Seguridad comprometida al acceder a recursos compartidos atravesando links simbolicos

La verdad, me he perdido... De todas maneras, creo que tienes un desorden en
los permisos, pues, por ejemplo:

- Una carpeta compartida "home" con acceso total (permiso de shared)
para "Todos" y privilegios de "solo lectura" para "test"

Eso no tiene sentido, si Todos tienen control total, test tiene control
total, pues pertenece a Todos y eso le da ese derecho, a pesar de que
explícitamente le pongas sólo lectura; otra cosa habría sido al revés, sólo
lectura para Todos y control total para test.

Así, a bote pronto, yo revisaría los permisos NTFS, de la carpeta
c:\shared\data, pues al tratarse de un enlace no creo que herede permisos,
si no que tendrá los suyos propios.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


escribió en el mensaje de
noticias:

El escenario que os voy a mostrar es fácilmente reproducible, si
alguien decide probarlo, por favor, me encantaría conocer su
resultado.

- Windows 2003 Server, con dominio o sin dominio \\server
- Un grupo de seguridad "Gtest"
- Un usuario "test" del grupo Users y del grupo Gtest
- Una carpeta "data" con privilegios de "control total" para Gtest, y
para Administradores
- Una carpeta compartida "home" con acceso total (permiso de shared)
para "Todos" y privilegios de "solo lectura" para "test"
- Dentro de la carpeta "home" un enlace simbólico a la carpeta data: "
linkd c:\shared\home\enlace_a_data c:\shared\data ". Esta carpeta
de enlace hereda los permisos de "home"

Desde un cliente Windows XP se puede mapear una unidad de red " Z:

\\server\home " con las credenciales del usuario "test". En Z: el

usuario cliente sólo verá la carpeta enlace_a_data; como en "home"
sólo tiene acceso de lectura no puede crear más carpetas ni borrar.
Sin embargo, dentro de " Z:\enlace_a_data" , tendrá control total,
como era de esperar ya que su grupo "Gtest" tiene privilegios sobre la
carpeta "data". Todo funciona bien pero...

Pongamos un archivo de MSOffice (excel.xls p.ej) dentro de la carpeta
"data" y ...

- el usuario cliente abre el archivo desde Office2003 con SP2 o SP3
(sólo probado con Office2003)
- el usuario hace modificaciones y guarda
- SORPRESA: Al comprobar las credenciales de seguridad para el archivo
excel.xls ¡¡¡se ha eliminado la ACL para el grupo Gtest!! y se ha
creado una nueva ACL para el usuario "test" de sólo lectura (heredados
de la carpeta "home")

Resultado: El resto de miembros del grupo "Gtest" dejan de tener
acceso al archivo y el usuario "test" ya no puede volver a
modificarlo!!

Lo extraño de esto es que sólo ocurre con la manera en que Office abre
y guarda los documentos, con el resto de archivos se siguen aplicando
los privilegios heredados de la carpeta "data" (como debería ser)

¿se le ocurre a alguien qué podría estar fallando?

Muchas gracias

Fernando, muchas gracias por interesarte. Te tengo que felicitar
porque, aun habiéndote perdido con mi explicación, has conseguido
solucionar mi problema, que me traía loco desde hace alguna semana.
Quería aclararte que cuando doy "control total" a "Todos", lo hago en
la pestaña "Compartir" es decir, son los permisos de red, que en el
sistema ingles microsoft denomina "Sharing" y, según entiendo,
controla el NIVEL MÁXIMO de acceso que los usuarios tienen al sistema
*a través de la red*. Estos permisos son independientes de aquellos
que se configuran dentro de la pestaña "Seguridad" que son los
permisos NTFS propiamente dichos y que se aplican tanto para acceso a
través de red como para acceso local o por terminal server, y que se
aplican después de aplicar los ACL de red del recurso compartido.
Por eso no veo contradicción en otorgar "control total" para el
recurso compartido a todos los usuarios y posteriormente limitarlo a
ciertas carpetas y a ciertos usuarios. Por cierto, que windows sólo da
3 opciones para este nivel de acceso: "control total" - "Leer" -
"Escribir", de lo cual yo deducía *incorrectamente* que "control
total" era lo mismo que seleccionar "leer" y "escribir" por eso suelo
seleccionar los tres a la vez, pero NO ES ASI. Efectivamente,
desmarcando "Control total" para el share ya no se da el problema que
yo planteaba, de modo que "Control total" para el ACL de red permite
hacer cosas que para mi son una incógnita.

