1 869 Table of Contents 871 976

Sistemas operativos modernos

todo mundo tiene acceso de lectura, Elisa no tiene acceso, Carlos tiene acceso de lectura/escri­ tura y Aída misma tiene acceso total. Este sencillo ejemplo se ilustra en la figura 11-43. El SID Everyone se refiere al conjunto de todos los usuarios, pero es sobrescrito por los ACEs explí­ citos que vengan después. Descriptor de seguridad Archivo ACE ACE Figura 11-43. E je m p lo d e d e s c rip to r d e se g u rid a d pa ra un a rc h iv o . Además de la DACL, un descriptor de seguridad también fiene una SACL (lista de con­ trol de acceso del sistema; System Access Control List), que es como una DACL excepto que no especifica quién puede usar el objeto, sino qué operaciones con el objeto se asientan en el registro de sucesos de seguridad del sistema. En la figura 11-43, toda operación que María rea­ lice con el archivo se asentará en el registro. Windows 2000 ofrece otras funciones de audito­ ría para registrar accesos confidenciales. 11.8.2 Llamadas a la API para seguridad Casi todo el mecanismo de control de acceso de Windows 20(X) se basa en descriptores de se­ guridad. El patrón usual es que, cuando un proceso crea un objeto, proporciona un descriptor de seguridad como uno de los parámetros de las llamadas CreateProcess, CreateFile u otras que crean objetos. Entonces, ese descriptor de seguridad se convierte en el que está asociado con el objeto, como vimos en la figura 11-43. Si no se proporciona un descriptor de seguridad en la llamada de creación del objeto, se usará la seguridad predeterminada que está en la ficha de acceso del invocador (vea la figura 11-42). Muchas de las llamadas de la API Win32 en materia de seguridad tienen que ver con la administración de descriptores de seguridad, por lo que aquí nos concentraremos en ellos. Las llamadas más importantes se presentan en la figura U-44. Para crear un descriptor de seguri­ dad, primero se le asigna memoria y luego se le dan valores iniciales con InifializeSecurity- Descriptor. Esta llamada llena el encabezado. Si se desconoce el SID del dueño, puede

RkJQdWJsaXNoZXIy MjI4NDcx