Capítulo 11

Autorización y control de acceso

OBJETIVOS DE CERTIFICACIÓN

11.01 Introducción al control de acceso

11.02 Esquemas de control de acceso

11.03 Implementación del control de acceso

✓ Simulacro de dos minutos

Preguntas y respuestas Autocomprobación

N
Si tiene una comprensión de la autenticación y los diferentes tipos
de métodos y protocolos de autenticación, está preparado para
dominar el control de acceso. Después de que un usuario se auten-
tica en la red, debe estar autorizado para realizar tareas y acceder
a diferentes recursos. Como profesional de la seguridad, autoriza a las
personas a realizar diferentes tareas mediante un método de control de
acceso. Este capítulo presenta los conceptos de control de acceso y analiza
los métodos comunes de implementación del control de acceso dentro de
la organización y en la red.

OBJETIVO DE CERTIFICACIÓN 11.01

Introducción al control de acceso

Al configurar la seguridad en cualquier entorno, una de las primeras

líneas de defensa es requerir autenticación en el sistema (a la que estuvo
expuesto en el capítulo anterior). Después de la autenticación, un usuario
debe estar autorizado para acceder a los recursos o para realizar tareas
del sistema. La autorización generalmente se implementa con sistemas de
 control de acceso. Un sistema de control de acceso determina quién tiene
acceso al entorno y qué nivel de acceso tienen.

Al implementar el control de acceso a un recurso, como una red o un

archivo, normalmente se crea lo que se conoce como lista de control de
acceso (ACL), que es una lista de sistemas o personas que están autoriza-
dos para acceder al recurso. Aprenderá más sobre las listas de control de
acceso a medida que avance en el capítulo.

Esta sección le presenta el concepto de control de acceso discutiendo

primero los diferentes tipos de controles de seguridad y luego revisando
algunos de los principios de seguridad comunes que rodean el control de
acceso.

Para el examen, recuerde que la autorización se implementa medi-

ante métodos de control de acceso.

Tipos de controles de seguridad

Un control de seguridad es un mecanismo utilizado para proteger un ac-

tivo; Por ejemplo, un firewall es un control de seguridad que protege la
red de ataques que se originan desde el exterior. Debe estar familiarizado
con las diferentes categorías de controles de seguridad y los diferentes
tipos de controles de seguridad para el examen de certificación Security+.

Categoría de controles

Hay tres categorías principales de controles de seguridad, y cada

categoría de control tiene un propósito diferente para su programa de
seguridad:

■ Control administrativo (de gestión) Un control administrativo, también

conocido como control de gestión, es una política, procedimiento o direc-
triz escrita. Los controles administrativos se crean primero al diseñar la
directiva de seguridad, ya que dictarán los demás tipos de controles que
 deben utilizarse. Ejemplos de controles administrativos son la política de
contraseñas, la política de contratación, la selección de empleados, las va-
caciones obligatorias y la capacitación en concientización sobre
seguridad.

■ Control lógico (técnico) Un control lógico, también conocido como control

técnico, es responsable de controlar el acceso a un recurso determinado.

Ejemplos de controles lógicos son firewalls, cifrado, contraseñas, sistemas
de detección de intrusos (IDS) o cualquier otro mecanismo que controle el
acceso a un recurso. Otro ejemplo son las directivas de grupo, que son
controles técnicos que se usan para implementar la directiva de
contraseñas (control administrativo) definida por la organización.

La capacitación del usuario es imprescindible para el equipo administra-

tivo que implementará los controles lógicos, como firewalls e IDS, porque
necesitan comprender a fondo tanto el entorno en el que se
implementarán los controles como los controles técnicos reales. La
capacitación debe cubrir no solo las políticas de la organización, sino
también cómo configurar correctamente cada uno de estos dispositivos.

■ Control operacional Los controles operacionales son controles que for-

man parte de las actividades cotidianas necesarias para mantener las op-
eraciones en marcha. Un buen ejemplo de un control operacional son las
copias de seguridad.

Para el examen Security+, recuerde que los controles administra-

tivos son las políticas de seguridad que se definen, mientras que un
control lógico (técnico) es la implementación de un mecanismo de
protección como un firewall o un software antivirus.

Clases de controles/tipos de controles

El otro punto clave a recordar sobre los controles de seguridad son las
diferentes clases. Algunos controles de seguridad están diseñados para
 corregir un problema, mientras que otros pueden estar ahí para detectar
un problema. En la lista siguiente se identifican las diferentes clases de
controles de seguridad:

■ Preventivo Un control preventivo se utiliza para evitar que ocurra un inci-

dente de seguridad. Por ejemplo, el uso de un candado de cable en una
computadora portátil ayuda a prevenir el robo de la computadora
portátil; esto también se puede clasificar como un control disuasorio
porque la presencia visible de la cerradura disuade a un ladrón de inten-
tar robar la computadora portátil.

■ Correctivo Un control correctivo se utiliza para corregir un incidente de

seguridad y restaurar un sistema a su estado original antes de que ocurri-
era el incidente de seguridad.

■ Detective Un control de detective se utiliza para detectar que se está pro-

duciendo un incidente de seguridad y, por lo general, notificará al oficial
de seguridad. Por ejemplo, podría tener una alarma de seguridad como
control de detective físico o usar un sistema de detección de intrusos
como control de detective técnico.

Un control disuasorio es un tipo de control que disuade a alguien de realizar

una acción, pero no necesariamente lo detiene. Un ejemplo de control dis-
uasorio es una amenaza de disciplina, o incluso la terminación del em-
pleo, si no se sigue la política de seguridad. Una cámara de seguridad visi-
ble es otro ejemplo de un control disuasorio: si alguien sabe que está en
cámara, es menos probable que realice acciones que puedan meterlo en
problemas.

■ Compensación Un control de compensación es un control que compensa

el hecho de que no puede poner otro control en su lugar. Por ejemplo, dig-
amos que su empresa tiene el requisito de que todas las ubicaciones usen
una cerca alrededor del perímetro de la propiedad, pero usted tiene una
ubicación de oficina donde no es propietario del edificio o terreno y está
 alquilando espacio de oficina. En este ejemplo, no puede adherirse a la
política de seguridad de la empresa y poner una cerca, por lo que com-
pensa eso teniendo un guardia de seguridad en la oficina y una estación
de detección para validar a cada visitante. También puede implementar
blindaje metálico en los pisos y el techo para evitar fugas de señal en esas
direcciones.

■ Control físico Los controles físicos se utilizan para controlar el acceso a la

propiedad, edificio (s) o campus de la organización. Ejemplos de controles
físicos son puertas, cerraduras, cercas, guardias de seguridad, cables de
bloqueo (cerraduras de cable) y equipos de videovigilancia.

Para el examen Seguridad+, asegúrese de conocer la diferencia entre

los tipos de controles. Recuerde específicamente la diferencia entre
un control correctivo, un control detectivesco, un control físico y un
control de compensación.

Falsos positivos/falsos negativos

Muchos controles de seguridad realizarán algún tipo de prueba para veri-

ficar el estado de un objeto, como un archivo o mensaje de correo
electrónico, en busca de un incidente de seguridad. Los siguientes son al-
gunos resultados comunes de estas pruebas que debe tener en cuenta:

■ Falso positivo La prueba vuelve a ser verdadera (positiva), pero los resul-
tados de la prueba son incorrectos (falsos) y la prueba debería haber sido
falsa. Por ejemplo, el software antivirus bloquea erróneamente un
archivo, pensando que tiene un virus cuando no lo tiene, o un filtro de
spam marca erróneamente un mensaje como correo no deseado cuando
no lo es.

■ Falso negativo La prueba arroja false (negativo), pero los resultados son
erróneos (falso). En realidad, la prueba debería haber vuelto como cierta.
 Desde el punto de vista de la seguridad, es importante probar los con-
troles de seguridad en busca de resultados inexactos, como falsos posi-
tivos y falsos negativos, y luego ajustar la configuración del control para
reducir estos resultados incorrectos.

Denegar implícitamente

La implementación del control de acceso en diferentes entornos suele im-

plicar una regla predeterminada denominada "denegación implícita", lo
que significa que al configurar la lista de control de acceso (ACL), todo lo
que no esté en la lista tiene prohibido acceder al recurso. Por ejemplo, al
configurar permisos NTFS en un archivo, a cualquier persona que no fig-
ure en la lista de permisos (conocida como ACL) se le deniega el acceso al
archivo de forma predeterminada. Los siguientes son algunos ejemplos
cotidianos en los que puede encontrar una regla de denegación implícita:

■ ACL del enrutador La lista de control de acceso en una lista de enruta-

dores especifica qué tráfico, ya sea que salga o ingrese a la red, puede
pasar a través de la interfaz. Cuando se habilitan las listas de acceso en
un router, una denegación implícita predeterminada significa que, a
menos que se especifique lo contrario, se deniega el tráfico.

■ Permisos Al configurar permisos NTFS en un archivo, se enumera quién

puede obtener acceso al archivo y qué permisos tienen. Si alguien no está
incluido en la lista de permisos, ya sea directamente o a través de la
pertenencia a un grupo, se le niega implícitamente el acceso al archivo.

■ Cortafuegos Cuando configura un cortafuegos, una regla predeterminada

deniega que todo el tráfico entre en la red, excepto el tráfico que cumpla
las reglas que configure en el cortafuegos. Por ejemplo, puede decidir
permitir que el tráfico del puerto TCP 80 pase a través del firewall, por lo
que configura una regla para hacerlo. El resto del tráfico está bloqueado
por el firewall de forma predeterminada.

Revisión de los principios de seguridad/conceptos generales

En el Capítulo 2, aprendió acerca de algunos principios de seguridad im-
portantes que ayudan en la implementación del control de acceso. Esos
principios son el privilegio mínimo, la separación de funciones y la
rotación de trabajos. Revisemos esos principios antes de sumergirnos en
otros aspectos del control de acceso.

