Introducción al control de acceso
En este artículo se describe el control de acceso en Windows, que es el proceso de autorizar a los usuarios, grupos y equipos a acceder a objetos de la red o del equipo. Los conceptos clave que componen el control de acceso son:
- Permisos
- propiedad de objetos
- herencia de permisos
- derechos de usuario
- auditoría de objetos
Los equipos que ejecutan una versión compatible de Windows pueden controlar el uso de recursos del sistema y de red a través de los mecanismos interrelacionados de autenticación y autorización. Una vez autenticado un usuario, el sistema operativo Windows usa tecnologías integradas de autorización y control de acceso para implementar la segunda fase de protección de recursos: determinar si un usuario autenticado tiene los permisos correctos para acceder a un recurso.
Los recursos compartidos están disponibles para usuarios y grupos distintos del propietario del recurso y deben protegerse frente a usos no autorizados. En el modelo de control de acceso, los usuarios y grupos (también conocidos como entidades de seguridad) se representan mediante identificadores de seguridad únicos (SID). Se les asignan derechos y permisos que informan al sistema operativo de lo que cada usuario y grupo puede hacer. Cada recurso tiene un propietario que concede permisos a las entidades de seguridad. Durante la comprobación del control de acceso, estos permisos se examinan para determinar qué entidades de seguridad pueden acceder al recurso y cómo pueden acceder a él.
Las entidades de seguridad realizan acciones (que incluyen lectura, escritura, modificación o control total) en objetos. Los objetos incluyen archivos, carpetas, impresoras, claves del Registro y objetos de Servicios de dominio de Active Directory (AD DS). Los recursos compartidos usan listas de control de acceso (ACL) para asignar permisos. Esto permite a los administradores de recursos aplicar el control de acceso de las siguientes maneras:
- Denegar el acceso a usuarios y grupos no autorizados
- Establecimiento de límites bien definidos en el acceso que se proporciona a usuarios y grupos autorizados
Por lo general, los propietarios de objetos conceden permisos a grupos de seguridad en lugar de a usuarios individuales. Los usuarios y equipos que se agregan a grupos existentes asumen los permisos de ese grupo. Si un objeto (por ejemplo, una carpeta) puede contener otros objetos (como subcarpetas y archivos), se denomina contenedor. En una jerarquía de objetos, la relación entre un contenedor y su contenido se expresa haciendo referencia al contenedor como elemento primario. Un objeto del contenedor se conoce como secundario y el elemento secundario hereda la configuración de control de acceso del elemento primario. Los propietarios de objetos suelen definir permisos para objetos contenedor, en lugar de objetos secundarios individuales, para facilitar la administración del control de acceso.
Este conjunto de contenido contiene:
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten Access Control (ACL/SACL):
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sí | Sí | Sí | Sí |
los derechos de licencia de Access Control (ACL/SACL) se conceden mediante las siguientes licencias:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sí | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Aplicaciones prácticas
Los administradores que usan la versión compatible de Windows pueden refinar la aplicación y la administración del control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:
- Protección de un mayor número y variedad de recursos de red contra el uso indebido
- Aprovisionamiento de usuarios para acceder a los recursos de forma coherente con las directivas de la organización y los requisitos de sus trabajos
- Permitir a los usuarios acceder a recursos desde varios dispositivos en numerosas ubicaciones
- Actualizar la capacidad de los usuarios para acceder a los recursos con regularidad a medida que cambian las directivas de una organización o a medida que cambian los trabajos de los usuarios
- Tenga en cuenta un número creciente de escenarios de uso (como el acceso desde ubicaciones remotas o desde una amplia variedad de dispositivos, como tabletas y teléfonos móviles).
- Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los recursos que necesitan para realizar sus trabajos
Permisos
Los permisos definen el tipo de acceso que se concede a un usuario o grupo para un objeto o propiedad de objeto. Por ejemplo, al grupo Finance se le pueden conceder permisos de lectura y escritura para un archivo denominado Payroll.dat.
