21Aug

Geek School: Aprendiendo Windows 7 - Acceso a los recursos

En esta instalación de Geek School, echamos un vistazo a la virtualización de carpetas, los SID y el permiso, así como también al sistema de cifrado de archivos.

Asegúrese de revisar los artículos anteriores en esta serie de Geek School en Windows 7:

  • Introducción a How-To Geek School
  • Actualizaciones y migraciones
  • Configuración de dispositivos
  • Administración de discos
  • Administración de aplicaciones
  • Administración de Internet Explorer
  • Aspectos básicos de direccionamiento IP
  • Redes
  • InalámbricoRedes
  • Firewall de Windows
  • Administración remota
  • Acceso remoto
  • Monitoreo, rendimiento y mantenimiento de Windows actualizado

Y estad atentos para el resto de la serie toda esta semana.

Folder Virtualization

Windows 7 introdujo la noción de bibliotecas que le permitía tener una ubicación centralizada desde la que podía ver los recursos ubicados en otras partes de su computadora. Más específicamente, la función de bibliotecas le permitió agregar carpetas desde cualquier lugar de su computadora a una de las cuatro bibliotecas predeterminadas, Documentos, Música, Videos e Imágenes, que son fácilmente accesibles desde el panel de navegación de Windows Explorer.

Hay dos cosas importantes que se deben tener en cuenta sobre la función de biblioteca:

  • Cuando agrega una carpeta a una biblioteca, la carpeta no se mueve, sino que se crea un vínculo a la ubicación de la carpeta.
  • Para agregar un recurso compartido de red a sus bibliotecas, debe estar disponible sin conexión, aunque también podría usar un trabajo alternativo utilizando enlaces simbólicos.

Para agregar una carpeta a una biblioteca, simplemente vaya a la biblioteca y haga clic en el enlace de ubicaciones.

A continuación, haga clic en el botón Agregar.

Ahora ubique la carpeta que desea incluir en la biblioteca y haga clic en el botón Incluir carpeta.

Eso es todo lo que hay.

El identificador de seguridad

El sistema operativo Windows usa SID para representar todos los principios de seguridad. Los SID son cadenas de longitud variable de caracteres alfanuméricos que representan máquinas, usuarios y grupos. Los SID se agregan a las ACL( listas de control de acceso) cada vez que otorga un permiso de usuario o grupo a un archivo o carpeta. Detrás de escena, los SID se almacenan de la misma manera que todos los demás objetos de datos: en binario. Sin embargo, cuando ve un SID en Windows, se mostrará con una sintaxis más legible. No es frecuente que veas alguna forma de SID en Windows;el escenario más común es cuando concedes permiso a alguien a un recurso, luego borras su cuenta de usuario. El SID aparecerá en la ACL.Así que echemos un vistazo al formato típico en el que verá los SID en Windows.

La notación que verá toma una cierta sintaxis. A continuación se muestran las diferentes partes de un SID.

  • Un prefijo 'S'
  • Número de revisión de estructura
  • Un valor de autoridad de identificador de 48 bits
  • Un número variable de sub-autoridad de 32 bits o valores de identificador relativo( RID)

Usando mi SID en la imagen de abajo dividiremos los diferentessecciones para obtener una mejor comprensión.

La estructura SID:

'S' - El primer componente de un SID es siempre una 'S'.Esto está prefijado a todos los SID y está ahí para informar a Windows que lo que sigue es un SID.
'1' - El segundo componente de un SID es el número de revisión de la especificación SID.Si la especificación SID fuera a cambiar, proporcionaría compatibilidad hacia atrás. A partir de Windows 7 y Server 2008 R2, la especificación SID aún está en la primera revisión.
'5' - La tercera sección de un SID se llama Autoridad de identificación. Esto define en qué alcance se generó el SID.Los valores posibles para estas secciones del SID pueden ser:

  • 0 - Autoridad nula
  • 1 - Autoridad mundial
  • 2 - Autoridad local
  • 3 - Autoridad del creador
  • 4 - Autoridad no única
  • 5 - Autoridad de NT