Sigue en el aire saber por qué demonios MsOffice intenta (siempre que
puede y por su cuente) borrar los permisos de un archivo para todos
los grupos a los que pertenece el usuario que está abriendo y
guardando el archivo, y los sustituye por un único ACL con el usuario
que realiza la acción.

En fin, muchas gracias Fernando, si quieres que te aclare algo de lo
que he dicho (entiendo que soy un poco rollista) lo haré encantado, me
gustaría que tú también pudieras sacar algo positivo de todo esto.

Saludos





On 9 ene, 08:43, "Fernando Reyes [MS MVP]"
wrote:

La verdad, me he perdido... De todas maneras, creo que tienes un desorden en
los permisos, pues, por ejemplo:

> - Una carpeta compartida "home" con acceso total (permiso de shared)
> para "Todos"  y privilegios de "solo lectura" para "test"

Eso no tiene sentido, si Todos tienen control total, test tiene control
total, pues pertenece a Todos y eso le da ese derecho, a pesar de que
explícitamente le pongas sólo lectura; otra cosa habría sido al revés, sólo
lectura para Todos y control total para test.

Así, a bote pronto, yo revisaría los permisos NTFS, de la carpeta
c:\shared\data, pues al tratarse de un enlace no creo que herede permisos,
si no que tendrá los suyos propios.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003http://freyes.svetlian.comhttp://urpiano.wordpress.com
RSS:http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)

escribió en el mensaje de
noticias:

> El escenario que os voy a mostrar es fácilmente reproducible, si
> alguien decide probarlo, por favor, me encantaría conocer su
> resultado.

> - Windows 2003 Server, con dominio o sin dominio \\server
> - Un grupo de seguridad "Gtest"
> - Un usuario "test" del grupo Users y del grupo Gtest
> - Una carpeta "data" con privilegios de "control total" para Gtest, y
> para Administradores
> - Una carpeta compartida "home" con acceso total (permiso de shared)
> para "Todos"  y privilegios de "solo lectura" para "test"
> - Dentro de la carpeta "home" un enlace simbólico a la carpeta data: "
> linkd c:\shared\home\enlace_a_data     c:\shared\data ". Esta carpeta
> de enlace hereda los permisos de "home"

> Desde un cliente Windows XP se puede mapear una unidad de red " Z:
>> \\server\home " con las credenciales del usuario "test". En Z: el
> usuario cliente sólo verá la carpeta enlace_a_data; como en "home"
> sólo tiene acceso de lectura no puede crear más carpetas ni borrar.
> Sin embargo, dentro de " Z:\enlace_a_data" , tendrá control total,
> como era de esperar ya que su grupo "Gtest" tiene privilegios sobre la
> carpeta "data". Todo funciona bien pero...

> Pongamos un archivo de MSOffice (excel.xls p.ej) dentro de la carpeta
> "data" y ...

> - el usuario cliente abre el archivo desde Office2003 con SP2 o SP3
> (sólo probado con Office2003)
> - el usuario hace modificaciones y guarda
> - SORPRESA: Al comprobar las credenciales de seguridad para el archivo
> excel.xls   ¡¡¡se ha eliminado la ACL para el grupo Gtest!! y se ha
> creado una nueva ACL para el usuario "test" de sólo lectura (heredados
> de la carpeta "home")

> Resultado: El resto de miembros del grupo "Gtest" dejan de tener
> acceso al archivo y el usuario "test" ya no puede volver a
> modificarlo!!

> Lo extraño de esto es que sólo ocurre con la manera en que Office abre
> y guarda los documentos, con el resto de archivos se siguen aplicando
> los privilegios heredados de la carpeta "data" (como debería ser)

> ¿se le ocurre a alguien qué podría estar fallando?

> Muchas gracias

Te había entendido que los permisos de test y todos estaban ambos en Share,
no uno en NTFS y otro en Share.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"citaIT" escribió en el mensaje de
noticias:

Fernando, muchas gracias por interesarte. Te tengo que felicitar
porque, aun habiéndote perdido con mi explicación, has conseguido
solucionar mi problema, que me traía loco desde hace alguna semana.
Quería aclararte que cuando doy "control total" a "Todos", lo hago en
la pestaña "Compartir" es decir, son los permisos de red, que en el
sistema ingles microsoft denomina "Sharing" y, según entiendo,
controla el NIVEL MÁXIMO de acceso que los usuarios tienen al sistema
*a través de la red*. Estos permisos son independientes de aquellos
que se configuran dentro de la pestaña "Seguridad" que son los
permisos NTFS propiamente dichos y que se aplican tanto para acceso a
través de red como para acceso local o por terminal server, y que se
aplican después de aplicar los ACL de red del recurso compartido.
Por eso no veo contradicción en otorgar "control total" para el
recurso compartido a todos los usuarios y posteriormente limitarlo a
ciertas carpetas y a ciertos usuarios. Por cierto, que windows sólo da
3 opciones para este nivel de acceso: "control total" - "Leer" -
"Escribir", de lo cual yo deducía *incorrectamente* que "control
total" era lo mismo que seleccionar "leer" y "escribir" por eso suelo
seleccionar los tres a la vez, pero NO ES ASI. Efectivamente,
desmarcando "Control total" para el share ya no se da el problema que
yo planteaba, de modo que "Control total" para el ACL de red permite
hacer cosas que para mi son una incógnita.

Sigue en el aire saber por qué demonios MsOffice intenta (siempre que
puede y por su cuente) borrar los permisos de un archivo para todos
los grupos a los que pertenece el usuario que está abriendo y
guardando el archivo, y los sustituye por un único ACL con el usuario
que realiza la acción.

En fin, muchas gracias Fernando, si quieres que te aclare algo de lo
que he dicho (entiendo que soy un poco rollista) lo haré encantado, me
gustaría que tú también pudieras sacar algo positivo de todo esto.

Saludos





On 9 ene, 08:43, "Fernando Reyes [MS MVP]"
wrote:

La verdad, me he perdido... De todas maneras, creo que tienes un desorden
en
los permisos, pues, por ejemplo:

> - Una carpeta compartida "home" con acceso total (permiso de shared)
> para "Todos" y privilegios de "solo lectura" para "test"

Eso no tiene sentido, si Todos tienen control total, test tiene control
total, pues pertenece a Todos y eso le da ese derecho, a pesar de que
explícitamente le pongas sólo lectura; otra cosa habría sido al revés,
sólo
lectura para Todos y control total para test.

Así, a bote pronto, yo revisaría los permisos NTFS, de la carpeta
c:\shared\data, pues al tratarse de un enlace no creo que herede
permisos,
si no que tendrá los suyos propios.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server
2003http://freyes.svetlian.comhttp://urpiano.wordpress.com
RSS:http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)

escribió en el mensaje de
noticias:

> El escenario que os voy a mostrar es fácilmente reproducible, si
> alguien decide probarlo, por favor, me encantaría conocer su
> resultado.

> - Windows 2003 Server, con dominio o sin dominio \\server
> - Un grupo de seguridad "Gtest"
> - Un usuario "test" del grupo Users y del grupo Gtest
> - Una carpeta "data" con privilegios de "control total" para Gtest, y
> para Administradores
> - Una carpeta compartida "home" con acceso total (permiso de shared)
> para "Todos" y privilegios de "solo lectura" para "test"
> - Dentro de la carpeta "home" un enlace simbólico a la carpeta data: "
> linkd c:\shared\home\enlace_a_data c:\shared\data ". Esta carpeta
> de enlace hereda los permisos de "home"

> Desde un cliente Windows XP se puede mapear una unidad de red " Z:
>> \\server\home " con las credenciales del usuario "test". En Z: el
> usuario cliente sólo verá la carpeta enlace_a_data; como en "home"
> sólo tiene acceso de lectura no puede crear más carpetas ni borrar.
> Sin embargo, dentro de " Z:\enlace_a_data" , tendrá control total,
> como era de esperar ya que su grupo "Gtest" tiene privilegios sobre la
> carpeta "data". Todo funciona bien pero...

> Pongamos un archivo de MSOffice (excel.xls p.ej) dentro de la carpeta
> "data" y ...

> - el usuario cliente abre el archivo desde Office2003 con SP2 o SP3
> (sólo probado con Office2003)
> - el usuario hace modificaciones y guarda
> - SORPRESA: Al comprobar las credenciales de seguridad para el archivo
> excel.xls ¡¡¡se ha eliminado la ACL para el grupo Gtest!! y se ha
> creado una nueva ACL para el usuario "test" de sólo lectura (heredados
> de la carpeta "home")

> Resultado: El resto de miembros del grupo "Gtest" dejan de tener
> acceso al archivo y el usuario "test" ya no puede volver a
> modificarlo!!

> Lo extraño de esto es que sólo ocurre con la manera en que Office abre
> y guarda los documentos, con el resto de archivos se siguen aplicando
> los privilegios heredados de la carpeta "data" (como debería ser)

> ¿se le ocurre a alguien qué podría estar fallando?

> Muchas gracias