Mediante la interfaz de usuario del control de acceso, puede establecer permisos NTFS para objetos como archivos, objetos de Active Directory, objetos del Registro u objetos del sistema, como procesos. Se pueden conceder permisos a cualquier usuario, grupo o equipo. Se recomienda asignar permisos a grupos porque mejora el rendimiento del sistema al comprobar el acceso a un objeto.
Para cualquier objeto, puede conceder permisos a:
- Grupos, usuarios y otros objetos con identificadores de seguridad en el dominio.
- Grupos y usuarios de ese dominio y de cualquier dominio de confianza.
- Grupos locales y usuarios en el equipo donde reside el objeto.
Los permisos asociados a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se pueden adjuntar a un archivo son diferentes de los que se pueden adjuntar a una clave del Registro. Sin embargo, algunos permisos son comunes a la mayoría de los tipos de objetos. Estos permisos comunes son:
- Leer
- Modificar
- Cambiar propietario
- Eliminar
Cuando se establecen permisos, se especifica el nivel de acceso para grupos y usuarios. Por ejemplo, puede permitir que un usuario lea el contenido de un archivo, permitir que otro usuario realice cambios en el archivo e impedir que todos los demás usuarios accedan al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurar la impresora y otros usuarios solo puedan imprimir.
Cuando necesite cambiar los permisos de un archivo, puede ejecutar el Explorador de Windows, hacer clic con el botón derecho en el nombre del archivo y seleccionar Propiedades. En la pestaña Seguridad , puede cambiar los permisos en el archivo. Para obtener más información, consulte Administración de permisos.
Nota
Otro tipo de permisos, denominados permisos de recurso compartido, se establece en la pestaña Uso compartido de la página Propiedades de una carpeta o mediante el Asistente para carpetas compartidas. Para obtener más información, vea Permisos de recursos compartidos y NTFS en un servidor de archivos.
Propiedad de objetos
Un propietario se asigna a un objeto cuando se crea ese objeto. De forma predeterminada, el propietario es el creador del objeto. Independientemente de qué permisos se establezcan en un objeto, el propietario del objeto siempre puede cambiar los permisos. Para obtener más información, vea Administrar la propiedad del objeto.
Herencia de permisos
La herencia permite a los administradores asignar y administrar permisos fácilmente. Esta característica hace que los objetos de un contenedor hereden automáticamente todos los permisos heredados de ese contenedor. Por ejemplo, los archivos de una carpeta heredan los permisos de la carpeta. Solo se heredan los permisos marcados para heredar.
Derechos de usuario
Los derechos de usuario conceden privilegios específicos y derechos de inicio de sesión a usuarios y grupos del entorno informático. Los administradores pueden asignar derechos específicos a cuentas de grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.
Los derechos de usuario son diferentes de los permisos porque los derechos de usuario se aplican a las cuentas de usuario y los permisos están asociados a objetos. Aunque los derechos de usuario se pueden aplicar a cuentas de usuario individuales, los derechos de usuario se administran mejor en función de una cuenta de grupo. No hay compatibilidad en la interfaz de usuario del control de acceso para conceder derechos de usuario. Sin embargo, la asignación de derechos de usuario se puede administrar a través de configuración de seguridad local.
Para obtener más información sobre los derechos de usuario, consulte Asignación de derechos de usuario.
Auditoría de objetos
Con los derechos del administrador, puede auditar el acceso correcto o erróneo de los usuarios a los objetos. Puede seleccionar qué acceso a objetos auditar mediante la interfaz de usuario del control de acceso, pero primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en Directivas locales en Configuración de seguridad local. A continuación, puede ver estos eventos relacionados con la seguridad en el registro de seguridad en Visor de eventos.
Para obtener más información sobre la auditoría, consulte Información general sobre auditoría de seguridad.
Ver también
Para obtener más información sobre el control de acceso y la autorización, consulte Access Control e Información general de autorización.