Introducción a Access Control

Se aplica a

  • Windows 10
  • Windows Server 2016

En este tema para el profesional de TI se describe el control de acceso en Windows, que es el proceso de autorización de usuarios, grupos y equipos para tener acceso a objetos en la red o el equipo. Los conceptos clave que hacen del control de acceso son permisos, propiedad de objetos, herencia de permisos, derechos de usuario y auditoría de objetos.

Descripción de la característica

Los equipos que ejecutan una versión compatible de Windows pueden controlar el uso de recursos del sistema y de red a través de los mecanismos interrelacionados de autenticación y autorización. Una vez autenticado un usuario, el sistema operativo Windows usa tecnologías integradas de autorización y control de acceso para implementar la segunda fase de protección de recursos: determinar si un usuario autenticado tiene los permisos correctos para acceder a un recurso.

Los recursos compartidos están disponibles para usuarios y grupos que no sean el propietario del recurso y deben protegerse del uso no autorizado. En el modelo de control de acceso, los usuarios y grupos (también denominados entidades de seguridad) se representan mediante identificadores de seguridad únicos (SID). Se les asignan derechos y permisos que informan al sistema operativo lo que cada usuario y grupo pueden hacer. Cada recurso tiene un propietario que concede permisos a entidades de seguridad. Durante la comprobación del control de acceso, estos permisos se examinan para determinar qué entidades de seguridad pueden tener acceso al recurso y cómo pueden acceder a él.

Las entidades de seguridad realizan acciones (que incluyen lectura, escritura, modificación o control total) en objetos. Los objetos incluyen archivos, carpetas, impresoras, claves del Registro y objetos de Servicios de dominio de Active Directory (AD DS). Los recursos compartidos usan listas de control de acceso (ACL) para asignar permisos. Esto permite a los administradores de recursos aplicar el control de acceso de las siguientes maneras:

  • Denegar el acceso a usuarios y grupos no autorizados

  • Establecer límites bien definidos en el acceso que se proporciona a usuarios y grupos autorizados

Por lo general, los propietarios de objetos conceden permisos a grupos de seguridad en lugar de a usuarios individuales. Los usuarios y equipos que se agregan a grupos existentes asumen los permisos de ese grupo. Si un objeto (como una carpeta) puede contener otros objetos (como subcarpetas y archivos), se denomina contenedor. En una jerarquía de objetos, la relación entre un contenedor y su contenido se expresa haciendo referencia al contenedor como elemento primario. Un objeto del contenedor se conoce como elemento secundario y el elemento secundario hereda la configuración de control de acceso del elemento primario. Los propietarios de objetos suelen definir permisos para objetos contenedor, en lugar de objetos secundarios individuales, para facilitar la administración del control de acceso.

Este conjunto de contenido contiene:

Aplicaciones prácticas

Los administradores que usan la versión compatible de Windows pueden refinar la aplicación y la administración del control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:

  • Proteger un mayor número y variedad de recursos de red contra el uso incorrecto.

  • Aprovisionar a los usuarios para que accedan a los recursos de forma coherente con las directivas organizativas y los requisitos de sus trabajos.

  • Permitir a los usuarios tener acceso a recursos desde una variedad de dispositivos en numerosas ubicaciones.

  • Actualice la capacidad de los usuarios para obtener acceso a los recursos de forma regular a medida que cambian las directivas de una organización o a medida que cambian los trabajos de los usuarios.

  • Cuenta con un número creciente de escenarios de uso (como el acceso desde ubicaciones remotas o desde una variedad de dispositivos en expansión rápida, como tabletas y teléfonos móviles).

  • Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los recursos que necesitan para realizar sus trabajos.

Permisos

Los permisos definen el tipo de acceso que se concede a un usuario o grupo para una propiedad de objeto o objeto. Por ejemplo, al grupo Finanzas se le pueden conceder permisos de lectura y escritura para un archivo denominado Payroll.dat.

Mediante la interfaz de usuario del control de acceso, puede establecer permisos NTFS para objetos como archivos, objetos de Active Directory, objetos del Registro o objetos del sistema, como procesos. Los permisos se pueden conceder a cualquier usuario, grupo o equipo. Es una buena práctica asignar permisos a grupos porque mejora el rendimiento del sistema al comprobar el acceso a un objeto.

Para cualquier objeto, puede conceder permisos a:

  • Grupos, usuarios y otros objetos con identificadores de seguridad en el dominio.

  • Grupos y usuarios de ese dominio y cualquier dominio de confianza.

  • Grupos locales y usuarios en el equipo donde reside el objeto.

Los permisos adjuntos a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se pueden adjuntar a un archivo son diferentes de los que se pueden adjuntar a una clave del Registro. Sin embargo, algunos permisos son comunes a la mayoría de los tipos de objetos. Estos permisos comunes son:

  • Leer

  • Modificar

  • Cambiar propietario

  • Eliminar

Al establecer permisos, se especifica el nivel de acceso para grupos y usuarios. Por ejemplo, puede permitir que un usuario lea el contenido de un archivo, permitir que otro usuario realice cambios en el archivo e impedir que todos los demás usuarios tengan acceso al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurar la impresora y otros usuarios solo puedan imprimir.

Cuando necesite cambiar los permisos de un archivo, puede ejecutar Windows Explorer, hacer clic con el botón secundario en el nombre del archivo y hacer clic en Propiedades. En la pestaña Seguridad, puede cambiar los permisos en el archivo. Para obtener más información, vea Managing Permissions.

Nota
Otro tipo de permisos, denominados permisos de uso compartido, se **** establece en la pestaña Uso compartido de la página Propiedades de una carpeta o mediante el Asistente para carpetas compartidas. Para obtener más información, vea Share and NTFS Permissions on a File Server.

Propiedad de objetos

Se asigna un propietario a un objeto cuando se crea ese objeto. De forma predeterminada, el propietario es el creador del objeto. Independientemente de los permisos que se establezcan en un objeto, el propietario del objeto siempre puede cambiar los permisos. Para obtener más información, vea Manage Object Ownership.

Herencia de permisos

La herencia permite a los administradores asignar y administrar fácilmente permisos. Esta característica hace que los objetos dentro de un contenedor hereden todos los permisos heredables de ese contenedor. Por ejemplo, los archivos de una carpeta heredan los permisos de la carpeta. Solo se heredarán los permisos marcados para heredar.

Derechos de usuario

Los derechos de usuario conceden privilegios específicos y derechos de inicio de sesión a usuarios y grupos en su entorno informático. Los administradores pueden asignar derechos específicos a cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar sesión en un sistema de forma interactiva o realizar una copia de seguridad de archivos y directorios.

Los derechos de usuario son diferentes de los permisos porque los derechos de usuario se aplican a cuentas de usuario y los permisos están asociados con objetos. Aunque los derechos de usuario se pueden aplicar a cuentas de usuario individuales, los derechos de usuario se administran mejor en una cuenta de grupo. No hay compatibilidad en la interfaz de usuario del control de acceso para conceder derechos de usuario. Sin embargo, la asignación de derechos de usuario se puede administrar a través de seguridad local Configuración.

Para obtener más información acerca de los derechos de usuario, vea Asignación de derechos de usuario.

Auditoría de objetos

Con los derechos de administrador, puede auditar el acceso correcto o con errores de los usuarios a los objetos. Puede seleccionar qué objeto tiene acceso a auditoría mediante la interfaz de usuario del control de acceso, pero primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en Directivas locales en Seguridad local Configuración. A continuación, puede ver estos eventos relacionados con la seguridad en el registro de seguridad en el Visor de eventos.

Para obtener más información acerca de la auditoría, vea Security Auditing Overview.

Vea también