Privilegio mínimo

El concepto de privilegio mínimo es otorgar los permisos mínimos nece-

sarios para que los usuarios realicen sus tareas. No desea conceder más
permisos de los necesarios porque entonces el usuario o administrador
puede hacer más de lo que se espera con el recurso. Por ejemplo, si Bob
va a ser responsable de hacer las copias de seguridad de un servidor
Windows, no desea colocarlo en el grupo Administradores porque tendría
la capacidad de hacer más que copias de seguridad: podría realizar
cualquier cambio en el sistema que quisiera. En este ejemplo, desea colo-
carlo en el grupo Operadores de copia de seguridad para que se centre en
las copias de seguridad.

El examen de certificación Security+ pondrá a prueba su

conocimiento de estos principios de seguridad, así que asegúrese de
estar familiarizado con ellos para el examen.

Separación de funciones

La separación de tareas significa que se asegura de que todas las tareas

críticas se dividan en diferentes procesos y que cada proceso sea real-
izado por un empleado diferente. Por ejemplo, en la mayoría de las em-
presas, la persona que emite el cheque para pagar una compra es difer-
ente de la persona que firma el cheque. Por lo general, la persona que es-
cribe el cheque es alguien en el departamento de contabilidad, pero el
cheque generalmente está firmado por el director financiero (CFO) de la
empresa.

Rotación de puestos
 En el Capítulo 2, aprendió que su empresa debe hacer cumplir las vaca-
ciones obligatorias para detectar actividades fraudulentas o sospechosas
dentro de la organización por parte de otro empleado que asume el rol de
trabajo mientras alguien está de vacaciones. Las vacaciones obligatorias
también mantienen alta la moral de los empleados y mantienen al em-
pleado fresco. Así como es importante hacer cumplir las vacaciones obli-
gatorias, también debe emplear la rotación de trabajos dentro del nego-
cio. La rotación de trabajos garantiza que diferentes empleados realicen
diferentes roles de trabajo de forma regular. Esto también ayudará a de-
tectar actividades fraudulentas dentro del negocio.

Otras prácticas de cuentas

Otras prácticas comunes se relacionan con las cuentas de usuario y el

control de acceso con las que debe estar familiarizado para el examen de
certificación Security+. En la siguiente lista se describen algunas prácticas
comunes de la cuenta:

■ Onboarding/offboarding La incorporación se refiere al proceso de entre-

vista y orientación por el que pasan los nuevos empleados e incluye todos
los pasos desde el proceso de selección de candidatos para el trabajo. Una
vez que se contrata a un empleado, el proceso de incorporación debe con-
tinuar asegurando que el empleado tenga una cuenta y tenga acceso a to-
dos los recursos necesarios para el trabajo. El proceso de incorporación
también debe incluir capacitación para el rol de trabajo específico para
que el empleado esté orientado al éxito dentro de su organización desde
el principio. La baja es el proceso que debe seguirse cuando un empleado
abandona la organización. Esto incluye una entrevista de salida,
recordándoles el acuerdo de confidencialidad (NDA) que firmaron
cuando fueron contratados (si corresponde), deshabilitando su cuenta y
cobrando cualquier activo de la organización que puedan tener.

■ Las cuentas de recertificación pasan por un proceso de certificación para

determinar si son necesarias. La recertificación es el proceso de reeval-
uar regularmente si las cuentas de usuario siguen siendo necesarias. Por
 ejemplo, puede tener una directiva de recertificación que establezca que
las cuentas deben volver a certificarse cada 90 días. Si la cuenta se consid-
era innecesaria, o si el propietario de la cuenta no responde a la solicitud
de recertificación, la cuenta se suspende.

■ Convención de nomenclatura estándar Cuando se trata de cuentas de

usuario, asegúrese de crear una convención de nomenclatura estándar
para sus cuentas. Algunas compañías van con nombre.apellido como la
convención de nombre de usuario, como glen.clarke, mientras que otras
usan apellido más primera inicial, como clarkeg, o alguna otra
convención
. Tener una convención de nomenclatura estándar puede ayudarle a de-
tectar cuentas no autorizadas si se crean sin seguir la convención de
nomenclatura de la organización. Lo mismo se aplica a las cuentas de
equipo: asegúrese de tener una convención de nomenclatura para esta-
ciones de trabajo y servidores.

■ Mantenimiento de la cuenta Realice un mantenimiento regular de la

cuenta, como asegurarse de que los usuarios cambien su contraseña regu-
larmente, hacer copias de seguridad de las carpetas de inicio del usuario
y deshabilitar cuentas innecesarias de forma regular. Estas podrían ser
cuentas de usuarios que han abandonado la organización o se han ido de
licencia.

■ Políticas basadas en la ubicación Las políticas basadas en la ubicación

son reglas que controlan el acceso a un recurso en función de la
ubicación del usuario. Los sistemas de control de acceso determinan la
ubicación en función de las coordenadas GPS o la proximidad de la torre
celular del dispositivo móvil del usuario que está conectado a una red
móvil. El administrador crea reglas de control de acceso basadas en la
ubicación que determinan si se debe conceder acceso o no. Otro ejemplo
de controles basados en la ubicación es que dentro de Azure, un admin-
istrador puede bloquear el acceso a una persona en función de que su
 dirección IP sea de un país determinado o requerir el uso de
autenticación multifactor (MFA).

OBJETIVO DE CERTIFICACIÓN 11.02

Esquemas de control de acceso

Al configurar el control de acceso en los recursos, su aplicación depende

del modelo de control de acceso que se utilice. En esta sección quiero dis-
cutir los principales modelos de control de acceso, como el control de ac-
ceso discrecional, el control de acceso obligatorio, el control de acceso
basado en roles, el control de acceso basado en reglas, el control de ac-
ceso basado en grupos y, finalmente, el control de acceso basado en atrib-
utos. Asegúrese de comprender esta sección porque se le probará en mod-
elos de control de acceso para su certificación Security+.

Control de acceso discrecional

El control de acceso discrecional, también conocido como DAC, es un

modelo que decide quién obtiene acceso a un recurso en función de una
lista de control de acceso discrecional (DACL). Una DACL es una lista de
usuarios o grupos (conocidos como entidades de seguridad) a los que se
concede acceso a un recurso, y la DACL normalmente determina qué tipo
de acceso tiene el usuario. Es decir, la DACL son los permisos asignados a
un archivo. Cada entrada en la DACL se conoce como una entrada de con-
trol de acceso (ACE), como se muestra en la figura 11-1.
FIGURA 11-1

Un ACE es una sola entrada en una ACL.

Para el examen de certificación Security+, recuerde que el control de

acceso discrecional (DAC) implica configurar permisos en un
recurso.

En entornos Microsoft, cada entidad de seguridad, como una cuenta de

usuario, una cuenta de equipo o un grupo, tiene asignado un identificador
de seguridad (SID). Cuando un usuario inicia sesión en la red, parte del
proceso de autenticación consiste en generar un token de acceso para el
usuario (esto se conoce como token lógico). El token de acceso contiene el
SID de la cuenta de usuario, además de los SID de los grupos de los que el
usuario es miembro.
 Cuando un usuario intenta acceder al recurso, el token de acceso se
compara con la DACL para decidir si el usuario debe obtener acceso al re-
curso (consulte la figura 11-2).

FIGURA 11-2

Un token de acceso ayuda a determinar si se debe conceder acceso.

Control de acceso obligatorio

Con el modelo de control de acceso obligatorio (MAC), a cada individuo

(conocido como sujeto) se le asigna un nivel de autorización como re-
stringido, secreto o alto secreto. A los datos y otros activos de la
organización se les asignan etiquetas de clasificación que representan la
confidencialidad de la información. Ejemplos de etiquetas de clasificación
son públicas, confidenciales, secretas, de alto secreto y no clasificadas,
por nombrar algunas.

Para el examen, recuerde que el control de acceso obligatorio im-

plica que los empleados obtengan acceso a los recursos en función de
su nivel de autorización y la etiqueta de clasificación de datos asig-
nada al recurso.
 El sistema controla quién obtiene acceso al recurso en función de su
nivel de autorización que coincida con la etiqueta de clasificación asig-
nada al recurso, como se muestra en la figura 11-3. Es importante tener
en cuenta que si una persona tiene un nivel de aclaramiento alto, puede
acceder a cualquier información asignada a esa etiqueta de sensibilidad o
inferior.

FIGURA 11-3

Con MAC, el nivel de holgura debe ser igual o mayor que la etiqueta de
sensibilidad.

Al diseñar el sistema MAC, el propietario de los datos debe decidir so-

bre la sensibilidad de la información y luego asignar la etiqueta de
clasificación a la información. También es importante que la
organización decida bajo qué circunstancias la información puede tener
su etiqueta de clasificación cambiada o quedar desclasificada. Por ejem-
plo, cuando una empresa está diseñando planes para un nuevo producto,
puede decidir que la información es confidencial, lo que significa que la
información no está autorizada para su divulgación pública. Pero una vez
que el producto ha sido diseñado, vendido y se ha vuelto obsoleto,
¿debería la empresa cambiar la etiqueta de clasificación de los documen-
tos de diseño del producto a "público" porque los planes de diseño ya no
son información confidencial?

Para el examen de certificación Security+, se espera que conozca el

término sistema operativo de confianza, que se refiere a un sistema
operativo que ha sido evaluado y determinado a seguir prácticas de
seguridad estrictas, como el control de acceso obligatorio. El
estándar internacional más ampliamente aceptado para la
evaluación de la seguridad es el Criterio Común para la Evaluación
de la Seguridad de la Tecnología de la Información, generalmente de-
nominado Criterios Comunes.

DENTRO DEL EXAMEN

Mirando las etiquetas de clasificación

Definitivamente recibirá algunas preguntas sobre los modelos

de control de acceso en el examen de certificación Security +, y
una o dos de esas preguntas se centrarán en el modelo de con-
trol de acceso obligatorio. Recuerde para el examen que MAC
asigna el nivel de autorización al sujeto (individuo) y asigna la
etiqueta de sensibilidad (también conocida como etiqueta de
clasificación) al recurso (por ejemplo, un archivo).

Se pueden asignar diferentes etiquetas de sensibilidad y nive-

les de separación en el sistema MAC. A continuación se de-
scriben los niveles de sensibilidad comunes para las organiza-
ciones gubernamentales. Recuerde que alguien con un nivel de
autorización específico puede acceder a la información asig-
 nada a esa etiqueta y a continuación. Por ejemplo, alguien con
autorización confidencial puede acceder a información confi-
dencial, restringida y no clasificada.

