Páginas

26 noviembre, 2011

Detectar equipos conectados a una misma LAN (ping broadcast)

En ocasiones durante el mantenimiento de sistemas, necesitamos ver que equipos tenemos conectados a nuestra red local (LAN), esto también es útil para saber quien está conectado a tu red Wireless "¿Cómo saber si el vecino te está robando la WiFi?".

Vamos a utilizar para ello la dirección de red: 192.168.1.1/24 el 24 representaría los bits a '1' de modo que quedaría una IP de clase C con máscara de 255.255.255.0, es decir solo el último octeto para hosts finales menos el 0 que sería la dirección de red, que sería reservada siempre para ese fin, el 1 que sería el gateway o puerta de enlace (no está reservada para este fin pero es casi siempre utilizable y en una red domestica sería la configuración por defecto) y el 255 que sería la dirección broadcast, y está si está reservada para este fin. Por lo tanto, nos quedarían direcciones para hosts finales desde la 2-254 (incluyendo estos).

Antes mencionar que este tip es para OS Windows pero antes explicaré como se realiza en OS Linux, debido a que su uso es más fácil.

En Linux bastaría con abrir una terminal y escribir: ping 192.168.0.255 -b
Después solo quedaría consultar la table ARP (Address Resolution Protocol): arp -a
Ya tendríamos la lista de IP y direcciones MAC (Media Access Control).

En windows es un poco más "complicado". Ya que no existe la opción de broadcast como tal en el comando ping, y no nos permite ninguna posibilidad dentro de sus argumentos para hacer por ejemplo un: ping 192.168.1.255.
Así que tenemos dos opciones:
Aprendernos de memoria la siguiente línea de código o generar un fichero .bat, (que podremos guardar y ejecutar siempre que deseemos) que contenga esta línea de código:
for /l %i in (1,1,254) do ping -w 50 -n 1 192.168.1.%i
Breve explicación:
  • for: Realizamos un bucle, para que recorra todas las direcciones IP posibles de nuestra red.
  • /l: Con este argumento estaríamos especificando que se trataría de un bucle que recorre una sucesión de números que va desde una inicio hasta un fin.
  • %i: El % inicia una variable que en este caso le llame i.
  • in: marcamos los parámetros que queremos que se recorran del bucle for.
  • (1,1,254): Los parámetros están entre paréntesis y separados por coma en un orden especifico: (inicio, paso, fin). Por lo tanto, en este caso recorrerá desde el número 1 hasta el 254.
  • do: Indicamos el comando DO para determinar lo que queremos que recorra.
  • ping -w 50 -n 1: Realizará un ping con (-n 1) tan solo 1 respuesta de echo y con (-w 50) un tiempo de solicitud de 50 milisegundos.
  • 192.168.1.%i: La dirección IP que recorrerá el for indicándole que el %i (colocada en el último octeto) es la variable que tiene que ir recorriendo hasta el limite marcado en los parámetros del IN (254).
Luego realizamos un arp -a y nos mostrará todas las entradas IP y address MAC en nuestra tabla ARP.

Saudos!

24 octubre, 2011

Diferencias entre formateos y Format Low Level

En la mayoría de los casos, guardamos información en nuestros devices USB o tarjetas de memoria SD, en la cual podemos guardar información relevante para cada usuario. Tengo que decir que en este tipo de dispositivos no nos debemos confiar un 100% ya que tiene "un tiempo vida" relativamente pequeña, ya pueden ser de 2 o como mucho 3 años, para que empìecen a surjer o aparecer problemas en estos. Por eso es aconsejable realizar otro respaldo en otros devices, lo cual es una tarea más tediosa pero a la vez más segura, o por lo contrario, copiar toda la información a nuestro PC realizar un formato a low level y volver pegar los datos en el dispostivo.

Diferencias de un formateo normal o completo, formateo rápido, Scandisk y Formateo Low Level:

Formateo normal o completo: el sistema de archivos y archivos son eliminados del volumen, este crea nuevamente toda la estructura logica del disco duro, principalmente escanea en busca de sectores dañados y los marca, por eso que este proceso es más lento que un formateo rápido. Estos sectores es la principal razón para tener un buen funcionamiento y optimización a la hora de leer y escribir información de un HDD. Este formateo es dura mucho más tiempo que el formateo rápido, aunque influirá en el tamaño de espacio del HDD dependiendo la cantidad de sectores a comprobar.

Formateo rápido: no borra el contenido del disco, si no que borra el sistema de archivos ya sea FAT (File Allocation Table) o NTFS (New Technology File System) de la/s partición/es y después, teoricamente, no se puede acceder a la información eliminada o borrada, esto sería un borrado logico y no fisico, por lo que entonces si podríamos acceder a ellos mediante herramientas y técnicas digitales-forenses. Al no realizar una comprobación de errores (CRC (Cyclic Redundancy Check)) sobre los sectores del disco, este proceso es más rápido que el formateo completo.

Scandisk: es un software que fue adquirido por Microsoft y que comprueba el estado de sectores lógicos y la integridad física del disco duro como como la integridad del sistema de archivos del OS (Operating system). Cuando se ejecuta de forma completa este repite varias veces la lectura y escritura sobre el mismo sector, y así sucesivamente con los que vaya encontrando defectuosos. Generalmente, cuando puede reparar algun error lo hace. Esta herramienta es muy similar al comando utilizado en Windows y desarrollado por Microsoft para intentar reparar sectores dañados o corruptos: CHKDSK (CheckDisk)

¿Que es un Formateo a Low Level (formateo a bajo nivel)?

A parte de realizar las funciones de un formateo completo, va mucho más allá. Es un método por el cuál el fabricante organiza la forma de hacer operativo al HDD, consiste en crear una serie de marcas o flags (banderas) sobre toda la superficie física del disco que organizan los espacios donde se guardará la información del usuario, estas marcas son una orientación para el sistema operativo que se encargara de organizar a su vez la información que el usuario almacenará en el disco. Es decir, que intenta restaurar una "configuración" por defecto del fabricante del dispositivo HDD.

Cuando un sector está dañado físicamente, ya sea por un golpe del disco, un daño por motivo de la cabeza lectora que golpeó la superficie de una de los platos del disco, u otras causas físicas. NUNCA se podrá salvar estos sectores fisicamente dañados.

Si queremos dar formato al disco duro de nuestro propio computador, no podremos hacerlo con estas aplicaciones corriendo en el mismo, como sería lógico. Tendríamos que retirar el disco duro ya sea de 3,5 pulgadas o 2,5 pulgadas e introducirlo en una carcasa externa o algún otro dispositivo periférico de conexión externa correspondiente a las medidas en pulgadas del disco duro e interfaces correspondientes ya sea IDE o SATA con salida USB al equipo en el que corra la aplicación. Al tratarse de un dispositivo de memoria USB o tarjeta SD ya no tendremos este problema por que lo podremos realizar en el propio computador donde ejecutemos la aplicación.

HDD Guru Low Level Format Tool es un herramienta desarrollada por HDDGuru (empresa que ya mencionara en este blog cuando hablé de: Testea y repara el disco rígido cuando falla con: MHDD).
HDD Guru Low Level Format Tool es efectiva para el formateo a low level de dispositivos HDD.

Dependiendo del tamaño del disco, el proceso puede tardar más o menos, pero por lo general suele ser un proceso que necesita su tiempo.

Figura 1: HDD Guru Low Level Format Tool.

Saludos!

10 septiembre, 2011

Mecanismos de transición IPv6

Cuando abrimos un símbolo de sistema o command prompt (cmd.exe) de Windows y ejecutamos el comando "IPCONFIG" seguido del subcomando "/all" = "IPCONFIG /all" y pulsamos Enter. Vemos que se nos muestran más adaptadores de red (lógicos) que los físicos que estén conectados en nuestro equipo.

Figura 1: Mecanismos de transición IPv6.

Diversos mecanismos de transición IPv6:

Dual Stack: Es necesario que los host de una red operen bajo este mecanismo para desplegar y llevar a cabo la transición de direcciones a IPv6.

Cuando un host utiliza el mecanismo Dual Stack este es capaz de tomar decisiones acerca de cuando las conexiones deben hacerse usando IPv4 o IPv6, generalmente esto se hace basándose en la disponibilidad de la conectividad IPv6 y los registros DNS (Domanin Name System).

Los stacks IP e IPv6 pueden y usualmente serán completamente independientes, pues las interfaces pueden enumerarse de forma separada, habilitar y deshabilitarlas separadamente y tratadas como máquinas separadas.

El problema de este es que no hay muchas direcciones IPv4 disponibles, como hacemos para asignarles una dirección a cada host? de donde sacamos la dirección? entonces estamos volviendo al problema inicial.

Túneles Configurados: Este es, en muchas maneras el mecanismo de transición más sencillo; aunque no es tan fácil de mantener como otros, pues debemos configurar manualmente algunas direcciones.

El principio detrás de la tunelización es el encapsular paquetes IPv6 en paquetes IPv4 es decir, empaquetar paquetes dentro de otros paquetes.

Este mecanismo es muy útil para conectar por ejemplo, una sucursal y la oficina principal.

La idea central es entender que al igual que los encabezados ethernet rodean los paquetes IP, los que rodean encabezados TCP y UDP, los que rodean protocolos como SMTP, podemos fácilmente insertar otro paquete donde iria un paquete TCP y confiar en el sistema de enrutamiento para que lleve el paquete al lugar ideal. Siempre y cuando tanto el origen como el destino sepan como tratar estos paquetes.

6to4: 6to4 es un mecanismo que permite a las organizaciones el poder experimentar con IPv6 SIN:
- Un proveedor de servicios de internet (ISP) que soporte IPv6.
- Aplicar por espacio de direcciones IPv6.
- Arreglar un túnel con otro usuario.

