Seguridad: permisos usando grupos

Permisos de Active Directory, Archivo y Registro.

Los permisos sobre AD, archivo y registro se conceden usando DACLs(discretionary access control lists). Concedemos permisos a objetos mediante la creación de un ACE(access control entry) para la cuenta o grupo del que la cuenta es miembro.

Repasemos un poco…

Tipos y ámbito de los grupos.

En Windows Server 2003, Windows 2000 y Windows XP podemos organizar los usuarios y otros objetos del dominio en grupos para administrarles los derechos y permisos. Definir grupos de seguridad es una premisa para asegurar redes distribuidas.

Podemos asignar los mismos permisos a un número de cuentas grande con solamente una operación usando grupos de seguridad. Ello asegura permisos y derechos a todos los miembros de un grupo. El uso de los grupos para asignar derechos y permisos significa también que las ACLs, en los recursos, permanecen inalteradas y son más fáciles de controlar y auditar. Las cuentas de usuario que necesiten acceder a un recurso específico sólo han de ser añadidas o eliminadas del grupo apropiado, sin necesidad de cambiar las ADLs frecuentemente, son pequeñas y fáciles de interpretar.

Grupos especiales

Hay algunos grupos cuya pertenencia, aún siendo administradores, no se pueden administrar, se denominan grupos especiales. La pertenencia a un grupo especial se obtiene por las cuentas automáticamente como resultado de su actividad en el equipo o en la red. Es esencial entender como funcionan estos grupos ya que son frecuentemente mal usados y pueden seriamente afectar a la seguridad de la red si no se implementan adecuadamente.

Grupos del equipo local

Los grupos del equipo local son grupos de seguridad que son específicos para él y no se reconocen en otro lugar, sea el dominio u otros equipos. Estos grupos son el medio principal de administración de derechos y permisos sobre recursos en un equipo local. Existen varios tipos de grupos integrados locales predeterminados en equipos con Windows Server 2003, Windows 2000 o Windows XP.

  • Administradores
  • Operadores de copia
  • Invitados
  • Usuarios avanzados
  • Duplicadores
  • Usuarios
  • HelpServicesGroup
  • Operadores de configuración de red
  • Usuarios de escritorio remoto.
La configuración de seguridad predeterminada para usuarios avanzados (desde Windows 2000) es compatible con la predeterminada para usuarios en Windows NT. Esto permite a los usuarios avanzados ejecutar aplicaciones antiguas que no están certificadas para Windows Server 2003, Windows 2000 y Windows XP Professional y que por tanto no pueden ser ejecutadas en el contexto de seguridad más seguro de usuarios. En un entorno seguro, deberíamos estudiar la forma de ejecutar las aplicaciones bajo el contexto de usuarios y no hacer a los miembros de usuarios miembros a su vez de usuarios avanzados. Los usuarios avanzados pueden llevar a cabo más operaciones en el propio sistema, como cambiar la hora y la fecha, modificar la configuración de pantalla y crear cuentas de usuario y recursos compartidos.
También pueden modificar:

          * HKEY_LOCAL_MACHINESoftware
          * Program Files
          * %Windir%
          * %Windir%System32

Por lo que un no-administrador podría cambiar archivos en el último directorio y tomar el control del sistema operativo. Es una razón por la que los usuarios avanzados deberían considerarse como administradores locales a todos los efectos.

 

Además de los grupos integrados, pueden crearse grupos locales adicionales que adecuen las necesidades de seguridad de nuestra organización. Podemos añadir grupos globales desde cualquier dominio de confianza a los grupos locales para conceder derechos y permisos sobre los recursos locales. No podemos añadir grupos locales desde un equipo a grupos locales de otro equipo.

Grupos integrados del dominio

Al igual que existen grupos integrados del equipo local existen grupos integrados en dominios de Active Directory. Estos grupos tienen delegados derechos y permisos.

  • Administradores
  • Operadores de copia
  • Operadores de servidores
  • Operadores de cuentas
  • Operadores de impresión
  • Grupo compatible Pre-Windows 2000
  • Duplicadores, invitados y usuarios, que funcionan igual que en los equipos locales pero esta vez con el ámbito de todos los equipos del dominio.

Grupos locales de dominio

Estos grupos existen en dominios Windows 2000 o Windows Server 2003 al ser convertidos a modo nativo. Estos grupos pueden contener miembros de cualquier parte del bosque, bosques de confianza o dominios de confianza pre-Windows 2000. Estos grupos sólo se pueden utilizar para asignar permisos a recursos en equipos que son miembros del dominio en el que existen.

Grupos globales

Los grupos globales en dominios Windows 2000 y Windows Server 2003 pueden contener cuentas desde sus propios dominios y pueden usarse para establecer las ACLs en todos los dominios de confianza. Una vez convertido el dominio a modo nativo, los grupos globales pueden anidarse, es decir, pueden contener a su vez otros grupos globales del mismo dominio. Nunca contendran cuentas o grupos globales de otros dominios, sin importar que el dominio sea mixto o nativo.

  • Administradores del dominio
  • Administradores de Empresa (desde Windows 2000)
  • Administradores de Esquema (desde Windows 2000)
  • Servidores RAS e IAS (desde Windows 2000)
  • Propietarios del creador de directivas de grupo

Grupos universales

Si el dominio está en modo nativo podemos usar grupos de seguridad universales. Como los grupos globales se pueden usar en cualquier dominio de confianza. Sin embargo, estos grupos pueden tener miembros desde cualquier dominio en el bosque. Por el ámbito del que dispone, la pertenencia a grupos universales se almacena en el catálogo global. El catálogo global se replica totalmente en todo el bosque, lo que significa que la pertenencia a grupos universales debería permanecer bastante estática, especialmente en bosques donde la convergencia no se produce rápidamente.

Implementar seguridad basada en funciones

Todos los derechos y permisos se otorgan sobre una base discrecional, lo que significa que cualquier cuenta con Control Total, puede dar o denegar permisos en un objeto a otros principales de seguridad. Para crear una red segura, debemos crear una estructura para otorgar derechos y permisos que sea escalable, flexible, gestionable y por encima de todo, segura. Con una estructura basada en funciones en la concesión de derechos y permisos podremos controlar el acceso a la información. Así, nunca se concederán o negarán permisos o derechos a cuentas especificas directamente, sino que en su lugar lo haremos en grupos basados en su trabajo o función.

En esta implementación, cada tipo de grupo se usa para un propósito especifico y crear una discreta separación de la cuenta y la asignación de permisos basados en la función o trabajo del usuario. Crear grupos de dominio local o grupos locales y asignarles permisos sobre recursos. Crear grupos globales basados en una función o trabajo, emplazarlos en los grupos de dominio local o grupos locales creados y luego colocar a los usuarios en el grupo global apropiado.

grupos

Grupos Universales vs. Grupos Globales

En modo nativo disponemos de la posibilidad de utilizar Grupos Universales, pero ¿cuándo deberíamos usarlos?

Primero, cuando más de un recurso con las mismas necesidades de seguridad existe en muchos dominios del bosque y los usuarios de estos recursos también existen en muchos dominios del bosque. No podemos conseguir con elegancia este mapeo sin los grupos universales.

Segundo, podemos usar los grupos universales al asignar permisos sobre objetos de Active Directory en un bosque de múltiples dominios.

Beneficios de un estructura de seguridad basada en funciones:

  • Los grupos están segmentados en áreas discretas. Sólo los grupos de dominio local o los grupos locales tienen permisos asignados para ellos y contienen sólo grupos globales o universales. Además, los grupos globales contienen sólo cuentas u otros grupos.
  • Los permisos están en los recursos no en la cuenta. Esto permite a los administradores de recursos controlar la seguridad de los mismos, sin un acceso importante a las cuentas.
  • Los permisos pueden ser seguidos fácilmente.
  • Los permisos se controlan mediante administración de grupos, no cambiando los permisos en los recursos, haciendo así los registros de auditoría más fáciles de leer y administrar.

2 comentarios sobre “Seguridad: permisos usando grupos”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *