Sistemas operativos modernos

un usuario inicia un proceso, este último y sus subprocesos se ejecutan bajo el SID del usua­ rio. Casi todo el sistema de seguridad está diseñado de modo que se pueda tener la certeza de que sólo subprocesos con SID autorizados tengan acceso a cada objeto. Cada proceso tiene una ficha de acceso que especifica su SID y otras propiedades. Lo nor­ mal es que winlogon asigne esta ficha durante el inicio de sesión. La ficha se muestra en la fi­ gura 11-42, pero se recomienda que los procesos invoquen GetTokenInformation para obtener esta información, pues podría cambiar en el futuro. El encabezado confiene cierta información administrativa. El campo de fecha de vencimiento podría indicar cuándo dejará de ser válida la ficha, pero en la actualidad no se usa. Los campos Grupos especifican los grupos a los que per­ tenece el proceso; esto se requiere para cumplir con POSIX. La lista de control de acceso a discreción (DACL; Discretionary ACL) predeterminada es la Usta que se asigna a los objetos creados por el proceso, si no se especifica alguna otra ACL. El SID de usuario identifica al due­ ño del proceso. Los SIDs restringidos son para permifir que procesos no confiables participen en trabajos junto con procesos confiables pero con menos capacidad para causar daños. Por último, los privilegios que aparecen, si los hay, confieren al proceso facultades espe­ ciales, como el derecho a apagar la máquina o el acceso a archivos a los que de otra manera se negaría. De hecho, los privilegios dividen las facultades del superusuario en varios derechos que pueden asignarse a los procesos en forma individual. De este modo, puede conferirse a un usuario ciertas facultades de superusuario, pero no todas. En síntesis, la ficha de acceso dice quién posee el proceso y qué valores predeterminados y facultades tiene asociados. Encabezado Tiempo de vencimiento Gnj|x>s DACL predeter­ minada SID de usuario SID de grupo SID restringidos Privilegios Figura 11-42. E structura d e una fic h a d e acceso. Cuando un usuario inicia sesión, winlogon entrega al proceso inicial una ficha de acceso. Los procesos subsiguientes por lo regular heredan esta ficha uno por uno. La ficha de acceso de un proceso en un principio es válida para todos los subprocesos del proceso. No obstante, un subproceso puede obtener una ficha de acceso distinta durante su ejecución, en cuyo caso la ficha de acceso del subproceso sobrescribirá a la del proceso. En particular, un subproceso cliente puede pasar su ficha de acceso a un subproceso servidor para que el servidor tenga ac­ ceso a los archivos protegidos y demás objetos del cliente. Este mecanismo se denomina su­ plantación de identidad. Otro concepto básico es el descriptor de seguridad. Cada objeto tiene asociado un des­ criptor de seguridad que indica quién puede realizar qué operaciones con él. Un descriptor de seguridad consiste en un encabezado seguido de una DACL con uno o más elementos de con­ trol de acceso (ACE; Access Control Elements). Los dos tipos principales de elementos son Allow (permifir) y Deny (negar). Un elemento Allow especifica un SID y un mapa de bits que indica las operaciones que los procesos con ese SID pueden realizar con el objeto. Un elemen­ to Deny funciona igual, sólo que una coincidencia implica que el invocador no puede realizar la operación. Por ejemplo, Aída tiene un archivo cuyo descriptor de seguridad especifica que