Lo único que necesitamos es una direcciones IPv4 global, alcanzable por el protocolo 41 o proto-41, que es el que encargado de encapsular paquetes IPv4 en paquetes IPv6.

Teredo Tunneling: Sabemos que hay muchos host tras un NAT, los cuales usualmente solo pueden lidiar con TCP, UDP y algunos tipos limitados de ICMP.

Teredo es un mecanismo que "tuneliza" IPv6 a través de UDP en una manera que permite pasar a través de la mayoria de dispositivos que hacen NAT.

Teredo se considera el útimo mecanismo a usar en el intento de permitir conectividad IPv6 desde una organización la cual los host finales no tengan otro método de comunicaciones capaz.

La operación de Teredo es algo similar a la de 6to4, ya que requiere cierta cantidad de infraestructura, como servidores y relays Teredo, los servidores operan en modo stateless y no es usual que redireccionen paquetes de data; su función principal es facilitar el direccionamiento entre clientes y relays Teredo, así que deben de estar en la red pública de internet IPv4. Los relays son puertas de enlace entre internet IPv6 y los clientes Teredo, redireccionan paquetes contactando a servidores Teredo si es necesario y por último deben de estar en internet IPv4 e IPv6.

6over4: Es un mecanismo para correr una red IPv6 usando IPv4 como la capa 2 de enalce de datos del Modelo OSI. Es distinto a los tuneles y 6to4, porque permite el mecanismo para realizar el protocolo de descubrimiento de vecinos NDP Neighbor Discovery Protocol para Ipv6 (su equivalente para redes IPv4 sería ARP Address Resolution Protocol).

Hay que recordar que IPv6 usa la capa 2 de enlace para hacer multicast, así que 6over4 logra todo esto usando multicast en IPv4.
 

ISATAP: Inter Site Automatic Tunneling Address Protocol o Protocolo de direcciones de túnel automático entre sitios, es una idea muy similar a 6over4, ya que pretende hacer uso de una red IPv4 como una capa de enlace virtual para IPv6. Probablemente la diferencia más importarte es que evita el hacer uso de multicast en IPv4.
 

SIIT: Stateless IP/ICMP Translation es la primera técnica mencionada que intenta permitir que los host que solo usen IPv4 pueden hablar con host que solo usen IPv6.

La idea es que nos permite tomar un paquete IPv4 y re-escribir los encabezados para formar un paquete IPv6 y viceversa.
 

NAT46/64-PT: NAT-PT (Network Address Translation - Protocol Translation) es una aplicaicón de SIIT que permite "mapear" un grupo de host IPv6 a un grupo de direcciones IPv4, en una manera muy similar a la que el NAT de IPv4 permite un grupo de host IPv4 usando una direccion privada haciendo uso de una dirección pública.

Aunque casi idéntica a la NAT-PT, añade la traducción de los puertos, así como la dirección.

TRT: Transport Relay Translation es una idea similar a SIIT pero en vez de traducir entre IPv4 e IPv6 al nivel de IP e ICMP, lo hace a nivel de capa 4 de transporte TCP/UDP. Una maquina haciendo TRT tendrá un rango de direcciones IPv6 que traducirá a un rango de direcciones IPv4. Cuando una conexión TCP se haga a alguna de estas direcciones, la maquina TRT hará una conexión TCP a la dirección IPv4 correspondiente en el mismo puerto. Luego cuando los paquetes TCP sean recibidos, la data será redireccionada, de igual manera para UDP.
 

Proxies: Los proxies como los conocemos seguirán funcionando pero al tener un máquina corriendo como proxy haciendo uso de un Dual Stack, podrá potencialmente aceptar solicitudes tanto IPv4 como IPv6.

Estas son solo algunos de los mecanismos para la transición a un direccionamiento IPv6. 


Más información sobre estos y otros mecanismos de transición de IPv6

Fuentes | wikipedia, eliasmereb


Saludos!

20 agosto, 2011

Win7 MAC Address Changer: Cambiar la dirección MAC Address de Windows

Win7 MAC Address Changer es una herramienta que nos permitirá cambiar la dirección física, MAC Address (Media Access Control Address), de la tarjeta de red del PC. La dirección física de una tarjeta se puede querer cambiar por diversos motivos, pero normalmente no son para realizar unas buenas tareas si no que, con unos fines "malvados", como... suplantar la MAC Address del vecino por si este tiene un filtrado de direcciones MAC en su router, realizar ataques DoS (Denial of Service - Denegación de Servicio) en una red local mediante ARP Spoofing, etc.

Win7 MAC Address Changer funciona de una manera muy simple, una vez descargamos la ejecutamos en el PC.

[1] - Pulsamos en el botón 'Refresh' y escogemos la tarjeta de red a la que queremos cambiarle la MAC Address no importa si es Wi-Fi Wireless o de cable Ethernet.

[2] - Seleccionamos el sistema operativo que estemos usando.

[3] - Añadimos la MAC Address que deseemos para la necesidad que tengamos o si nos da igual la dirección física y simplemente queremos una cualquiera, pulsando en el botón 'Randomize' la propia herramienta nos genera una dirección aleatoria. En la sección 'Current MAC' podremos observar la MAC original que se asigna nuestra tarjeta.

[4] - Pulsamos en el botón 'Change' para cambiar a la nueva MAC Address creada. Nos pedirá que habilitemos y volvamos a habilitar la tarjeta de red para que los cambios tengan efecto.

Figura 1: Win7 MAC Address Changer configurado para cambiar la dirección MAC.

Para habilitar o deshabilitar la tarjeta de red:

[5] - Inicio -> botón derecho sobre Equipo -> Propiedades -> en la columna izquierda de la nueva ventana vamos a 'Administrador de dispositivos'. O simplemente: Tecla Windows + R -> y escribimos: devmgmt.msc (que es la consola de Windows donde se ubica este apartado).

[6] - En el Administrador de dispositivos:

Adaptadores de red -> seleccionamos la tarjeta en la que cambiamos la MAC Address -> botón derecho 'Deshabilitar' -> esperamos... y después volvemos a habilitarla del mismo modo. Y cerramos el Adinistrador de dispositivos.


Figura 2: Reiniciar la NIC, deshabilitando y habilitando de nuevo.
 
[7] - Ahora verificaremos que la MAC Address a sido cambiada correctamente. Para ello:
Abrimos una Shell de Windows: Tecla Windows + R -> escribimos: cmd.


Figura 3: Comprobación de que la dirección MAC a sido cambiada con éxito.

Saludos!

02 agosto, 2011

Normas ISO/IEC - Estandar 80000: Prefijos decimales y binarios del sistema internacional (Megabyte (MB) - Mebibyte (MiB))

Últimamente he estado dándole vueltas a los prefijos decimales y binarios, las formas de medir la información de datos, transferencia, procesamiento y almacenamiento.

Conceptos a tener en cuenta

  • bit: unidad mínima que maneja una computadora. Se trata de un uno o un cero.
  • byte (B): es un conjunto de 8 bits y representa un caracter.
  • bps: (bits por segundo) unidad de medida de transferencia de información.
  • bytes/s (B/s): (bytes por segundo) unidad de medida de transferencia de información en byte por segundo (un caracter por segundo).

Diferenciar entre el sufijo bit o byte

Por ejemplo con el prefijo "Mega" y sufijo "byte" = Megabyte.
  • Almacenamiento de datos.
  • Transferencia entre dispositivos o componentes del sistema.
  • Procesamiento de datos dentro del equipo.
Pero cuando hablamos de comunicaciones, transferencia de ficheros en internet, conexiones ADSL, etc. Estaríamos hablando con el sufijo bit = Megabit

Por ejemplo un Megabyte (MB), que sería 106 = 1.000.000 (decimal) es decir 220 = 1.048.576 bits (binario). Pero lo correcto en este caso si nos referimos a la cantidad binaria, sería decir Mebibyte (MiB). Ya que estamos utilizando cantidades con potencias de base 2 y no de 10.

Expresiones como "tres megabytes" han sido abreviados incorrectamente como 3M y el prefijo deviene o se fue transformando en sufijo. 

La diferencia entre binario y decimal parece pequeña, pero esto puede generar varios problemas.
El uso incorrecto de los prefijos del Sistema Internacional (SI) (con base 10) se utilizan como si fueran prefijos binarios (con base 2), debido a la causa de serias confusiones.

Los prefijos binarios corresponden a números similares, aunque diferentes, de los factores decimales indicados en el Sistema Internacional de Unidades. Los primeros son potencias de base 2, mientras que los prefijos del SI son potencias de 10.

Figura 1: Prefijos binarios y valores.

Notaciones de los fabricantes respecto a las capacidades de un producto (CD, DVD, USB, SSD, HDD, etc.). El uso binario sembró la confusión: 1024 no es 1000.

Los fabricantes de dispositivos de almacenamiento habitualmente usan los prefijos decimales del SI, por lo que un disco duro de 30 GB tiene una capacidad aproximada de 28*230 bytes, lo que serían 28 GiB (gibibytes).

Esto lleva a la confusión de que cuando compramos un disco duro, por ejemplo, de 500GB los fabricantes hacen esta notación al producto basándose en potencias de base 10 de modo que 1GB = 1000MB. Cuando en realidad 1GB = 1024 MB, si tratamos la representación de la información en base 2, los que los equipos interpretan la forma binaria.

De este modo los fabricantes emplean el sistema decimal para la representación de la capacidad en el que 1 GB = 1.000.000.000 bytes (10^9), mientras que el sistema operativo (que opera en binario) interpreta la información como 1 GB = 1.073.741.824 bytes (2^30), por tanto veríamos en nuestro sistema operativo 465,66 GB.