■ Top secret La etiqueta de sensibilidad más alta. La información

clasificada como de alto secreto podría causar graves daños a la
seguridad nacional si se filtra al público.

■ Secreto La segunda etiqueta de sensibilidad más alta. La

información clasificada como secreta podría causar graves
daños a la seguridad nacional si se filtra al público.

■ Confidencial La tercera etiqueta de sensibilidad más alta. La

información clasificada como confidencial podría causar daños
a la seguridad nacional si se filtra al público.

■ La información restringida asignada a esta etiqueta de

clasificación podría causar un resultado indeseable si se expone
al público.

■ No clasificado Cualquier información a la que no se le asigne

una etiqueta de clasificación se considera no clasificada y es
adecuada para su publicación pública.

El sector empresarial suele utilizar diferentes etiquetas de

clasificación para identificar la sensibilidad de la información.
A continuación se muestra un ejemplo de las etiquetas de sensi-
bilidad que podrían asignarse a la información y los niveles de
autorización que podrían asignarse al personal:

■ Confidencial La etiqueta de mayor sensibilidad. La información

clasificada como confidencial podría causar graves daños a la
organización si se filtra al público.
■ Privado La segunda etiqueta de sensibilidad más alta. La
información clasificada como privada podría causar graves
daños a la organización si se filtra al público.

■ La información confidencial asignada a esta etiqueta de

clasificación podría causar un resultado indeseable si se expone
al público.

■ Información pública asignada a esta etiqueta de clasificación es

adecuada para su publicación pública.

Una vez más, esta es una estructura jerárquica donde alguien

con autorización confidencial puede acceder no solo a datos
confidenciales sino también a cualquier dato con clasificaciones
más bajas, como privado, sensible y público.

Control de acceso basado en roles

El control de acceso basado en roles (RBAC) adopta un enfoque diferente

al de MAC para controlar el acceso a recursos y privilegios: el sistema
otorga privilegios especiales a diferentes roles. Un rol es un objeto con-
tenedor que tiene privilegios predefinidos en el sistema. Cuando coloca
usuarios en el rol, el usuario recibe los privilegios o permisos de control
de acceso asignados al rol.

Para el examen de certificación Security+, recuerde que el control de

acceso basado en roles implica colocar a los usuarios en contene-
dores (conocidos como roles) y a esos roles se les asignan privilegios
para realizar ciertas tareas. Cuando se coloca a un usuario en el rol,
hereda las capacidades que se le han asignado.

Varias aplicaciones utilizan RBAC, como Microsoft SQL Server y

Microsoft Exchange Server. En el siguiente ejercicio se muestra cómo
 puede conceder a alguien acceso administrativo a un servidor SQL Server
colocándolo en el rol sysadmin.

EJERCICIO 11-1

Asignar a un usuario el rol sysadmin

En este ejercicio, asignará a un usuario el rol sysadmin, que

es el rol en SQL Server que está autorizado para realizar
toda la administración en SQL Server. En este ejercicio,
necesitará acceso a un sistema Microsoft SQL Server que se
haya configurado para la seguridad de SQL Server.

1. Inicie sesión en SQL Server y, a continuación, inicie SQL

Server Management Studio desde el menú Inicio.

2. Elija Conectar para iniciar sesión en el servidor local con

autenticación de Windows.

3. Una vez que Management Studio se haya iniciado, expanda

(Local) | Seguridad | Roles de servidor. Observe el rol
sysadmin.
4. Haga doble clic en el rol sysadmin para agregarle un
usuario. Observe que la cuenta de administrador de
Windows está en el rol de mi ejemplo. Esto permite al ad-
ministrador del sistema Windows administrar SQL Server.

5. Haga clic en el botón Agregar para agregar un inicio de

sesión al rol. Escriba el nombre del inicio de sesión y, a
continuación, haga clic en Aceptar.

6. Haga clic en Aceptar para cerrar el cuadro de diálogo

sysadmin.
Control de acceso basado en reglas

El control de acceso basado en reglas, también conocido como RBAC, im-

plica configurar reglas en un sistema o dispositivo que permiten o no per-
mitir que ocurran diferentes acciones. Por ejemplo, un enrutador utiliza
RBAC para determinar qué tráfico puede entrar o salir de la red mediante
la comprobación de las reglas de una ACL configurada en el enrutador.
En la siguiente lista de códigos, puede ver en mi enrutador que tengo una
lista de acceso que permite a los sistemas 12.0.0.5 y 12.0.0.34 acceder a
Telnet, pero a cualquier otro sistema de la red 12.0.0.0 se le niega el ac-
ceso a Telnet:

Como otro ejemplo, el control de acceso basado en reglas se configura

en firewalls. El firewall también tiene reglas que determinan qué tráfico
se permite o no puede ingresar a la red.

Control de acceso basado en grupos

El control de acceso basado en grupos (GBAC) es cuando la seguridad del

entorno se basa en los grupos de los que el usuario es miembro. Por ejem-
plo, podría tener un código de aplicación que compruebe si un usuario
está en el grupo Finanzas antes de permitir que ese usuario llame al
método de depósito:

Control de acceso basado en atributos

El control de acceso basado en atributos (ABAC) es un modelo de control

de acceso que implica asignar atributos, o propiedades, a usuarios y re-
cursos y, a continuación, usar esos atributos en reglas para definir qué
usuarios tienen acceso a qué recursos. Por ejemplo, puede configurar una
regla que especifique que si el usuario tiene un atributo Department de
 Accounting y un atributo City de Boston, puede tener acceso al archivo.
Esto es diferente de RBAC o GBAC en el sentido de que esos modelos solo
comprueban si el usuario está en el rol o grupo.

Otras herramientas de control de acceso

Se pueden utilizar otras herramientas junto con el control de acceso. Las

siguientes son algunas herramientas adicionales utilizadas para controlar
el acceso:

■ Acceso condicional Al configurar el control de acceso en un sistema, es

posible que tenga la opción de especificar las condiciones para el acceso.
Esto es común en entornos basados en notificaciones porque el token de
acceso puede contener atributos como la ciudad o el departamento del
usuario y el dispositivo que está usando. Puede establecer una condición
en los permisos que diga algo como "Los usuarios obtienen el permiso de
modificación si su departamento es de contabilidad y el dispositivo que
están utilizando tiene un departamento de contabilidad".

■ Gestión de accesos privilegiados Este es el concepto de limitar qué cuen-

tas de usuario tienen acceso privilegiado al sistema. Como técnica para
reducir el riesgo de un compromiso de seguridad, debe limitar qué cuen-
tas de usuario tienen privilegios de administrador en el sistema. Si un
usuario con privilegios de administrador en el sistema ejecutara código
malicioso por accidente, el código podría dañar el sistema.

■ Permisos del sistema de archivos Como aprenderá en este capítulo,

puede implementar permisos de archivo en carpetas y archivos dentro de
cada uno de los sistemas operativos como una forma de controlar quién
puede acceder a los datos.

OBJETIVO DE CERTIFICACIÓN 11.03

Implementación del control de acceso

Ahora que comprende los diversos modelos de control de acceso, veamos
cómo se implementa el control de acceso en diferentes entornos. En esta
sección, aprenderá sobre los grupos de seguridad, la diferencia entre
derechos y permisos, y cómo implementar listas de control de acceso en
un enrutador.

Identidades

Una identidad es alguien que accede al sistema o a los datos. El mejor

ejemplo de una identidad es una cuenta de usuario, pero también podría
ser una cuenta de equipo o un grupo. Las identidades también se conocen
como entidades de seguridad y se les da acceso a los recursos de un sis-
tema o red.

Las identidades existen dentro de un proveedor de identidades (IdP). El

proveedor de identidades es la base de datos o el sistema de autenticación
donde se crean los usuarios y grupos. Por ejemplo, Active Directory es un
proveedor de identidades para una red basada en dominio de Microsoft.

Cada objeto, como una cuenta de usuario, tiene atributos (también

conocidos como propiedades) que se almacenan con la cuenta. Ejemplos
de atributos son nombre, apellido, nombre de usuario, ciudad, departa-
mento, tiempos de inicio de sesión, y la lista continúa.

Las identidades se pueden representar o identificar mediante otros ob-

jetos, como un certificado digital o claves SSH, al iniciar sesión en un sis-
tema. Aprenderá más sobre los certificados en los capítulos 12 y 13. El
certificado digital que representa al usuario podría colocarse en una tar-
jeta inteligente, que se inserta en un sistema para autenticarse en el sis-
tema. El usuario también tendría que introducir el PIN asociado con la
tarjeta inteligente.

Los tokens también se utilizan para controlar el acceso a un sistema.

Podría ser un token de hardware que necesita en su poder para deslizar y
acceder al sistema, o podría ser un token de software que se genera du-
rante el proceso de inicio de sesión.
 Tipos de cuenta

Al controlar el acceso a los recursos, normalmente debe comenzar

definiendo cuentas de usuario para cada individuo dentro de su
organización. Es importante saber que hay diferentes razones para tener
cuentas de usuario, y como resultado hay diferentes tipos de cuentas:

■ Cuenta de usuario Cada empleado dentro de su organización debe tener

asignada una cuenta de usuario separada que utilice para acceder a la
red y los sistemas. Esta cuenta de usuario no debe ser utilizada por nadie
más, ya que representa a ese usuario específico y controla a qué recursos
tendrá acceso el empleado. También supervisará las actividades de los
empleados registrando las acciones que realiza la cuenta de usuario, así
que haga hincapié en que los empleados no compartan la contraseña de
su cuenta.

