1- Para empezar una clase anterior el profesor nos dejo investigar de tarea el tema:de "SUPERVISIÓN DE LA FUNCIONALIDAD DEL CENTRO DE COMPUTO".
2- Ya después el dia Lunes, el profesor procedió a formarnos en quipos de 3 personas, para esto nos pidió enumerarnos del 1 al 6 y ps amí me toco el número
1.3- Bueno mi equipo estaba conformado por: Jose Eduardo Francés OrtuñoMiguel Eútikioy por mi: Gutierrewz Piña Anaiz Gabriela
4- Bueno y ya despues proseguimos a discutir la tarea que nos habia dejado el profesor.
5-Por último cada uno leyo lo que habia investigado y ya al final proseguimos a formar un solo concepto.
¿Qué es un usuario?(user). En informática, un usuario es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema informático. Por lo general es una única persona.
Un usuario generalmente se identifica frente al sistema o servicio utilizando un nombre de usuario (nick) y a veces una contraseña, este tipo es llamado usuario registrado.
Por lo general un usuario se asocia a una única cuenta de usuario, en cambio, una persona puede llegar a tener múltiples cuentas en un mismo sistema o servicio (si eso está permitido).
Un usuario registrado accede a un servicio a través de un login luego de su autentificación.
Un usuario también puede ser anónimo si no posee una cuenta de usuario, por ejemplo, al navegar por un sitio web sin registrase el usuario puede considerarse parcialmente anónimo (parcialmente porque puede ser identificado por su dirección IP).
La navegación anónima sólo puede lograrse utilizando un proxy anónimo (sólo es más seguro, no es 100% anónimo). También se puede acceder a un servicio de forma anónima, por lo general se poseen menos opciones y posibilidades que un usuario registrado.
Los usuarios anónimos a veces son referidos simplemente como "invitados".Un sistema puede soportar múltiples usuarios (multiusuario) o un único usuario (monousuario).
Multiusuario:Cualquier hardware o software que tiene la capacidad de soportar múltiples usuarios. Su antónimo es monousuario.
Monousuario:(mono: uno, usuario). Sistema operativo o aplicación que solamente puede ser usado por un único usuario en un determinado momento.Se gividen en dos clase de usuarios "los INTERNOS, y los EXTERNOS".
INTERNOS:Son aquellos que cuentan con un login de ususrio "Pasword"; además de que cuentan con acceso al sistema cuentan con derechos y privilegios.
EXTERNOS:Son aquellos que son conocidos como Invitados; en otras palabrasson aquellos usuarios que cuentan con una cuenta limitada.Seguridad: Derechos En Windows Server 2003, 2000 y XP, lo que pueden hacer las cuentas se dividen en dos partes: derechos y permisos.
Los derechos son acciones u operaciones que una cuenta puede o no puede realizar. Los permisos definen los recursos a los que una cuenta puede o no puede acceder y el nivel de dicho acceso. Entendamos que recursos comprenden también a los objetos de Active Directory, objetos de sistema de archivo y llaves del registro.
Aunque las cuentas son el eje central de seguridad de Windows, asignarles derechos y permisos directamente es difícil de administrar y muchas veces de solucionar su aplicación o no aplicación tanto de derechos como de permisos. Por ello, siempre se aconseja no asignarlos a cuentas y en su lugar hacerlo sobre grupos y emplazar las cuentas dentro de los mismos.
La creación de una estructura de grupos para administrar la asignación de derechos y permisos es una parte esencial de la seguridad de Windows.Derechos de usuario y permisosComo ya he dicho las acciones que una cuenta puede llevar a cabo y el nivel con que un usuario podrá acceder a la información son determinados por los derechos de usuario y los permisos.Los administradores podemos asignar derechos específicos a cuentas de grupos o de usuario.
Estos derechos autorizan a llevar a cabo acciones específicas, por ejemplo iniciar sesión, crear copias de seguridad, etc… Se diferencian de los permisos de forma clara e inequívoca, los derechos se aplican a cuentas, los permisos se adjuntan a los objetos.* PrivilegiosUn derecho es asignado a una cuenta y especifica las acciones permitidas en la red.
