WINDOWS 2003 SERVER

Índice de contenido
TEMA 2: PROTECCIÓN LOCAL EN WINDOWS 2003 SERVER 2
2.1.- Concepto de usuario 2
2.2.- Grupos de usuarios 2
2.3.- El modelo de protección 2
2.4.- Atributos de protección 2
2.5.- Derechos de usuario 2
2.5.1.- Otras directivas de seguridad 3
2.6.- Atributos de protección de los recursos 3
2.6.1.- Asociación de permisos a recursos 3
2.6.2.- Permisos estándar e individuales 3
2.6.3.- Modificación de atributos de protección 3
2.7.- Reglas de protección 3
TEMA 3: Administración de dominios Windows 2003 Server 4
3.1. Introducción 4
3.2. El Directorio Activo 4
3.2.1. Dominios Windows 2003 y el Directorio Activo 4
3.2.2. Estándares relacionados 4
3.2.3. El Directorio Activo y DNS 4
3.2.4. Estructura lógica 5

3.2.4.1. Dominios
5
3.2.4.2. Múltiples dominios en la misma organización
6
3.2.4.3. Niveles funcionales
6
3.2.4.4. Relaciones de confianza
6
3.2.4.5. Unidades Organizativas
6
3.2.5. Estructura física 6
3.2.5.1. Sitios
6
3.2.5.2. Controladores de dominio
6
3.2.5.3. Funciones de los controladores de dominio
6
3.2.5.4. Servidor de catálogo global
6
3.2.5.5. Operaciones de maestro único
6
3.3. Objetos que administra un dominio 6
3.3.1. Usuarios globales 6
3.3.2. Grupos 6
3.3.3. Equipos 7
3.3.4. Unidades Organizativas 7
3.4. Compartición de recursos 7
3.4.1. Permisos y derechos 7
3.4.2. Compartición dentro de un dominio 7
3.4.3. Mandatos Windows 2003 para compartir recursos 7
3.5. Delegación de la administración 7

