La mayoría de los administradores experimentados están familiarizados con el hecho de que los permisos del Sistema de Archivos de Nueva Tecnología (NTFS) están disponibles en cada archivo, carpeta, clave del registro, impresora y objeto de Active Directory. Introducido por primera vez con Windows NT para reemplazar el sistema de archivos de la Tabla de Asignación de Archivos (FAT), NTFS ha pasado por varios cambios a lo largo de los años. Windows 2000, Windows Server 2003 y Windows XP utilizan la encarnación actual, NTFS v5.
Cuando se trata del antiguo NTFS (de Windows NT) y el actual NTFS, hay muchas similitudes y algunas diferencias. Echemos un vistazo más de cerca.
Permisos estándar frente a permisos avanzados
Puedes establecer el permiso NTFS en Permitir o Denegar. He aquí un vistazo a los permisos estándar en el antiguo NTFS:
- Control total: Los usuarios pueden modificar, añadir, mover y eliminar archivos, así como sus propiedades y directorios asociados. Además, los usuarios pueden cambiar la configuración de los permisos de todos los archivos y subdirectorios.
- Modificar: Los usuarios pueden ver y modificar archivos y propiedades de archivos, incluyendo la eliminación y la adición de archivos a un directorio o propiedades de archivo a un archivo.
- Leer & Ejecutar: Los usuarios pueden ejecutar archivos ejecutables, incluyendo scripts.
- Leer: Los usuarios pueden ver los archivos y sus propiedades.
- Escribir: Los usuarios pueden escribir en un archivo.
Microsoft avanzó posteriormente estos permisos para incluir los siguientes:
- Atravesar carpeta/ejecutar archivo: Los usuarios pueden navegar a través de carpetas para llegar a otros archivos o carpetas, incluso si no tienen permisos para los archivos o carpetas atravesados. El permiso de atravesar carpetas sólo surte efecto cuando el grupo o el usuario no tiene el derecho de usuario de Anular la comprobación de travesía en el complemento de la directiva de grupo. (De forma predeterminada, el grupo Todos tiene el derecho de usuario Omitir comprobación transversal.)
- Lista de carpetas/lectura de datos: Los usuarios pueden ver una lista del contenido de una carpeta y de los archivos de datos.
- Leer atributos: Los usuarios pueden ver los atributos de un archivo o carpeta, como los de sólo lectura y los ocultos. (NTFS define estos atributos.)
- Leer atributos extendidos: Los usuarios pueden ver los atributos extendidos de un archivo o carpeta. (Definidos por los programas, los atributos extendidos pueden variar.)
- Crear archivos/escribir datos: El permiso Crear Archivos permite a los usuarios crear archivos dentro de la carpeta. (Este permiso sólo se aplica a las carpetas.) El permiso de escritura de datos permite a los usuarios realizar cambios en el archivo y sobrescribir el contenido existente. (Este permiso sólo se aplica a los archivos.)
- Crear Carpetas/Añadir Datos: Este permiso de Crear Carpetas permite a los usuarios crear carpetas dentro de una carpeta. (Esto se aplica sólo a las carpetas.) El permiso Append Data permite a los usuarios realizar cambios al final del archivo, pero no pueden cambiar, eliminar o sobrescribir los datos existentes. (Esto se aplica sólo a los archivos.)
- Escribir atributos: Los usuarios pueden cambiar los atributos de un archivo o carpeta, como sólo lectura u oculto. (NTFS define estos atributos.)
- Escribir atributos extendidos: Los usuarios pueden cambiar los atributos extendidos de un archivo o carpeta.
- Borrar: Los usuarios pueden eliminar el archivo o la carpeta. (Si los usuarios no tienen el permiso de Borrar en un archivo o carpeta, aún pueden borrarlo si tienen el permiso de Borrar Subcarpetas y Archivos en la carpeta principal.)
- Permisos de Lectura: Los usuarios tienen permisos de lectura del archivo o carpeta, como Control total, Lectura y Escritura.
- Permisos de cambio: Los usuarios tienen permisos de cambio del archivo o carpeta, como Control total, Lectura y Escritura.
- Tomar propiedad: Los usuarios pueden tomar la propiedad del archivo o carpeta. El propietario de un archivo o carpeta siempre puede cambiar los permisos en él, independientemente de los permisos existentes que protegen el archivo o carpeta.
¿Cuál es la gran diferencia?
La gran diferencia entre el antiguo NTFS y el nuevo NTFS es el establecimiento de la precedencia de los permisos heredados y explícitos. Mientras que usted podría asumir que el permiso Deny tiene prioridad sobre cualquier otro permiso, eso no es siempre el caso.
Ésta es la jerarquía de los permisos:
- Denegación explícita
- Permiso explícito
- Denegación heredada
- Permiso heredado
Cuando un usuario accede a cada archivo, carpeta, clave del registro, impresora y objeto de Active Directory, el sistema comprueba los permisos de arriba a abajo. Cuando cumple una de estas cuatro condiciones, concede o deniega el acceso. Esto le permite establecer la herencia de permisos para un objeto y mantener un control fino para las excepciones a su política general de permisos.
Pensamientos finales
Los permisos de NTFS ofrecen un gran control cuando se trata de recursos en sus sistemas. Si tiene problemas con los usuarios que no pueden acceder a los datos u objetos requeridos en su estructura de Active Directory, mire la jerarquía de esos permisos y encontrará el problema.
¿Se ha perdido una columna?
Consulte el Archivo de Soluciones de Seguridad y póngase al día con las ediciones más recientes de la columna de Mike Mullins.
¿Le preocupan los problemas de seguridad? ¿Quién no lo está? Suscríbase automáticamente a nuestro boletín gratuito de Soluciones de Seguridad, que se envía cada viernes, y reciba consejos prácticos para bloquear sus sistemas.
Mike Mullins ha sido administrador de red asistente y administrador de seguridad de red para el Servicio Secreto de los Estados Unidos y la Agencia de Sistemas de Información de Defensa. Actualmente es el director de operaciones del Southern Theater Network Operations and SecurityCenter.