Este cálculo sería de la siguiente forma. Utilizando el ejemplo de 500GB.
  • 500.000.000.000 bytes / 1024 = 488.281.250 KB
  • 488.281.250 KB / 1024 = 476.837,15 MB
  • 476.837,15 MB / 1024 = 465,66 GB
Aunque realmente el prefijo correcto sería: 465,66 GiB (GibiBytes) que equivaldrían a: 500 GB (GigaByte). 
Aunque es verdad que unos muy pocos Megabytes (3 MB a 4 MB aprox.) son ocupados para el acceso al disco, sistema de ficheros y de más.

Sin embargo en las comunicaciones se usa de forma diferente ya que tratan información NO de capacidad de almacenamiento, si no de transmisión de datos: una conexión de 1 Mbit/s transfiere 106 bits por segundo.

Norma ISO/IEC

  • IEC: International Electrotechnical Commission - Comisión Electrotécnica Internacional.
  • ISO: International Organization for Standardization - Organización Internacional para la Estandarización.
En 1999 la IEC publicó una norma que fue aprobada en 1998 donde introdujo los prefijos kibi, mebi, gibi, tebi, pebi, exbi, etc. para ser utilizado en la especificación de los múltiplos binarios de un cantidad de información. El nombre "bi" es una abreviatura que proviene de las dos primeras letras "binary" (binario). La IEC también aclara que, los prefijos del SI sólo tienen su potencia en base 10 si no que tienen una potencia en base 2.

Figura 2: Prefijos, simbología y significados.

Como podremos observar en esta imagen. Ya se utilice los prefijos: Kibi, Mebi, Gibi, etc. los sufijos bit o byte se conservan y se utilizan igual según los estándares, el estándar ISO/IEC 80000.
Ya que utilizar los sufijos bit o byte simplemente se tienen que diferenciar en el uso de estos, según de lo que se esté hablando. Como ya mencioné en el apartado: "Diferenciar entre el sufijo bit o byte".

En el año 2006 esta convención de nombres ya empezó a ser utilizada por algunos sistemas operativos como GNU/Linux, aunque todavía no ha ganado amplia difusión en otros medios.

Las normas ISO 31 y IEC 60027 están en el presente 2011, siendo revisadas por las dos organizaciones de estandarización en colaboración. El estándar revisado y armonizado se conoce como ISO/IEC 80000, Cantidades y Unidades (en inglés, ISO/IEC 80000, Quantities and Units), y define el Sistema Internacional de Magnitudes; ya se ha publicado, en marzo del 2008, la parte 13 (Information science and technology) que incorpora los prefijos binarios del IEC.

Estándar IEEE

El IEEE (Institute of Electrical and Electronics Engineers - Instituto de Ingenieros Eléctricos y Electrónicos) ha aceptado el uso de los prefijos binarios bajo el estándar IEEE 1541 publicado en el año 2002 y elevado a estándar de uso completo en el año 2005.

Las recomendaciones dadas en el IEEE 1541 son unidades usadas para hacer referencia a cantidades usadas en la electrónica digital y en la computación:
  • bit (símbolo b), un dígito binario.
  • byte (símbolo B), submúltiplo del tamaño de palabra de un microprocesador compuesto por un grupo de bits adyacentes (usualmente, pero no necesariamente, de ocho bits).
  • Octeto (símbolo o), un grupo de ocho bits. un octeto es la traducción al término francés octet que es el usado por el estándar.
Prefijos para indicar los múltiplos binarios de las unidades antes mencionadas:
  • kibi- (símbolo KiB), 210 = 1.024 bytes
  • mebi- (símbolo MiB), 220 = 1.048.576 bytes
  • gibi- (símbolo GiB), 230 = 1.073.741.824 bytes
  • tebi- (símbolo TiB), 240 = 1.099.511.627.776 bytes
  • pebi- (símbolo PiB), 250 = 1.125.899.906.842.624 bytes
  • exbi- (símbolo EiB), 260 = 1.152.921.504.606.846.976 bytes
Los prefijos del "Sistema Internacional" no se usan para indicar múltiplos binarios.

Como ya mencionara anteriormente, pero vuelvo a decir, la parte bi del prefijo viene de la palabra binario, por ejemplo, kibibyte significa un "kilobinary byte" (kilobyte binario) que son 1.024 bytes.

La K en mayúscula para el símbolo "Kibi-" mientras que la letra para el prefijo análogo en el Sistema Internacional kilo- es una k en minúscula, la K en mayúscula ha sido seleccionada para dar consistencia con otros prefijos y con el uso extendido y erróneo del prefijo del SI (como en "KB").

El IEEE 1541 está estrechamente relacionado con la Enmienda 2 al Estándar IEC Internacional IEC 60027-2 pero con la diferencia que este último usa el símbolo bit para el bit.

Luego llegan los múltiplos, la "k" de kilo. Aquí hay algunas confusiones, en un principio, por practicidad y rapidez de cálculo podríamos decir:
15 kbytes equivale a 15.000 bytes. Por lo tanto para pasar de una a otra se multiplica o divide por 1000 respectivamente.
Pero si queremos ser estrictos, en computación (y sólo en computación) 1 kb (kilobyte) equivale a 1024 bytes. O sea, la k equivale a 1024 y no a 1000 como en otras medidas.
  • 1000 bits = 1 kbits (kilo bit)
  • 1000 bps (bits por segundo) = 128 bytes/s = 0.125 KB/s (kilobyte por segundo)
  • 1024 bytes = 1 KB (kilobytes)
  • 1024 bytes/segundo = 1 KB/s (1 kb por segundo)
  • 1024 KB = 1 MB (megabyte)
  • 1024 KB/s = 1 MB/s (un megabyte por segundo)
Figura 3: Comparativa del antiguo estándar y el estándar IEC.

Los proveedores de internet hablan de velocidades de bajada de 64 kbps, 128 kbps, 256 kbps, 512 kbps, 1 mega (1024 kbps), 2 megas (2049 kbps), 5 megas, 10 megas, 20 megas, etc. (o sea, lo expresan en bits por segundo). Pero tanto en Internet Explorer y otros navegadores web como en programas de descargas y en Internet en general, se habla en KB (que es, en definitiva, lo que ocupa un archivo) y en KB/s (kilobyte por segundo); por lo tanto, es interesante saber de cuánto es la velocidad de bajada expresada en KB por segundo. Esto puede traer confusión a los usuarios no expertos pues podrían pensar que bajarían 1 megabyte de información por segundo, pero en realidad bajan 1 megabit de información en un segundo.

En principio es más conveniente saber la velocidad de descarga (y de subida) de la conexión en KB/s, pues es más fácil entenderlo. Si, por ejemplo, un archivo se está descargando a 25 KB/s, sabremos que se están descargando 25 mil caracteres del archivo por segundo (y más precisamente, 25600 caracteres).

Ahora las conversiones entre bps y bytes/s.
Como en general no necesitamos demasiada precisión, tomaremos el camino más fácil, y la "k" corresponderá a 1000 y no a 1024.

Conversiones entre bps y bytes/s

Supongamos que tenemos una conexión de 128 kbps o 128.000 bps.

8 bps -----------> 1 byte/s
128.000 bps ---> X bytes/s

X = (128.000 bps x 1 byte/s ) / 8 bps = 16.000 bytes/s = 16 KB/s

Se estarán bajando unos 16 mil caracteres por segundo.

¿Por qué hay dos sistemas de medir la velocidad?

Hay varias razones. En el caso de la conexión a Internet, sin duda la mejor forma de medirla es por KB/s (kilobytes por segundo), pues estamos tratando siempre con archivos formados por caracteres (1 byte) y recordemos que un caracter está formado por 8 bits. Pero hay casos en que la transmisión es serial (bit por bit) y la información no necesariamente está "empaquetada" en caracteres de 8 bits.
También hay empresas que se aprovechan de la confusión generada por los kbps y los KB/s para su beneficio.

Saludos!

01 julio, 2011

Restablecer la password de cualquier tipo de cuenta de usuario local de Windows

Con esto se podrá recuperar la contraseña de los usuarios registrados en un equipo local sin necesidad obviamente de entrar en el sistema, de manera que no se tenga que introducir la clave anterior para restablecer una nueva passw, de modo que genera una nueva contraseña para el usuario en la que seleccionemos, incluido administradores locales. Así también como el poder manipular otras configuraciones adicionales.

Figura 1: Iniciando consola de recuperación de passwords antes de iniciar sesión en el sistema.

Esto es un pequeño hack que funciona en todas las versiones de Windows hasta la fecha.
Me imagino que la razón de que Microsoft permita esto es simplemente administrativa, por si algún usuario que solo tenga una cuenta y cambia la password y se llega a olvidar de ella, pueda iniciar sesión con una nueva clave y acceder al sistema.

Ya que un sistema operativo Windows siempre y cuando siga cumpliendo estos dos requisitos:
  • Funcionalidad por defecto de las stickykeys (sethc.exe), con pulsación de 5 veces seguidas en la tecla mayus. O el uso de la lupa de Windows (magnify.exe).
  • Se pueda acceder a las consolas .msc: lusrmgr.msc o de "netplwiz".
Una forma de evitar esto y añadir un obstáculo más de seguridad, sería establecer una contraseña al acceso de la BIOS, para no poder realizar bootstrap a un USB o CD/DVD, también sería aconsejable si la BIOS lo permite deshabilitar la opción de hacer booting con "medios extraíbles desmontables" (USB) y lo mismo con la lectora/grabadora CD/DVD. Y ya si somo muy paranoicos a parte de la password para el acceso y configuración a la BIOS, establecer otra aún a un nivel más bajo o anterior que sería establecer otra antes de que el equipo realice el POST (Power On Self Test) de arranque (esto también si la configuración de la BIOS lo permite).

