Tomar posesión de archivos u otros objetos
Describe los procedimientos recomendados, la ubicación, los valores, la administración de directivas y las consideraciones de seguridad necesarios para configurar la directiva de seguridad Tomar posesión de archivos u otros objetos.
Referencia
En esta configuración de directiva se determinan los usuarios que pueden tomar posesión de cualquier objeto protegible del dispositivo, incluidos los objetos de Active Directory, los archivos y las carpetas NTFS, las impresoras, las claves del Registro, los servicios, los procesos y los subprocesos.
Cada objeto tiene un propietario, independientemente de si el objeto reside en un volumen NTFS o en una base de datos de Active Directory. El propietario controla cómo se establecen los permisos en el objeto y a quién se conceden permisos.
De manera predeterminada, el propietario es la persona o el proceso que crea el objeto. Los propietarios siempre pueden cambiar los permisos para los objetos, incluso cuando se les deniega todo acceso al objeto.
Constante: SeTakeOwnershipPrivilege
Valores posibles
Lista de cuentas definidas por el usuario
Sin definir
Procedimientos recomendados
- La asignación de este derecho de usuario puede suponer un riesgo de seguridad. Dado que los propietarios de objetos tienen el control total de ellos, asigna solo este derecho a usuarios de confianza.
Ubicación
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario
Valores predeterminados
El valor predeterminado de esta configuración en los controladores de dominio y en los servidores independientes es Administradores.
En la siguiente tabla se enumeran los valores de directiva predeterminados reales y eficaces. Los valores predeterminados también se enumeran en la página de propiedades de la directiva.
| Tipo de servidor o GPO | Valor predeterminado |
|---|---|
Directiva de dominio predeterminada |
Sin definir |
Directiva de controlador de dominio predeterminada |
Administradores |
Configuración predeterminada del servidor independiente |
Administradores |
Configuración predeterminada eficaz del controlador de dominio |
Administradores |
Configuración predeterminada eficaz del servidor miembro |
Administradores |
Configuración predeterminada eficaz del equipo cliente |
Administradores |
Administración de directivas
En esta sección se describen las características, las herramientas y las instrucciones que te ayudarán a administrar esta directiva.
No es necesario reiniciar el dispositivo para que esta configuración de directiva surta efecto.
Cualquier cambio en la asignación de derechos de usuario de una cuenta se hace efectivo cuando el propietario de la cuenta vuelve a iniciar sesión.
Puede tomar posesión:
Un administrador. De manera predeterminada, el grupo Administradores recibe el derecho de usuario Tomar posesión de archivos u otros objetos.
Cualquier persona o grupo que tenga el derecho de usuario Tomar posesión en el objeto.
Un usuario que tiene el derecho de usuario Restaurar archivos y directorios.
La propiedad se puede transferir de las siguientes maneras:
El propietario actual puede conceder el derecho de usuario Tomar posesión directamente a otro usuario si ese usuario es miembro de un grupo definido en el token de acceso del propietario actual. El usuario debe tomar posesión para completar a la transferencia.
Un administrador puede tomar posesión.
Un usuario que tiene el derecho de usuario Restaurar archivos y directorios puede hacer doble clic en Otros usuarios y grupos y elegir cualquier usuario o grupo al que desee asignar la propiedad.
Directiva de grupo
La configuración se aplica en el siguiente orden a través de un Objeto de directiva de grupo (GPO) y sobrescribirá la configuración del equipo local en la siguiente actualización de directiva de grupo:
Configuración de directiva local
Configuración de directiva de sitio
Configuración de directiva de dominio
Configuración de directiva de unidad organizativa
Si una configuración local aparece atenuada, quiere decir que un GPO controla actualmente esa configuración.
Consideraciones sobre seguridad
En esta sección se describe tanto la manera en que un atacante podría aprovecharse de una característica o de su configuración, como la forma de implementar contramedidas y las posibles consecuencias negativas que esta implementación podría comportar.
Vulnerabilidad
Los usuarios con el derecho de usuario Tomar posesión de archivos u otros objetos pueden controlar cualquier objeto, independientemente de los permisos sobre el objeto y, a continuación, realizar los cambios que quieran en ese objeto. Estos cambios pueden provocar la exposición de datos, daños de datos o una condición de denegación de servicio.
Contramedidas
Asegúrate de que solo el grupo de administradores locales tiene el derecho de usuario Tomar posesión de archivos u otros objetos.
Impacto potencial
Ninguno. La restricción del derecho de usuario Tomar posesión de archivos u otros objetos al grupo de administradores locales es la configuración predeterminada.