TEMA 2: PROTECCIÓN LOCAL EN WINDOWS 2003 SERVER
2.1.- Concepto de usuario
Windows 2003 Server permite tener un control de quien entra en el sistema y las acciones que a las que tienen autorización. Windows 2003 Server denomina usuario a cada persona que puede entrar al sistema. Para controlar entradas y acciones utiliza lo que se llama cuenta de usuario (user account) que almacena toda la información de éste. Lo datos más importantes son:
- Nombre de usuario
- Nombre completo
- Contraseña
- Directorio de conexión
- Horas de conexión
- Activada
Hay un dato especial único de cada cuenta, es el identificador seguro (Secure Identifier o SID). Se genera automáticamente y no hay dos iguales en el mundo.
Cuando instalamos Windows 2003 Server hay ya una cuentas creadas por defecto (built-in users): el Administrador y el Invitado.
2.2.- Grupos de usuarios
No indicar las restricciones usuario a usuario sino por grupos, pueden surgir imprevistos u olvidos que de paso a problemas posteriores. Los grupos también poseen un SID además de la lista de usuarios que están en el grupo.
También hay grupos que vienen por defecto en el sistema (built-in groups): Administradores, Operadores de Copia, Usuarios Avanzados, Usuarios e Invitados.
-Usuarios: Permisos para conectarse al sistema interactivamente y a través de la red.
-Operadores de copia: Pueden hacer y restaurar una copia de todo el sistema.
-Usuarios avanzados: Tiene cierta capacidad administrativa. Cambiar hora, crear cuantas de usuarios y grupos...
Windows 2003 Server define grupos especiales (sus usuarios no se establecen de forma manual) se llaman (special identities) y destacan:
- Usuarios interactivos
- Usuarios de red
- Todos
- Usuarios autentificados
2.3.- El modelo de protección
El modelo de protección de Windows 2003 Server establece la forma en la que el sistema a cabo el control de acceso de cada usuario y grupo, es decir, el modelo que sigue es sistema para aplicar las acciones que un usuario o grupo pueden realizar.
Un derecho o privilegio de usuario (user right) es un atributo de un usuario o grupo que le permite realizar una acción que afecta a todo el sistema. Un permiso es una característica de cada recurso del sistema que concede o deniega el acceso al mismo a un usuario/grupo concreto.
2.4.- Atributos de protección
Un usuario está autorizado a conectarse al sistema 2003 Server, el sistema construye para él una acreditación llamada Security Access Token o SAT. La acreditación contiene información como:
-SID
-SIDs de sus grupos
-Derechos
2.5.- Derechos de usuario
Un derecho es un atributo de un usuario o grupo que le da autoridad para realizar un acción sobre el sistema en conjunto. Windows 2003 Server distingue entre dos tipos de derechos: los derechos de conexión (logon-rights) y los privilegios (privileges). El primero establece la distintas formas de conectarse al sistema (interactivamente, mediante la red,etc.), y los segundos hacen referencia a las acciones que el usuario puede realizar una vez conectado al sistema.
2.5.1.- Otras directivas de seguridad
-Cuentas: Establecer la políticas de las cuentas, se pueden distinguir 3 reglas: Contraseñas, bloquo y Kerberos.
-Directiva Local: Auditoría del equipo (registrar en el visor de sucesos...)
-Claves públicas: Gestionar opciones de seguridad de las claves públicas.
2.6.- Atributos de protección de los recursos
En un sistema de archivos NTFS cada carpeta o archivo tiene los siguientes atributos de protección:
1.-SID del propietario
2.-Lista de control de acceso de protección
3.-Lista de control de acceso de seguridad
DACL (Lista de acceso discrecional).
2.6.1.- Asociación de permisos a recursos
La asociación de permisos a archivos y carpetas sigue unas reglas:
-Cuando se crea un nuevo archivo o carpeta no tiene ningún permiso por los que coge los de la carpeta padre.
-Si se quiere dar permisos a un archivo o carpeta, éstos se añaden a la lista de permisos explícitos.
-El control sobre la herencia de permisos a dos niveles:
1.-Cada archivo tiene la potestad de decidir si desea o no heredar los permisos de su carpeta padre.
2.-Cada permiso lleva asociada una regla que indica qué recursos van a poder heredarlo.
-Copiar: un archivo a otra ubicación se considera creación, no tiene permisos y se coge los de la carpeta padre.
-Mover: un archivo tiene dos casos: si movemos una carpeta o archivo a otra
ubicación dentro del mismo volumen (partición) NTFS, se desactiva la herencia y
se mantienen los permisos que tuviera como explícitos en la nueva ubicación. Si
el volumen destino es distinto, entonces se actúa como en una copia (sólo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicación).

2.6.2.- Permisos estándar e individuales
Windows 2003 distingue entre los permisos estándar de carpetas y los de archivos.
Como ocurría en versiones previas de Windows NT, los permisos estándar son combinaciones predefinidas de permisos individuales, que son aquellos que controlan cada una de las acciones individuales que se pueden realizar sobre carpetas y archivos
.
2.6.3.- Modificación de atributos de protección
Las reglas que plantea Windows 2003 para controlar quién puede modificar los atributos de protección de un recurso están completamente integradas en su modelo de
protección, basado en los permisos y los derechos del usuario implicado en la modificación.

Las reglas que dictan quién puede modificar los diferentes atributos
de protección de los recursos (archivos y carpetas) son:

1.-Propietario. Cualquier usuario que posea el permiso individual.
2.-Lista de control de acceso a protección: Cualquier usuario que posea el permiso individual Cambiar Permisos (incluido dentro de Control Total)
sobre un recurso concreto, puede modificar sus permisos.

3.-Lista de control de acceso de seguridad. Se aplican las mismas reglas que en el

caso anterior.

2.7.- Reglas de protección
Las principales reglas que controlan la comprobación de permisos a carpetas y archivos son las siguientes:

-Una única acción de un proceso puede involucrar varias acciones individuales
sobre varios archivos y/o carpetas.

