El registro: configurando seguridad

Puede que la seguridad no sea el tema relacionado con el registro más interesante o popular, aunque para los administradores debería ser uno de los importantes.

Hay centenares de facetas de la seguridad, pero aquí vamos a ver sólo uno: El registro. Podemos cambiar la ACL de una llave, auditar las llaves, tomar su propiedad, pero no podemos hacer estos cambios en valores individuales como los haríamos en archivos individuales.

El que podamos editar las ACL de las llaves no significa que debamos hacerlo. Cambiar la seguridad del registro no es muy buena idea a menos que se tenga una razón de peso para hacerlo. A lo mejor, haremos un cambio irrelevante, pero a lo peor, impedimos el funcionamiento correcto de Windows. Hablar de ello no significa que hayamos de cambiar las cosas, pero si que hay que conocerlas y entenderlas para el caso en que sí nos veamos obligados a cambiarlas.

Ejemplo: Tenemos una aplicación que los usuarios solamente pueden ejecutar si pertenecen al grupo de administradores, en un entorno corporativo normalmente esto no es deseable. La solución podría ser implementar Windows con permisos personalizados para que dichos usuarios puedan ejecutar esos programas como del grupo usuarios o usuarios avanzados. Dos metodos para implementar permisos personalizados: manualmente, usando regedit; o, usando una plantilla administrativa donde realizamos la aplicaión de permisos que deseamos y luego aplicamos esa plantilla al equipo. Por supuesto no queremos ir de escritorio a escritorio implementando la plantilla, así que la implementamos en nuestros discos/imagénes para instalación (nuevos equipos) o usamos directivas de grupo para ello: creamos una gpo importamos la plantilla y así creamos una nueva directiva de grupo para nuestra red. Los permisos los aplicará Windows automáticamente mediante la plantilla al equipo y usuario dentro del ámbito de la GPO.

Establecer permisos en llaves

La seguridad en el registro es similar a la seguridad del sistema de archivos exceptúando que podemos establecer permisos solamente en llaves y no en valores individuales.

Si tenemos control total o la propiedad de una llave del registro, podemos editar los permisos de grupos y usuarios de su ACL.

    1. Con Regedit, clic en la llave a la que queremos editar su ACL.
    2. En el menú Edición, clic en permisos.
    3. En la lista de usuarios y grupos, clic en el cual queremos editar los permisos y seleccionar las casillas de verificación de permitir, denegar según conveniencia:
      • Control total. Asigna o le da el permiso al usuario o grupo para abrir, editar y tomar la propiedad de la llave. Literalmente, todo.
      • Lectura. Asigna o da el permiso al usuario o grupo para leer los contenidos de la llave, pero no realizar cambios. Es sólo-lectura.
      • Permisos especiales. Asigna o da permisos al usuario o grupo de forma combinada. Para asignarlos debemos acceder a Opciones Avanzadas.

keysecurity01

Algunas veces tendremos algunos permisos difuminados, significa que no podemos cambiarlos, normalmente es porque la llave hereda el permiso desde una llave padre. Podemos quitarle la herencia si fuera el caso.

Usando los mismos pasos podemos tanto añadir como eliminar usuarios o grupos en lugar de editar los permisos de los existentes.

Asignar permisos especiales

Los permisos especiales nos permiten un mayor afinamiento en el control de las ACL de las llaves que el Control Total o Leer. Podemos permitir a usuarios el crear sub-llaves, establecer valores, leerlos y algunos más. Para ello:

  1. Con RegEdit, clic en la llave a que le queremos editar su ACL.
  2. En el menú Edición, clic Permisos.
  3. Clic en Avanzadas.
  4. Doble clic en el usuario/grupo o lo añadimos.

    specialpermissions01 

  5. De los combos, desplegar Aplicar a: y entonces seleccionar de la lista el deseado.
    1. Esta Clave. Los permisos sólo se aplicarán a la clave seleccionada.
    2. Esta clave y sus subclaves. Los permisos se aplicarán a la clave seleccionada y a todas sus subclaves.
    3. Subclaves solo. Los permisos se aplicarán a todas las subclaves de la clave seleccionada pero no a ésta.
  6. En la lista de permisos, seleccionaremos las casillas de Permitir o Denegar en cada permiso deseado.
    1. Control total. Todos los permisos
    2. Consultar valor. Leer el valor de la llave
    3. Establecer valor. Establecer valor de la llave
    4. Crear subclave. Crear subclaves en la clave
    5. Enumerar subclaves. Identificar las subclaves de la clave
    6. Notificar. Recibir notificaciones de eventos desde la clave.
    7. Crear vínculo. Crear vínculos simbólicos en la clave
    8. Eliminar. Eliminar la clave y sus valores
    9. Escribir DAC. Escribir la lista de acceso de la clave
    10. Escribir propietario. Cambiar el propietario
    11. Controles de lectura. Leer la lista del control de acceso de la clave.

Sobre la herencia: Con la herencia habilitada, las subllaves heredan los permisos de sus llaves padre, es decir, si le damos permiso Control Total a una llave, sus subllaves heredarán el mismo permiso. Podemos cambiar esto e impedir la herencia, desde el cuadro de diálogo de Opciones avanzadas y desmarcando la casilla correspondiente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *