Ens solem referir a Les Llistes de Control d’Accés porsus sigles en anglès, és a dir, com ACLO Access Control List. Les ACL són unaespecie de taules que li diuen a el Sistema Operatiu què o qui té permisopara accedir a un objecte determinat i són exclusives de particions conformato NTFS. Tots aquests permisos poden ser modificats amb la comanda “cacls”. En aquest article veurem com fer-ho i definirem sobre quins objectes i / ocontenedores podem aplicar aquests permisos.
Descriptors de seguretat i ACL
Qualsevol objecte en un Windowscon nucli NT i sobre un sistema d’arxius NTFS té associats unosparámetros de seguretat emmagatzemats en els anomenats descriptors de seguretat. En un descriptor de seguretat estáguardado qui és el propietari de l’objecte i a quin grup de usuariospertenece, així com qui té accés a l’objecte i quin tipus de permisos tienede accés. Aquests permisos estan guardats en les anomenades ACLs (en anglès, Access Control List) o Llistes de Control d’Accés.
En principi, els descriptors deseguridad no estan emmagatzemats concretament a cap carpeta. Ho estan enforma de metadades a la MFT. Per tant, directament no podem accedir a aquests descriptors ni editar-(directament) .A el màxim que podem arribar és a veure’ls encriptades en el registre deWindows. Per exemple: vam iniciar sessió amb un compte d’Administrador i nosvamos a Inici > Executar i escrivim regedit.Si naveguem fins a la clau que apareix a la imatge, veurem el valor Security. Aquest és el descriptor deseguridad associat a el servei “Registre de successos”.
Però mitjançant la GUI o utilitzant la comanda cacls podem modificar-los.
a
LES ACLs
La comanda cacls s’encarrega de gestionar les ja esmentades Llistes de Control d’Accés (en adelanteACL). Hi ha dos tipus d’ACL: DACL i SACL. Vegem breument cadascuna: a
DACL: són les sigles de “Discretionary Access Control List”, és a dir, Llista discrecional de control deacceso. En ella estan emmagatzemats els permisos d’accés a l’objecte i escontrolada pel propietari d’aquest objecte.
SACL: són les sigles de “System Access control List”, o Llista de control d’accés de l’sistema.Está relacionada amb les accions que seran auditades pel sistema.
Una ACL conté una ACE (o “Access Control Entry”, Entrada decontrol d’Accés) que indica quins permisos té cada usuari. És a dir, una ACE per a cada usuari o grup. els permisos s’assignen en forma de permisospositivos (permet) i negatius (denega). Com veurem, en unaACL primer estan situats els permisos negatius ia continuació losnegativos. Com podem observar això visualment? a
Per veure’ls hem d’accedir ala pestanya “Es retat “que apareix a l’fer clic dret sobre una carpeta oarchivo. En aquesta FAQ número 6 hi ha informació sobre cómoacceder a aquesta pestanya a Windows XP. Si fem clic dererecho sobre unacarpeta i triem Propietats i després la pestanya “Seguretat”, veurem que nosaparecen els diferents usuaris i els permisos que tenen sobre aquesta carpeta.En aquesta finestra, però, no veurem més que un resum dels distintospermisos, sent aquests més i més complexos. Per veure’ls, ho farem amb unejemplo: a
Si iniciem sessió amb un usuari limitat, i vam crear una carpetacualquiera amb el nom que vulguem i en la ubicació que vulguem. Anem adenegarle a l’usuari administrador l’accés a aquesta carpeta (denegació que, porser el admistrador podria després treure …). Click dret sobre la carpeta > Propietats > Seguretat i veiem aquí a l’usuari administrador. Per quitarlelos permisos, pichamos sobre “Opcions avançades” i desmarquem Heretar de l’objecte principal les entrades depermisos relatives als objectes secundaris. Després tornem a la anteriorventana i seleccionem l’usuari adminstrador i després sobre les caselles quehay sota de “Denegar”. Ens apareixerà el següent missatge: amor
Estáestableciendo una entrada de denegació de permisos. les entrades de denegacióntienen precedència sobre les entrades de permissió. Això vol dir que si unusuario és membre de dos grups, un a què se li dóna un permís i un altre a quese li denega, a l’usuari se li denega el permís. Voleu continuar? a
Punxem sobre “d’acord” i lehabremos tret els permisos d’accés.Com clarament diu el missatge, lospermisos de denegació tenen precedència sobre els de permissió. Vegem ahoravisualmente aquesta precedència. Si tornem punxar sobre “Opcions avançades” veurem que apareixen a el principi de la llista dels permisos titulats “Denegar” i sota els titulats “Permetre” .Si no especifiquem altres tipus de permisos, apareixerà “Full control”, però sitges espeficicamos veurem que aquí apareixen permisos més concrets que en laventana general.
