Introducción a la seguridad Informática 2 - (1-5)

Privilegios de cuentas de usuarios en Windows

En windows, los privilegios de cuentas de usuarios se administran mediante grupos. Un grupo de usuarios es una colección de cuentas (de usuario) que tienen en común los mismos derechos de seguridad. A veces, los grupos de usuarios también se denominan grupos de seguridad.

Una cuenta de usuario puede ser miembro de más de un grupo. Los dos grupos de usuarios más comunes son el grupo de usuarios estándar y el grupo de administradores, pero hay otros (grupo de invitado, grupo de operadores de backup,etc. ). Una cuenta de usuario a veces se describe de acuerdo con el grupo de usuarios al que pertenece (por ejemplo, una cuenta en el grupo de usuarios estándar se denomina cuenta estándar). Si tiene una cuenta de administrador, puede crear grupos de usuarios personalizados, mover cuentas de un grupo a otro, y agregar o quitar cuentas de diferentes grupos. Al crear un grupo de usuarios personalizado, puede elegir los derechos que desea asignar.

En Windows 7, y con una cuenta con permisos de administrador, se podría acceder a la consola de gestión de grupos de usuarios haciendo botón derecho del mouse sobre el ícono de Mi PC / Computer, luego click en Administrar / Manage y por último en Grupos / Groups dentro de Usuarios Locales y Grupos / Local Users and Groups.


Una instalación tradicional de Windows 7 trae consigo los siguientes grupos de usuarios locales. A continuación un listado junto con una descripción de sus privilegios:

Grupo Descripción Derechos de usuario predeterminados
Administradores Los miembros de este grupo tienen control total del equipo y pueden asignar derechos de usuario y permisos de control de acceso a los usuarios según sea necesario. La cuenta Administrador es un miembro predeterminado de este grupo. Cuando un equipo se une a un dominio, el grupo Admins. de dominio se agrega automáticamente a este grupo. Puesto que este grupo tiene control total del equipo, tenga precaución al agregarle usuarios. Tener acceso a este equipo desde la red Ajustar las cuotas de la memoria para un proceso Permitir el inicio de sesión local Permitir el inicio de sesión mediante los Servicios de Escritorio remoto Hacer copias de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Crear vínculos simbólicos Depurar programas Forzar cierre desde un sistema remoto Suplantar a un cliente tras la autenticación Aumentar prioridad de programación Cargar y descargar controladores de dispositivo Iniciar sesión como proceso por lotes Administrar registro de seguridad y auditoría Modificar valores de entorno firmware Realizar tareas de mantenimiento del volumen Analizar un solo proceso Analizar el rendimiento del sistema Quitar equipo de la estación de acoplamiento Restaurar archivos y directorios Apagar el sistema Tomar posesión de archivos y otros objetos
Operadores de copia de seguridad Los miembros de este grupo pueden hacer copias de seguridad y restaurar archivos de un equipo, independientemente de los permisos que protejan dichos archivos. Es así porque el derecho a realizar una copia de seguridad tiene preferencia sobre todos los permisos de archivo. Los miembros de este grupo no pueden cambiar la configuración de seguridad. Tener acceso a este equipo desde la red
Permitir el inicio de sesión local
Hacer copias de seguridad de archivos y directorios
Omitir comprobación de recorrido
Iniciar sesión como proceso por lotes
Restaurar archivos y directorios
Apagar el sistema
Operadores Criptográficos Los miembros de este grupo están autorizados a realizar operaciones criptográficas. No hay derechos de usuario predeterminados.
Usuario de COM distribuido Los miembros de este grupo pueden iniciar, activar y usar objetos DCOM en un equipo. No hay derechos de usuario predeterminados.
Invitados En un equipo unido al dominio, los miembros de este grupo disponen de un perfil temporal que se crea al iniciar la sesión y que se elimina cuando el miembro la cierra. Los perfiles de los entornos de grupos de trabajo no se eliminan. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro del grupo de forma predeterminada. Los miembros de este grupo dispondrán de un perfil temporal que se crea al iniciar la sesión y que se eliminará cuando el miembro la cierre. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es miembro del grupo de forma predeterminada. No hay derechos de usuario predeterminados.
IIS_IUSRS Es un grupo integrado que usa Internet Information Services (IIS). No hay derechos de usuario predeterminados
Operadores de configuración de red  Los miembros de este grupo pueden modificar la configuración TCP/IP, y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado. No hay derechos de usuario predeterminados
Usuarios del registro de rendimiento Los miembros de este grupo pueden administrar los contadores de rendimiento, los registros y las alertas de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores. No hay derechos de usuario predeterminados
Usuarios del monitos de sistemas  Los miembros de este grupo pueden supervisar los contadores de rendimiento de un equipo, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento. No hay derechos de usuario predeterminados
Usuarios avanzados De forma predeterminada, los miembros de este grupo no tienen más derechos o permisos de usuario que una cuenta de usuario estándar. El grupo Usuarios avanzados de versiones anteriores de Windows se diseñó para otorgar derechos y permisos de administrador específicos para realizar tareas del sistema habituales. En esta versión de Windows, las cuentas de usuario estándar tienen, de forma inherente, la capacidad de realizar las tareas de configuración más habituales, como el cambio de las zonas horarias. En el caso de las aplicaciones heredadas que requieren los mismos derechos y permisos del grupo Usuarios avanzados que se encontraban en versiones anteriores de Windows, los administradores pueden aplicar una plantilla de seguridad que los otorgue. No hay derechos de usuario predeterminados
Usuarios de escritorio remoto Los miembros de este grupo pueden iniciar una sesión en el equipo de forma remota. Permitir el inicio de sesión mediante los Servicios de Escritorio remoto
Replicador Este grupo admite funciones de réplica. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se use para iniciar sesión en los servicios de Replicador de un controlador de dominio. No agregue a este grupo cuentas de usuario de usuarios reales. No hay derechos de usuario predeterminados
Usuarios Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, usar impresoras locales y de red, y bloquear el equipo. Los miembros de este grupo no pueden compartir directorios ni crear impresoras locales. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. Tener acceso a este equipo desde la red Permitir el inicio de sesión local Omitir comprobación de recorrido Cambiar la zona horaria Aumentar el espacio de trabajo de un proceso Quitar equipo de la estación de acoplamiento Apagar el sistema
Ofrecer aplicaciones auxiliares de asistencia remota Los miembros de este grupo pueden ofrecer Asistencia remota a los usuarios de este equipo. No hay derechos de usuario predeterminados


Ahora que entendemos el funcionamiento de los grupos de Windows a lo largo del curso iremos implementando el concepto aprendido.

Publicar un comentario

0 Comentarios