'21' - El cuarto componente es la sub-autoridad 1. El valor '21' se usa en el cuarto campo para especificar que las sub-autoridades que siguen identifican la Máquina Local o el Dominio.
'1206375286-251249764-2214032401' - Se llaman subautoridades 2,3 y 4 respectivamente. En nuestro ejemplo, esto se usa para identificar la máquina local, pero también podría ser el identificador de un Dominio.
'1000' - Sub-autoridad 5 es el último componente en nuestro SID y se llama RID( identificador relativo).El RID es relativo a cada principio de seguridad: tenga en cuenta que cualquier objeto definido por el usuario, aquellos que no sean enviados por Microsoft, tendrá un RID de 1000 o mayor.

Principios de seguridad

Un principio de seguridad es cualquier cosa que tenga un SID adjunto. Estos pueden ser usuarios, computadoras e incluso grupos. Los principios de seguridad pueden ser locales o estar en el contexto del dominio. Usted administra los principios de seguridad locales a través del complemento Usuarios y Grupos Locales, bajo administración de la computadora. Para llegar, haga clic derecho en el acceso directo de la computadora en el menú de inicio y seleccione administrar.

Para agregar un nuevo principio de seguridad del usuario, puede ir a la carpeta Usuarios y hacer clic con el botón secundario y elegir Nuevo usuario.

Si hace doble clic en un usuario, puede agregarlo a un Grupo de seguridad en la pestaña Miembro de.

Para crear un nuevo grupo de seguridad, vaya a la carpeta Grupos en el lado derecho. Haga clic derecho en el espacio en blanco y seleccione Nuevo grupo.

Compartir permisos y permiso NTFS

En Windows existen dos tipos de permisos de archivos y carpetas. En primer lugar, están los permisos de compartir. En segundo lugar, existen permisos NTFS, que también se llaman permisos de seguridad. La protección de carpetas compartidas generalmente se realiza con una combinación de Permisos de Compartir y NTFS.Como este es el caso, es esencial recordar que siempre se aplica el permiso más restrictivo. Por ejemplo, si el permiso de compartir da permiso de lectura de principio de seguridad a Todos, pero los permisos de NTFS permiten a los usuarios realizar un cambio en el archivo, el permiso de compartir tendrá prioridad y los usuarios no podrán realizar cambios. Cuando establece los permisos, LSASS( Autoridad de seguridad local) controla el acceso al recurso. Cuando inicia sesión, se le entrega un token de acceso con su SID.Cuando vaya a acceder al recurso, el LSASS compara el SID que agregó a la ACL( Lista de control de acceso).Si el SID está en la ACL, determina si se permite o no el acceso. No importa qué permisos uses, existen diferencias, así que echemos un vistazo para comprender mejor cuándo debemos usar qué.

Compartir permisos:

  • Solo se aplica a usuarios que acceden al recurso a través de la red. No se aplican si inicia sesión localmente, por ejemplo, a través de servicios de terminal.
  • Se aplica a todos los archivos y carpetas en el recurso compartido. Si desea proporcionar un tipo de esquema de restricción más granular, debe usar el Permiso NTFS además de los permisos compartidos
  • . Si tiene volúmenes formateados FAT o FAT32, esta será la única forma de restricción disponible para usted, ya que los Permisos NTFS no sondisponible en esos sistemas de archivos.

Permisos NTFS:

  • La única restricción en Permisos NTFS es que solo se pueden configurar en un volumen que está formateado en el sistema de archivos NTFS
  • Recuerde que los Permisos NTFS son acumulativos. Esto significa que los permisos efectivos de un usuario son el resultado de combinar los permisos asignados del usuario y los permisos de los grupos a los que pertenece el usuario.

