Iniciar Sesión en Windows Server 2003








Iniciar sesión en Windows Server 2003

La Autenticación verifica la identidad de algo o alguien. La identidad de un usuario o equipo debe ser autenticada antes de que tengan acceso a archivos, carpetas, impresoras y aplicaciones. Este proceso consta de dos partes fundamentales: Las credenciales y la validación.

 

Las credenciales son la combinación del nombre y contraseña de una cuenta, aseguran la identidad del aspirante.

 

La validación confirma o deniega la validez de las credenciales, determinando el nivel de confianza concedida al aspirante.

 

En Windows Server 2003 la combinación de las teclas Ctrl+Alt+Supr, es decir pulsar al mismo tiempo las teclas Control+Alt+Suprimir, muestra la ventana de inicio de sesión.

 

Inicio de sesión Local (Local logon): Este inicio es comprobado por la base de datos SAM (Security Accounts Manager) en el equipo físico donde se procede a iniciar la sesión, así como se tendrá acceso sólo a los recursos del mismo equipo físico.

 

Inicio de sesión Dominio (Domain Logon): Este inicio es comprobado por un Controlador de Dominio (DC). Se tiene acceso a los recursos en el dominio y en cualesquiera dominios de confianza.

– Se inicia sesión en el dominio, las credenciales del usuario son encriptadas y enviadas a un DC, éste determina a qué grupos pertenece el usuario y devuelve un token de acceso y el usuario accede a la red.

 

Incio de sesión secundario (Secondary Logon): Mediante este inicio los administradores pueden iniciar sesión con un cuenta que no es de administrador y ejecutar aplicaciones en un contexto de administrador. Cuando se usa este inicio para abrir un programa, herramienta u otro, se tiene los derechos y privilegios del usuario con que se inicia para ese programa, herramienta u otro sólo.

Este inicio se comprueba por un Controlador de Dominio y se tiene acceso a los recursos del dominio y de aquéllos con que se mantiene relaciones de confianza.

También se conoce como ‘Run As‘ o ‘Ejecutar como’, y puede iniciarse haciendo clic con el botón derecho del ratón en el programa, herramienta u otro que se desee ejecutar de éste modo.

¿Cúal es el propósito de este tipo de inicio de sesión? 

Cuando un administrador inicia sesión con su cuenta y realiza acciones sin privilegio y con privilegio en la misma sesión se crea un agujero de seguridad, o un riesgo innecesario. Ejecutando un navegador y accediendo a Webs desconocidas podría perjudicar el sistema si se realiza en un entorno de privilegio. Lo mejor es iniciar sesión como un usuario sin privilegios administrativos y utilizar este inicio de sesión para aquéllas táreas administrativas que requieran de esos privilegios.

Para usarlo, como ya he comentado, clic derecho sobre el programa, herramienta u otro y seleccionar ‘Ejecutar como’ (Run As); se nos muestra un cuadro de diálogo en el que podemos introducir el usuario y contraseña de una cuenta de administrador. Se puede utilizar el comando runas con otros comandos en el símbolo del sistema y en scripts. Si tecleamos en una ventana ‘cmd’ runas /Help obtendremos la sintaxis y otros parámetros para utilizarco en un comando.

 

Yo recomendaría la lectura de un artículo al respecto, ya me contareis.


 

Finalmente, también podríamos iniciar sesión con una Smart card, que al fin y al cabo sería como iniciar sesión en un dominio aunque aquí sería la tarjeta la que entregaría las credenciales para que el DC autenticara dicho inicio.

 

Relacionado con el inicio de sesión y la autenticación (Logon and Authentication) se pueden extraer una série de términos y su definición:

Acces Token: El Token de acceso contiene los identificadores de seguridad, (SID) que establecen los privilegios y derechos del usuario. Cada SID es un valor único que identifica una cuenta de usuario, grupo, o equipo. Cada cuenta al ser creada se le emite un SID. Los derechos y permisos de un usuario, grupo o equipo son determinados por las listas de control de acceso (ACLs Access control lists) que contienen los SIDs autorizados. Como añadido al propio SID único del usuario, los SIDs de los grupos a los que pertenece también le identifican. Toda esta información es almacenada en el Token de acceso, que encapsula todos los datos que relacionan la identidad del usuario y el contexto de seguridad durante la sesión. Los Tokens de acceso se recrean cada cierto tiempo.