* Derechos de inicio de sesiónDerecho asignado a una cuenta y que especifica la forma en que la misma iniciará sesión en el sistema. Por ejemplo: iniciar sesión local.Los privilegiosAlgunos privilegios pueden sobrescribir los permisos establecidos en un objeto.* Actuar como parte del sistema operativoEste privilegio permite literalmente a la cuenta o aplicaciones en ejecución bajo la misma ser parte de la base de confianza del cálculo.
Esto permite a un proceso autenticarse como cualquier usuario, y por lo tanto obtener acceso a los recursos bajo la identidad del mismo. Sólo los servicios de autenticación de bajo-nivel de mayor confianza deben necesitar este privilegio. El usuario o proceso con este privilegio puede crear tokens que garantizan más derechos que los que normalmente se proporcionan en su contexto de seguridad.No deberíamos asignar este privilegio a menos que estemos completamente seguros que es necesario.
* Administrar los registros de auditoría y seguridadPermite a un usuario especificar opciones de auditorías de acceso a objetos para recursos individuales, como archivos, objetos de AD y llaves del registro. La auditoría a los objetos no se llevará a cabo a menos que tengamos habilitada la configuración de auditoría que la activa. Un usuario con este privilegio puede ver y limpiar el registro de seguridad en el visor de sucesos.
* Agregar estaciones de trabajo al dominioPermite añadir equipos a un dominio específico. Los usuarios sólo pueden unir hasta 10 equipos de forma predeterminada. Para aumentar éste número hay que cambiar una propiedad llamada ms-DS-MachineAccountQuota o también podemos delegar en un usuario la capacidad de crear cuentas de equipo en una OU.
* Ajustar cuotas de memoria para un procesoEste privilegio determina quien puede cambiar la memoria máxima que se puede consumir por un proceso. Útil para un afinamiento del sistema, pero que podría convertirse en un ataque DOS.* Apagar el sistemaPermite al usuario el apagado del sistema local. Quitándoles este derecho a los usuarios de Terminal Server impediremos que apaguen el equipo, sea accidental o intencionadamente.
* Bloquear páginas de memoriaPermitir a un proceso mantener datos en la memoria física impidiendo que el sistema los pagine en la memoria virtual en disco. Este privilegio puede afectar al rendimiento del sistema, es obsoleto y no debe usarse.* Cambiar la hora del sistemaPermite al usuario establecer la hora en el reloj interno del equipo. De forma predeterminada, desde Windows 2000, los usuarios del dominio no tienen este privilegio para evitar que cambien la hora de su sistema y ello interfiera en la autenticación Kerberos (una diferencia de 5 o más minutos impediría trabajar correctamente).
* Cargar y descargar controladores de dispositivoPermite a un usuario instalar y desinstalar controladores de dispositivo que no han sido instalados por el administrador de P&P y controlar los dispositivos(iniciarlos o detenerlos). Como los controladores se ejecutan como programas en los que se confía, un mal uso de este privilegio podría servir para la instalación de programas hostiles, como rootkits, y darles acceso a los recursos. No debería concederse en exceso.
* Crear objetos compartidos permanentesPermite a un proceso crear un objeto de directorio en el Administrador de objetos. Este privilegio es útil para los componentes en modo kernel para la ampliación del espacio de nombres. Ya que los componentes que se ejecutan en modo kernel ya disfrutan de este privilegio no parece necesaria su aplicación especifica.
* Crear objetos globalesEste privilegio se añadió en el SP4 de Windows 2000 y está presente en Windows Server 2003. Controla la creación de objetos del sistema globales por aplicaciones, incluyendo operaciones como el mapeo de archivos en las sesiones de Terminal Server. También se aplica si se crean enlaces simbólicos en el administrador de objetos.
* Crear un archivo de paginaciónPermite al usuario crear y cambiar el tamaño del archivo de paginación. Esto se hace especificando un tamaño de archivo de paginación para una determinada unidad en el cuadro de diálogo de opciones de Rendimiento, desde el cuadro de diálogo de las propiedades del sistema.* Crear un objeto testigoPermite a un proceso la creación de un token y usarlo para obtener acceso a recursos locales cuando el proceso use las APIs de creación de token. Predeterminadamente sólo LSA (Local Security Authority) puede crear tokens.
