Entidades de seguridad
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
En este artículo de referencia se describen las entidades de seguridad de los grupos de seguridad y las cuentas de Windows, además de las tecnologías de seguridad relacionadas con las entidades de seguridad.
¿Qué son las entidades de seguridad?
Una entidad de seguridad es cualquier entidad que el sistema operativo pueda autenticar, como una cuenta de usuario, una cuenta de equipo o un proceso o subproceso que se ejecuten en el contexto de seguridad de una cuenta de usuario o de equipo, o los grupos de seguridad de estas cuentas. Las entidades de seguridad son desde hace mucho tiempo una base para controlar el acceso a recursos protegibles en equipos Windows. Cada entidad de seguridad se representa en el sistema operativo mediante un identificador de seguridad único (SID).
Nota
Este contenido solo pertenece a las versiones de Windows de la lista "Se aplica a" al principio del artículo.
Funcionamiento de las entidades de seguridad
Las entidades de seguridad creadas en un dominio de Active Directory son objetos de Active Directory que se pueden usar para administrar el acceso a los recursos de dominio. A cada entidad de seguridad se le asigna un identificador único, que conserva durante toda su duración. Las cuentas de usuario locales y los grupos de seguridad se crean en un equipo local y se pueden usar para administrar el acceso a los recursos de ese equipo. Las cuentas de usuario locales y los grupos de seguridad se administran mediante el Administrador de cuentas de seguridad (SAM) en el equipo local.
Componentes de la autorización y el control de acceso
En el diagrama siguiente se muestra el proceso de autorización y control de acceso de Windows. En el diagrama, el asunto (un proceso iniciado por un usuario) intenta acceder a un objeto, como una carpeta compartida. La información del token de acceso del usuario se compara con las entradas de control de acceso (ACE) del descriptor de seguridad del objeto y se toma la decisión de acceso. Los SID de las entidades de seguridad se usan en el token de acceso del usuario y en los ACE del descriptor de seguridad del objeto.
Proceso de autorización y control de acceso
Las entidades de seguridad están estrechamente relacionadas con los siguientes componentes y tecnologías:
- Identificadores de seguridad
- Tokens de acceso
- Descriptores de seguridad y listas de control de acceso
- Permisos
Identificadores de seguridad
Los identificadores de seguridad (SID) proporcionan un bloque de creación fundamental del modelo de seguridad de Windows. Trabajan con componentes específicos de las tecnologías de autorización y control de acceso de la infraestructura de seguridad de los sistemas operativos Windows Server. Esto ayuda a proteger el acceso a los recursos de red y proporciona un entorno informático más seguro.
Un SID es un valor de longitud variable que se usa para identificar de forma única una entidad de seguridad que representa cualquier entidad que el sistema pueda autenticar. Estas entidades incluyen una cuenta de usuario, una cuenta de equipo o un proceso o subproceso que se ejecutan en el contexto de seguridad de una cuenta de usuario o de equipo. A cada entidad de seguridad se le asigna automáticamente un SID en el momento de su creación. El SID se almacena en una base de datos de seguridad. Cuando se usa un SID como identificador único para un usuario o grupo, nunca se puede usar para identificar a otro usuario o grupo.
Cada vez que un usuario inicia sesión, el sistema crea un token de acceso para ese usuario. El token de acceso contiene el SID del usuario, los derechos de usuario y los SID de los grupos a los que pertenece el usuario. Este token proporciona el contexto de seguridad para las acciones que realiza el usuario en ese equipo.
Además de los SID específicos del dominio creados de forma única que se asignan a usuarios y grupos específicos, hay SID conocidos que identifican grupos genéricos y usuarios genéricos. Por ejemplo, los SID Todos y El mundo identifican grupos que incluyen a todos los usuarios. Los SID conocidos tienen valores que permanecen constantes en todos los sistemas operativos.
Tokens de acceso
Un token de acceso es un objeto protegido que contiene información sobre la identidad y los derechos de usuario asociados a una cuenta de usuario.
Cuando un usuario inicia sesión de forma interactiva o intenta realizar una conexión de red a un equipo que ejecuta Windows, el proceso de inicio de sesión autentica las credenciales del usuario. Si la autenticación se realiza correctamente, el proceso devuelve un SID para el usuario y una lista de SID para los grupos de seguridad del usuario. La autoridad de seguridad local (LSA) del equipo usa esta información para crear un token de acceso (en este caso, el token de acceso principal). Esto incluye los SID devueltos por el proceso de inicio de sesión y una lista de derechos de usuario que la directiva de seguridad local asigna al usuario y a los grupos de seguridad del usuario.