-Los permisos en Windows 2003 son acumulativos: un proceso de usuario posee implícitamente todos los permisos correspondientes a los SIDs de su acreditación
, es decir, los permisos del usuario y de todos los grupos a los que pertenece.

-La ausencia un cierto permiso sobre un objeto supone implícitamente la imposibilidad de realizar la acción correspondiente sobre el objeto.

-Si se produce un conflicto en la comprobación de los permisos, los permisos negativos tienen prioridad sobre los positivos, y los permisos explícitos tienen prioridad sobre los heredados.

TEMA 3: Administración de dominios Windows 2003 Server
3.1. Introducción
Se explicarán los conceptos fundamentales que soportan el Directorio Activo (Active Directory), así como la administración del mismo, incluyendo los
principales objetos que pueden definirse en el mismo, la compartición de recursos
entre sistemas de la organización y la delegación de tareas administrativas dentro
de un dominio.

3.2. El Directorio Activo
3.2.1. Dominios Windows 2003 y el Directorio Activo
Desde el punto de vista de la administración de sistemas, la mejor forma de
aprovechar esta característica es la creación de un dominio de sistemas, en donde la
información administrativa y de seguridad se encuentra centralizada en uno o varios
servidores, facilitando así la labor del administrador.

Active Directory es el servicio de directorio de una red de Windows 2003. Este
servicio de directorio es un servicio de red que almacena información acerca de los
recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar
centralizadamente el acceso a los recursos de la red.


3.2.2. Estándares relacionados
• DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de direcciones de
red.

• DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a
direcciones IP) en Internet.

• SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido.

• LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y
modifican la información existente en el directorio.

• Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas..

• Certificados X.509. Estándar que permite distribuir información a través de la
red de una forma segura.

3.2.3. El Directorio Activo y DNS
El Directorio Activo y DNS son espacios de nombres. Podemos entender un espacio
de nombres como un área delimitada en la cual un nombre puede ser resuelto. La
resolución de nombres es el proceso de traducción de un nombre en un objeto o información que lo representa. Por ejemplo, el sistema de ficheros NTFS puede ser
considerado un espacio de nombres en cual un fichero puede ser resuelto en el fichero propiamente dicho.

Como conclusión diremos que Directorio Activo utiliza DNS, para tres funciones
principales:

1. Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP.

2. Definición del espacio de nombres: Directorio Activo utiliza las convenciones
de nomenclatura de DNS para asignar nombre a los dominios.

3. Búsqueda de los componentes físicos de AD: para iniciar una sesión de red y
realizar consultas en Directorio Activo, un equipo con Windows 2003 debe encontrar primero un controlador de dominio o servidor de catálogo global para
procesar la autenticación de inicio de sesión o la consulta. La base de datos DNS
almacena información acerca de qué equipos realizan estas funciones para que
se pueda atender la solicitud adecuadamente. En concreto, esto se lleva a cabo
mediante registros de recursos SRV que especifican el servidor (o servidores)
del dominio que proporcionan los servicios de directorio correspondientes.

3.2.4. Estructura lógica
La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes subyacentes.

3.2.4.1. Dominios

El uso de dominios permite conseguir los siguientes objetivos:

• Delimitar la seguridad. Un dominio Windows 2003 define un límite de seguridad. Las directivas de seguridad, los derechos administrativos y las listas de control de acceso (Access Control Lists, ACLs) no se comparten entre los dominios.
Active Directory puede incluir uno o más dominios, teniendo cada uno sus propias directivas de seguridad.

• Replicar información. Un dominio es una partición del directorio, las cuales son unidades de replicación. Cada dominio almacena solo la información sobre los
objetos localizados en este dominio. Active Directory utiliza un modelo de replicación con varios maestros. Todos los controladores de dominio del dominio
pueden recibir cambios realizados sobre los objetos, y pueden replicar estos cambios a todos los controladores de dominio en el dominio.