En este tutorial voy intentar explicar todos los pasos al detalle a seguir y definir comando básicos, con el fin de que cualquier usuario pueda entenderlo.

[1] - Arrancamos el PC y booteamos el Live DVD/USB de instalación de Microsoft Windows (nos valdría cualquier versión sería lo mismo. Simplemente tendremos que tener acceso a una "Consola de recuperación").


Una vez se nos carga el Live DVD/USB de la instalación de Windows, y accedemos a la primera ventana del asistente de instalación.

Pulsamos en 'Siguiente' -> Reparar el equipo -> esperamos que se carguen las 'opciones de recuperación de sistema' -> pulsamos en 'Siguiente' -> se nos mostrará una nueva ventana en la que elegimos la opción "Símbolo del sistema".


Figura 2: Siguiente en el asistente de instalación de Windows.
Figura 3: Sección "Reparar el equipo" en el asistente de instalación de Windows.
Figura 4: Opciones de recuperación del sistema.
Figura 5: Símbolo de sistema, como opción de recuperación del sistema.

[2] - Cuando se nos muestra la ventana de símbolo del sistema, ejecutada por defecto como Administrador local.

Listamos las unidades disponibles.

wmic logicaldisk get name
Trabajamos sobre el disco local del sistema C:\.
C:
cd \windows\system32
ren sethc.exe sethc.ejm
copy cmd.exe sethc.exe
exit
Después de cada instrucción, para la confirmación presionamos la tecla Enter.


Figura 6: Renombrando fichero sethc por una consola cmd.

sethc.exe: Fichero ejecutable que hace llamada a las StickyKeys (teclas pegajosas o teclas espeiales), esta lo que hace es que cuando, por ejemplo, pulsamos la tecla "Shift" (mayusculas, derecha o izquierda) del teclado 5 veces seguidas, nos salga una ventana que nos permite activar o desactivar dichas teclas.
 

cmd.exe: Fichero ejecutable que hace llamada al Símbolo del sistema de Windows

C: Entramos en la unidad c: por defecto, o la letra que tengamos asignada al disco local donde almacenemos la instalación de Windows.
 

cd: Entramos en los directorios de del disco local especificados, que en este caso es donde se encuentras los ficheros en los que haremos las modificaciones necesarias.
 

ren: Básicamente lo que se está haciendo es, renombrar, cambiándole la extensión, al fichero original 'sethc.exe' por 'sethc.ejm'. Por que ejm?, es indiferente podemos poner lo que queramos, siempre que no supere las 3 letras de extensión. Elegí: ejm (ejemplo) "por poner algo". Pero como ya digo esto no tiene relavancia, simplemente se hace para que no se tenga concordancia cuando posteriormente se copie la cmd.exe por sethc.exe.
 

copy: Después se copia la cmd.exe por sethc.exe, como sethc.exe lo habíamos renombrado a sethc.ejm el fichero sethc.exe no existe, supuestamente. Entonces lo que hacemos es crear una cmd.exe original pero con el nombre sethc.exe. De este modo, se conseguiría que cuando llamemos a las StickyKeys, se nos abra un Símbolo del sistema (CMD).
 

exit: Salimos del símbolo del sistema.

[3] - Una vez acabado el paso 2, reiniciamos el PC en el botón "Reiniciar" en la ventana de 'Opciones de recuperación del sistema'. 


Iniciamos el equipo sin bootear el Live DVD/USB de instalación de Windows, es decir que lo inicializamos de manera normal.

[4] - En la pantalla de bienvenida, pulsamos 5 veces seguidas la tecla "Shift" izquierda o derecha, nos funcionará igual.
 

Se nos abrirá el cmd.exe o Símbolo del sistema de Windows.
control userpasswords2
También podríamos usar netplwiz, es lo mismo y nos llevaría a la misma ventana gráfica.
Sería lo mismo. La diferencia (creo recordar...) está en que netplwiz era el fichero que abría y daba acceso a dicha ventana de control de cuentas de usuario en sistemas Windows NT y 2000, este aún se conserva en Windows XP, Vista y 7. Aunque añadieron una segunda vía de acceso: control userpasswords2, que es exactamente lo mismo.

[5] - Se nos abrirá la ventana de 'Cuentas de usuario', si no apareciese en ese momento en la pantalla de bienvenida, reiniciamos y volvemos a realizar el paso 4 y no tendrá que aparecer. 

Pues en esta ventana podremos restablecer la contraseña del usuario que seleccionemos. En este ejemplo, se trata de una cuenta tipo Administrador con el nombre de usuario "1loiswin7". Una vez seleccionamos el usuario podemos pulsar en el botón "Restablecer contraseña" he introducir la contraseña nueva sin necesidad de que nos pregunta la contraseña que hubiese anteriormente.
'Aplicamos' y 'Aceptamos' los cambios. (O simplemente 'Aceptar' sería lo mismo).



Figura 7: Iniciada consola con las StickyKeys y restableciendo passw de administrador de Windows.

Aunque en la captura de pantalla de arriba no muestro la ficha o pestaña "Opciones avanzadas" de la ventana 'Cuentas de usuario', en esta podremos elegir una cuenta de usuario de tipo 'limitada' y cambiarla por una de tipo 'Administrador' o viceversa, así como también agregar dicho usuario seleccionado a un grupo local que hubiéramos creado previamente o los incluidos por defecto del sistema, esto solo para Windows XP. En Windows Vista o 7 veremos otro aspecto similar en el que podremos administrar las contraseñas de la base de datos local SAM de Windows y entrar en la ventana 'Usuario y grupos locales' (lusrmgr.msc) con la cual también podremos realizar lo mismo que en Windows XP.

[6] - Y por último iniciamos sesión en el sistema con el nombre de usuario y contraseña que restablecimos. Y ya estaremos dentro, para hacer las modificaciones necesarias, así como cambiar a una nueva contraseña o lo que fuese.


Reinvertir los cambios 

[7] - Como paso final dejaremos o restableceremos los ficheros modificados (sethc y cmd) a su estado original o default. 

Para ello una vez que estamos ya dentro del sistema ejecutamos un "Símbolo del sistema" como administrador. Para ello, vamos a:
Inicio -> Todos los programas -> Accesorios -> y botón derecho en 'Símbolo de sistema' -> Ejecutar como administrador.

 
Si tenemos activado el UAC (User Account Control) de Windows, nos saldrá una ventana informativa 'Control de cuentas de usuario', que nos preguntará si deseamos que se hagan cambios en el sistema, le decimos que si.

Una vez abierto el CMD y estar situados en la ubicación:
C:\Windows\System32

En el caso de no estarlo, escribimos en el CMD:

C:
cd windows\system32
Una vez estemos en dicho direcctorio (lo cual por defecto lo está, si ejecutando el CMD con privilegios administrativos) simplemente tendríamos que escribir en el CMD:
del sethc.exe
ren sethc.ejm sethc.exe
exit
Figura 8: Restableciendo el orden de los ficheros renombrados anteriormente.

del: Borra ficheros y direcctorios, en este caso borraría el fichero sethc.exe.
 

ren y exit: renombra y salir de la CMD.

Lo que se está haciendo, es borrar el fichero sethc.exe que es una copia del cmd.exe original. Después renombramos el fichero sethc.ejm a sethc.exe, el sethc.ejm que es el fichero del sethc original. Por lo tanto, lo dejamos como estaba para que a la hora de llamar a la ejecución de las StickyKeys este se ejecute correctamente.
Y con la copia del cmd borrada y el fichero del sethc en su estado original, daremos por acabado la configuración.


Espero que este tutorial ayude aquell@s usuari@s, que no recuerdan su contraseña y de este modo haya una solución al problema. Y no utilizar este pequeño hack maliciosamente...

Saludos!

24 abril, 2011

Permisos NTFS: ACLs en cuentas de usuarios y grupos en Windows

Modificar permisos a usuarios y a grupos sobre objetos, privilegios a cuentas de usuarios y administradores en Windows.

Tenía pensado dividir este artículo en varias partes, ya que es extenso, pero para no tener comentarios en unas entradas y otras sobre el mismo tema, he decido incluir todo lo relacionado en el mismo post. A parte, a la hora de buscar en buscadores y en el blog se reflejará toda la información en un mismo artículo.

Como dije, este artículo es bastante extenso y completo. Por eso, cito un índice con los diferentes apartados o secciones de este post, un índice con enlaces internos (a esta página) que hacen referencia a todos los diferentes apartados.

Índice

Lecturas recomendables


El último enlace al que hago referencia, está muy completo ya que nos dice como modificar permisos de archivos o carpetas a usuarios, y es algo muy parecido a lo que voy comentar posteriormente en este artículo.

1) Definiciones y conceptos

1.A) Acceso a los archivos y directorios

Todo el tema de permisos que aquí muestro y explico se dan gracias al sistema de ficheros: NTFS (New Technology File System), uno de los sistemas de ficheros de Microsoft Windows, que permite un gran avance de seguridad en cuanto a las concesiones de permisos o privilegios de usuarios en Windows.

Herencia: La herencia permite la propagación de ACL posicionadas en objetos contenedores padres a sus hijos. Al crear una ACE, es posible precisar si se va aplicar al objeto, sólo a sus hijos (indicador de herencia solamente o Inherit Only) o al objeto en sí y a sus hijos.

Objetos: Un objeto es simplemente un elemento que puede asegurarse y protegerse mediante permisos. Puede tratarse de un archivo, un directorio, una clave de registro o un objeto de sistema, como una canalización con nombre, un socket, un proceso, un subproceso, etc.

