Los permisos NTFS y share se utilizan a menudo en los entornos de Microsoft Windows. Mientras que los permisos share y NTFS sirven ambos para el mismo propósito – prevenir el acceso no autorizado – hay diferencias importantes para entender antes de determinar la mejor manera de realizar una tarea como compartir una carpeta. A continuación se presentan las diferencias clave entre los permisos share y NTFS, junto con algunas recomendaciones sobre cuándo y cómo utilizar cada uno de ellos.
¿Qué son los permisos NTFS?
NTFS (New Technology File System) es el sistema de archivos estándar para Microsoft Windows NT y los sistemas operativos posteriores; los permisos NTFS se utilizan para gestionar el acceso a los datos almacenados en los sistemas de archivos NTFS. Las principales ventajas de los permisos compartidos NTFS son que afectan tanto a los usuarios locales como a los usuarios de la red y que se basan en los permisos concedidos a un usuario individual en el inicio de sesión de Windows, independientemente del lugar desde el que se conecte el usuario.
Hay permisos NTFS básicos y avanzados. Puede establecer cada uno de los permisos en «Permitir» o «Denegar» para controlar el acceso a los objetos NTFS. Estos son los tipos básicos de permisos de acceso:
- Control total – Los usuarios pueden añadir, modificar, mover y eliminar archivos y directorios, así como sus propiedades asociadas. Además, los usuarios pueden cambiar la configuración de los permisos para todos los archivos y subdirectorios.
- Modificar – Los usuarios pueden ver y modificar los archivos y las propiedades de los archivos, incluyendo la adición de archivos a o la eliminación de archivos de un directorio, o las propiedades de los archivos a o de un archivo.
- Leer & Ejecutar – Los usuarios pueden ejecutar archivos ejecutables, incluyendo scripts.
- Leer – Los usuarios pueden ver archivos, propiedades de archivos y directorios.
- Escribir – Los usuarios pueden escribir en un archivo y añadir archivos a los directorios.
¿Qué son los permisos compartidos?
Los permisos compartidos gestionan el acceso a las carpetas compartidas a través de una red; no se aplican a los usuarios que se conectan localmente. Los permisos compartidos se aplican a todos los archivos y carpetas del recurso compartido; no se puede controlar de forma granular el acceso a las subcarpetas u objetos de un recurso compartido. Puede especificar el número de usuarios que pueden acceder a la carpeta compartida. Los permisos compartidos pueden utilizarse con los sistemas de archivos NTFS, FAT y FAT32.
Hay tres tipos de permisos compartidos: Control total, Cambio y Lectura. Puede establecer cada uno de ellos en «Denegar» o «Permitir» para controlar el acceso a las carpetas o unidades compartidas:
- Lectura: los usuarios pueden ver los nombres de los archivos y subcarpetas, leer los datos de los archivos y ejecutar programas. Por defecto, el grupo «Todos» tiene asignados permisos de «Lectura».
- Cambio – Los usuarios pueden hacer todo lo que permite el permiso de «Lectura», así como añadir archivos y subcarpetas, cambiar los datos de los archivos y eliminar subcarpetas y archivos. Este permiso no está asignado por defecto.
- Control total – Los usuarios pueden hacer todo lo permitido por los permisos de «Lectura» y «Cambio», y también pueden cambiar los permisos de los archivos y carpetas NTFS solamente. Por defecto, al grupo «Administradores» se le conceden permisos de «Control total».
Permisos NTFS vs. Permisos compartidos
Aquí están las diferencias clave entre los permisos NTFS y los permisos compartidos que debe conocer:
- Los permisos compartidos son fáciles de aplicar y gestionar, pero los permisos NTFS permiten un control más granular de una carpeta compartida y su contenido.
- Cuando se utilizan simultáneamente los permisos share y NTFS, siempre gana el permiso más restrictivo. Por ejemplo, cuando el permiso de la carpeta compartida se establece en «Permitir lectura a todos» y el permiso NTFS se establece en «Permitir modificación a todos», el permiso de compartir se aplica porque es el más restrictivo; el usuario no puede cambiar los archivos de la unidad compartida.
- Los permisos de compartir pueden utilizarse cuando se comparten carpetas en sistemas de archivos FAT y FAT32; los permisos NTFS no pueden.
- Los permisos NTFS se aplican a los usuarios que han iniciado sesión en el servidor de forma local; los permisos compartidos no.
- A diferencia de los permisos NTFS, los permisos compartidos permiten restringir el número de conexiones simultáneas a una carpeta compartida.
