Usuarios
Usuarios
Windows: Contraseñas
En este video, vamos a hablar sobre una parte importante de tener usuarios en una máquina,
y eso es trabajar con contraseñas.
Las contraseñas agregan seguridad a nuestras cuentas de usuario y máquinas.
Lo hacen para que solo Marti conozca
el secreto mágico para acceder a su cuenta y a la de nadie más,
ni siquiera el administrador de la computadora.
Al configurar una contraseña,
quieres asegurarte de ser la única persona que conoce esa contraseña.
Recuerda, si estás administrando las cuentas de otras personas en una máquina,
no deberías saber cuál es su contraseña.
En cambio, quieres que sea el usuario quien ingrese su propia contraseña.
Para restablecer una contraseña en la GUI,
volvamos a nuestra herramienta de administración de equipos.
Play video starting at 58 seconds and follow transcript0:58
En Local Users and Groups (Usuarios y grupos locales),
vamos a hacer clic derecho en un nombre de usuario, como esta cuenta, Sarah.
Vamos a hacer clic en Properties (Propiedades).
Luego, desde aquí, vamos a marcar esta casilla que dice
"User must change password at next logon" (El usuario debe cambiar la contraseña en el
siguiente inicio de sesión),
luego Apply (Aplicar) y OK (Aceptar).
Entonces, cuando el usuario acceda a la cuenta,
se verá obligado a cambiar su contraseña.
Si olvidó su contraseña,
tienes la opción de establecerle una contraseña manualmente
haciendo clic derecho y seleccionando Set Password... (Establecer contraseña...).
Play video starting at 1 minute 45 seconds and follow transcript1:45
Esto tiene algunas advertencias, sin embargo,
como perder el acceso a ciertas credenciales.
Puedes aprender más sobre esta opción en la lectura complementaria, justo después de este
video.
Para cambiar una contraseña local en PowerShell,
vamos a usar el comando net, de estilo DOS.
Hay un comando nativo de PowerShell que se puede usar para establecer la contraseña,
pero es un poco más complicado.
Su uso requiere un poco de escritura simple de secuencia de comandos.
Por ahora, nos limitaremos a lo más simple,
el menos poderoso comando net.
"net" hace muchas cosas diferentes;
cambiar las contraseñas de los usuarios locales es solo una de ellas.
Si deseas obtener más información sobre lo que puede hacer el comando net,
mira la documentación en la lectura complementaria para el comando.
Dado que este es un antiguo comando de estilo DOS,
también puedes usar
el parámetro /? para obtener ayuda sobre el comando desde la CLI.
Para cambiar una contraseña para un usuario,
el comando es net user, luego el nombre de usuario y la contraseña.
Play video starting at 3 minutes 1 second and follow transcript3:01
La mejor manera de usar este comando
es poner un asterisco en lugar de escribir tu contraseña en la línea de comandos.
Si usas un asterisco,
net hará una pausa y te pedirá que ingreses tu contraseña como tal.
Play video starting at 3 minutes 18 seconds and follow transcript3:18
¿Por qué es mejor este enfoque?
Imagina que estás cambiando tu contraseña
y justo en ese momento alguien pasa detrás de ti y mira por encima de tu hombro.
Tu contraseña deja de ser un secreto.
También debes saber que en muchos entornos,
es común que los comandos que las personas ejecutan en las máquinas que utilizan
se graben en un archivo de registro que se envía a un servicio de registro central.
Por eso, es mejor que ningún tipo de contraseña se registre de esta manera.
¿Te das cuenta de un problema con el enfoque del asterisco, sin embargo? Correcto.
Si cambio las contraseñas para alguien más con este comando,
conocería su contraseña, y eso no es bueno.
En su lugar, vamos a hacer lo que hicimos en la GUI
y forzar al usuario a cambiar la contraseña predeterminada
la próxima vez que acceda, usando el parámetro /logonpasswordchg:yes.
Voy a obligar a Víctor a que cambie su contraseña la próxima vez que acceda a su máquina.
Entonces, net user victor /logonpasswordchge:yes.
Play video starting at 4 minutes 23 seconds and follow transcript4:23
El parámetro /logonpasswordchge:yes
significa que la próxima vez que Víctor acceda a esta computadora,
tendrá que cambiar su contraseña. Lo siento, Víctor.
Linux: Contraseñas
Para cambiar tu contraseña en Linux, todo lo que debes hacer es ejecutar el comando
passwd
o contraseña.
Intentemos cambiar mi contraseña.
Play video starting at 33 seconds and follow transcript0:33
Cuando estableces una contraseña, se la codifica con seguridad,
luego se la guarda en un archivo especial con privilegios llamado /etc/shadow.
Solo un root puede leer este archivo, para alejar ojos curiosos.
Aun si tuvieras acceso,
no podrías decodificar las contraseñas encontradas aquí.
Si estás administrando una computadora y quieres forzar a un usuario estándar
a que cambie su contraseña, como hicimos en Windows, puedes usar -e
o "marca de expiración", con passwd, así.
Play video starting at 1 minute 5 seconds and follow transcript1:05
Esto inmediatamente hace expirar una contraseña de usuario
y luego hace que establezca una nueva contraseña la próxima vez que acceda.
al vez te diste cuenta de que, cuando estuvimos mirando los permisos en la GUI antes,
hay una casilla de verificación en la lista de permisos para permisos especiales.