ACL (Access Control List): Es una lista de control de acceso que regula los permisos de acceso a los objetos del sistem. Está compuesta por entradas de controles de acceso ACE

ACE (Access Control Entry): Una entrada de control de acceso es un elemento de una ACL. Una ACE está compuesta por un SID, una máscara de acceso que define los permisos concedidos al SID (ya sean: Lectura, escritura, etc.), un indicador que determina el tipo de ACE y otro indicador que determina a que objetos se refieren estos permisos.
Hay tres tipos de ACE: Acceso concedido, acceso denegado y Audit (para auditar la seguridad del sistema).

SD (Security Descriptor): Un descriptor de seguridad es la estructura vinculada a todo objeto al que se le puede aplicar seguridad que contiene el SID del propietario del objeto, su grupo primario y las dos listas de ACL: DACL y SACL.

DACL (Discretionary Access Control List): Una lista de control de acceso discrecional es la que está controlada por el propietario del objeto. Especifica quién tiene permiso y quién no para acceder a dicho objeto.

SACL (System Access Control List): Una lista de control de acceso de sistema es la que controla la generación de mensajes de auditoría durante los intentos de acceder a un objeto seguro. (Es necesario tener privilegios SE_SECURITY_NAME para modificar una SACL).

SDDL (Security Descriptor Definition Language): Un lenguaje de definición descriptor de seguridad que permite definir y transportar datos almacenados en un descriptor de seguridad en formato de texto.
Por ejemplo, el comando "sc sdshow" muestra el descriptor de seguridad ligado al servicio en formato SDDL.

El orden de interpretación de los permisos es o debería ser el siguiente:
- Accesos denegados explícitos (DENY ONLY).
- Accesos autorizados explícitos (ALLOW ONLY).
- Accesos denegados heredados.
- Accesos autorizados heredados.

Resumen

Un descriptor de seguridad de un recurso contiene el SID del propietario y varias listas de control de acceso. Una ACL es una lista de entradas de control de ACEs, cada una de las cuales identifica una confianza y unos permisos permitidos o denegados.

Las ACLs pueden ser de dos tipos: DACL (Discretionary ACL) o SACL (System ACL). 
  • DACL especifican permisos de acceso -permitidos o denegados- que el propietario del recurso especifica discrecionalmente. 
  • SACL especifican las acciones de confianza que el sistema debe auditar (intentos fallidos o exitosos de acceso según su tipo).
Cada recurso, además de poder incluir sus propias ACLs (ACLs explícitas), puede marcarse para que herede las ACLs de sus recursos antecesores (se indica separadamente para DACL y SACL).

Para determinar si debe concederse un permiso a una confianza del sistema primero ordena las ACEs de las distintas listas. Después las evalúa una a una y cuando encuentra una que se corresponde ya no evalúa el resto.

Si un recurso no tiene DACLs se concede el permiso. Si tiene DACL pero no tiene ACEs se deniega el permiso.

Para ordenar las ACEs el algoritmo tiene en cuenta lo siguiente:
  • Dentro de una lista, las ACEs que deniegan tienen prioridad sobre las que permiten.
  • Las ACLs explícitas tienen prioridad sobre las heredadas.
  • Las ACLs de los padres tienen prioridad sobre las de los abuelos.
Por otra parte:
  • Al anular la herencia el sistema nos permite elegir entre quitar todos los permisos heredados o copiarlos como explícitos.
  • Cuando se crea un nuevo recurso éste hereda todos los permisos (todas las ACLs) de su padre (tanto heredados como explícitos).
  • Al copiar un recurso (o moverlo a otro volumen) creamos un nuevo recurso.
  • Al mover un recurso dentro de un volumen se mantienen los permisos.

1.B) Tipos de cuentas de usuarios (NT AUTHORITY), grupos por defecto en Windows y sus SID

Trusted Installer (Instalador de confianza): No es una cuenta de usuario propiamente dicha, sino que una cuenta de servicio. Su SID (Security Identifier) comienza por S-1-5-80, que corresponde a SECURTIY_SERVICE_ID_BASE_RID. Sirve para ejecutar el servicio que instala los componentes Windows, los hotfixes y los paquetes MSI (Microsoft Installer).

Este SID posee los permisos para todos los archivos de sistema que le permiten actualizar el sistema operativo. TrustedInstaller es un usuario del sistema de "Protección de Recursos de Windows" (WRP Windows Resource Protection), asume el control propietario de ciertos ficheros, carpetas o ciertas claves de registro de Windows para su correcto funcionamiento. No instala programas como tal, como pueda parecer, trabaja bajo el servicio de Windows "Instalador de módulos de Windows" controlado en la clave de registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TrustedInstaller", este habilita la instalación, modificación y eliminación de actualizaciones (Windows Update) y componenetes opciones de Windows, su path físico está en: C:\Windows\servicing\TrustedInstaller.exe.

Tiene acceso completo a los directorios Windows, System32 y Archivos de Programas (Program Files), lo que le confiere permisos necesarios para reemplazar un archivo del sistema cuando ni siquiera los administradores tienen acceso en escritura. De la misma manera, están accesibles en escritura muchas claves del registro que definen clases y objetos COM únicamente en el servicio Trusted Installer. Cuando se llama, el servicio de instalación a MsiExec (fichero que lee la instalación MSI y lanza el asistente).

Creator Group: Utilizado por el subsistema POSIX únicamente, este SID genérico es sustituido durante la evaluación por el grupo principal del propietario del objeto. Concede control total o lo establecidos explícitamente en "permisos especiales" a un objeto sobre un grupo concreto. Esto está más detallado en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la sección de "Propietarios de un objeto".

Creator Owner (SID: S-1-3-0): Este SID genérico es reemplazado por el SID del propietario del objeto durante la evaluación de los permisos. Al igual que el anterior, concede control total o lo establecidos explícitamente en "permisos especiales" a un objeto sobre un grupo concreto. Esto está más detallado en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la sección de "Propietarios de un objeto".

Owner Rights (Derechos del propietario): Es una nueva cuenta (nuevo SID) de Windows Vista y 7. En Windows XP, pero también en Windows 7, el creador de un objeto posee implícitamente el derecho de modificar las ACL en su posible prohibir el acceso a un objeto (un archivo o una clave de registro, entre otros) a un administrador. El administrador tiene derecho a cambiar las ACL para otorgarse los permisos necesarios, como por ejemplo un control total.

A un usuario estándar o raso, ser propietario de un objeto le confiere un control total sobre el objeto e impide que se le pueda restringir el acceso, porque puede manejar y modificar sus ACLs. Un administrador que desee restringir el acceso a un propietario de un objeto deberá, en primer lugar, cambiar el propietario y luego ajustar las ACL del objeto de conformidad con lo deseado.

Windows Vista y Windows 7 introducen, por tanto, un nuevo SID que corresponde a "Derechos del Propietario" (no se corresponde con una nueva cuenta de usuario con la cual es posible iniciar sesión), que puede utilizarse para limitar los derechos del propietario del objeto. Cuando este SID no está en una ACL, se aplica la lógica habitual: el propietario posee los derechos para modificar las ACL de ese objeto. Sin embargo, cuando está presente, el propietario recibe los permisos asociados a este SID.

Se utiliza normalmente para restringir los permisos de los propietarios de forma sencilla y eficaz. Por ejemplo, situando en un directorio los permisos Lectura en el SID derechos del Propietario y lectura/escritura en un grupo dado, el grupo puede crear archivos y directorios que serán de sólo lectura una vez creados, porque el usuario recibirá los derechos del propietario.

Imaginemos que un usuario cambia de servicio, antes podía crear archivos y acceder a ellos en un directorio mediante la pertenencia a un grupo que le daba un control total sobre un directorio dado. Al abandonar el servicio, se le retira de este grupo. Sin embargo, sigue siendo propietario de sus objetos, es decir, de los archivos que creó, y puede, según las ACL establecidas en el directorio, seguir accediendo y modificando las ACL de sus archivos para devolverse a si mismo el control. Si se establece una denegación (DENY) WRITE_DAC en el SID Derechos del Propietario en el directorio raíz, los propietarios ya no pueden cambiar las ACL en los objetos que han creado. Para terminar, cuando un administrador cambia el propietario de un objeto, se deshabilitamos permisos asociados al SID Derechos del Propietario para que un administrador pierda definitivamente el control de un objeto.

Más detalle y un ejemplo en el apartado: 3.B) Modificar permisos desde la sesión "Usuario raso" (Propietarios de objetos). En la parte de "Propietarios de un objeto".

Ahora comentaré un poco los usuarios NT AUTHORITY, son usuarios usados por el sistema para operaciones de privilegios concretos en determinadas funcionalidades, estos usuarios el sistema hace uso de ellos de forma transparente al usuario final.

Figura 1: Usuarios NT AUTHORITY utilizados por Windows 7.

Usuarios autentificados (SID: S-1-5-11): Son Usuarios que pertenecen o forman parte de Active Directory de una red de dominio.

Anonymous Logon (SID: S-1-5-7): Son usuarios que no disponen de una cuenta de usuario en Servicios de dominio de Active Directory, pero que pueden recibir una invitación para participar de forma remota en una conferencia local.

IUSR (SID: S-1-5-17): Este grupo sirve para dar permisos a las cuentas de servicio encargadas de ejecutar los pools de aplicación del servidor Web IIS (Internet Information Services).

Interactive (SID: S-1-5-4): Representa a los usuarios que han abierto sesión localmente en la máquina y que no acceden a un recurso de la máquina a través de la red.

Local Service (SID: S-1-5-19): Los miembros de este grupo tienen permiso para leer el registro de eventos del equipo local.

Dialup (SID: S-1-5-1): Son usuarios conectados a través de una conexión de acceso remoto.