- Los permisos compartidos se configuran en las propiedades de «Uso compartido avanzado» en la configuración de «Permisos». Los permisos NTFS se configuran en la pestaña «Seguridad» de las propiedades del archivo o carpeta.
Cómo cambiar los permisos NTFS
Para cambiar los permisos NTFS:
- Abra la pestaña «Seguridad».
- En el cuadro de diálogo «Propiedades» de la carpeta, haga clic en «Editar».
- Haga clic en el nombre del objeto para el que desea cambiar los permisos.
- Seleccione «Permitir» o «Denegar» para cada uno de los ajustes.
- Haga clic en «Aplicar» para aplicar los permisos.
Alternativamente, puede cambiar los permisos NTFS utilizando PowerShell.
Cómo cambiar los permisos compartidos
Para cambiar los permisos compartidos:
- Haga clic con el botón derecho del ratón en la carpeta compartida.
- Haga clic en «Propiedades».
- Abra la pestaña «Compartir».
- Haga clic en «Uso compartido avanzado».
- Haga clic en «Permisos».
- Seleccione un usuario o grupo de la lista.
- Seleccione «Permitir» o «Denegar» para cada uno de los ajustes.
Mejores prácticas en materia de permisos
- Asigne los permisos a los grupos, no a las cuentas de usuario – La asignación de permisos a los grupos simplifica la gestión de los recursos compartidos. Si la función de un usuario cambia, basta con añadirlo a los nuevos grupos apropiados y eliminarlo de cualquier grupo que ya no sea relevante.
- Aplicar el principio de mínimo privilegio – Conceda a los usuarios los permisos que necesitan y nada más. Por ejemplo, si un usuario necesita leer la información de una carpeta pero nunca tiene una razón legítima para eliminar, crear o cambiar archivos, asegúrese de que sólo tenga el permiso de «Lectura».
- Utilice sólo los permisos NTFS para los usuarios locales – Los permisos compartidos sólo se aplican a los usuarios que acceden a los recursos compartidos a través de la red; no se aplican a los usuarios que se conectan localmente.
- Coloque los objetos con los mismos requisitos de seguridad en la misma carpeta – Por ejemplo, si los usuarios requieren el permiso de «Lectura» para varias carpetas que son utilizadas por un departamento, almacene esas carpetas en la misma carpeta principal y comparta esa carpeta principal, en lugar de compartir cada carpeta individualmente.
- No establezca los permisos para el grupo «Everyone» (Todos) en «Deny» (Denegar) – El grupo «Everyone» (Todos) incluye a cualquier persona que tenga acceso a las carpetas compartidas, incluida la cuenta «Guest» (Invitado), con la excepción del grupo «Anonymous Logon» (Inicio de sesión anónimo).
- Evite denegar explícitamente los permisos a un recurso compartido – Normalmente, debe denegar explícitamente los permisos sólo cuando desee anular los permisos específicos que ya están asignados.
- Conceda al grupo «Administradores» el permiso de «Control total» a la carpeta compartida principal – Esta estrategia permite a los administradores gestionar los permisos, exportar las listas de acceso y realizar un seguimiento de los cambios en todos los permisos, archivos y carpetas.
- Vigile de cerca la pertenencia al grupo «Administradores» – Los usuarios de este grupo tienen permisos de «Acceso total» a todos sus archivos y carpetas compartidos. Por lo tanto, debe auditar cuidadosamente los cambios en su membresía, utilizando ya sea la política de auditoría y el registro de eventos de seguridad, o soluciones de software de terceros que pueden notificarle sobre cualquier cambio en este poderoso grupo en tiempo real, así como facilitar la atestación regular de todos los permisos de usuario.
Para obtener más información, lea acerca de las mejores prácticas de gestión de permisos NTFS.
Utilizar sólo un conjunto de permisos
Si cree que trabajar con dos conjuntos de permisos separados es demasiado complicado, puede utilizar sólo los permisos compartidos NTFS. Simplemente cambie los permisos de compartición de la carpeta a «Control total», y entonces podrá realizar los cambios que desee en los permisos NTFS sin tener que preocuparse de que los permisos de compartición de archivos interfieran con ellos.
Resumen
Entender las diferencias entre los permisos Share y NTFS le permite utilizarlos conjuntamente para asegurar el acceso a los recursos locales y compartidos. Siguiendo las directrices y las mejores prácticas detalladas aquí reforzará aún más la seguridad de su entorno de TI.