Aquests són els permisosalmacenados en una DACL. Com s’ha comentat en una SACL estan continguts lospermisos a auditar pel sistema. Aquesta característica no està disponible en XP Home i només podem fer-la en Prof. Paraello, accedim a la pestanya “Seguretat” i després punxem sobre “Opcionesavanzadas”. Veurem que una de les pestanyes que apareixen és Auditoria, és a dir, el contingut de la SACL.
La comanda cacls
Com hem dit les ACLs determinen que usuaris o gruposde usuaris poden tenir accés a un objecte determinat i és una característicaexclusiva dels sistemes de archivosNTFS.
De fet aquesta comanda pot simplificar bastant lamodificacion de permisos mitjançant l’ús de scripts automatitzats quemodifiquen aquestes ACLs i el seu ús és possible en qualsevol sistema amb nucli NT, és a dir, que el podem utilitzar tant en xp home com en xp prof.
Hem de recordar que Windows 2000 i Windows XP profesionalya porten un editor ACL a el qual podem accedir fent clic amb el botonderecho sobre la carpeta o arxius cuyopermisos desitgem modificar, clic a propietats, i en el nou quadre dedialago, seleccionant la pestanya “Seguretat”.
Amb calcs, en canvi, no cal fer res adicionalya que és funcional tant en WinXP Home com en Prof, simplificant enormementela tasca d’assignar permisos sobre usuaris , contenidors o objectes. Estecomando és en realitat equivalent als comandaments chmod i chown de linux, que serveixen, respectivament, per a variar-permisos de carpetes i arxius i per modificar el propietari de esascarpetas.
Quan un objecte o arxiu és creat aquest hereta normalmentelos permisos per defecte de la carpeta o contenidor en el qual és creadosimplificando el procés d’administració sobre els objectes continguts en ella. Els permisos bàsics que permeten establir en qualsevol Sistema Operativocon nucli NT, són els següents: a
Permisos a
Llegir. Habilita a un Usuari o grups deusuarios a veure els arxius i subcarpetes continguts en l’directorioprincipal.
Escriure. Habilita un usuari a crear arxiu ysubcarpetas, canviar els atributs i veure el propietari i els permisosaplicados sobre la carpeta així com a modificar el contingut de l’arxiu ocarpeta
Mostra el contingut de la Carpeta. Aquest tipus de permís, habilita veure el contingut de unacarpeta, ia recórrer la seva estructura de directoris o executar els arxius que tinguin esaposibilidad, també habilita a llegir els atributs de l’arxiu en qüestió i aleer el contingut dels mateixos
Lectura i Execució. Aquest tipus de Permís uneix els drets otorgadospor els permisos “Llegir” i “Mostra el contingut d’una carpeta”, és a dir, quelos permisos atorgats serien similars als que hem comentat abans per elpermiso Mostra Contingut. L’única diferència entre aquest tipus de permisoy el de mostrar contingut consisteen com s’hereten els permisos. En el cas de Lectura i Execució, els permisos són heretats per tots els directoriosy arxius continguts en la carpeta en la qual s’apliqui el permís de lectura i execució. En el cas de Mostra el contingut de la carpeta, els permisosse hereten únicament sobre les carpetes creades.
Modificar. Aquest és un dels permisos que més derechosotorgan sobre la carpeta o arxius en els quals s’apliqui ja que habilita todosy cada un dels permisos explicats anteriorment excepte el de prendre possessió i EliminarSubcarpetas i Arxius i Canviar lospermisos, ja que aquests només poden ser portats a terme pel permís Control total.
Control Total. Com hem dit aquest permís diguem que engloba tots els descrits amb anterioridadda el control total sobre qui s’atorgui, inclosa la possibilitat de tomarposesión. Que el seu procés teniu definidoen les nostres FAQs i que sol ser una característica exclusiva el grup deadministradores.
El concepte de Prendre Possessió esfácilmente comprensible, si entenem que el sistema de permisos NTFS recuerdael propietari de l’arxiu.Així, per a les carpetes que contenen els perfils deusuarios en Documents and Settings, elpropietario sempre és l’usuari els arxius es contenen en aquestes carpetasy té per defecte Control Total, sobresus arxius i carpetes, de manera que per defecte sempre podrà modificar suspermisos per denegar accés a altres usuaris. Quan un altre usuari Presa Possessió d’una carpeta significaque assumeix la propietat de la carpeta i de el contingut de la mateixa, si així loindicamos en el procés de possessió. Es descriu en aquesta FAQ nombre 7. a
El color gris tènue que podem veure a l’accedir a la pestanya seguretat de unarchivo en qüestió sol indicar-nos que aquest permís està heretat delcontenedor principal, podem desactivar-lo, simplement titllant l’opció contrària, o bienrealizando els canvis en el contenidor principal, de manera que es aplicaránestos permisos a tot el contingut de la carpeta.