Network (SID: S-1-5-2): Son los usuarios que acceden a un recurso de la máquina a través de la red, a diferencia de los usuarios que han abierto una sesión localmente para acceder a los recursos. No incluye a los usuarios que inicien sesión mediante una sesión de Escritorio remoto (mstsc-Miscroft Terminal Service Connection).

Service (SID: S-1-5-6): Son los usuarios que inician sesión como servicio.

Network service (SID: S-1-5-20): "Servicio de red" es una cuenta utilizada por los servicios que necesitan acceder a recursos en la red bajo la identidad de la cuenta máquina en la cual se ejecutan. Tiene menos privilegios y permisos localmente que el "System Local".

Local service (SID: S-1-5-19): Es una cuenta utilizada por los servicios que necesitan acceder a recursos locales y no por red (se identifica anónimamente en la red). La diferencia entre Local Service y System Local reside en que System Local posee permisos sobre la red (los mismos que Network Service), mientras que Local Service se autentifica anónimamente en la red.
Network Service y System Local se autentifican en Kerberos utilizando la cuenta máquina del equipo definida en el servicio de Active Directory. Muchos servicios de Windows 7 que no necesitan acceder a la red se ejecutan bajo la identidad de Local Service. Este funcionamiento es el que siempre ha existido en los sistemas Microsoft. Con Windows y 2008, nuevas directivas de grupos permiten a la cuenta Local System autentificarse en NTLM en la red, y no de forma anónima. Este comportamiento no está activo de forma predeterminada, sino que es necesario activarlo.

System (SID: S-1-5-18): Representa el sistema operativo. Permite asignar permisos específicos al sistema. Se llama también Sistema Local (Local System). Es la cuenta que tiene más derechos y privilegios en la máquina.

Batch (SID: S-1-5-3): Son las cuentas utilizadas para ejecutar tareas programadas (Control Schedtasks).

Terminal Server User (SID: S-1-5-13): Son los usuario que abren una sesión de terminal server en la máquina.

Remote Interactive Logon (SID: S-1-5-14): Son los usuarios conectados mediante un inicio de sesión de escritorio remoto.

Otros usuarios del sistema para realizar otras funciones determinadas:

Usuarios de Operadores de cifrado: Como sería lógico, los miembros de este grupo tienen permisos para realizar operaciones de cifrado.

Usuarios de Operadores de copia de seguridad: Encargados de realizar las copias de seguridad del equipo programadas o automáticas de Windows o lo que se le hubiese establecido.

Usuarios del monitor de rendimiento: Los miembros de este grupo pueden acceder a los datos del Monitor de rendimiento (perfmon.exe) localmente y en remoto.

Usuarios del registro de rendimiento: Los miembros de este grupo pueden programar el registro de los monitores de rendimiento, activar los proveedores de seguimiento y recoger el seguimiento de eventos simultáneamente de forma local y a través de un acceso a este equipo.

Añado una nota sobre los SID de los usuarios:
  • Administrador: SID: S-1-5-500
  • Invitado: SID: S-1-5-501
  • El resto de usuarios locales, empezarán ordenadamente a partir del siguiente SID: S-1-5-1000, S-1-5-1002 , S-1-5-1003, etc. y así sucesivamente por cada usuario local creado.
Existen muchos más grupos de usuarios predeterminados en Windows, aquí menciono los que para mi son los más usados y relevantes.
Más información sobre los SID (Identificadores de seguridad): http://support.microsoft.com/kb/243330/es

Intentaré explicar de manera clara y sencilla, para que sea entendible por cualquier tipo de usuario: Como modificar ya sea, para conceder o denegar permisos en Windows y como configurar cuentas de usuarios y administradores de Windows.

Existen muchas formas de realizar esto, ya sea por la shell (consola de comandos CMD) de Windows, como de manera gráfica en el sistema. Mencionaré las dos formas de hacerlo, para cada uno de los casos.

Nota: El nombre de usuario que utilizaré para este tutorial será Administrador (por defecto del sistema) y loiswin7 que correrán bajo una máquina virtual con Windows 7 Ultimate.

2) Habilitar o deshabilitar cuenta de Administrador

2.A) De manera gráfica.

[1] - Nos vamos a: Inicio > botón derecho en "Equipo" > Administrar.
Nos aparecerá la ventana de "Administración de equipos".

[2] - Nos vamos a: Usuarios y grupos locales > Usuarios > Administrador > botón derecho "Propiedades".

Se nos mostrará la ventana de "Propiedades: Administrador".
[3] - En la pestaña "General" desmarcamos (para activar la cuenta, en caso contrario marcaríamos el checkbox) el checkbox que dice: "La cuenta está deshabilitada", Aplicamos los cambios y Aceptamos.

[4] - Cerramos la ventana "Administrador de equipos" y cerramos sesión para poder entrar como Administrador al sistema.

Figura 2: Habilitar o deshabilitar cuenta administrador desde lusrmgr.msc.

2.B) Con la consola de comandos (CMD), Shell de Windows

[1] - Nos vamos a: Inicio > escribimos: CMD > esperamos a la búsqueda > botón derecho sobre: cmd.exe > Ejecutar como administrador. Se nos abrirá la Shell de Windows (CMD).

[2] - Aquí tipearémos o escribirémos la siguiente linea de comandos:
net user administrador /active:yes
(para activar la cuenta administrador del sistema)

net user administrador /active:no
(para desactivar la cuenta administrador del sistema)
[3] - Pulsamos Enter y cerramos la consola con el comando Exit, o simplemente cerrando la ventana.

[4] - Cerramos sesión para poder entrar como Administrador al sistema.

Figura 3: Habilitar o deshabilitar cuenta administrador a través de consola, cmd.exe.

En algunos casos, puede dar errores. Uno muy frecuente es:

Error de Sistema 5 (System error 5):
Se refiere a que no tenemos los permisos adecuados.
Soluciones:
  • Comprobar los permisos de la cuenta.
  • Realizar un logueo en la maquina remota, para que las credencias queden el cache (un error muy típico).
  • Comprobar que el servicio netlogon este corriendo.
Estas dos maneras que mencioné, tanto gráficamente como mediante comandos con la Shell de Windows, son válidas. Aclaro que esto solamente es para activar o desactivar la cuenta Administrador del sistema.

3) Modificar permisos o privilegios de usuarios o grupos locales

3.A) Modificar permisos desde la sesión Administrador.

En cualquiera de los dos casos que hubiésemos realizado anteriormente.
Cuando cerramos sesión, veremos ya habilitada la cuenta Administrador, entramos como Administrador al sistema.

Figura 4: Inicio de sesión como administrador.

Una vez iniciada la sesión como Administrador:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble clic en Equipo.

[2] - Hacemos clic derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) > Propiedades.

Figura 5: Acceder a las propiedades de %systemdrive% para configurar la seguridad de permisos.

[3] - En ventana de "Propiedades: Disco local (C:)". Nos vamos a:

Seguridad > Editar... > (Se nos abrirá la ventana: "Permisos de Disco local (C:)") ahí seleccionamos el grupo "Usuarios" o "Administradores" y concedemos (en este caso) o denegamos privilegios o permisos a dichos grupos, marcando los checkbox que deseemos o simplemente si queremos conceder o denegar todos, marcamos el checkbox de "Control total".

Si no vemos la opción de Seguridad en una solapa o pestaña de esta ventana. Deberemos activar lo siguiente:

En la "Barra de Herramientas" de 'Mi PC' o 'Explorador de Windows' (Pulsamos F10 o 'Alt') > Herramientas > Opciones de carpeta > Ver > buscamos 'Utilizar uso compartido simple de archivos' y desmarcamos este checkbox > Aceptar. Ahora ya podremos ver la ficha de Seguridad.


[4] - Aplicamos los cambios, se nos mostrará una ventana en la que nos dice si estamos seguros de la operación, le decimos que si. Y aceptamos.
Veremos como después de aplicar la operación en la ventana "Propiedades: Disco local (C:)" se nos muestran todos los tics en "Permitir" en el grupo que seleccionáramos (Usuarios o Administradores).

Figura 6: Edición de permisos para "Usuarios" y otros.

3.B) Modificar permisos desde la sesión de un "Usuario raso" (Propietarios de objetos)

En este caso, omitiríamos desde el principio de este post hasta este apartado los pasos y las diferentes maneras de hacerlo sin necesidad de habilitar la cuenta Administrador.

Dentro de nuestra sesión de usuario normal:

[1] - Nos vamos al "Explorador de Windows" (Tecla Win + E) o doble clic en Equipo.

[2] - Hacemos clic derecho sobre el disco local C: (que por defecto en la mayoría de los casos suele ser la asignación de letra de unidad C:) > Propiedades.

[3] - En ventana de "Propiedades: Disco local (C:)" nos vamos a:
Seguridad > Opciones avanzadas.
 
[4] - Se nos mostrará la ventana: "Configuración de seguridad avanzada para Disco local (C:)". Nos vamos a: Propietario > Editar....

En la ficha propietario el usuario tendría que estar en el "Grupo de Administradores" locales para poder realizar algunas de estas funciones

Cuando un fichero o carpeta tiene a un administrador local como propietario en este fichero y/o carpeta no podremos eliminar, modificar, mover, cambiar permisos, etc., es debido a que quizás ese administrador NO esté como propietario del fichero o carpeta, ya que puede que ni siquiera esté en el grupo administradores, y sea simplemente un usuario normal-raso.

Si conseguimos añadir el usuario que queramos en la ficha de Propietario de un fichero/carpeta y remplazamos el que ya está (que esto nos lo permite si el que actualmente está es administrador pero pese a eso no nos permite borrar el fichero por decirlo de algún modo) añadiendo otro user con privilegios y reemplazando la propiedad del fichero conseguiremos realizar todo tipo de acciones sobre dicho fichero/carpeta como por ejemplo borrar esos ficheros o carpetas que Windows en ocasiones bloquea.