Una vez que la LSA crea el token de acceso principal, se adjunta una copia del token de acceso a cada proceso y subproceso que se ejecuta en nombre del usuario. Cada vez que un proceso o subproceso interactúan con un objeto protegible o intentan realizar una tarea del sistema que requiere derechos de usuario, el sistema operativo comprueba el token de acceso asociado al subproceso para determinar el nivel de autorización.
Hay dos tipos de tokens de acceso, principal y de suplantación. Cada proceso tiene un token principal que describe el contexto de seguridad de la cuenta de usuario asociada al proceso. Normalmente, un token de acceso principal se asigna a un proceso para representar la información de seguridad predeterminada de ese proceso. Los tokens de suplantación, por otro lado, se usan para escenarios de cliente y servidor. Los tokens de suplantación permiten que un subproceso se ejecute en un contexto de seguridad diferente del contexto de seguridad del proceso que posee el subproceso.
Descriptores de seguridad y listas de control de acceso
Un descriptor de seguridad es una estructura de datos asociada a cada objeto protegible. Todos los objetos de Active Directory y todos los objetos protegibles de un equipo local o la red tienen descriptores de seguridad para ayudar a controlar el acceso a los objetos. Los descriptores de seguridad incluyen información sobre quién posee un objeto, quién puede tener acceso a él y de qué manera, y qué tipos de acceso se auditan. Los descriptores de seguridad contienen la lista de control de acceso (ACL) de un objeto, la cual incluye todos los permisos de seguridad aplicables a ese objeto. El descriptor de seguridad de un objeto puede contener dos tipos de lista de control de acceso (ACL):
Una lista de control de acceso discrecional (DACL), que identifica los usuarios y grupos a los que se permite o deniega el acceso.
Una lista de control de acceso del sistema (SACL), que controla cómo se audita el acceso.
Puede usar este modelo de control de acceso para proteger individualmente objetos y atributos, como archivos y carpetas, objetos de Active Directory, claves de registro, impresoras, dispositivos, puertos, servicios, procesos y subprocesos. Debido a este control individual, puede ajustar la seguridad de los objetos para satisfacer las necesidades de su organización, delegar la autoridad sobre los objetos o atributos y crear objetos o atributos personalizados que requieran la definición de protecciones de seguridad únicas.
Permisos
Los permisos permiten al propietario de cada objeto protegible, como un archivo, un objeto de Active Directory o una clave de registro, controlar quién puede realizar una operación o un conjunto de operaciones en el objeto o la propiedad del objeto. Los permisos se expresan en la arquitectura de seguridad como ACE. Dado que el acceso a un objeto es a discreción del propietario del objeto, el tipo de control de acceso que se usa en Windows se denomina control de acceso discrecional.
Los permisos son diferentes de los derechos de usuario en que los permisos se adjuntan a objetos, mientras que los derechos de usuario se aplican a las cuentas de usuario. Los administradores pueden asignar derechos de usuario a usuarios o grupos. Estos derechos autorizan a los usuarios realizar acciones específicas, como iniciar sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.
En los equipos, los derechos de usuario permiten a los administradores controlar quién tiene la autoridad para realizar operaciones que afectan a todo un equipo, en lugar de a un objeto determinado. Los administradores asignan derechos de usuario a usuarios individuales o grupos como parte de la configuración de seguridad del equipo. Aunque los derechos de usuario se pueden administrar de forma centralizada mediante una directiva de grupo, se aplican localmente. Los usuarios pueden tener derechos de usuario diferentes en equipos diferentes (y normalmente es así).
Para obtener información sobre qué derechos de usuario están disponibles y cómo se pueden implementar, consulte Asignación de derechos de usuario.
Contexto de seguridad en la autenticación
Una cuenta de usuario permite a un usuario iniciar sesión en equipos, redes y dominios con una identidad que el equipo, la red o el dominio pueden autenticar.
En Windows, cualquier usuario, servicio, grupo o equipo que pueda iniciar la acción es una entidad de seguridad. Las entidades de seguridad tienen cuentas, que pueden ser locales para un equipo o estar basadas en el dominio. Por ejemplo, los equipos cliente Windows unidos a un dominio pueden participar en un dominio de red comunicándose con un controlador de dominio, incluso aunque ningún usuario haya iniciado sesión.
Para iniciar comunicaciones, el equipo debe tener una cuenta activa en el dominio. Antes de aceptar las comunicaciones del equipo, la autoridad de seguridad local del controlador de dominio autentica la identidad del equipo y, a continuación, define el contexto de seguridad del equipo tal como lo haría para la entidad de seguridad de un usuario.