■ Cuentas/credenciales compartidas y genéricas De vez en cuando, puede

considerar crear una cuenta compartida por varios empleados porque
comparten el mismo rol de trabajo. Por ejemplo, Sue es la empleada de
contabilidad por la mañana, mientras que por la tarde Bob es la em-
pleada de contabilidad. En lugar de crear varias cuentas, puede consid-
erar crear una cuenta compartida llamada AccountingClerk y hacer que
cada empleado use esa cuenta. Sin embargo, tenga en cuenta que, desde
el punto de vista de la seguridad, los profesionales de la seguridad inten-
tan evitar que varios empleados compartan una cuenta. Para fines de
monitoreo y auditoría, es muy preferible poder registrar qué acciones
realizó Bob y qué acciones realizó Sue. Tener una entrada en sus registros
que indique que AccountingClerk eliminó un archivo no le ayuda a deter-
minar quién realizó la acción. ¡Cuidado con las cuentas compartidas o
genéricas!

Para el examen, asegúrese de conocer estos diferentes tipos de cuen-

tas. También recuerde que una cuenta compartida utilizada por var-
 ios empleados dificulta la auditoría de quién realiza las acciones.
Desde el punto de vista de la auditoría, desea asegurarse de que cada
empleado tenga su propia cuenta.

■ Cuentas de invitado Una cuenta de invitado es aquella que se puede uti-

lizar para acceder a un sistema si una persona no tiene una cuenta. Esto
permite a una persona obtener acceso temporal a un recurso sin necesi-
dad de crear una cuenta para ellos. La mayoría de los sistemas operativos
tienen una cuenta de invitado, pero está deshabilitada de forma predeter-
minada, lo que significa que si alguien quiere acceder al sistema, requiere
que se cree una cuenta para ellos. Se recomienda mantener deshabilitada
la cuenta de invitado.

■ Cuentas de servicio Los sistemas operativos seguros como Windows y

Linux requieren que todo se autentique en el sistema, ya sea un usuario o
una pieza de software. Cuando el software se ejecuta en el sistema, debe
ejecutarse como un usuario específico para que se puedan asignar per-
misos al software. La cuenta de usuario que asocia con un software se
conoce como cuenta de servicio porque es una característica utilizada por
los servicios que también se ejecutan en los sistemas operativos. Al crear
una cuenta de servicio (la cuenta de usuario para la que se configurará la
aplicación de software), normalmente se configura la cuenta de servicio
con una contraseña segura y se especifica que la contraseña nunca
caduca.

Asegúrese de que la cuenta de servicio no tiene capacidades adminis-

trativas, ya que, de lo contrario, si el servicio se viera comprometido
por un ataque como un ataque de desbordamiento de búfer, el ata-
cante tendría las mismas credenciales que la cuenta asociada al
servicio.

■ Cuentas privilegiadas Una cuenta privilegiada es una cuenta que tiene

permisos adicionales fuera de lo que se asigna a un usuario típico. Las
cuentas privilegiadas normalmente están autorizadas para realizar cam-
 bios de configuración en un sistema o realizar una acción que normal-
mente no realiza un empleado normal.

Uso de grupos de seguridad

El primer método para implementar el control de acceso en la mayoría de

los entornos es conceder acceso a grupos de seguridad. El método cor-
recto para conceder acceso a los recursos es colocar la cuenta de usuario
en grupos y, a continuación, asignar a los grupos los permisos para el re-
curso. Esto le permite colocar nuevos usuarios en el grupo y no tener que
volver atrás y modificar los permisos.

EJERCICIO 11-2

Configuración de grupos de seguridad y asignación de

permisos

En este ejercicio, creará un grupo de seguridad en Active

Directory y, a continuación, colocará una cuenta de usuario
en ese grupo. Una vez que haya creado el grupo, asignará
los permisos de grupo a una carpeta.

1. En la máquina virtual ServerA, vaya al Administrador del

servidor y, a continuación, elija Herramientas | Usuarios y
equipos de Active Directory.

2. Cree un nuevo usuario llamado Lab11UserA haciendo clic

con el botón derecho en la carpeta Usuarios y seleccio-
nando Nuevo | Usuario.

3. Escriba el nombre Lab11UserA.

4. Escriba Lab11UserA en el campo Nombre de inicio de

sesión de usuario y, a continuación, haga clic en Siguiente.
 5. Escriba P@ssw0rd en el campo Contraseña y en el campo
Confirmar contraseña y, a continuación, desactive la casilla
de verificación que indica que deberá cambiar la
contraseña en el próximo inicio de sesión. Haga clic en
Siguiente y, a continuación, en Finalizar.

6. Para crear un grupo de seguridad, haga clic con el botón

derecho en la carpeta Usuarios y elija Nuevo | Grupo.

7. Escriba Autores como nombre del grupo y, a continuación,

haga clic en Aceptar.

8. Para asignar permisos al grupo, vaya al Explorador de

archivos y navegue hasta la unidad C:. Haga clic con el
botón derecho en la unidad C:, elija Nuevo | y cree una car-
peta en la unidad C: llamada Publicaciones.

9. Para asignar permisos al grupo Autores, haga clic con el

botón derecho en la carpeta Publicaciones y elija
Propiedades. Haga clic en la ficha Seguridad.

10. Para agregar los autores a la lista de permisos, haga clic en

Editar y, a continuación, haga clic en Agregar.

11. Escriba autores en el cuadro de diálogo Seleccionar usuar-

ios, equipos o grupos. Haga clic en Aceptar.

12. Seleccione Autores en la lista de permisos y, a continuación,

asigne al grupo el permiso Modificar.

13. Haga clic en Aceptar dos veces.

El examen Seguridad+ espera que comprenda el uso correcto de gru-

pos y permisos. Recuerde que el usuario está asignado al grupo y al
grupo se le asignan los permisos.
 Derechos y privilegios

Una gran parte de la seguridad de un sistema proviene del hecho de que

solo ciertos principales de seguridad (usuarios o grupos) pueden realizar
ciertas acciones. Por ejemplo, sería una gran preocupación de seguridad
si alguien pudiera hacer una copia de seguridad de cualquier archivo en
un sistema. En el mundo de Microsoft, solo una persona con el derecho
"Copia de seguridad de archivos y directorios" puede realizar copias de
seguridad.

En un sistema Windows, normalmente debe iniciar sesión como ad-

ministrador para realizar cambios en un sistema, mientras que en Linux,
normalmente debe iniciar sesión como root para poder realizar cambios.
Es posible permitir que otros realicen cambios en el sistema otorgándoles
los derechos o privilegios correctos.

Los sistemas operativos de Microsoft tienen una sección de asigna-

ciones de derechos de usuario de directivas del sistema donde puede con-
trolar quién puede realizar tareas administrativas comunes, como re-
alizar copias de seguridad de archivos y directorios o cambiar la hora del
sistema. A continuación se describen algunos derechos comunes en
Windows:

■ Acceder a este ordenador desde la red Este derecho controla quién puede
conectarse al sistema desde toda la red.

■ Permitir el inicio de sesión local Este derecho controla quién puede sen-
tarse en el equipo e iniciar sesión.

■ Copia de seguridad de archivos y directorios Este derecho controla quién

puede hacer copias de seguridad en el sistema.

■ Cambiar la hora del sistema Este derecho controla quién puede ajustar la
hora en la computadora.
■ Tomar posesión de archivos u otros objetos Este derecho controla quién
puede tomar posesión de archivos, carpetas o impresoras. El propietario
de un recurso puede cambiar los permisos del recurso en cualquier
momento.

EJERCICIO 11-3

Modificación de derechos de usuario en un sistema Windows

En este ejercicio, aprenderá cómo modificar los derechos

de usuario en un sistema Windows.

1. Use la máquina virtual de Windows 10 o la máquina virtual

ServerA.

2. Dependiendo de si desea cambiar la seguridad de un solo

sistema o de varios sistemas, use el menú Inicio y escriba
Directiva de seguridad local o Directiva de grupo para
iniciar la herramienta adecuada. Si está en un servidor,
también puede utilizar el menú Herramientas del
Administrador del servidor para iniciar la herramienta
adecuada:

■ Política de seguridad local Utilice la política de seguridad lo-

cal para administrar la configuración de seguridad de una
sola máquina Windows (ya sea cliente o servidor).

■ Consola de administración de directivas de grupo Use la

Consola de administración de directivas de grupo para
administrar directivas en la red que se aplican a varios
sistemas.
3. En el menú Inicio, escriba Local y luego inicie la Política de
seguridad local.

4. En Configuración de seguridad (a la izquierda), expanda

Directivas locales y, a continuación, seleccione Asignación
de derechos de usuario.

5. Para permitir que el grupo Autores realice copias de seguri-

dad de archivos, haga doble clic en la política "Copia de se-
guridad de archivos y directorios" a la derecha. Enumere
quién tiene actualmente el derecho de hacer copias de
seguridad:

______________________________________________________________

______________________________________________________________

6. Haga clic en el botón Agregar usuario o grupo y agregue au-

tores a la lista de aquellos que pueden hacer copias de
seguridad.

7. Haga clic en Aceptar y, a continuación, cierre la ventana

Directiva de seguridad local.
Cuando enseño en el aula sobre conceptos de seguridad, a menudo cor-
rijo a las personas en la terminología: un derecho es el privilegio de al-
guien para realizar una tarea, mientras que un permiso es el nivel de ac-
ceso de alguien a un recurso. Por ejemplo, al grupo Autores se le concedió
el permiso Modificar para la carpeta Publicaciones. Al grupo Autores no
 se le concedió el derecho Modificar. Lo contrario también es cierto: al
grupo Autores se le dio el derecho de realizar copias de seguridad, ¡no el
permiso para realizar copias de seguridad!

Para el examen Security+, recuerde que un permiso es el nivel de ac-

ceso de una persona a un recurso, mientras que un derecho es su
privilegio para realizar una tarea específica.

Seguridad del sistema de archivos y seguridad de la impresora

También puede controlar el acceso a recursos como archivos, carpetas e

impresoras. En el Capítulo 7 aprendiste sobre la aplicación de permisos
en Windows y Linux, pero revisémoslo aquí porque es una gran parte del
control de acceso.

Permisos NTFS

En el capítulo 7 se analizó una multitud de permisos NTFS, por lo que

quiero resumir la discusión aquí adoptando un enfoque práctico para
configurar la seguridad con permisos NTFS.

Al configurar permisos NTFS, tenga en cuenta que solo tiene tres nive-
les de permisos que asignaría:

■ Lectura Considero que el permiso de lectura es el nivel mínimo de acceso

que concedería, y en realidad incluye los permisos Leer, Enumerar con-
tenido de carpeta y Ejecutar.