Es importante que después de seleccionarlo y aplicar nos fijemos de que donde aparece "Propietario actual", en la casilla de texto de abajo esté asignado o establecido el correspondiente usuario que queremos hacer propietario. (Ya que "en ocasiones" pasa que seleccionas y los cambios parece que surgen efecto y en realidad no es así).

Tendremos también que marcar los checkbox para "incluir todos los permisos heredables del objeto primario de este objeto".

Figura 7: Cambiando propietario, algo importante para la manipulación total de un objeto.

Se nos abrirá otra ventana en la que:

[5] - Seleccionamos el usuario del sistema con el que tenemos iniciada sesión (es decir, el usuario normal).
 
[6] - Marcamos el checkbox que dice: "Reemplazar propietarios en subcontenedores y objetos". Aplicamos y Aceptamos.
Cuando apliquemos se nos mostrará una ventana en la que realizará las operaciones necesarias, esperamos a que acaben de realizarse.

Que me ofrece ser propietario de un objeto?

Hacer un usuario propietario de un objeto o de los siguientes objetos (subcontenedores) no hace que tenga control total sobre dicho objeto sino, que pueda tener control para CAMBIAR los permisos de dicho objeto a su antojo, y de ese modo poderse dar así mismo más permisos. Esta es básicamente la única característica de ser propietario o no de un objeto.
Aunque veremos como aprovechar esto y ponerlo en práctica, en un próximo ejemplo de un posible escenario como funciona el ser propietario de un objeto usando los usuarios por defecto de Windows (Owners) y como afectan a sus ACEs en futuros objetos creados por dichos usuarios.

Figura 8: Reemplazando propietario en subcontenedores y objetos.

Si tenemos el siguiente escenario:

Los usuarios "Pepe" y "Lili" forman parte del grupo "Empleados" y a este grupo se le da permisos especiales de crear y solo lectura sobre los objetos carpeta y ficheros, este grupo solo va poder crear y leer estos ficheros. Pero sin embargo añadimos el usuario por defecto de Windows "Creator Owner" y a este le damos control total sobre los objetos carpetas y ficheros, quiere decir que el usuario, "Lili" por ejemplo, cree dicho objeto tendrá control total sobre este independiente de si forma parte del grupo de creación y solo lectura (empleados) ya que al crear dicho objeto a este usuario se le establecen las ACLs del "Creator Owner", con esto conseguimos que un objeto solo sea manipulable desde su creador y que solo lo puedan leer desde otros usuarios del sistema, esto es gracias a las ACLs establecidas en el grupo "Empleados" y a las del "Creator Owner".
 
Lo mismo pasaría con el "Creator Group" pero en ese caso orientado a un grupo en concreto en vez de a un usuario.

Figura 9: Añadiendo "Creator Owner" a un objeto.

Figura 10: Editando permisos especiales de solo carpeta y archivos al "Creator Owner".

Cuando acabe el proceso, volveremos a la ventana anterior. Pero esta vez nos vamos a:
 
[7] - La ficha de "Permisos" > seleccionamos nuestro usuario > Cambiar permisos... > (se nos abrirá otra ventana) seleccionamos nuestro usuario nuevamente > Editar...


Figura 11: Modificación de permisos de usuarios.

Se nos abrirá una la ventana: "Entrada de permiso para Disco local (C:)".

[8] - En el menú desplegable "Aplicar a" Seleccionamos la opción: "Esta carpeta, subcarpetas y archivos" (Esta opción está marcada por defecto, pero nos aseguramos de que esté seleccionada).

[9] - Después simplemente nos queda Permitir o Denegar privilegios o permisos al usuario, en este caso permitimos y concedemos los privilegios al usuario seleccionado anteriormente. Marcamos el checkbox Control total en permitir, para directamente seleccionar todos los campos. Sería lo mismo para la denegación, pero lógicamente marcando el checkbox contrario (en la columna de "Denegar").

[10] - Pulsamos Aceptar, se nos mostrará una ventana realizando las operaciones necesarias para efectuar los cambios en el sistema, esperamos y Aceptamos una ventana que se mostrará al terminar dicho proceso.
Aceptamos también todas las ventanas abiertas. Reiniciamos. Y listo!

Figura 12: Modificación de permisos de usuarios de forma avanzada.

Ahora tendremos el control total del sistema y podremos conceder y denegar privilegios a otros usuarios de manera normal. Como se muestra en la sección de este post "3.A) - Modificar permisos como Administrador"

No voy a pararme a explicar que hacen o deja de hacer cada uno de los permisos ya que para eso las propias webs a las que hice referencia al principio de esta guía, las cuales Microsoft las detalla como los artículos: KB-981949 y KB-308419. Explican perfectamente para que valen y que hacen cada una de las características de los permisos.

3.C) Conflictos en permisos para un mismo usuario: Permitir y denegar

Abro un pequeño apartado explicativo sobre esta cuestión. Planteo el siguiente escenario:
Si tenemos un usuario "pepe" y otros usuarios del que forma parte del grupo "empleados" y un objeto (carpeta compartida) común para almacenar información personal. Si se le da permisos de SOLO LECTURA al grupo empleados del que forma parte pepe, pero sin embargo explícitamente se le dan permisos de ESCRITURA a pepe sobre ese contenedor este va poder leer y escribir, pero el resto de usuarios que forman parte del grupo empleados solo van poder leer.

Por lo que podemos entender de que si a un un usuario que pertenece a un grupo le das unos permisos y después a ese usuario de forma independiente le añades otros permisos, el sistema de permisos NTFS de Windows da prioridad a los permisos explícitos a ese usuario en concreto y no al establecido en el grupo del que también forma parte dicho usuario.

3.D) Permisos heredables de objetos primarios

Destacar también que tenemos las opciones de "Incluir permisos heredables del objeto primario al objeto actual", esto nos dice que si tenemos una: CarpetaA con X permisos y dentro de esta creamos una CarpetaB, la CarpetaB tendrá por defecto los mismos permisos que tiene la carpeta padre-raíz (objeto primario).

Pero si quiero que la CarpetaB no herede dichos permisos solamente para esa carpeta y sus objetos ya existentes tendremos que desmarcar y agregar los permisos heredables para que esto no se aplique a las siguientes subcarpetas y/o ficheros.

Nos puede pasar que queramos eliminar de un objeto (carpeta o fichero) el grupo de "usuarios" o "usuarios autentificados" y no podamos hacerlo, así como intentar agregar o quitar otros usuarios y grupos por defecto del sistema. Esto es debido a que los permisos son heredados de los objetos padres, por lo que tenemos que desheredar dichos permisos y después proceder a eliminar esos grupos de ese objeto en cuestión.

Si desmarcamos el checkbox (que está marcado por defecto) de "Incluir todos los permisos del objeto primario de este objeto", aparecerá un cuadro de advertencia en el que se nos dice si queremos "Agregar" o "Quitar" esta herencia.

Agregar: Nos mantiene los mismos usuarios y grupos pero quita la herencia del objeto primario padre.

Quitar: Quita todos los usuarios y grupos del objeto, de modo que no quede ninguno asignado a dicho objeto, eso conlleva a que también se elimine la herencia. 

Figura 13: Permisos heredables del objeto primario de este ojeto

Microsoft nos dice lo siguiente:

"Incluir todos los permisos heredables del objeto primario de este objeto":
Si se selecciona, cada objeto secundario tendrá permisos heredados de su objeto primario.
Si se anula la selección, los permisos aplicados al objeto primario no se aplicarán a su objeto u objetos secundarios.

"Reemplazar todos los permisos heredables existentes en todos los descendientes con permisos heredables de este objeto":
Si se selecciona, los permisos de este objeto primario reemplazarán los de los objetos descendientes.
Si se anula la selección, los permisos de cada objeto (tanto de los primarios como de sus descendientes) pueden ser únicos.

Ahora, a modo de comentario detallo un poco para completar la información sobre las dos fichas que quedan restantes: Permisos efectivos y Auditoría.

En la ficha o pestaña "Permisos efectivos" nos servirá sencillamente para visualizar o mostrar los permisos por un usuario específico o grupo de usuarios. Pero no es más que ver los permisos que se permiten o deniegan en la ventana de edición de permisos de un objeto como la que se muestra anteriormente.
En el caso de la imagen que vemos a continuación podemos ver el usuario "pepeprueba" (un usuario raso dentro del grupo "Usuarios locales"), los concesión de permisos que tiene.

Figura 14: Visualización de permisos aplicados al usuario seleccionado.

En la ficha o pestaña "Auditoría", pues creo que está claro que es para poder auditar los objetos y el acceso a ellos para un usuario específico o un grupo de usuarios.

Figura 15: Auditando acceso o modificación a objetos a un usuario específico.

Lo cual para poder hacer esto y poder examinar o ver el Visor de eventos (eventvwr.msc) de Windows Vista/7, tendremos que tener habilitada una directiva en el "Editor de directivas de grupo local" (gpedit.msc). La cual nos permite auditar el acceso correcto o erróneo a objetos, esta se encuentra en:

Configuración de equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría.

Figura 16: Aplicando la GPO para auditar objetos en gpedit.msc.

4) Cambiar el tipo de cuenta: Usuarios o Administrador

Si queremos omitir el apartado de este post "2) - Habilitar o deshabilitar cuenta de Administrador" y el "3.B) - Modificar permisos desde la sesión "Usuario raso"  (Propietarios de objetos).

Directamente podemos asignar el "Grupo Administradores" la cuenta de usuario que estemos utilizando o deseemos, de manera muy sencilla. De este modo concederemos o denegaremos permisos de manera normal (siendo Administrador) como se muestra en la sección de este post "3.A) - Modificar permisos desde la sesión Administrador" (pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión usuario).