Este contexto de seguridad define la identidad y las funcionalidades de un usuario o servicio en un equipo determinado, o de un usuario, servicio, grupo o equipo en una red. Por ejemplo, define los recursos (como un recurso compartido de archivos o una impresora) a los que se puede acceder y las acciones (como Leer, Escribir o Modificar) que puede realizar un usuario, servicio o equipo en ese recurso.
El contexto de seguridad de un usuario o equipo puede variar de un equipo a otro, como cuando un usuario se autentica en un servidor o en una estación de trabajo distinta de la estación de trabajo principal del usuario. También puede variar de una sesión a otra, como cuando un administrador modifica los derechos y permisos del usuario. Además, el contexto de seguridad es diferente cuando un usuario o equipo funcionan de forma independiente, en un dominio de red mixto o como parte de un dominio de Active Directory.
Cuentas y grupos de seguridad
Las cuentas y los grupos de seguridad creados en un dominio de Active Directory se almacenan en la base de datos de Active Directory y se administran mediante herramientas de Active Directory. Estas entidades de seguridad son objetos de directorio y se pueden usar para administrar el acceso a los recursos del dominio.
Las cuentas de usuario locales y los grupos de seguridad se crean en un equipo local y se pueden usar para administrar el acceso a los recursos de ese equipo. Las cuentas de usuario locales y los grupos de seguridad se almacenan en el Administrador de cuentas de seguridad (SAM) del equipo local, que los administra.
Cuentas de usuario
Una cuenta de usuario identifica de forma única a una persona que usa un sistema informático. La cuenta indica al sistema que aplique la autorización adecuada para permitir o denegar el acceso de ese usuario a los recursos. Las cuentas de usuario se pueden crear en Active Directory y en equipos locales, y los administradores las usan para lo siguiente:
Representar, identificar y autenticar la identidad de un usuario. Una cuenta de usuario permite a un usuario iniciar sesión en equipos, redes y dominios con un identificador único que el equipo, la red o el dominio pueden autenticar.
Autorizar (conceder o denegar) el acceso a los recursos. Después de que un usuario se haya autenticado, se le concede el acceso a los recursos en función de los permisos que se le hayan asignado para el recurso.
Auditar las acciones que se llevan a cabo en una cuenta de usuario.
Windows y los sistemas operativos Windows Server tienen cuentas de usuario integradas, o puede crear cuentas de usuario para satisfacer los requisitos de su organización.
Grupos de seguridad
Un grupo de seguridad es una colección de cuentas de usuario, cuentas de equipo y otros grupos de cuentas que se pueden administrar como una sola unidad desde una perspectiva de seguridad. En los sistemas operativos Windows, hay varios grupos de seguridad integrados que están preconfigurados con los derechos y permisos adecuados para realizar tareas específicas. Además, puede (y normalmente lo hará) crear un grupo de seguridad para cada combinación única de requisitos de seguridad que se aplique a varios usuarios de su organización.
Los grupos pueden estar basados en Active Directory o ser locales de un equipo determinado:
Los grupos de seguridad de Active Directory se usan para administrar derechos y permisos para los recursos de dominio.
Los grupos locales existen en la base de datos SAM de los equipos locales (en todos los equipos basados en Windows), excepto en los controladores de dominio. Los grupos locales se usan para administrar derechos y permisos solo para los recursos del equipo local.
Mediante el uso de grupos de seguridad para administrar el control de acceso, puede hacer lo siguiente:
Simplificar la administración. Puede asignar un conjunto común de derechos, un conjunto común de permisos o ambos a muchas cuentas a la vez, en lugar de asignarlos a cada cuenta individualmente. Además, cuando los usuarios transfieren trabajos o abandonan la organización, los permisos no están vinculados a sus cuentas de usuario, lo que facilita la reasignación o eliminación de permisos.
Implementar un modelo de control de acceso basado en roles. Puede usar este modelo para conceder permisos mediante grupos con distintos ámbitos para los fines adecuados. Los ámbitos que están disponibles en Windows incluyen local, global, local del dominio y universal.
Minimizar el tamaño de las ACL y acelerar la comprobación de seguridad. Un grupo de seguridad tiene su propio SID; por lo tanto, el SID del grupo se puede usar para especificar los permisos para un recurso. En un entorno con varios miles de usuarios, si los SID de las cuentas de usuario individuales se usan para especificar el acceso a un recurso, la ACL de ese recurso puede llegar a ser enorme e imposible de administrar, y el tiempo necesario para que el sistema compruebe los permisos para el recurso puede ser inaceptable.
Para obtener descripciones e información de configuración sobre los grupos de seguridad de dominio definidos en Active Directory, consulte Grupos de seguridad de Active Directory.
Para obtener descripciones e información de configuración sobre identidades especiales, consulte Grupos de identidades especiales.