■ Modificar El permiso Modificar otorga todos los permisos para Leer, pero
también permite a alguien modificar el archivo, eliminar el archivo y
crear nuevos archivos si el permiso está asignado a una carpeta.

■ Control total Este permiso permite a la persona realizar todas las tareas
del permiso Modificar, pero también le permite cambiar los permisos y
 tomar posesión de los archivos.

En el capítulo 7 aprendió que puede cambiar los permisos NTFS ha-

ciendo clic con el botón secundario en un archivo o carpeta y, a
continuación, eligiendo el comando Propiedades. En el cuadro de diálogo
de propiedades, elija la ficha Seguridad para modificar los permisos.

Permisos de Linux

Puede controlar el acceso a los archivos en Linux mediante el comando

chmod. Cuando se utiliza el comando chmod, cada uno de los tres per-
misos para archivos y carpetas en Linux tiene un valor numérico
asociado:

■ Leer (R): 4

■ Escritura (W): 2

■ Ejecutar (X): 1

Tres entidades pueden tener estos tres permisos para un archivo o car-
peta: el propietario del archivo, un grupo y todos los demás. Recuerde del
Capítulo 7 que para cambiar el permiso, puede usar chmod (modo de
cambio) y modificar el permiso colocando un número para representar el
permiso deseado para cada uno de los tres marcadores de posición. El
siguiente comando otorga permisos de lectura, escritura y ejecución
(sumando matemáticamente hasta 7) al propietario del archivo, al grupo
y a todos los demás:

Si desea otorgar al propietario permisos de lectura, escritura y

ejecución, pero asegurarse de que todos los demás solo tengan el permiso
de lectura para myfile.txt, debe usar el siguiente comando:
Listas de control de acceso

Como se mencionó, las listas de control de acceso (ACL) son un método

común para controlar el acceso a un recurso, como un archivo o una red.
Al configurar permisos NTFS, está configurando una lista de control de
acceso, pero los enrutadores también pueden tener listas de control de
acceso que especifican qué tráfico puede entrar o salir de la red.

Los routers Cisco tienen una característica conocida como listas de ac-
ceso que se utiliza para controlar qué tráfico puede entrar o salir de la
red. Al configurar listas de acceso, se agregan reglas para especificar el
tráfico que puede entrar o salir de la red, y la primera regla que se aplica
a un paquete es la regla que sigue el paquete. Los routers Cisco tienen dos
tipos comunes de listas de acceso: listas de acceso estándar y listas de ac-
ceso extendido.

Listas de acceso estándar de Cisco

A una lista de acceso estándar se le asigna un número del 1 al 99 y puede

permitir o denegar el tráfico basándose únicamente en la dirección IP de
origen. Se necesitan dos pasos para configurar listas de acceso estándar:
primero debe definir la lista de acceso y luego aplicarla a una interfaz en
el enrutador.

La sintaxis siguiente se utiliza para crear dos reglas en la lista de ac-

ceso estándar 23, que deniega paquetes con la dirección IP de origen de
192.168.10.7 y cualquier paquete con una dirección de origen en la red
10.0.0.0. La última regla es permitir todo el resto del tráfico. Tenga en
cuenta que la regla de permitir todos los demás tráficos es la última
porque si fuera primero, se permitiría todo el tráfico (la primera regla
que coincide con un paquete es la regla que sigue el paquete).
 Ahora que he creado la lista de acceso 23, necesito aplicarla a una in-
terfaz para la comunicación entrante o saliente. Puedo bloquear el tráfico
no deseado para que no entre en la red con una regla de entrada, pero
también puedo bloquear el tráfico que sale de la red con una regla de sal-
ida. Los siguientes comandos se utilizan para aplicar la lista de acceso 23
a mi interfaz Fast Ethernet para la comunicación entrante:

Los routers Cisco tienen una regla implícita de negar todo en la parte
inferior de la lista de acceso, por lo que puse en la parte inferior mi
propia regla para permitir todo el tráfico. Esto significa que, a menos que
se especifique lo contrario, se permitirá todo el tráfico.

Listas de acceso extendido de Cisco

Las listas de acceso extendido se configuran de manera similar a las listas

de acceso estándar, con la excepción de que sus números asignados
comienzan en 100 y más. La lista de acceso extendido puede controlar el
tráfico en función de las direcciones IP de origen y destino, pero también
en función de la información de protocolo del paquete.

El siguiente comando describe la idea básica de que una regla se

agrega a una lista de acceso extendido. Observe que comienza con el co-
mando access-list, asigna un número a la lista de acceso y especifica si
está permitiendo o denegando el tráfico. Lo que es nuevo aquí es que
puede especificar un protocolo como TCP, UDP o IP si lo desea. A
continuación, especifique la dirección IP de origen del paquete al que se
aplicará la regla y la máscara comodín de origen. A continuación, especi-
fique la dirección IP de destino y la máscara comodín de destino.
Finalmente, agregue un operador como EQ para "igual" y luego el
número de puerto.
 A continuación se muestra un ejemplo de cómo se está creando una
lista de acceso extendido. Esta lista de acceso es la lista de acceso 157, con
la primera regla que permite un paquete TCP con la dirección IP de ori-
gen de 12.0.0.5, con cualquier dirección de destino, destinada al puerto 23
para pasar a través del router. La segunda regla de la lista de acceso per-
mite que el sistema con la dirección IP de 12.0.0.34 acceda al puerto 23,
mientras que la tercera regla deniega a cualquier otro sistema de la red
12.0.0.0 el acceso al puerto 23. La regla final permite cualquier otro
tráfico IP.

Una vez creada la lista de acceso, se aplica a una interfaz de red de la

misma manera que se aplican las listas de acceso estándar. Los siguientes
comandos aplican la lista de acceso extendido a la interfaz Fast Ethernet
para la comunicación entrante:

Para ver las listas de acceso que se han configurado en su router Cisco,
puede utilizar el comando show ip access-lists. La siguiente lista de
código muestra la lista de acceso 157, creada anteriormente:

El examen Security+ no espera que sepa cómo configurar listas de ac-

ceso en un router Cisco, pero para el examen, recuerde que la
 mayoría de las listas de control de acceso tienen una denegación
implícita. Esto significa que, a menos que una entrada de la lista per-
mita el acceso, se deniega el acceso.

Directivas de grupo

Los entornos de Microsoft permiten proteger los sistemas mediante las di-
rectivas de seguridad locales de un único sistema o configurar las op-
ciones de seguridad en varios sistemas mediante directivas de grupo. Las
directivas de grupo se utilizan para configurar una gran cantidad de op-
ciones en los sistemas de la red:

■ Instalar software Con las directivas de grupo, puede tener software instal-
ado automáticamente en los equipos cliente cuando el equipo se inicia o
cuando el usuario inicia sesión.

■ Configurar políticas de contraseña Las directivas de grupo le permiten

configurar políticas de contraseña que incluyen el historial de
contraseñas, la complejidad de la contraseña, la longitud de la contraseña
y la caducidad de la contraseña (conocida como antigüedad máxima de la
contraseña).

■ Configurar auditoría Con las directivas de grupo, puede implementar una

directiva de auditoría en varios sistemas para realizar un seguimiento de
los eventos en esos sistemas.

■ Configurar derechos de usuario Las políticas de grupo también se utilizan

para configurar los derechos de usuario, que son los privilegios para re-
alizar una tarea.

■ Grupos restringidos Con las políticas de grupo, puede controlar qué

usuarios o grupos son miembros de diferentes grupos.
■ Deshabilitar servicios y configurar registros de eventos Como parte del
procedimiento de protección del sistema, puede utilizar directivas de
grupo para deshabilitar servicios en varios sistemas y configurar los reg-
istros de eventos.

■ Permisos del sistema de archivos Con las directivas de grupo, puede im-
plementar permisos en diferentes carpetas.

■ Restricciones de software Las políticas de grupo también se pueden uti-

lizar para implementar restricciones de software, que limitan qué soft-
ware puede ejecutarse en el sistema.

■ Bloquear el sistema deshabilitando las funciones Con las directivas de

grupo, puede controlar todo el escritorio de Windows eliminando
características del menú Inicio, el escritorio y el Panel de control.

Al configurar directivas de grupo, es importante comprender los difer-

entes tipos de directivas de grupo, que se clasifican por las ubicaciones en
las que se pueden configurar las directivas. A continuación se enumeran
los tipos de directivas de grupo por ubicación:

■ Local Una directiva local es una política que se configura en un sistema, el

sistema en el que se ejecuta el Editor de objetos de directiva de grupo.
Para configurar directivas locales, puede crear una Microsoft
Management Console (MMC) personalizada y agregar el Editor de objetos
de directiva de grupo.

■ Sitio Puede implementar una directiva de grupo en un sitio de Active

Directory, que tiene la capacidad de aplicarse a varios dominios de ese
sitio.

■ Dominio Puede aplicar una directiva de grupo en el nivel de dominio para

que afecte a todos los usuarios y equipos del dominio de Active Directory.
■ Unidad organizativa (OU) Puede aplicar una directiva de grupo en el
nivel de OU para que la directiva se aplique solo a un pequeño grupo de
usuarios o equipos.

La ubicación de las directivas que acabamos de enumerar también de-

termina el orden de procesamiento de esas directivas. Por ejemplo,
cuando se inicia un equipo, primero aplica su directiva local y, a
continuación, aplica las directivas de sitio, dominio y unidades organiza-
tivas. La razón por la que menciono esto es porque si tiene una
configuración conflictiva entre las cuatro políticas, la última aplicada
gana (que normalmente termina siendo la política de dominio o unidad
organizativa).

EJERCICIO 11-4

Configuración de directivas de contraseña mediante directi-

vas de grupo

En este ejercicio, aprenderá a configurar una directiva de

contraseñas para sus cuentas de usuario de Active
Directory mediante la Consola de administración de directi-
vas de grupo.

1. Inicie sesión en ServerA como administrador.

2. Inicie el Administrador del servidor y luego elija

Herramientas | Administración de directivas de grupo.