• Aplicar Políticas (o Directivas) de Grupo. Un dominio define un posible ámbito
para las políticas. Al aplicar un objeto de política de grupo (GPO) al dominio, este establece como los recursos del dominio se configuran y se usan. Estas políticas se aplican dentro del dominio y no a través de los dominios.

• Delegar permisos administrativos. En las redes que ejecutan Windows 2003, se puede delegar a medida la autoridad administrativa tanto para unidades organizativas (OUs) individuales como a dominios individuales, lo cual reduce el número de administradores necesarios con amplios permisos administrativos. Ya
que un dominio representa un límite de seguridad, los permisos administrativos
se limitan al dominio.

3.2.4.2. Múltiples dominios en la misma organización

3.2.4.3. Niveles funcionales

3.2.4.4. Relaciones de confianza

3.2.4.5. Unidades Organizativas

3.2.5. Estructura física
En Active Directory, la estructura lógica está separada de la estructura física. La estructura lógica se utiliza para organizar los recursos de red mientras que la estructura física se utiliza para configurar y administrar el tráfico de red. En concreto, la estructura física de Active Directory se compone de sitios y controladores de dominio.

3.2.5.1. Sitios

3.2.5.2. Controladores de dominio

3.2.5.3. Funciones de los controladores de dominio

3.2.5.4. Servidor de catálogo global

3.2.5.5. Operaciones de maestro único

3.3. Objetos que administra un dominio
El Directorio Activo, tal como se ha visto en capítulos anteriores, es en realidad una
base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o, más correctamente en nuestro caso, en un
dominio de sistemas Windows 2003. Esta base de datos de objetos de administración
es compartida, para consulta, por todos los ordenadores miembros del dominio y,
para modificación, por todos los controladores del dominio (o DC, Domain Controllers).

3.3.1. Usuarios globales
En la administración de sistemas Windows 2003 independientes (administración local), se crean en los sistemas cuentas de usuario y de grupo que sirven para:

1. identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema.
2. administrar los permisos y derechos que permitirán aplicar el control de acceso adecuado a dichos usuarios en el sistema.

3.3.2. Grupos
De forma análoga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, también de otros dominios del bosque).

3.3.3. Equipos
Windows 2003 puede utilizar distintos protocolos de comunicaciones seguros entre los ordenadores miembro de un dominio y los DCs. Entre ellos los más importantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT,
que se mantiene por compatibilidad hacia atrás) y Kerberos V5. Kerberos presenta
numerosas ventajas respecto a NTLM, pero sólo es viable en la práctica si todas las
máquinas del dominio son Windows 2000, Windows XP o Windows Server 2003.

3.3.4. Unidades Organizativas
Como hemos visto en Sección 3.2.4.5, “Unidades Organizativas”, las unidades organizativas son objetos del directorio que a su vez, pueden contener otros objetos. El
uso fundamental de las OUs es delegar la administración de sus objetos a otros
usuarios distintos del administrador del dominio, y personalizar el comportamiento
de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs)
específicas a la unidad.

3.4. Compartición de recursos
Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. En este contexto, sólo vamos a considerar como recursos a compartir las carpetas o directorios que existen en un sistema Windows.

3.4.1. Permisos y derechos
3.4.2. Compartición dentro de un dominio
3.4.3. Mandatos Windows 2003 para compartir recursos
3.5. Delegación de la administración
Para delegar, total o parcialmente, la administración de una unidad organizativa
existe un asistente (wizard) que aparece cuando se selecciona la acción Delegar el
control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: a quién se delega y qué
se delega. La primera pregunta se contesta o bien con un usuario o con un grupo (se
recomienda un grupo). Para responder a la segunda pregunta, se puede elegir una
tarea predefinida a delegar (de entre una lista de tareas frecuentes), o bien podemos
optar por construir una tarea personalizada. En este último caso, tenemos que especificar la tarea mediante un conjunto de permisos sobre un cierto tipo de objetos del
directorio.