Per defecte, aquests permisos poden ser aplicats sobre usuaris concrets i específicosde nostre sistema o bé sobre grups d’usuaris. Al Windows XP es definenuna sèrie d’usuaris per defecte, que són els següents:
Grups d’Usuaris
Usuaris
Aquest grup és el que més restriccions imposa en el sistema però amb el que més segur és treballar. A el Grup Usuaris no leestá permès modificar el registre, ni modificar els arxius de l’sistema operatiu, o els Arxius de Programa, en la pràctica suposa que no puedeninstalar programari. Encara que té Control Total, sobre els arxius que ells creuen i sobre supropia branca de l’registre, HKEY_CURRENT_USER, també se’ls permet apagar elPC.
A la pràctica és una cosa molest treballar coneste tipus d’usuari ja que no permet l’execució de multitud de softwareanterior a Windows XP que no suporten els nous permisos NTFS i estándiseñados per versions anteriors d’aquest sistema operatiu.
UsuariosAvanzados
aquest grup imposa menys restriccions que el grup de usuaris però més que el d’administradors. Diguem que està a mediocamino entre els dos grups. En realitat, molts dels problemes derestricciones que es donen a l’executar programari en el nostre equip, es solventancon la utilització d’aquest tipus d’usuari. Els usuaris Avançats poden, per tant, executar aplicacions dissenyades per a Sistemes Operatius amb nucli NTanteriores a Windows 2000. Iniciar i aturar serveis que no siguin els basicosy els que s’inicien per defecte amb el sistema operatiu, instalarcualquier programa que no modifiqui els arxius de sistema operatiu i teneracceso a les dades de el grup d’usuaris, llevat que aquests els retirenespecíficamente el permís d’accés als seus arxius.
Operadoresde còpia de seguretat a Son usuariosdestinados a crear i restaurar còpies de seguretat, i les accions es aplicanindependientemente de sistema de permisos especificat en el sistema operatiu. Aquests usuaris poden iniciarsesión en el nostre sistema i també apagar-lo.
Administradors
Aquest és el que més poder atorga en el sistema i només s’hauria d’utilitzar per les tasques específiques que estan destinats aellos, com ara: instal·lació de components de el sistema operatiu, és a dir, controladors, serveis, actualizacionesy Service Packs, reparació de sistema operatiu, administració d’auditories i gestió ycontrol de permisos sobre contenidors i objectes, i administració de grups deusuarios.
Convidats: Els usuaris que pertanyen a aquest grup tienenlos mateixos permisos que el grup d’usuaris, i està destinat per a proporcionaracceso a tot aquell que no tingui un compte s’especifica en el sistema. Al Windows XP, per defecte, aquests usuaris nopueden apagar el sistema, ia més es troba el compte desactivada ja que nose requereix contrasenya per accedir com a convidat al nostre sistema operatiu, amb els problemes de seguretat que això podria comportar.
Bàsicament, hem passat revista als grups deusuarios que Windows XP / Windows 2000 proveeix, però hi ha encara una sèrie deusuarios especials que no hem definit encara i que també són utilitzats porWindows:
xarxa a Comprendea tots els usuaris que tenen accés al nostre equip a través de la xarxa.
UsuarioTerminal Server
Quan hem habilitat Terminal Server al nostre equipopara accedir de manera remota a nuestramáquina, aquest grup s’habilita i comprèn a tots els usuaris que haniniciado sessió mitjançant Terminal Server.
Operadoresde configuració de xarxa
En aquest grup s’enquadren tots els usuaris quepueden modificar la configuració de TCP / IP de les propietats de xarxa. Per defecte no té cap usuariopredefinido.
– Grups especials
Duplicadors
És un grup destinat a integrar losusuarios que poden replicar un directori en el servei de replicació de rxius en un controlador de domini. En estacions client i en PC que noestén integrats en un domini no té sentit afegir usuaris a aquest grup.
System a Esuno dels grups especials de Windows, i en el no hi ha cap usuariopredefinido ja que està exclusivament dedicat a l’accés de fitxer perquè processos essencials de sistema operativose puguin dur a terme.
UsuariosInteractivos empresa Grup que identificaal usuari actualment loguejat al nostre sistema operatiu.
Sintaxi de la comanda cacls
la sintaxi de la comanda és biensencilla, tot i que té diversos modificadors o paràmetres.
Abans de continuar comentar que todolo que segueix es teclejarà des de la consola de comandaments. És a dir, Inici > Executar i escrivim cmd i ahípodemos teclejar tot el que segueix.