3. Para modificar la directiva de contraseñas para todos los

usuarios de Active Directory, busque la Directiva de do-
minio predeterminada en la carpeta Objetos de directiva de
grupo y, a continuación, haga clic con el botón secundario
en Directiva de dominio predeterminada y elija Editar.
4. En el lado izquierdo, expanda Configuración del equipo |
Políticas | Configuración de Windows | Configuración de
seguridad | Directivas de cuenta y, a continuación, selec-
cione Directiva de contraseñas.

5. Para establecer la siguiente configuración de directiva de

contraseñas, haga doble clic en cada una de las siguientes
opciones, elija definir la directiva y cambie la configuración
al nuevo valor:

■ Historial de contraseñas: 12 Esto le dirá a Windows que un

usuario no puede reutilizar las 12 contraseñas anteriores.

■ Antigüedad máxima de la contraseña: 30 días Esto

garantizará que los usuarios deban cambiar su contraseña
cada 30 días. Simplemente haga clic en Aceptar cuando se
le pida que establezca la edad mínima de la contraseña, así
como para aceptar la configuración predeterminada para la
edad mínima de la contraseña.

■ Antigüedad mínima de la contraseña: 2 días Esto

asegurará que un usuario no pueda cambiar su contraseña
durante al menos dos días.

■ Longitud mínima de la contraseña: 8 Esto asegurará que

los usuarios tengan contraseñas de al menos ocho
caracteres.

■ La contraseña debe cumplir con los requisitos de comple-

jidad: Habilitado Esto garantiza que las contraseñas ten-
gan una combinación de letras, números y símbolos y que
las letras estén en mayúsculas y minúsculas.
6. Cierre el editor de directivas y, a continuación, cierre la
Consola de administración de directivas de grupo.
Seguridad de la base de datos

El nuevo examen de certificación Security+ espera que comprenda aspec-

tos de la seguridad de la base de datos. Una base de datos es un sistema
que almacena una gran cantidad de información sobre una empresa o en-
tidad. La base de datos generalmente almacena información confidencial
que necesita ser asegurada, y nosotros, como personas de seguridad, ten-
emos que controlar quién tiene acceso a esa información. Hay una serie
de pasos que podemos seguir para proteger nuestro entorno de base de
datos:

■ Roles La mayoría de los sistemas de bases de datos, incluido Microsoft SQL

Server, utilizan roles para asignar privilegios dentro del sistema de base
de datos. Por ejemplo, colocar a un usuario en el rol sysadmin le propor-
ciona capacidades administrativas completas en SQL Server, pero colo-
carlo en el rol diskadmin solo le permite administrar los archivos de
disco.

■ Permisos Al proteger un entorno de base de datos, puede especificar qué

usuarios tienen acceso a qué objetos mediante permisos. Por ejemplo,
puede conceder a Bob y Sue permisos de selección en la tabla Pedidos,
pero no darles permisos de actualización o eliminación. Esto significa que
pueden ver la información del pedido, pero no pueden modificar los
datos o eliminarlos.

■ Cifrado Al almacenar información confidencial en una base de datos, es

importante cifrar los datos. Por ejemplo, al almacenar un número de tar-
jeta de crédito o un número de Seguro Social en la base de datos, debe
cifrar la información para que se almacene en un formato cifrado. Esto
significa que cuando lea los datos de la base de datos, primero debe
descifrarlos.
■ Auditoría Uno de los puntos clave a recordar al implementar la seguridad
es que desea planificar la auditoría. Cuando planifique la auditoría de la
base de datos, pregúntese: "¿Hay algo que quiera saber sobre cuándo
sucede?" Por ejemplo, ¿quieres saber cuándo alguien mira los datos?
¿Desea saber cuándo alguien modifica o actualiza la información de la
base de datos? ¿Desea saber cuándo alguien elimina un registro de la
base de datos? Puede configurar la auditoría en la base de datos para re-
alizar un seguimiento de todas estas actividades.

EJERCICIO 11-5

Cifrado de información confidencial en la base de datos

En este ejercicio, usará las características de seguridad de

SQL Server para cifrar un número de tarjeta de crédito de
cliente almacenado en la base de datos.

1. Inicie sesión en SQL Server y, a continuación, inicie SQL

Server Management Studio.

2. En el cuadro de diálogo Conectar al servidor, asegúrese de

que el campo Tipo de servidor esté establecido en Motor de
base de datos y, a continuación, escriba el nombre del servi-
dor en el cuadro de texto Nombre del servidor. Haga clic en
Conectar.

3. En el lado izquierdo de la pantalla, expanda su servidor y

luego haga clic derecho en la carpeta Base de datos y elija
Nueva base de datos.

4. Escriba un nombre de base de datos de

SecPlus_McgrawHill y, a continuación, haga clic en
Aceptar.
5. Haga clic en el botón Nueva consulta en la barra de her-
ramientas y escriba el código siguiente:

6. Para cifrar los datos de la tabla, primero debe crear una

clave maestra de base de datos, si aún no existe una, y
luego crear un certificado para proteger la clave simétrica.
Escriba y ejecute el código siguiente para crear una clave
maestra:

7. Ahora está listo para almacenar datos en la tabla Cliente.

Antes de comenzar a insertar registros, debe abrir la clave
simétrica para cifrar el número de tarjeta de crédito.
Escriba y ejecute los siguientes comandos en la ventana
Consulta:
8. Para demostrar que los datos están encriptados, realice una
selección en la tabla Cliente:

9. Para leer la información de la tarjeta de crédito, debe abrir

la clave y luego usar la función decryptbykey en el campo
EncryptedCreditCardNumber. Escriba el código siguiente
para ver la información de la tarjeta de crédito:
Restricciones de la cuenta

Otra gran parte del control de acceso es poner restricciones en sus cuen-
tas de usuario. La primera restricción importante es garantizar que todos
los empleados tengan una cuenta de usuario con la que iniciar sesión y
que se use una contraseña segura con esas cuentas de usuario.

Vencimiento de la cuenta

También puede implementar la caducidad de la cuenta con la cuenta si la

cuenta es para un empleado temporal. Por ejemplo, una firma de con-
tabilidad puede decidir contratar a un nuevo contador temporal para la
temporada de impuestos, pero cuando termina la temporada de im-
puestos, el empleado es despedido. Al crear esta cuenta en su red,
asegúrese de establecer la fecha de vencimiento de la cuenta (consulte la
Figura 11-4) para que cuando llegue el día de salida, la cuenta ya no sea
válida.
FIGURA 11-4

Configuración de la caducidad de la cuenta para una cuenta de usuario

Restricciones de hora del día

Otro ejemplo de una restricción que se puede colocar en una cuenta de

usuario es una restricción de hora del día para los inicios de sesión de la
cuenta. La mayoría de los entornos le permiten especificar como
propiedad de la cuenta de usuario las horas en que el empleado puede
iniciar sesión en el sistema (consulte la figura 11-5). El beneficio de esto es
que puede asegurarse de que el empleado no esté accediendo a los recur-
sos de red después del horario de atención.
FIGURA 11-5

Configuración de las horas de inicio de sesión para controlar cuándo el

usuario puede iniciar sesión en la red

Bloqueo de cuenta

Al implementar restricciones en sus cuentas de usuario, es fundamental

que considere implementar una política de bloqueo de cuentas. Una di-
rectiva de bloqueo de cuenta especifica que después de un cierto número
de intentos fallidos de inicio de sesión, la cuenta se bloqueará para que
no se pueda usar. En la directiva, también especifica cuánto tiempo está
bloqueada la cuenta: puede establecer un tiempo en minutos o especi-
ficar que se bloquee la cuenta hasta que el administrador desbloquee la
cuenta. La figura 11-6 muestra la configuración de directiva de bloqueo
de cuenta en Windows.
 FIGURA 11-6

El bloqueo de la cuenta bloqueará una cuenta después de un cierto

número de inicios de sesión fallidos.

Se utilizan tres opciones para configurar la directiva de bloqueo de

cuentas:

■ Umbral de bloqueo de cuenta Especifica cuántos inicios de sesión fallidos

pueden ocurrir antes de que se bloquee la cuenta.

■ Duración del bloqueo de la cuenta Especifica cuánto tiempo se debe blo-

quear la cuenta. En la configuración de Windows, un valor de 0 configura
el bloqueo hasta que el administrador desbloquee la cuenta.

■ Restablecer el contador de bloqueo de cuenta después Después de que el

usuario no puede iniciar sesión, el contador se incrementa en uno hasta
que la cuenta se bloquea o hasta que el usuario inicia sesión correcta-
mente. Puede configurar cuándo se restablece el contador a cero.

Inhabilitación de la cuenta
Es importante como profesional de la seguridad que haga hincapié a los
administradores de red que las cuentas no utilizadas deben deshabili-
tarse para que no se puedan usar. Esto ayudará a proteger la cuenta del
uso no autorizado por parte de empleados o incluso piratas informáticos.
Asegúrese de desactivar las cuentas cuando los empleados se vayan de li-
cencia, sean suspendidos del servicio o sean despedidos.

Ver detalles de la cuenta

Uno de los comandos más útiles que he encontrado al trabajar con cuen-
tas de usuario o solucionar problemas de cuentas de usuario es el co-
mando net user. Al usar el comando net user, puede proporcionar el
nombre de una cuenta de usuario y, a continuación, agregar el modifi-
cador /domain para que el comando recupere información de la cuenta
de Active Directory, como el nombre de la cuenta, el tiempo de expiración
de la cuenta, la información de contraseña y las restricciones de la
estación de trabajo.

La siguiente lista de código muestra los detalles de la cuenta de usuario

de Tanya:
El examen Security+ espera que conozca los diferentes tipos de
políticas de cuenta que se enumeran a continuación, especialmente
geofencing, geoetiquetado y geolocalización.

Aplicación de la política de cuentas

Debe estar familiarizado con una serie de conceptos y prácticas recomen-

dadas relacionadas con el control de acceso. Algunos de estos temas ya se
han tratado en detalle en este capítulo, pero quería crear un resumen de
las mejores prácticas para implementar políticas de cuenta dentro de la
organización.
■ Cuentas compartidas Es fundamental que todos los usuarios tengan su
propia cuenta para que los permisos se puedan aplicar de forma única y
pueda auditar las acciones de cada individuo.

