Descriptor de seguridad

Los descriptores de seguridad son estructuras de datos de información de seguridad para objetos de Windows asegurables , es decir, objetos que pueden identificarse con un nombre único. Los descriptores de seguridad se pueden asociar con cualquier objeto con nombre, incluidos archivos , carpetas , recursos compartidos, claves de registro , procesos, subprocesos, canalizaciones con nombre, servicios, objetos de trabajo y otros recursos. ^[1]

Los descriptores de seguridad contienen listas de control de acceso discrecional (DACL) que contienen entradas de control de acceso (ACE) que otorgan y niegan el acceso a fideicomisarios como usuarios o grupos. También contienen una lista de control de acceso al sistema (SACL) que controla la auditoría del acceso a objetos. ^[2]^{[3] Las} ACE pueden aplicarse explícitamente a un objeto o heredarse de un objeto principal. El orden de las ACE en una ACL es importante, y las ACE de acceso denegado aparecen en un orden más alto que las ACE que otorgan acceso. Los descriptores de seguridad también contienen el propietario del objeto.

El control de integridad obligatorio se implementa a través de un nuevo tipo de ACE en un descriptor de seguridad. ^[4]

Los permisos de archivos y carpetas se pueden editar mediante varias herramientas, incluido el Explorador de Windows , WMI , herramientas de línea de comandos como Cacls , XCacls, ICacls , SubInACL, ^[5] la consola Win32 freeware FILEACL, ^[6]^[7] la utilidad de software libre SetACL , y otras utilidades. Para editar un descriptor de seguridad, un usuario necesita permisos WRITE_DAC para el objeto, ^[8] un permiso que generalmente se delega de manera predeterminada a los administradores y al propietario del objeto.

Permisos en NTFS

La siguiente tabla resume los permisos NTFS y sus funciones (en filas individuales). La tabla expone la siguiente información: ^[9]^[10]^[11]

Código de permiso: cada entrada de control de acceso (ACE) especifica su permiso con código binario. Hay 14 códigos (12 en sistemas más antiguos).
Significado: cada código de permiso tiene un significado, dependiendo de si se aplica a un archivo o carpeta. Por ejemplo, el código 0x01 en el archivo indica el permiso para leer el archivo, mientras que en una carpeta indica el permiso para mostrar el contenido de la carpeta. Sin embargo, conocer el significado por sí solo es inútil. Un ACE también debe especificar a quién se aplica el permiso y si ese permiso se otorga o se niega.
Incluido en: Además de los permisos individuales, un ACE puede especificar permisos especiales conocidos como "derechos de acceso genéricos". Estos permisos especiales son equivalentes a varios permisos individuales. Por ejemplo, GENERIC_READ (o GR) es el equivalente de "Leer datos", "Leer atributos", "Leer atributos extendidos", "Leer permisos" y "Sincronizar". Debido a que tiene sentido pedir estos cinco al mismo tiempo, solicitar "GENERIC_READ" es más conveniente.
Alias: las dos utilidades de línea de comandos de Windows ( icacls y cacls ) tienen sus propios alias para estos permisos.

Código de permiso	Sentido		Incluido en					Alias
Código de permiso	Para archivos	Para carpetas	GR ^[a]	GE ^[b]	GW ^[c]	GA ^[d]	BM ^[e]	En icacls	En cacls
0x01	Leer datos	Lista de contenidos en la carpeta	sí	sí		sí	sí	RD	FILE_READ_DATA
0x80	Leer atributos		sí	sí		sí	sí	REAL ACADEMIA DE BELLAS ARTES	FILE_READ_ATTRIBUTES
0x08	Leer atributos extendidos		sí	sí		sí	sí	REA	FILE_READ_EA
0x20	Ejecutar archivo	carpeta transversal		sí		sí	sí	X	FILE_EXECUTE
0x20000	Leer permisos		sí	sí	sí	sí	sí	RC	READ_CONTROL
0x100000	Sincronizar		sí	sí	sí	sí	sí	S	SINCRONIZAR
0x02	Escribir datos	Crear archivos			sí	sí	sí	WD	FILE_WRITE_DATA
0x04	Adjuntar datos	Crear carpetas			sí	sí	sí	ANUNCIO	FILE_APPEND_D
0x100	Escribir atributos				sí	sí	sí	Washington	FILE_WRITE_ATTRIBUTES
0x10	Escribir atributos extendidos				sí	sí	sí	WEA	FILE_WRITE_EA
0x10000	Borrar					sí	sí	Delaware	ELIMINAR
0x40000	Cambiar permisos					sí		WDAC	WRITE_DAC
0x80000	Tomar posesión					sí		WO	WRITE_OWNER
0x40	Eliminar subcarpetas y archivos					sí		corriente continua	FILE_DELETE_CHILD