Los nuevos permisos compartidos

Windows 7 se compraron junto con una nueva técnica de compartir "fácil".Las opciones cambiaron de Lectura, Cambio y Control total a Lectura y Lectura / Escritura. La idea era parte de la mentalidad de Grupo Hogar y facilita compartir una carpeta para personas que no saben leer y escribir. Esto se hace a través del menú contextual y se comparte fácilmente con su grupo en el hogar.

Si desea compartir con alguien que no está en el grupo de origen, siempre puede elegir la opción "Personas específicas. ..".Lo cual generaría un diálogo más "elaborado" donde podría especificar un usuario o grupo.

Solo hay dos permisos, como se mencionó anteriormente. Juntos, ofrecen un esquema de protección total o nula para sus carpetas y archivos.

  1. El permiso de lectura es la opción "mirar, no tocar".Los destinatarios pueden abrir, pero no modificar o eliminar un archivo.
  2. lectura / escritura es la opción "hacer cualquier cosa".Los destinatarios pueden abrir, modificar o eliminar un archivo.

Permiso de la antigua escuela

El cuadro de diálogo compartido anterior tenía más opciones, como la opción de compartir la carpeta con un alias diferente. Nos permitió limitar la cantidad de conexiones simultáneas y configurar el almacenamiento en caché.Ninguna de estas funciones se pierde en Windows 7, sino que se oculta bajo una opción llamada "Uso compartido avanzado".Si hace clic con el botón derecho en una carpeta y va a sus propiedades, puede encontrar la configuración de "Uso compartido avanzado" en la pestaña Compartir.

Si hace clic en el botón "Uso compartido avanzado", que requiere credenciales de administrador local, puede configurar todas las configuraciones con las que estaba familiarizado en versiones anteriores de Windows.

Si hace clic en el botón de permisos, se le presentarán las 3 configuraciones que todos conocemos.

    • El permiso de lectura le permite ver y abrir archivos y subdirectorios, así como ejecutar aplicaciones. Sin embargo, no permite que se realicen cambios.
    • Modificar el permiso le permite hacer cualquier cosa que permita el permiso Read , y también agrega la capacidad de agregar archivos y subdirectorios, eliminar subcarpetas y cambiar datos en los archivos.
    • Control total es el "hacer cualquier cosa" de los permisos clásicos, ya que le permite hacer todos y cada uno de los permisos anteriores. Además, le brinda el permiso NTFS cambiante avanzado, pero esto solo se aplica a las carpetas NTFS

Permisos NTFS

Los permisos NTFS permiten un control muy detallado de sus archivos y carpetas. Dicho esto, la cantidad de granularidad puede ser desalentador para un recién llegado. También puede establecer permisos NTFS por archivo y por carpeta. Para configurar el Permiso NTFS en un archivo, debe hacer clic derecho y acceder a las propiedades del archivo, luego vaya a la pestaña de seguridad.

Para editar los permisos NTFS para un usuario o grupo, haga clic en el botón editar.

Como puede ver, hay bastantes Permisos NTFS, así que vamos a desglosarlos. Primero, echaremos un vistazo a los Permisos NTFS que puede establecer en un archivo.

  • Control total le permite leer, escribir, modificar, ejecutar, cambiar atributos, permisos y tomar posesión del archivo.
  • Modificar le permite leer, escribir, modificar, ejecutar y cambiar los atributos del archivo.
  • Leer &Ejecutar le permitirá visualizar los datos del archivo, los atributos, el propietario y los permisos, y ejecutar el archivo si se trata de un programa.
  • Leer le permitirá abrir el archivo, ver sus atributos, propietario y permisos.
  • Write le permitirá escribir datos en el archivo, agregarlos al archivo y leer o cambiar sus atributos.

NTFS Los permisos para carpetas tienen opciones ligeramente diferentes, así que echemos un vistazo a ellos.