[1] - Nos vamos a: Inicio > Panel de control > Cuentas de usuario y protección infantil > Cuentas de usuario > Seleccionamos nuestra cuenta de usuario (o la que deseemos) > cambiar el tipo de cuenta > Administrador > pulsamos en el botón que dice: "Cambiar el tipo de cuenta".

Figura 17: Cambiando el tipo de cuenta de un usuario de forma gráfica. 

De este modo la cuenta seleccionada pasará a ser parte del "Grupo Administradores" y ya seremos Administrador del sistema, con lo cual tendremos los privilegios para conceder o denegar permisos a otros usuarios. En el apartado de este post "3.A) - Modificar permisos desde la sesión Administrador" veremos como modificar los permisos, pero sin necesidad de entrar en la sesión de Administrador, ya que lo haremos todo desde la sesión de la cuenta de usuario que estemos usando en Windows.

Esto anterior es la manera elegante que nos proporciona Windows de hacer de la manera tradicional y que personalmente siempre uso ya es exactamente los mismo.
Se trata de administrar y gestionar esto desde una consola de Microsft "MSC" (MicroSoft Console). Como es el caso del fichero de consola: Inicio > Ejecutar: lusrmgr.msc (Editor de usuarios y grupos locales).

Aquí podemos realizar lo mismo e incluso más funciones ya que podremos ver todos los usuarios y grupos creados en nuestro sistema, modificar así como crearlos y borrar otros (aunque tener cuidado cuales se borran ya que algunos hace uso Windows de ellos). Esta consola nos permite visualizarlo las cuentas y grupos de usuario de un modo digamos ordenado y claro, a mi parecer, más detallado, completo, igual de eficaz y a la vez hacerlo de forma rápida y sencilla.

Figura 18: La "forma más correcta" de cambiar la pertenencia de usuarios a grupos.

5) Habilitar y conceder permisos de Administrador mediante la Shell de Windows (CMD)

En este apartado, omitiremos todo lo mencionado desde el principio de este post hasta esta sección, excepto la sección "4) - Cambiar el tipo de cuenta: Usuarios o Administrador".

En esta parte, explicaré como modificar (conceder o denegar) permisos (en este caso conceder) de control total en el sistema al grupo Administradores del equipo. Mediante dos simples lineas de comandos, que escribiremos en en la consola o símbolo del sistema CMD de Windows.

[1] - Si ya cambiamos el tipo de cuenta a Administrador, abrimos la Shell de Windows como Administrador (ya que para ejecutar las siguientes instrucciones de comandos necesitamos privilegios de una cuenta del tipo Administrador), para ello, nos vamos a:
Inicio > Todos los programas > Accesorios > botón derecho sobre Símbolo de Sistema > botón derecho sobre ejecutar como Administrador
Se nos abrirá la shell de Windows CMD.

[2] - Aquí escribimos los siguiente.
takeown /F "%SYSTEMDRIVE%\*" /R /D S
Pulsamos Enter. y esperaremos a que el sistema realice todo el proceso necesario (tendría que terminar con una lista extensa, poniendo en todas las líneas que fue procesando: "CORRECTO").

[3] - A continuación, escribimos esta otra línea de comandos:
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
Pulsamos Enter, y esperamos a que el sistema termine el proceso.

[4] - Si todo lo procesado salió correctamente, salimos de la consola, escribiendo exit y reiniciamos el equipo.
  • takeown: es para indicar el propietario.
  • icacls: es para indicar los permisos del propietario que pusimos en takeown.
Ahora el análisis de las propiedades o atributos de las dos líneas de comandos:
takeown /F "%SYSTEMDRIVE%\*" /R /D S
/F: Indica el archivo/carpeta al que queremos cambiar el propietario (en este caso es %SYSTEMDRIVE%).
%SYSTEMDRIVE%: Es la variable de entorno del disco duro principal desde donde se ejecuta Windows, es decir "C:\" (por defecto, lo más común).
*: Con el símbolo asterisco indicamos todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /R es igual a: Todos los archivos de todas las carpetas del disco duro (en este caso)).
/R: Realiza el cambio de propietario en los subdirectorios (En este caso sería en todo el disco duro).
/D S: En algunas carpetas puede surgir una pregunta al intentar indicar el propietario donde dice que si quieres darle permisos, pues "/D S" lo único que hacen en este caso es contestar "Si" automáticamente a esa pregunta, para no tener que hacerlo manualmente.
icacls "%SYSTEMDRIVE%\*" /grant Administradores:(D,WDAC) /T
%SYSTEMDRIVE%: Como ya dijimos anteriormente, "C:\" (En este caso). 
* > (símbolo asterisco) Todos los archivos de esa carpeta (Archivos, no carpetas, pero combinado con /T es igual a: Todos los archivos de todas las carpetas del disco duro).
/T: Realiza el cambio de permisos en los subdirectorios (En este caso sería en todo el disco duro).
/grant: Es la opción para indicar que se le quieren conceder permisos a un usuario. (Lo que quiero decir, es que en vez de /Grant se podria usar /Deny para denegar permisos por ejemplo.)
Administradores: El grupo de usuarios (en este caso), (Administrador).
(D,WDAC): Los permisos a conceder. (en este caso "D" y "WDAC").

Algunos permisos importantes:
D: acceso de eliminación
WDAC: escribir DAC
F: acceso total
M: acceso de modificación
RX: acceso de lectura y ejecución

Un ejemplo de sintaxis básica de ICACLS:
icacls [PATH] [/grant|/deny] [grupo|usuario]:(herencia2)(herencia1)(permiso1,permiso2,) [otros_argumentos /?]
icacls c:\carpetapublica /inheritance:r /grant wuser:(OI)(CI)(F) /grant todos:(OI)(CI)(AD,RX)  /Q
Para ICACLS una lista de permisos simples:
  • N - sin acceso
  • F - acceso total
  • M - acceso de modificación
  • RX - acceso de lectura y ejecución
  • R - acceso de solo lectura
  • W - acceso de solo escritura
  • D - acceso de eliminación
Una lista de permisos más específica:
  • DE - eliminar
  • RC - control de lectura
  • WDAC - escribir DAC
  • WO - escribir propietario
  • S - sincronizar
  • AS - acceso al sistema de seguridad
  • MA - máximo permitido
  • GR - lectura genérica
  • GW - escritura genérica
  • GE - ejecución genérica
  • GA - todo genérico
  • RD - leer datos/lista de directorio
  • WD - escribir datos/agregar archivo
  • AD - anexar datos/agregar subdirectorio
  • REA - leer atributos extendidos
  • WEA - escribir atributos extendidos
  • X - ejecutar/atravesar
  • DC - eliminar secundario
  • RA - leer atributos
  • WA - escribir atributos
Lista de herencias:
  • (OI) - herencia de objeto
  • (CI) - herencia de contenedor
  • (IO) - solo herencia
  • (NP) - no propagar herencia
  • (I) - permiso heredado del contenedor principal
Lista de parámetros aplicables para las herencias de objetos (OI IO CI) con ICALCS (explicado):
  • OI: (Object Inherit) Afecta a carpeta que se gestiona y ficheros que tiene dentro.
  • CI: (Container Inherit) Afecta a carpeta y subcarpetas (no a ficheros).
  • IO: (Inherit Only) NO AFECTA a fichero o carpeta que se gestiona sólo los que están dentro (solo subcarpetas).
  • OI CI: Afecta a carpeta, subcarpeta y ficheros. (suele ser la herencia de permisos por defecto y habitual)
  • CI IO: Sólo afecta a subcarpetas.
  • OI IO: Sólo afecta a los ficheros contenidos en la carpeta que se gestiona.
  • CI IO OI: Afecta a los ficheros que tiene dentro y a las subcarpetas.
Para más información de las propiedades de estos dos comandos consultar la ayuda de los mismos. Escribir en una consola CMD:
Takeown /?
Icacls /?

6) UAC (User Account Control "Control de cuentas de usuario")

No tiene que ver con privilegios establecidos en un objeto o permisos ni tipos de cuentas. La relación está en que si eres administrador el sistema ya no te sobresaltará tanto con las típicas ventanas de Windows. Me refiero, aquellas que en el momento de instalar alguna aplicación o realizar alguna otra operación en el sistema, aparecen unas ventanas de advertencia, del estilo: Estas seguro que quieres ejecutar xxx? Se requieren permisos de Administrador... (Aceptar o Cancelar) o introducir el usuario y su contraseña con privilegios más altos del sistema.

Pues con el UAC deshabilitado del todo (en su nivel más bajo de seguridad) lo que se consigue es que siendo un usuario normal sin apenas privilegios en el sistema, dichas ventanas no sobresalten. Esto siempre y cuando el dicho usuario esté incluido en el grupo administradores locales del sistema. Si se trata desde otra sesión de usuario en el grupo usuarios por ejemplo la ventana de UAC seguirá mostrándose para elevar dichos privilegios. Como ya dije esto no tiene que ver con permisos (escritura, lectura, ejecución, modificación, etc.).

El UAC básicamente es una tecnología que nos notifica con advertencias de una elevación de privilegios necesaria para la ejecución de algo. Aunque lo podremos configurar el UAC mediante distintos niveles de seguridad indicando como se tiene que comportar ante ciertas advertencias informativas.

Por seguridad es muy recomendado tenerlo en su nivel más alto de seguridad "notificar siempre".

Finalmente, recomiendo este hilo del foro oficial de soporte de Microsoft (social.technet.microsoft.com), en el que Jose Manuel Tella Llop da respuesta a algunos problemas de los usuarios:
http://social.technet.microsoft.com/Forums/es-ES/wcvistaes/thread/95da492a-13bd-405d-a782-e2daffa4b893

Saludos!