Introducción a Access Control

En este tema para profesionales de TI se describe el control de acceso en Windows, que es el proceso de autorizar a los usuarios, grupos y equipos a acceder a objetos de la red o del equipo. Los conceptos clave que componen el control de acceso son los permisos, la propiedad de objetos, la herencia de permisos, los derechos de usuario y la auditoría de objetos.

Descripción de la característica

Los equipos que ejecutan una versión compatible de Windows pueden controlar el uso de recursos del sistema y de red a través de los mecanismos interrelacionados de autenticación y autorización. Una vez autenticado un usuario, el sistema operativo Windows usa tecnologías integradas de autorización y control de acceso para implementar la segunda fase de protección de recursos: determinar si un usuario autenticado tiene los permisos correctos para acceder a un recurso.

Los recursos compartidos están disponibles para usuarios y grupos distintos del propietario del recurso y deben protegerse frente a usos no autorizados. En el modelo de control de acceso, los usuarios y grupos (también conocidos como entidades de seguridad) se representan mediante identificadores de seguridad únicos (SID). Se les asignan derechos y permisos que informan al sistema operativo de lo que cada usuario y grupo puede hacer. Cada recurso tiene un propietario que concede permisos a las entidades de seguridad. Durante la comprobación del control de acceso, estos permisos se examinan para determinar qué entidades de seguridad pueden acceder al recurso y cómo pueden acceder a él.

Las entidades de seguridad realizan acciones (que incluyen lectura, escritura, modificación o control total) en objetos. Los objetos incluyen archivos, carpetas, impresoras, claves del Registro y objetos de Servicios de dominio de Active Directory (AD DS). Los recursos compartidos usan listas de control de acceso (ACL) para asignar permisos. Esto permite a los administradores de recursos aplicar el control de acceso de las siguientes maneras:

  • Denegar el acceso a usuarios y grupos no autorizados
  • Establecimiento de límites bien definidos en el acceso que se proporciona a usuarios y grupos autorizados

Por lo general, los propietarios de objetos conceden permisos a grupos de seguridad en lugar de a usuarios individuales. Los usuarios y equipos que se agregan a grupos existentes asumen los permisos de ese grupo. Si un objeto (como una carpeta) puede contener otros objetos (como subcarpetas y archivos), se denomina contenedor. En una jerarquía de objetos, la relación entre un contenedor y su contenido se expresa haciendo referencia al contenedor como elemento primario. Un objeto del contenedor se conoce como secundario y el elemento secundario hereda la configuración de control de acceso del elemento primario. Los propietarios de objetos suelen definir permisos para objetos contenedor, en lugar de objetos secundarios individuales, para facilitar la administración del control de acceso.

Este conjunto de contenido contiene:

Aplicaciones prácticas

Los administradores que usan la versión compatible de Windows pueden refinar la aplicación y la administración del control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:

  • Proteja un mayor número y variedad de recursos de red contra el uso indebido.
  • Aprovisionar a los usuarios para acceder a los recursos de una manera coherente con las directivas de la organización y los requisitos de sus trabajos.
  • Permitir que los usuarios accedan a los recursos desde diversos dispositivos en numerosas ubicaciones.
  • Actualice la capacidad de los usuarios para acceder a los recursos de forma periódica a medida que cambian las directivas de una organización o a medida que cambian los trabajos de los usuarios.
  • Tenga en cuenta un número creciente de escenarios de uso (como el acceso desde ubicaciones remotas o desde una amplia variedad de dispositivos, como tabletas y teléfonos móviles).
  • Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los recursos que necesitan para realizar sus trabajos.

Permisos

Los permisos definen el tipo de acceso que se concede a un usuario o grupo para un objeto o propiedad de objeto. Por ejemplo, al grupo Finance se le pueden conceder permisos de lectura y escritura para un archivo denominado Payroll.dat.

Mediante la interfaz de usuario del control de acceso, puede establecer permisos NTFS para objetos como archivos, objetos de Active Directory, objetos del Registro u objetos del sistema, como procesos. Se pueden conceder permisos a cualquier usuario, grupo o equipo. Se recomienda asignar permisos a grupos porque mejora el rendimiento del sistema al comprobar el acceso a un objeto.

Para cualquier objeto, puede conceder permisos a:

  • Grupos, usuarios y otros objetos con identificadores de seguridad en el dominio.
  • Grupos y usuarios de ese dominio y de cualquier dominio de confianza.
  • Grupos locales y usuarios en el equipo donde reside el objeto.

Los permisos asociados a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se pueden adjuntar a un archivo son diferentes de los que se pueden adjuntar a una clave del Registro. Sin embargo, algunos permisos son comunes a la mayoría de los tipos de objetos. Estos permisos comunes son:

  • Leer
  • Modificar
  • Cambiar propietario
  • Eliminar

Cuando se establecen permisos, se especifica el nivel de acceso para grupos y usuarios. Por ejemplo, puede permitir que un usuario lea el contenido de un archivo, permitir que otro usuario realice cambios en el archivo e impedir que todos los demás usuarios accedan al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurar la impresora y otros usuarios solo puedan imprimir.

Cuando necesite cambiar los permisos de un archivo, puede ejecutar el Explorador de Windows, hacer clic con el botón derecho en el nombre de archivo y hacer clic en Propiedades. En la pestaña Seguridad , puede cambiar los permisos en el archivo. Para obtener más información, consulte Administración de permisos.

Nota

Otro tipo de permisos, denominados permisos de recurso compartido, se establece en la pestaña Uso compartido de la página Propiedades de una carpeta o mediante el Asistente para carpetas compartidas. Para obtener más información, consulte Permisos de recursos compartidos y NTFS en un servidor de archivos.

Propiedad de objetos

Un propietario se asigna a un objeto cuando se crea ese objeto. De forma predeterminada, el propietario es el creador del objeto. Independientemente de qué permisos se establezcan en un objeto, el propietario del objeto siempre puede cambiar los permisos. Para obtener más información, vea Administrar propiedad de objetos.

Herencia de permisos

La herencia permite a los administradores asignar y administrar permisos fácilmente. Esta característica hace que los objetos de un contenedor hereden automáticamente todos los permisos heredados de ese contenedor. Por ejemplo, los archivos de una carpeta heredan los permisos de la carpeta. Solo se heredarán los permisos marcados para heredar.

Derechos de usuario

Los derechos de usuario conceden privilegios específicos y derechos de inicio de sesión a usuarios y grupos del entorno informático. Los administradores pueden asignar derechos específicos a cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.

Los derechos de usuario son diferentes de los permisos porque los derechos de usuario se aplican a las cuentas de usuario y los permisos están asociados a objetos. Aunque los derechos de usuario se pueden aplicar a cuentas de usuario individuales, los derechos de usuario se administran mejor en función de una cuenta de grupo. No hay compatibilidad en la interfaz de usuario del control de acceso para conceder derechos de usuario. Sin embargo, la asignación de derechos de usuario se puede administrar a través de configuración de seguridad local.

Para obtener más información sobre los derechos de usuario, consulte Asignación de derechos de usuario.

Auditoría de objetos

Con los derechos del administrador, puede auditar el acceso correcto o erróneo de los usuarios a los objetos. Puede seleccionar qué acceso a objetos auditar mediante la interfaz de usuario del control de acceso, pero primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en Directivas locales en Configuración de seguridad local. A continuación, puede ver estos eventos relacionados con la seguridad en el registro de seguridad en Visor de eventos.

Para obtener más información sobre la auditoría, consulte Información general sobre auditoría de seguridad.

Ver también