  • Control total le permitirá leer, escribir, modificar y ejecutar archivos en la carpeta, cambiar atributos, permisos y tomar posesión de la carpeta o archivos dentro.
  • Modificar le permitirá leer, escribir, modificar y ejecutar archivos en la carpeta, y cambiar los atributos de la carpeta o archivos dentro.
  • Lectura y amp;Ejecutar le permitirá visualizar los contenidos de la carpeta y visualizar los datos, atributos, propietario y permisos para los archivos dentro de la carpeta, y ejecutar archivos dentro de la carpeta.
  • Lista Carpeta Contenido le permitirá mostrar el contenido de la carpeta y mostrar los datos, atributos, propietario y permisos de los archivos dentro de la carpeta, y ejecutar archivos dentro de la carpeta
  • Leer le permitirá visualizar los datos del archivo, atributos,propietario y permisos
  • Write le permitirá escribir datos en el archivo, agregarlos al archivo y leer o cambiar sus atributos.

Resumen

En resumen, los nombres de usuario y los grupos son representaciones de una cadena alfanumérica llamada SID( Security Identifier).Los permisos Share y NTFS están ligados a estos SID.Los LSSAS comprueban los permisos compartidos solo cuando se accede a ellos a través de la red, mientras que los permisos NTFS se combinan con los permisos compartidos para permitir un nivel de seguridad más granular para los recursos a los que se accede a través de la red y localmente.

Accediendo a un recurso compartido

Entonces, ahora que hemos aprendido sobre los dos métodos que podemos usar para compartir contenido en nuestras PC, ¿cómo se puede acceder a él a través de la red? Es muy simple. Simplemente escriba lo siguiente en la barra de navegación.

\\ computername \ sharename

Nota: Obviamente tendrá que sustituir el nombre de computadora por el nombre de la PC que aloja el recurso compartido y el nombre compartido por el nombre del recurso compartido.

Esto es ideal para conexiones de una vez, pero ¿qué tal en un entorno corporativo más grande? Seguramente no es necesario que enseñe a sus usuarios cómo conectarse a un recurso de red utilizando este método. Para evitar esto, querrá asignar una unidad de red para cada usuario, de esta manera puede aconsejarles que almacenen sus documentos en la unidad "H", en lugar de tratar de explicar cómo conectarse a un recurso compartido. Para asignar una unidad, abra la computadora y haga clic en el botón "Conectar la unidad de red".

Luego, simplemente escriba la ruta UNC del recurso compartido.

Probablemente se pregunte si tiene que hacer eso en todas las PC, y afortunadamente la respuesta es no. Por el contrario, puede escribir un script por lotes para asignar automáticamente las unidades a sus usuarios al iniciar sesión y desplegarlo a través de la política de grupo.

Si diseccionamos el comando:

  • Estamos utilizando el comando de uso neto para mapear la unidad.
  • Usamos el * para indicar que queremos usar la siguiente letra de unidad disponible.
  • Finalmente, especifica el compartido al que queremos asignar la unidad. Tenga en cuenta que usamos comillas porque la ruta UNC contiene espacios.

Cifrado de archivos mediante el sistema de archivos de cifrado

Windows incluye la capacidad de cifrar archivos en un volumen NTFS.Esto significa que solo usted podrá descifrar los archivos y verlos. Para encriptar un archivo, simplemente haga clic derecho en él y seleccione propiedades en el menú contextual.

Luego haga clic en avanzado.

Ahora marque la casilla Cifrar contenidos para proteger datos, luego haga clic en Aceptar.

Ahora continúe y aplique la configuración.

Solo necesitamos encriptar el archivo, pero también tiene la opción de encriptar la carpeta principal.

Tenga en cuenta que una vez que el archivo está encriptado, se vuelve verde.

Ahora notará que solo usted podrá abrir el archivo y que otros usuarios en la misma PC no podrán hacerlo. El proceso de encriptación usa cifrado de clave pública, así que mantenga sus claves de encriptación seguras. Si los pierde, su archivo se ha ido y no hay forma de recuperarlo.

tarea

  • Aprenda sobre la herencia de permisos y permisos efectivos.
  • Lea este documento de Microsoft.
  • Descubre por qué querrías usar BranchCache.
  • Aprenda a compartir impresoras y por qué le gustaría.