Seguridad comprometida al acceder a recursos compartidos atravesando links simbolicos

08/01/2009 - 17:14 por informatica.cita | Informe spam
El escenario que os voy a mostrar es fácilmente reproducible, si
alguien decide probarlo, por favor, me encantaría conocer su
resultado.

- Windows 2003 Server, con dominio o sin dominio \\server
- Un grupo de seguridad "Gtest"
- Un usuario "test" del grupo Users y del grupo Gtest
- Una carpeta "data" con privilegios de "control total" para Gtest, y
para Administradores
- Una carpeta compartida "home" con acceso total (permiso de shared)
para "Todos" y privilegios de "solo lectura" para "test"
- Dentro de la carpeta "home" un enlace simbólico a la carpeta data: "
linkd c:\shared\home\enlace_a_data c:\shared\data ". Esta carpeta
de enlace hereda los permisos de "home"

Desde un cliente Windows XP se puede mapear una unidad de red " Z:

\\server\home " con las credenciales del usuario "test". En Z: el


usuario cliente sólo verá la carpeta enlace_a_data; como en "home"
sólo tiene acceso de lectura no puede crear más carpetas ni borrar.
Sin embargo, dentro de " Z:\enlace_a_data" , tendrá control total,
como era de esperar ya que su grupo "Gtest" tiene privilegios sobre la
carpeta "data". Todo funciona bien pero...

Pongamos un archivo de MSOffice (excel.xls p.ej) dentro de la carpeta
"data" y ...

- el usuario cliente abre el archivo desde Office2003 con SP2 o SP3
(sólo probado con Office2003)
- el usuario hace modificaciones y guarda
- SORPRESA: Al comprobar las credenciales de seguridad para el archivo
excel.xls ¡¡¡se ha eliminado la ACL para el grupo Gtest!! y se ha
creado una nueva ACL para el usuario "test" de sólo lectura (heredados
de la carpeta "home")

Resultado: El resto de miembros del grupo "Gtest" dejan de tener
acceso al archivo y el usuario "test" ya no puede volver a
modificarlo!!

Lo extraño de esto es que sólo ocurre con la manera en que Office abre
y guarda los documentos, con el resto de archivos se siguen aplicando
los privilegios heredados de la carpeta "data" (como debería ser)

¿se le ocurre a alguien qué podría estar fallando?

Muchas gracias
 

Leer las respuestas

#1 Fernando Reyes [MS MVP]
09/01/2009 - 08:43 | Informe spam
La verdad, me he perdido... De todas maneras, creo que tienes un desorden en
los permisos, pues, por ejemplo:

- Una carpeta compartida "home" con acceso total (permiso de shared)
para "Todos" y privilegios de "solo lectura" para "test"



Eso no tiene sentido, si Todos tienen control total, test tiene control
total, pues pertenece a Todos y eso le da ese derecho, a pesar de que
explícitamente le pongas sólo lectura; otra cosa habría sido al revés, sólo
lectura para Todos y control total para test.

Así, a bote pronto, yo revisaría los permisos NTFS, de la carpeta
c:\shared\data, pues al tratarse de un enlace no creo que herede permisos,
si no que tendrá los suyos propios.


Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000 / 2003
MCSA Windows Server 2003
http://freyes.svetlian.com
http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


escribió en el mensaje de
noticias:
El escenario que os voy a mostrar es fácilmente reproducible, si
alguien decide probarlo, por favor, me encantaría conocer su
resultado.

- Windows 2003 Server, con dominio o sin dominio \\server
- Un grupo de seguridad "Gtest"
- Un usuario "test" del grupo Users y del grupo Gtest
- Una carpeta "data" con privilegios de "control total" para Gtest, y
para Administradores
- Una carpeta compartida "home" con acceso total (permiso de shared)
para "Todos" y privilegios de "solo lectura" para "test"
- Dentro de la carpeta "home" un enlace simbólico a la carpeta data: "
linkd c:\shared\home\enlace_a_data c:\shared\data ". Esta carpeta
de enlace hereda los permisos de "home"

Desde un cliente Windows XP se puede mapear una unidad de red " Z:
\\server\home " con las credenciales del usuario "test". En Z: el


usuario cliente sólo verá la carpeta enlace_a_data; como en "home"
sólo tiene acceso de lectura no puede crear más carpetas ni borrar.
Sin embargo, dentro de " Z:\enlace_a_data" , tendrá control total,
como era de esperar ya que su grupo "Gtest" tiene privilegios sobre la
carpeta "data". Todo funciona bien pero...

Pongamos un archivo de MSOffice (excel.xls p.ej) dentro de la carpeta
"data" y ...

- el usuario cliente abre el archivo desde Office2003 con SP2 o SP3
(sólo probado con Office2003)
- el usuario hace modificaciones y guarda
- SORPRESA: Al comprobar las credenciales de seguridad para el archivo
excel.xls ¡¡¡se ha eliminado la ACL para el grupo Gtest!! y se ha
creado una nueva ACL para el usuario "test" de sólo lectura (heredados
de la carpeta "home")

Resultado: El resto de miembros del grupo "Gtest" dejan de tener
acceso al archivo y el usuario "test" ya no puede volver a
modificarlo!!

Lo extraño de esto es que sólo ocurre con la manera en que Office abre
y guarda los documentos, con el resto de archivos se siguen aplicando
los privilegios heredados de la carpeta "data" (como debería ser)

¿se le ocurre a alguien qué podría estar fallando?

Muchas gracias

Preguntas similares