El uso de su permite a un usuario cambiar de cuenta
Windows puede ser a veces el sistema operativo más confuso del planeta. Doy clases a muchos auditores y administradores cada año y encuentro que es muy confuso cómo conceder privilegios en Windows. Por supuesto, la colocación obvia en grupos es una obviedad, pero hay más opciones que eso. Por lo tanto, en este artículo vamos a discutir cómo conceder privilegios elevados sobre Active Directory y un servidor. Hay diferencias y las diferencias son bastante variadas. Al final, conocerás los diferentes métodos que son posibles para conceder privilegios elevados en un entorno Windows.
Privilegios elevados es cuando a un usuario se le otorga la capacidad de hacer más que un usuario estándar. Un usuario estándar es alguien que tiene privilegios «cero administrativos» en cualquier capacidad. Ejemplos de privilegios elevados serían:
Algunas de estas tareas están relacionadas con Active Directory, otras están relacionadas con los servidores y otras podrían realizarse en un controlador de dominio. La clave es entender qué se puede hacer y cómo conseguir ese privilegio. Hay algunos privilegios, como cambiar la hora del sistema, que se pueden lograr de varias maneras. Algunas tareas, como la modificación de un sitio para el bosque de Active Directory, sólo se logran de una manera.
Control de cuentas de usuario: comportamiento del prompt de elevación para usuarios estándar
En Windows 7 y superiores (tal vez Vista), el UAC entra en juego cuando se intenta asignar permisos a archivos y carpetas a través de la pestaña de seguridad en las propiedades de los archivos/carpetas. Si soy miembro del grupo de administradores locales y este grupo tiene acceso completo a una carpeta, pero el grupo de usuarios locales no tiene acceso de modificación a la misma carpeta, se me ofrece una elevación de mis privilegios significada por el escudo en el botón de editar (o cambiar permisos y otros lugares). Sin embargo, si el grupo de usuarios locales tiene derecho a modificar la carpeta, no obtengo esta opción y toda la edición de ACL se realiza con privilegios de nivel de usuario. Esto es un problema cuando se trata de restablecer la herencia en/ACL en todos los objetos hijos de una carpeta que los usuarios tienen los derechos de modificación. Soy consciente de que puedo iniciar el símbolo del sistema elevado y restablecer las ACL utilizando la línea de comandos, pero ¿hay una forma de GUI para hacer esto?
Edición: Para aclarar, mi pregunta surgió del siguiente problema. Necesitaba dar a todos los usuarios locales acceso completo a una carpeta y a todas sus subcarpetas. Así que fui a la pestaña de seguridad->editar (en este punto se elevó) y di a los usuarios el control total. Sin embargo, esto no se propagó a todas las subcarpetas. Así que mi plan era volver a la pestaña de seguridad, avanzada, cambiar los permisos y reemplazar los permisos en todos los objetos secundarios. Pero como los usuarios locales ya tenían acceso completo a la carpeta raíz, no se ofreció ninguna elevación y la acción de reemplazo falló en las subcarpetas a las que los usuarios locales no tenían acceso completo. ¿Hay alguna manera fácil de evitar esto?
Linux elevar a root
La escalada de privilegios puede definirse como un ataque que implica la obtención de acceso ilícito de derechos elevados, o privilegios, más allá de lo que está previsto o autorizado para un usuario. Este ataque puede involucrar a un actor de amenaza externo o a un interno. La escalada de privilegios es una etapa clave de la cadena de ciberataques y suele implicar la explotación de una vulnerabilidad de escalada de privilegios, como un error del sistema, una mala configuración o controles de acceso inadecuados. En este blog, explicaré cómo funciona la escalada de privilegios, los principales vectores de ataque relacionados con la escalada de privilegios y los controles de seguridad de acceso a los privilegios críticos que puede implementar para evitarla o mitigarla.
Los ataques de escalada de privilegios pueden separarse en dos grandes categorías: escalada horizontal de privilegios y escalada vertical de privilegios. A menudo se confunden entre sí, pero estos términos se pueden diferenciar de la siguiente manera:
Cada sesión local, interactiva o de acceso remoto representa alguna forma de acceso privilegiado. Esto abarca todo, desde los privilegios de invitado que permiten el inicio de sesión local solamente, hasta los privilegios de administrador o root para una sesión remota y potencialmente el control completo del sistema. Por lo tanto, cada cuenta que puede interactuar con un sistema tiene asignados algunos privilegios.
Permisos de usuario de Debian
Cuando se inician, muchos programas requieren la elevación de permisos (escudo en el icono de la aplicación), pero en realidad no necesitan los privilegios de administrador para su funcionamiento normal. Por ejemplo, puede conceder manualmente permisos para sus usuarios en la carpeta de la aplicación en los Archivos de Programa y/o en las claves del registro utilizadas por el programa. Así, cuando se inicie un programa de este tipo con una cuenta de usuario que no sea de administrador, aparecerá un aviso de UAC y se pedirá al usuario que introduzca una contraseña de administrador (si el Control de Cuentas de Usuario está activado en el ordenador). Para evitar este mecanismo, muchos usuarios simplemente desactivan el UAC o conceden privilegios de administrador a un usuario añadiendo una cuenta de usuario al grupo local «Administradores». Por supuesto, ambos métodos no son seguros.
Una aplicación puede necesitar los privilegios de administrador para modificar algunos archivos (logs, configs, etc.) en su propia carpeta en el directorio C:\NArchivos de Programa (x86)\Nde alguna aplicación. Por defecto, los usuarios no tienen permisos de edición (escritura y modificación) en este directorio. Para que este programa funcione con normalidad, se necesitan los permisos de administrador. Para resolver este problema, hay que conceder manualmente el permiso de modificación y/o escritura para un usuario (o el grupo incorporado de Usuarios) en la carpeta de la aplicación a nivel del sistema de archivos NTFS.