^ GENERIC_READ, conocido como "Leer" en el Explorador de archivos
^ GENERIC_EXECUTE, conocido como "Leer y ejecutar" en el Explorador de archivos
^ GENERIC_WRITE, conocido como "Escribir" en el Explorador de archivos
^ GENERIC_ALL, conocido como "Control total" en el Explorador de archivos
^ Conocido como "Modificar" en el Explorador de archivos

Ver también

Control de acceso § Seguridad informática
Auditoría de seguridad de la tecnología de la información
Autorización
La seguridad informática
Seguridad de información
Token (arquitectura de Windows NT)
SID de Windows
SDDL

Referencias

^ "Objetos asegurables" . Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .
^ "¿Qué son los descriptores de seguridad y las listas de control de acceso?" . Microsoft . Archivado desde el original el 5 de mayo de 2008 . Consultado el 16 de julio de 2008 .
^ "DACL y ACE" . Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .
^ https://msdn.microsoft.com/en-us/library/bb625957.aspx ¿Qué es el mecanismo de integridad de Windows?
^ Página de inicio de SubInACL
^ Página de inicio de FILEACL Archivado el 29 de agosto de 2012 en la Wayback Machine.
^ "FILEACL v3.0.1.6" . Microsoft . 2004-03-23. Archivado desde el original el 16 de abril de 2008 . Consultado el 25 de julio de 2008 .
^ "Tipo de datos ACCESS_MASK" . Microsoft . 2008-04-24 . Consultado el 23 de julio de 2008 .
^ "Cómo funcionan los permisos" . Microsoft . 2013-06-21 . Consultado el 24 de noviembre de 2017 .
^ Richard Civil. "Cómo funciona Permisos NTFS, parte 2" . Microsoft . Consultado el 24 de noviembre de 2017 .
^ Richard Civil. "Cómo funciona Permisos NTFS" . Microsoft . Consultado el 24 de noviembre de 2017 .

enlaces externos

Descripción del comando CACLS en SS64.com
Página SetACL SourceForge

[12] GENERIC_READ, conocido como "Leer" en el Explorador de archivos

[13] GENERIC_EXECUTE, conocido como "Leer y ejecutar" en el Explorador de archivos

[14] GENERIC_WRITE, conocido como "Escribir" en el Explorador de archivos

[15] GENERIC_ALL, conocido como "Control total" en el Explorador de archivos

[16] Conocido como "Modificar" en el Explorador de archivos

[1] "Objetos asegurables" . Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .

[2] "¿Qué son los descriptores de seguridad y las listas de control de acceso?" . Microsoft . Archivado desde el original el 5 de mayo de 2008 . Consultado el 16 de julio de 2008 .

[3] "DACL y ACE" . Microsoft . 2008-04-24 . Consultado el 16 de julio de 2008 .

[4] ttps://msdn.microsoft.com/en-us/library/bb625957.aspx ¿Qué es el mecanismo de integridad de Windows?

[5] Página de inicio de SubInACL

[6] Página de inicio de FILEACL Archivado el 29 de agosto de 2012 en la Wayback Machine.

[7] "FILEACL v3.0.1.6" . Microsoft . 2004-03-23. Archivado desde el original el 16 de abril de 2008 . Consultado el 25 de julio de 2008 .

[8] "Tipo de datos ACCESS_MASK" . Microsoft . 2008-04-24 . Consultado el 23 de julio de 2008 .

[9] "Cómo funcionan los permisos" . Microsoft . 2013-06-21 . Consultado el 24 de noviembre de 2017 .

[10] Richard Civil. "Cómo funciona Permisos NTFS, parte 2" . Microsoft . Consultado el 24 de noviembre de 2017 .

[11] Richard Civil. "Cómo funciona Permisos NTFS" . Microsoft . Consultado el 24 de noviembre de 2017 .

[1]