WinLogon: Es el proceso responsable para la administración de la seguridad relacionada con las iteraciones del usuario, que coordina los procesos de inicio de sesión y cierre de sesión y el arranque del shell del usuario.

MSGINA(Microsoft Graphical Identification and Authentication):Es una DLL reemplazable que Winlogon llama para mostrar en pantalla el cuadro de diálogo de inicio de sesión estándar.

Security Accounts Manager(SAM): Un subsistema protegido (por syskeys) que gestiona la información de cuentas de usuario y grupos.

Local Security Authority(LSA): LSA provee al usuario de los servicios de autenticación y gestiona la seguridad del sistema operativo. Como añadido también gestiona las directivas locales de seguridad (local security policy), las directivas de auditoria y su configuración (audit policy) y además genera tokens que contienen la información del usuario y grupo añadida a la información sobre los permisos de seguridad del usuario.

Net Logon Service: Es el encargado junto al protocolo NTLM, de consultar la SAM en un controlador de dominio para validar las credenciales del usuario.

Kerberos V5 Protocol: Es el protocolo por defecto de autenticación para Windows 2000, XP y 2003. Está basado en la idea de los tickets (paquetes encriptados de una autoridad de confianza, llamados KDC Key Distribution Center).

Kerberos Key Distribution Center (KDC) Service: Servicio utilizado junto al protocolo de autenticación Kerberos, para autenticar los requerimientos al servicio de directorio Active Directory.

X.509 v3 Certificates: Un estándar en certificados de llave pública.

Kerberos Security Support Provider(SSP): Una DLL que puede usarse para la autenticación de los inicios de sesión en red y para las conexiones cliente/servidor.

Active Directory: Es el servicio de directorio desde Windows 2000.

NTLM Protocol: Este protocolo autentica usuarios y equipos basado en el mecanismo de desafío/respuesta. El proceso sigue unos pasos:


  1. El usuario introduce nombre de usuario y contraseña en la interfaz de inicio de sesión.

  2. Winlogon envia la información a LSA.

  3. Si la cuenta es local LSA compara la información con el SAM del equipo local, si es del dominiol, LSA valida las credenciales consultando el SAM en un Controlador de Dominio. Si las credenciales son válidas el SAM devuelve la información a LSA con un SID de usuario y los SID de los grupos a los que pertenece el usuario. LSA usará la información para crear el Access Token.

 La interfaz de inicio de sesión o, el cuadro de diálogo que se nos muestra para iniciar sesión, cambia según la pertenencia del equipo a un dominio o a un grupo de trabajo y en el caso de pertenecer a un dominio, se asume que el usuario quiere iniciar sesión en el dominio al que pertenece el equipo.


Este cuadro de diálogo nos muestra lo siguiente:


Nombre de usuario (User name) : Un nombre único asignado por un administrador a la cuenta del usuario.


Contraseña (Password): La contraseña que ha sido asignada a la cuenta del usuario. Normalmente el propio usuario puede definirla, la contraseña es case sensitive, quiere decir que diferencia entre mayúsculas y minúsculas. Aparece en la pantalla como asteriscos * en el momento que se introduce. Y normalmente debería cumplir ciertas condiciones para ser una contraseña fuerte y segura.


Inicio en (Log on To): Esto no aparece si el equipo no pertenece a un dominio. Aquí aparece una lista de posibilidades: El nombre del dominio al que pertenece el equipo y el nombre del equipo por si se desea iniciar sesión localmente(Si elequipo es un DC ésta opción nunca aparecerá); también aparecerán aquéllos dominios que pertenezcan al árbol de dominios.


Luego los botones de Ok, Cancelar, Shutdown y Opciones.


Shutdown puede aparecer difuminado, por lo que no está activado, y el de opciones efectúa el simple cambio de mostrar el apartado de Inicio en (Log on To) o no mostrarlo.


—-

Leave a Reply

Your email address will not be published. Required fields are marked *