■ Gestión de credenciales Asegúrese de tener una herramienta central de

administración de credenciales y una política sobre la frecuencia con la
que los usuarios deben cambiar las contraseñas.

■ Política de grupo Las directivas de grupo deben utilizarse para desplegar

la configuración de seguridad en todos los servidores y clientes de la red.

■ Complejidad de la contraseña Asegúrese de que está utilizando

contraseñas complejas para cualquier cuenta en los sistemas y para el ac-
ceso a la red. Estas contraseñas son más difíciles de descifrar que las
contraseñas no complejas.

■ Caducidad Asegúrese de que las contraseñas caduquen después de un

período de tiempo y que los usuarios deban establecer nuevas
contraseñas. Además, asegúrese de establecer la fecha de caducidad de
las cuentas de usuario temporales creadas.

■ Recuperación Asegúrese de que puede recuperar cualquier cuenta que se

elimine o puede restablecer cualquier contraseña que se haya olvidado.

■ Desactivación Asegúrese de desactivar las cuentas innecesarias y de de-

sactivar las cuentas de los empleados que van de licencia.

■ Bloqueo Configure una política de bloqueo de cuenta para que si se es-

cribe la contraseña incorrecta después de tres intentos, la cuenta se blo-
quee (inutilizable) hasta que el administrador la desbloquee.
■ Historial de contraseñas Una configuración de contraseña importante
para configurar es la opción de historial de contraseñas: asegúrese de que
sus sistemas evitan que los usuarios usen las mismas contraseñas mante-
niendo las contraseñas anteriores en un historial.

■ Reutilización de contraseñas Determine cuál es la política de su

organización sobre la reutilización de contraseñas y asegúrese de config-
urar el historial de contraseñas para aplicar esa política.

■ Longitud de la contraseña La mayoría de las organizaciones requieren

una longitud mínima de contraseña de ocho caracteres.

■ Prohibición de cuentas genéricas Similar al punto de cuenta compartida

mencionado anteriormente, asegúrese de que no haya cuentas genéricas
creadas para que los usuarios o el sistema las compartan, ya que dificulta
la auditoría de las acciones.

■ Ubicación de red Es posible que su empresa desee implementar políticas

de control de acceso que restrinjan el acceso a recursos específicos desde
una ubicación de red específica. Por ejemplo, para acceder a un servidor
sensible, el usuario debe estar conectado a la red segura. Otro ejemplo
que mencionamos anteriormente es que en Azure puede bloquear el ac-
ceso en función de la dirección IP proveniente de un país específico.
Además, los servicios de transmisión como Netflix pueden bloquear el ac-
ceso al contenido según el país en el que se encuentre.

■ Geofencing Geofencing es una característica que permite a los admin-

istradores de software definir coordenadas GPS que crean un límite (o
valla virtual). Cuando un dispositivo que ejecuta el software se sale de los
límites, se activa una alarma.

■ Geoetiquetado El geoetiquetado es identificar su ubicación con una

publicación en una aplicación de redes sociales como Facebook o
 Instagram. Como política de la empresa, es posible que desee restringir el
uso del geoetiquetado y la publicación de información de la empresa en
las redes sociales.

■ Geolocalización Geolocalización es el término para identificar la

ubicación geográfica de un elemento como un teléfono móvil. Por ejem-
plo, una vez que se determina la geolocalización (coordenadas GPS) de un
teléfono móvil, puede asociarla con una dirección de calle utilizando
tecnologías de mapeo.

■ Inicios de sesión basados en el tiempo Como se mencionó anterior-

mente, puede limitar la hora del día en que un usuario puede iniciar
sesión en el sistema. Es posible que tenga políticas que limiten las horas
de inicio de sesión para los empleados en diferentes roles de trabajo.

■ Políticas de acceso Una política de acceso es una política que define el

nivel de acceso que cada cuenta de usuario obtiene a un sistema o
información.

■ Permisos de cuenta Debe tener políticas que especifiquen los diferentes

tipos de permisos que las cuentas deben tener para los sistemas y los
datos en toda la red.

■ Auditorías de cuentas Debe auditar la actividad de sus cuentas de

usuario. Esto incluye la actividad de inicio de sesión, el acceso a datos
confidenciales y cualquier cambio en los privilegios del usuario.

■ Tiempo de viaje imposible/inicio de sesión arriesgado Este es un atributo

común que se usa hoy en día en entornos de nube como Azure que puede
identificar el tiempo de viaje imposible. Esto significa que si inicia sesión
desde Japón a las 6:00 a.m. UTC y luego Halifax a las 7:00 A.M . UTC, se ac-
tiva una notificación de viaje imposible, ya que no hay forma de que
pueda viajar entre esas dos ubicaciones físicas dentro de ese período de
 tiempo. Esto se considera un inicio de sesión arriesgado y puede blo-
quearse o requerir autenticación multifactor (MFA).

Supervisión del acceso a la cuenta

Una gran parte del control de acceso es monitorear el acceso al sistema y

garantizar que su modelo de control de acceso y su implementación sean
efectivos. Las siguientes son algunas de las mejores prácticas de
supervisión relacionadas con el control de acceso:

■ Privilegios basados en grupos Asegúrese de asignar privilegios a grupos

en lugar de usuarios en su mayor parte, ya que es más fácil de adminis-
trar y se producen menos errores. Por ejemplo, si necesita que algunos
empleados cambien la hora, cree un grupo de cambiadores de hora y
asigne el privilegio al grupo. Asegúrese de supervisar los privilegios asig-
nados de forma regular.

■ Privilegios asignados por el usuario Puede haber ocasiones en las que de-
cida asignar el privilegio a un usuario en lugar de a un grupo. Desea min-
imizar esto, ya que los roles de trabajo de los empleados cambian y esto
significa que deberá cambiar los privilegios asignados a ese empleado. La
gestión de grupos sería un mejor enfoque a seguir.

■ Revisiones de acceso de usuarios Asegúrese de realizar revisiones

periódicas del nivel de acceso que los usuarios tienen al sistema para
asegurarse de que no ha otorgado demasiados privilegios al usuario.
Asegúrese de realizar auditorías y revisiones de permisos, que implican
un monitoreo continuo de los permisos configurados en sus diferentes ac-
tivos dentro de la organización. Asegúrese de realizar auditorías y revi-
siones de uso para determinar qué están haciendo los usuarios en los sis-
temas y en las aplicaciones de software de forma regular.

■ Monitoreo continuo Asegúrese de que está implementando auditorías

para monitorear constantemente las acciones de los empleados. Tenga en
cuenta que debe revisar los registros de auditoría de forma regular.
 RESUMEN DE CERTIFICACIÓN

En este capítulo aprendió a implementar el control de acceso para difer-

entes activos dentro de la organización. Los siguientes son algunos pun-
tos clave para recordar acerca de la implementación del control de
acceso:

■ Al implementar la mayoría de las listas de control de acceso, recuerde que

hay una denegación implícita, lo que significa que, a menos que se especi-
fique lo contrario, el acceso es denegado.

■ Los diferentes modelos de control de acceso incluyen el control de acceso

discrecional, el control de acceso obligatorio, el control de acceso basado
en roles, el control de acceso basado en reglas, el control de acceso
basado en grupos y el control de acceso basado en atributos. ¡Asegúrese
de saber la diferencia entre cada uno para el examen!

■ El control de acceso se implementa de diferentes maneras en entornos o

dispositivos de red comunes. Se puede implementar no solo con permisos
y grupos, sino también para el tráfico en un enrutador.

✓ SIMULACRO DE DOS MINUTOS

Introducción al control de acceso

El control de acceso implica decidir cómo los empleados obtienen acceso a

los recursos e implementar diferentes formas de controlar ese acceso.

Conocer los diferentes tipos de controles de seguridad. Por ejemplo, los

controles administrativos son las directivas, mientras que los controles
lógicos son controles como firewalls y software antivirus.

Para el examen Seguridad+, recuerde los principios de seguridad de privi-

legios mínimos, separación de funciones y rotación de trabajos.
 Esquemas de control de acceso

El control de acceso discrecional (DAC) es el modelo de control de acceso

más común e implica que el propietario del archivo especifique quién
tiene acceso al archivo estableciendo permisos para usuarios y grupos.

El control de acceso obligatorio (MAC) implica controlar el acceso a los re-

cursos por el recurso que tiene asignada una etiqueta de sensibilidad y
los usuarios que tienen un nivel de autorización. Solo aquellos con el
nivel de autorización adecuado pueden acceder al recurso.

El control de acceso basado en roles implica colocar a los usuarios en roles

que tienen capacidades predefinidas. Recuerde que los roles son como
grupos con permisos y derechos asignados.

El control de acceso basado en reglas (RBAC) implica configurar reglas en

un dispositivo, normalmente en una lista de control de acceso que deter-
mina quién puede acceder al activo y quién no.

El control de acceso basado en grupos concede acceso en función de los

grupos a los que pertenece el usuario.

El control de acceso basado en atributos (ABAC) concede acceso a los

usuarios en función de las propiedades de sus cuentas o las propiedades
del recurso al que tienen acceso.

Implementación del control de acceso

Cada usuario del sistema debe tener su propia cuenta de usuario, y se debe
evitar el uso de cuentas de usuario compartidas con fines de auditoría.

Recuerde que al conceder acceso, siempre es una buena idea conceder ac-
ceso a los grupos y, a continuación, colocar a los usuarios en los grupos.
Esto le permite administrar la seguridad trabajando con menos objetos
(los grupos).
 Los derechos y permisos se pueden configurar en el sistema para proteger
los recursos. Un derecho es un privilegio para realizar una tarea, mien-
tras que un permiso es un nivel de acceso a un recurso como un archivo o
carpeta.

Las listas de control de acceso se pueden configurar en el enrutador para

controlar qué tráfico puede o prohibido pasar a través del enrutador. Un
firewall es otro ejemplo de un dispositivo que puede tener reglas configu-
radas en él.