* Depurar programasPermite al usuario adjuntar un depurador a cualquier proceso. Sin este privilegio, podemos depurar los programas propios. Este privilegio proporciona un acceso poderoso a componentes del sistema operativo sensibles y críticos, así que a ver a quien se le concede!!
* Forzar el apagado desde un sistema remotoPermite al usuario el apagado de un sistema desde cualquier ubicación remota de la red.
* Generar auditorías de seguridadPermite a un proceso generar entradas en el registro de Seguridad (Security log) para auditar el acceso a los objetos. También le permite generar otras auditorías de seguridad. Este registro de seguridad se utiliza para el seguimiento del acceso no autorizado al sistema.
* Habilitar las cuentas de equipo y de usuario en las que se confía para delegaciónPermite al usuario seleccionar la configuración de 'se confía para delegación' de la configuración de un objeto equipo o usuario. El usuario u objeto al que se le concede este privilegio debe tener permiso de escritura sobre las banderas de control de la cuenta del usuario u objeto. Un proceso de servidor ya se esté ejecutando en un equipo o usuario en los que se confía por delegación puede acceder a recursos en otro equipo. El proceso usa credenciales delegadas de cliente, siempre que la cuenta del cliente no tenga establecida la bandera de control en la cuenta de Account Cannot Be Delegated(la cuenta no puede delegarse). El abuso de este privilegio o sobre los valores de 'se confía para delegación' pueden hacer vulnerable nuestra red a ataques con troyanos.
* Hacer copias de seguridad de archivos y directoriosPermite a los usuarios eludir los permisos de archivos y directorios para realizar una copia de seguridad almacenada en el sistema. Algo como asignar los permisos: Recorrer carpeta / Ejecutar archivo, Listar carpeta / Leer datos, Atributos de lectura, Atributos extendidos de lectura y Permisos de lectura, a todos los archivos y carpetas del equipo local.
* Incrementar prioridades de planificación de procesosPermite a un proceso con permiso de escritura sobre otro, elevar la prioridad de ejecución del otro proceso. Un usuario con este privilegio puede cambiar la planificación de prioridad de un proceso usando el Administrador de Tareas.
* Modificar valores de entorno de la memoria no volátil(firmware)Permite la modificación de las variables de entorno del sistema, sea por un proceso o por un usuario desde el cuadro de diálogo de propiedades del sistema.
* Omitir la comprobación de recorridoPermite al usuario navegar entre directorios que de otra forma no tendría acceso. No permite listar los contenidos sólo atravesarlos. Si no se tiene este privilegio el sistema comprueba las ACL del directorio para asegurarse que el usuario dispone del permiso Recorrer carpeta / Ejecutar archivo.
* Perfilar el rendimiento del sistemaPermite a un usuario usar las herramientas de rendimiento-monitorización para monitorizar los procesos del sistema. Este privilegio es necesario para el complemento de Rendimiento de la consola MMC si está configurado para recoger datos mediante WMI.
* Perfilar un proceso individualPermite a un usuario usar las herramientas de rendimiento-monitorización para monitorizar procesos que no son del sistema. Este privilegio es obligatorio para el complemento de Rendimiento de la consola MMC en el caso de estar configurado para recoger datos mediante WMI.* Quitar el equipo de la estación de acoplamientoPermite al usuario desacoplar al portátil mediante el interfaz de usuario. Por supuesto los usuarios sin este derecho podrán anular el acople manualmente o mediante pequeños conectores y sacar el portátil de la estación de acoplamiento.
* Realizar las tareas de mantenimiento del volumenPermite al usuario administrar volúmenes y discos
* Reemplazar un testigo a nivel de procesoPermite a un proceso reemplazar el testigo predeterminado asociado a un subproceso que se ha iniciado. Este privilegio sólo debería obtenerse mediante la cuenta de Sistema Local. Se usa, entre otras cosas, para crear testigos restringidos.
* Representar al cliente después de la autenticación* Restaurar archivos y directoriosPermite a un usuario evitar los permisos de archivo y directorio cuando restaura una copia de seguridad y establecer cualquier objeto principal como el propietario de un objeto.
* Sincronizar los datos de Directory ServicePermite a un proceso leer todos los objetos y propiedades en el directorio, a pesar de la protección de los mismos. Este privilegio es necesario para usar sincronización de servicios de directorio LDAP.