Los permisos que estuvimos mirando y estableciendo hasta aquí
se llaman permisos simples.
Los permisos simples son, en realidad, conjuntos de permisos especiales o específicos.
Play video starting at 34 seconds and follow transcript0:34
Por ejemplo, cuando estableces el permiso de lectura en un archivo,
en realidad estás estableciendo múltiples permisos especiales.
Veamos la lista de permisos especiales disponibles.
Voy a hacer clic en la pestaña Advanced (Opciones avanzadas) debajo de mi configuración de
permisos.
Play video starting at 51 seconds and follow transcript0:51
Cuando hago clic en un nombre de usuario y luego voy a los permisos avanzados,
puedo ver una lista de todos los permisos especiales habilitados en ese archivo.
Play video starting at 1 minute 5 seconds and follow transcript1:05
Cuando seleccionamos un permiso básico, como el de lectura,
en realidad estamos habilitando los permisos especiales List folder / read data (Mostrar
carpeta/leer datos),
Read attributes (Leer atributos), Read extended attributes (Leer atributos extendidos), Read
permissions (Leer permisos)
y Synchronize (Sincronizar), que son solo permisos optimizados.
Puedes modificar estos permisos como lo harías con cualquier otro permiso básico.
Play video starting at 1 minute 27 seconds and follow transcript1:27
Siéntete libre de leer más sobre los diferentes tipos de permisos especiales
en las lecturas suplementarias que incluí después de este video.
Play video starting at 1 minute 34 seconds and follow transcript1:34
En la mayoría de los casos, los permisos simples serán todo lo que necesites.
Pero a veces, necesitas crear un archivo
o una carpeta que no sigue un patrón simple.
Veamos un ejemplo en esta CLI.
Para ver los permisos especiales de un archivo en la CLI,
tan solo usaremos el comando ICACLs como antes.
Play video starting at 1 minute 56 seconds and follow transcript1:56
Veamos un ejemplo más interesante que mi carpeta Escritorio:
icacls C:/windows/Temp.
Este directorio se usa para conservar archivos temporales para todos los usuarios del sistema.
Play video starting at 2 minutes 12 seconds and follow transcript2:12
Nos gustaría que todos en el sistema puedan crear archivos
y carpetas aquí.
Play video starting at 2 minutes 17 seconds and follow transcript2:17
Tal vez pienses que deberíamos usar modificar o control total para esto,
pero no queremos que los usuarios puedan eliminar los archivos de los demás.
Play video starting at 2 minutes 25 seconds and follow transcript2:25
Vamos a ver algunos de los DACL asignados a esta carpeta
y a entender cómo hacer esto.
En primer lugar, las cuentas de administradores locales y de sistemas operativos de la
computadora
tienen permisos completos sobre esta carpeta y todos los archivos y carpetas dentro de ella.
Vemos un nuevo descriptor, IO, que indica que esta DACL es "solo heredar".
Eso significa que será heredada,
pero que no se aplica a este contenedor C:\Windows\Temp.
El grupo de usuarios incluye todas las cuentas de usuarios en la máquina local.
Vamos a permitir a los usuarios WD, o "crear archivos/escribir datos",
AD, o "crear carpetas y anexar datos" y S para "sincronizar".
Play video starting at 3 minutes 8 seconds and follow transcript3:08
Puedes ver en la próxima lectura suplementaria que estos permisos especiales
se incluyen en el permiso simple modificado.
Play video starting at 3 minutes 15 seconds and follow transcript3:15
A diferencia de la modificación de un permiso simple,
no estamos otorgando a los usuarios la capacidad para borrar archivos o carpetas.
Sin embargo, queremos que los usuarios puedan eliminar sus propios archivos y carpetas.
¿Cómo podemos hacer eso?
Play video starting at 3 minutes 28 seconds and follow transcript3:28
Si ves "creator owner" (propietario creador) es un usuario especial
que representa al propietario de cualquier archivo al que se aplique la DACL.
En este directorio, y en todos los subdirectorios, quien sea propietario de un archivo
o carpeta tiene el control total de ellos.
Bien, voy a crear una carpeta y un archivo
en C:\Windows\Temp
y ver qué DACL se les aplican.
Play video starting at 4 minutes 5 seconds and follow transcript4:05
Usemos lo que aprendimos sobre redireccionamiento de salida
para registrar la salida de ICACLs en este archivo.
Play video starting at 4 minutes 16 seconds and follow transcript4:16
Entonces: icacls, ejemplo para C:\Windows\Temp\example.
Luego vamos a utilizar nuestro operador de redireccionamiento de salida para que nos dé
icacls.txt.
Bien, ahora veamos el archivo que creamos para ver la salida de ICACLs.
Play video starting at 4 minutes 39 seconds and follow transcript4:39
Genial, creé los archivos, así que tengo el control total de ellos.
Y todas las demás DACL que vimos en C: \Windows\Temp se heredaron.
Puedes ver que usar los especiales. permisos en las DACL de NTFS puede ser complicado,
pero también puede permitirte crear conjuntos de permisos realmente poderosos
y personalizados de acuerdo con tus necesidades exactas.