La sintaxi més immediata delcomando cacls és la següent: a
cacls nombre_de_archivo
Per exemple, si tenim en elescritorio un arxiu anomenat ejemplo.exepues teclegem: a
cacls escriptori \ ejemplo.exe a
i ens sortiran els permisos quetiene assignat aquest arxiu. Igualment podem podem usar variables deentorno o la ruta completa de l’arxiu. Per exemple, si volem consultar lospermisos de l’arxiu explorer.exe queestá a la carpeta WINDOWS, podem escriure: amor
cacls% windir% \ explorer.exe
o bé
cacls c: \ windows \ explorer.exe a
Com sempre, si la ruta contieneespacios, cal introduir cometes: a
cacls “% USERPROFILE \ la carpeta \ exam.exe “a
Com gairebé tots els ordres deWindows, aquest també compta amb una sèrie de modificadors, que són: a
/ T Amb aquest modificador podemoscambiar els permisos a tots els arxius d’una carpeta i subcarpetes.
/ i amb ell podem modificar l’ACL sense canviar-la.
/ C És, diguem, el modosilencionso. Si a l’modificar les ACLs troba algun error, el omet i segueix modificant-la.
/ G Aquest és el comandament paraconceder permisos a un usuari en particular. Els permisos són els següents: a
Nningún permís a Wpermiso d’escriptura a Cpermiso de canviar a Fcontrol total a
per exemple, per concedir-li alusuario Usuari permisos d’escriturasobre l’arxiu ejemplo.exe que estáen la carpeta “carpeta personal” de l’escriptori, podríem fer-ho de lasiguiente forma: a
cacls “% USERPROFILE% \ escriptori \ carpeta \ ejemplo.exe” / gUsuario: w
/ R Aquesta comanda suspèn lospermisos a un usuari i actua conjuntament amb / e (ja que / i modifica l’ACL però no la canvia)
/ p Aquesta comanda substitueix lospermisos de l’usuari
/ d denega a un usuari elacceso.
per exemple, per denegar alusuario User l’accés a l’archivoanterior, escrivim: a
cacls “% USERPROFILE % \ Escriptori \ carpeta “\ ejemplo.exe / d User
Si ens equivoquem a l’escriure elnombre de l’usuari ens apareixerà un missatge com aquest:
No seha efectuat cap assignació entre els noms de compte i losidentificadores de seguretat.
Quan es consultin permisossobre carpetes podem obtenir les següents abreviatures: a
OI que es refereix al fet que els objectes creats sota el directori heretaran el permís
CI que es refereix al fet que lossubdirectorios creats sota aquest directori heretaran el permís
IO que fa referència al fet que elpermiso no afectarà directori i per tant només ho herederán lossubdirectorios
(IO) (CI) els permisos ho tomarála carpeta i el herederán les subcarpetes i arxius
(OI) (CI) (IO) els permisos només loheredarán subcarpetes i arxius
(CI) (IO) el permís només loheredarán les subcarpetes
(IO) (IO) el permís només loheredarán els arxius
Cap sortida es refereix només a aquesta carpeta a
A l’hora de consultar ymodificar permisos podem utilitzar caràcters comodins per fer-ho a diversos a lavez. Per exemple: a
cacls% windir% \ *. Exe a
Ens donaria tots els permisos delos arxius amb extensió exe de la carpeta Windows. També podem assignar avarios usuaris permisos sobre un mateix fitxer amb un sol comandament: a
cacls “% USERPROFILE% \ escriptori \ carpeta \ ejemplo.exe” / gUsuario: w / d User2 a
li donaria a l’usuari usuari permisos d’escriptura sobre el fitxer tal com ja User2 se’ls denegaria.
cacls “% USERPROFILE% \ escriptori \ carpeta \ ejemplo.exe” / g Usuari: wUser2: f a
li donaria a l’usuari usuari permisos d’escriptura sobre el fitxer tal i a l’usuari User2 controltotal.
Finalment, veurem que alejecutar alguna acció de permisos se’ns pregunta si estem segurs o no delo que farem. Per evitar aquest missatge teclegem el següent:
trobo I | cacls “% USERPROFILE% \ escriptori \ carpeta personal \ ejemplo.exe “/ gUsuario: w User2: f a
tenint en compte que entre la” i “i el símbol | no hi ha ningúnespacio.
L’eina XCACLS, 1 Caclsmejorado
Xcacls és una eina porlínea de comandes que pot mostrar informació en pantalla que la herramientasucedánea cacls no pot mostrar. L’eina que citem es pot descargardesde aquí.
Aquesta eina és especialment útil per mostrar i establir permisosNTFS especials, i sobretot per automatitzar scripts per línia de comandosque estableixin els permisos inicials de carpetes i arxius en instalacionesdesatendidas.
La seva sintaxi és semblant a la de la comanda cacls i estan descrites en esteartículo de la KB.
{jos_sb_discuss: 2}