* Tomar posesión de archivos y otros objetosPermite a un usuario romar posesión de cualquier objeto asegurable del sistema, incluyendo los objetos de AD, archivos e impresoras, impresoras, llaves del registro, procesos e hilos.Los Derechos de usuario
* Tener acceso a este equipo desde la redPermite a un usuario conectar con el equipo desde la red.
* Denegar el acceso desde la red a este equipoDeniega la conexión con el equipo desde la red. Predeterminadamente no está asignado a nadie, a excepción de la cuenta integrada de soporte. El mal uso puede llevar al bloqueo de uno mismo o del sistema.
* Iniciar sesión como proceso por lotesPermite a un usuario iniciar sesión usando un archivo por lotes. De forma predeterminada está concedido sólo a los administradores. Cuando uno de ellos usa el asistente de añadir una tarea programada para programar una tarea y ejecutarse bajo un usuario y contraseña particulares, este usuario es asignado automáticamente al inicio de sesión como un derecho de proceso por lotes. Cuando llega el momento de ejecutarse, el programador de tareas inicia la sesión del usuario como un proceso por lotes más que un usuario interactivo, y la tarea se ejecuta en el contexto de seguridad del usuario.
* Denegar el inicio de sesión como trabajo por lotesDeniega al usuario la posibilidad del inicio de sesión usando un proceso por lotes. De forma predeterminada no está concedido a nadie.
* Iniciar sesión como servicioPermite a un objeto principal iniciar sesión como servicio y establecer un contexto de seguridad. Las cuentas de Sistema Local, Servidor de red y Servicio Local siempre retienen el derecho de iniciar sesión como servicio. Cualquier servicio que se ejecute con una cuenta distinta debe serle concedido el derecho.
* Denegar el inicio de sesión como servicioDeniega a un objeto principal la posibilidad de iniciar sesión como servicios y establecer un contexto de seguridad.
* Permitir el inicio de sesión localPermite a un usuario iniciar sesión en el equipo mediante sea con la consola o una sesión de servicios de terminal y con IIS. La configuración de este derecho debe realizarse con precaución puesto que podríamos incluso impedirnos a nosotros mismos acceder al sistema si nos lo quitamos. En Windows Server 2003 es posible que un usuario establezca una conexión mediante una sesión de servicios de terminal contra un equipo específico sin este derecho, debido a la existencia del derecho de 'permitir inicio de sesión a través de Servicios de Terminal Server'.
* Denegar el inicio de sesión localmenteDeniega al usuario el inicio de sesión a la consola del equipo. Predeterminado a nadie. También ha de aplicarse con precaución ya que podríamos impedirnos a nosotros mismos acceder al sistema.
* Permitir inicio de sesión a través de Servicios de Terminal Server Permite a un usuario el inicio de sesión usando servicios de terminal en XP y Windows Server 2003. Si concedemos este derecho no es necesario ya añadir al usuario al derecho de inicio de sesión local como lo era en Windows 2000.
* Denegar inicio de sesión a través de Servicios de Terminal ServerDeniega el inicio de sesión al usuario usando servicios de terminal. Si tiene el derecho de inicio de sesión local, podrá hacerlo a la consola del equipo.Podemos ver los privilegios y derechos de inicio de sesión asignados a equipos y usuarios con showpriv.exe del resource kit, esta herramienta en línea de comandos nos permite, indicándole el nombre del privilegio, conocer las cuentas y grupos que lo tienen asignado. Aunque no lista los servicios que tienen los derechos o privilegios inherentes como LocalSystem.showprivCon la herramienta whoami y el parámetro /all también obtenemos información sobre los privilegios y derechos.Posted Sat, Dec 20 2008 17:49 by juansaFiled under: Windows Server
CONCLUSIONES:Bueno en este tema pude ver que dentro de un centro de computo denemos tener ordenado nuestro equipo; que quiero decir con esto mmm poner ucuentas de usuario para un mejor manejo del equipo; siempre y cuando los clasifiquemos de acuerdo a sus conocimientos para el manejo del equipo; identificando a todos los usuarios por medio de cuentas claro que también debe contar el equipo con una cuenta de administrador para cualquier falla este pueda darle solución.
No hay comentarios:
Publicar un comentario