registro de seguridad en el Visor de eventos.

Para obtener más información acerca de la auditoría, consulte Información general de la auditoría de seguridad.

Vea también

• Para obtener más información acerca del control de acceso y autorización, consulte Windows Security Collection.

• Para obtener información acerca de la estrategia de autorización, consulte diseñar una estrategia de autorización de recursos.