Hay una serie de pasos que puede seguir para proteger los datos confiden-
ciales en una base de datos. Debe usar permisos para controlar a qué ob-
jetos de base de datos puede tener acceso un usuario y cifrar cualquier
dato confidencial, como números de tarjetas de crédito en la base de
datos.

AUTOEVALUACIÓN

Las siguientes preguntas le ayudarán a medir su comprensión del mate-

rial presentado en este capítulo. Como se indicó, algunas preguntas
pueden tener más de una respuesta correcta, así que asegúrese de leer to-
das las opciones de respuesta cuidadosamente.

Introducción al control de acceso

1. Su gerente quiere que diseñe los mecanismos de control de acceso para la

empresa. Estás trabajando en los controles administrativos. ¿Cuál de los
siguientes se considera un control administrativo?

A. Cortafuegos

B. Cifrado

Sistema de detección de intrusos

D. Evaluación de empleados
2. Mientras implementaba los controles físicos en su entorno, instaló un sis-
tema de alarma antirrobo. ¿Qué clase de control es un sistema de alarma
antirrobo?

A. Lógica

B. Detective

C. Medidas preventivas

D. Correctivo

3. Trabajas para una pequeña empresa como administrador de red y oficial

de seguridad. Usted es responsable de todas las tareas de administración
de red y tareas de seguridad, como las auditorías de seguridad. ¿Qué prin-
cipio de seguridad se ha violado?

A. Privilegio mínimo

B. Denegación implícita

Separación de funciones

D. Rotación de puestos

Esquemas de control de acceso

4. ¿Qué modelo de control de acceso implica asignar etiquetas de

clasificación a la información para decidir quién debe tener acceso a la
información?

A. MAC

B. CAD

C. RBAC

D. Correctivo
5. ¿Qué modelo de control de acceso implica tener privilegios asignados a
los grupos para que cualquier persona que se coloque en el grupo tenga
ese privilegio?

A. Control de acceso obligatorio

B. Control de acceso discrecional

Control de acceso basado en funciones

D. Control de acceso basado en reglas

6. ¿Qué modelo de control de acceso implica configurar permisos en un re-

curso como un archivo o carpeta?

A. Control de acceso obligatorio

B. Control de acceso discrecional

Control de acceso basado en funciones

D. Control de acceso basado en reglas

7. Al configurar un modelo MAC, asigna la autorización de seguridad a cuál

de las siguientes opciones?

A. Recursos

B. Datos

C. Archivo

D. Objeto

8. Está configurando un firewall para permitir que solo pasen ciertos pa-
quetes. ¿Qué tipo de modelo de control de acceso se está utilizando?

A. Control de acceso obligatorio

B. Control de acceso discrecional

Control de acceso basado en reglas

D. Control de acceso basado en funciones

9. Usted es responsable de configurar la seguridad en el servidor de su em-

presa. Ha decidido conceder permisos a la carpeta Marketing si la
propiedad Department de una cuenta de usuario está establecida en
Marketing y su propiedad City está establecida en London. ¿Qué modelo
de control de acceso está utilizando?

A. RBAC

B. GBAC

C. MAC

D. ABAC

Implementación del control de acceso

10. Ha configurado una lista de acceso en su router Cisco para permitir y

denegar varios tipos diferentes de tráfico. La lista de acceso deniega
cualquier tráfico que no coincida con ninguna de las reglas. ¿Qué princi-
pio de seguridad se está utilizando aquí?

A. Denegación implícita

B. Privilegio mínimo

Separación de funciones

D. Rotación de puestos

11. ¿Qué comando de Linux se utiliza para cambiar los permisos en un

archivo?
A. gato

B. chmod

C. ls

D. chperm

Preguntas basadas en el rendimiento

12. Usando la exhibición, haga coincidir los diferentes controles con su

categoría de control.

13. Usando la exhibición, haga coincidir los diferentes términos de la

izquierda con el tipo de descripción de la tecnología de control de acceso
a la derecha.
RESPUESTAS DE AUTOPRUEBA

Introducción al control de acceso

1. D. Los controles administrativos son las políticas dentro de la

organización y son el aspecto no tan técnico de su programa de seguri-
dad. Ejemplos de controles administrativos son las políticas de seguri-
dad, la política de contratación, la política de terminación, la selección de
empleados y el diseño de un programa de capacitación.

A, B y C son incorrectos. Los firewalls, el cifrado y los sistemas de

detección de intrusos son ejemplos de controles lógicos.

2. B. Un sistema de alarma antirrobo es un ejemplo de un control detective.

A, C y D son incorrectos. Las otras dos clases de controles son preven-

tivos y correctivos. Un control preventivo evita que ocurra el incidente,
mientras que un control correctivo restaura un sistema después de un in-
cidente. Lógico es una categoría de control y no una clase de control.

3. C. La separación de funciones es un principio fundamental de seguridad

que requiere dividir las tareas críticas en diferentes procesos y asignar
diferentes individuos para realizar cada uno de los procesos para que
ningún individuo realice dos procesos de una tarea crítica. Es un
 riesgo para la seguridad que la persona que realiza la auditoría de seguri-
dad sea la persona que creó el entorno.

A, B y D son incorrectos. El principio de privilegios mínimos significa

otorgar los permisos mínimos necesarios para que los usuarios realicen
sus tareas. La denegación implícita es un principio de control de acceso
que implica negar cualquier cosa que no se haya otorgado
explícitamente. La rotación de trabajos es garantizar que los empleados
roten a través de diferentes puestos de trabajo para ayudar a protegerse
contra actividades fraudulentas.

Esquemas de control de acceso

4. A. El control de acceso obligatorio (MAC) implica asignar etiquetas de

clasificación a la información para identificar la sensibilidad de la
información.

B, C y D son incorrectos. El control de acceso discrecional (DAC) im-

plica la asignación de permisos a usuarios y grupos. El control de acceso
basado en roles (RBAC) implica colocar a los usuarios en roles (o grupos)
que tienen privilegios asignados, mientras que el control de acceso
basado en reglas (también RBAC) implica crear una lista de control de ac-
ceso que tiene reglas que especifican lo que está autorizado o no autor-
izado. El correctivo es un tipo de control, no un método de control de
acceso.

5. C. El control de acceso basado en roles implica colocar a los usuarios en

roles (o grupos) que tienen privilegios asignados.

A, B y D son incorrectos. El control de acceso obligatorio implica asig-

nar etiquetas de clasificación a la información para identificar la sensibil-
idad de la información. El control de acceso discrecional implica la
asignación de permisos a usuarios y grupos. El control de acceso basado
en reglas implica la creación de una lista de control de acceso que tiene
reglas que especifican lo que está autorizado o no autorizado.
6. B. El control de acceso discrecional implica la asignación de permisos a
usuarios y grupos.

A, C y D son incorrectos. El control de acceso obligatorio implica asig-

nar etiquetas de clasificación a la información para identificar la sensibil-
idad de la información. El control de acceso basado en roles implica colo-
car a los usuarios en roles (o grupos) que tienen privilegios asignados. El
control de acceso basado en reglas implica la creación de una lista de con-
trol de acceso que tiene reglas que especifican lo que está autorizado o no
autorizado.

7. D. Con el control de acceso obligatorio, la autorización de seguridad se

asigna al usuario, que se conoce como el sujeto.

A, B y C son incorrectos. Al recurso se le asigna una etiqueta de

clasificación, no un nivel de autorización. Los datos y el archivo son ejem-
plos de recursos.

8. C. El control de acceso basado en reglas implica la creación de una lista

de control de acceso que tiene reglas que especifican lo que está autor-
izado o no autorizado.

A, B y D son incorrectos. El control de acceso obligatorio implica asig-

nar etiquetas de clasificación a la información para identificar la sensibil-
idad de la información. El control de acceso discrecional implica la
asignación de permisos a usuarios y grupos. El control de acceso basado
en roles implica colocar a los usuarios en roles que tienen privilegios
asignados.

9. D. El control de acceso basado en atributos (ABAC) implica controlar

quién tiene acceso a los recursos en función de los atributos de los obje-
tos, como las cuentas de usuario.

A, B y C son incorrectos. El control de acceso basado en roles (RBAC)

implica colocar a los usuarios en roles que tienen privilegios asignados,
mientras que el control de acceso basado en reglas (también RBAC) im-
plica crear una lista de control de acceso que tiene reglas que especifican
 lo que está autorizado o no autorizado. El control de acceso basado en
grupos (GBAC) implica controlar el acceso colocando a los usuarios en
grupos y, a continuación, asignando los permisos de grupo al recurso. El
control de acceso obligatorio (MAC) implica asignar etiquetas de
clasificación a la información para identificar la sensibilidad de la
información.

Implementación del control de acceso

10. A. El principio implícito de denegación de seguridad significa que se uti-

liza una regla implícita de "negar todo lo demás", como con una lista de
acceso en un router Cisco.

B, C y D son incorrectos. El principio de privilegio mínimo significa

otorgar los permisos mínimos necesarios para que los usuarios realicen
sus tareas. La separación de funciones es un principio fundamental de se-
guridad que requiere dividir las tareas críticas en diferentes procesos y
asignar diferentes individuos para realizar cada uno de los procesos para
que ningún individuo realice dos procesos de una tarea crítica. La
rotación de trabajos es garantizar que los empleados roten a través de
diferentes puestos de trabajo para ayudar a protegerse contra actividades
fraudulentas.

11. B. El comando chmod se utiliza para cambiar los permisos en un archivo

en Linux.

A, C y D son incorrectos. El comando cat se utiliza para mostrar el con-

tenido de un archivo de texto en Linux, mientras que el comando ls se
utiliza para enumerar archivos. No hay ningún comando chperm.

Preguntas basadas en el rendimiento

12. La ilustración muestra la respuesta identificando los diferentes controles

y sus categorías. Tenga en cuenta que el examen Security + real puede es-
perar que arrastre los cuadros de un lado a otro de la pantalla. Tenga en
cuenta también que una directiva de contraseñas comprende las reglas
 para contraseñas (control administrativo), no la configuración dentro del
objeto de directiva de grupo (control lógico).

13. A continuación se muestra la correspondencia de cada término de con-

trol de acceso con una descripción o ejemplo de lo que hace.