jueves, 9 de noviembre de 2017

06 - Permisos NTFS. Parte 1

El sistema de archivos NTFS es muy eficaz en cuanto al modo en que almacena los datos en una partición. Con NTFS podemos:
  • Conceder permisos a carpetas y archivos para controlar el nivel de acceso de los usuarios a los recursos.
  • Usar el espacio del disco duro más eficazmente permitiéndonos comprimir datos y configurar cuotas de disco.
  • Cifrar datos de archivos en el disco duro físico utilizando el Sistema de archivos Encriptado (Encrypting Fyle System, EFS).
Estrategia A G DL P

Para proteger archivos y carpetas en particiones NTFS, concedemos permisos NTFS para cada usuario utilizando la cuenta individual o utilizando grupos. Se recomienda utilizar grupos locales del dominio para conceder acceso a un recurso utilizando la estrategia A G DL P. la estrategia A G DL P consiste en: ubicar cuentas de usuario (A) en grupos globales (G), ubicar los grupos globales en grupos locales del dominio (DL), y conceder permisos (P) al grupo local del dominio. 

Lista de control de acceso

NTFS almacena una lista de control de acceso (Access Control List , ACL) con cada archivo y carpeta en una partición NTFS. La lista ACL contiene un listado de todas las cuentas de usuario, grupos y equipos a los que se ha concedido acceso al archivo o carpeta, y el tipo de acceso concedido. 
Para que un usuario pueda acceder a un archivo o carpeta:
  • La lista ACL debe contener una entrada, denominada entrada de control de acceso (Access Control Entry, ACE), para la cuenta de usuario, grupo o equipo al que pertenece el usuario.
  • La entrada debe permitir específicamente el tipo de acceso solicitado por el usuario para que éste pueda tener acceso al archivo o carpeta.
  • Si no existe ninguna entrada ACE en la lista ACL, el sistema denegará al usuario el acceso al recurso.  
Permisos NTFS

Utilizamos los permisos de NTFS para especificar qué usuarios, grupos y equipos pueden acceder a archivos y carpetas. Los permisos de NTFS también determinan qué pueden hacer los usuarios, grupos y equipos con el contenido del archivo o carpeta. 
  • Permisos de carpetas en NTFS: Podemos conceder permisos de carpetas para controlar el acceso a las carpetas y a los archivos y subcarpetas que contienen. La siguiente tabla muestra una lista de los permisos estándares de NTFS que podemos otorgar a carpetas y el tipo de acceso que proporciona cada permiso.
Permisos NTFS de carpetas
  • Permisos de archivos en NTFS: Podemos conceder permisos de archivo para controlar el acceso a los archivos. La siguiente tabla muestra una lista de los permisos de archivos estándares de NTFS que podemos otorgar y el tipo de acceso que cada uno de ellos proporciona a los usuarios.


Permisos NTFS de archivos
Importante: Cuando se formatea una partición NTFS, el sistema concede automáticamente el permiso de Lectura y ejecución (en forma de permisos especiales) sobre la raíz al grupo Todos. Por defecto, el grupo Todos tendrá acceso sobre todas las carpetas y archivos creados en la carpeta raíz. Para restringir el acceso a usuarios autorizados, deberíamos cambiar los permisos predeterminados sobre las carpetas y archivos que creemos.

Aplicación de Permisos NTFS

Por defecto, cuando concedemos permisos a usuarios y grupos sobre una carpeta, los usuarios o grupos tienen acceso a las subcarpetas y archivos que ésta contiene. Es importante entender el modo en que las subcarpetas y los archivos heredan los permisos de NTFS desde las carpetas padre para poder utilizar la herencia en la propagación de permisos a archivos y carpetas.


Si concedemos permisos sobre un archivo o carpeta a una cuenta de usuario individual o a un grupo al que pertenezca el usuario, el usuario obtendrá varios permisos sobre el mismo recurso. Existen reglas y prioridades asociadas al modo en que NTFS combina múltiples permisos. Además, también es posible afectar a los permisos cuando copiamos o movemos archivos y carpetas.


Importante: Se recomienda asignar permisos a un recurso utilizando A G DL P. En otras palabras, asignar permisos a un recurso utilizando grupos locales del dominio en lugar de cuentas de usuario individuales.

1. Múltiples Permisos NTFS

Si concedemos permisos de NTFS a una cuenta de usuario individual además de a un grupo al que pertenezca el usuario, estaremos concediendo múltiples permisos a dicho usuario. Existen reglas en la forma en que NTFS combina estos permisos múltiples para generar permisos eficaces para el usuario.
  • Los permisos son acumulativos: Los permisos efectivos de un usuario sobre un recurso son la combinación de los permisos de NTFS concedidos a la cuenta de usuario individual y los concedidos a los grupos a los que pertenece el usuario. Por ejemplo, si un usuario tiene permiso de Lectura sobre una carpeta y pertenece a un grupo con permiso de Escritura sobre la misma carpeta, el usuario tendrá ambos permisos, Lectura y Escritura, sobre esa carpeta.
  • Los permisos de archivo son independientes de los permisos de carpeta. Los permisos de archivo de NTFS tienen prioridad respecto a los permisos de carpetas de NTFS. Por ejemplo, un usuario con el permiso Modificar para un archivo podrá modificar el archivo aunque únicamente disponga del permiso de Lectura sobre la carpeta que contiene dicho archivo.
  • Denegar invalida otros permisos. Se puede denegar el acceso a un determinado archivo o carpeta aplicando la denegación del permiso a la cuenta de usuario o grupo. Aunque un usuario tenga permiso para acceder al archivo o carpeta como miembro de un grupo, denegar el permiso al usuario bloquea cualquier otro permiso de que éste disponga. Por tanto, la denegación de permiso es una excepción a la regla acumulativa. Es aconsejable evitar la denegación de permiso ya que es más fácil permitir el acceso a usuarios y grupos que denegar el acceso específicamente. Ese preferible estructurar grupos y organizar recursos en carpetas de forma que otorgar permisos sea suficiente. 
2. Herencia de permisos NTFS


Por defecto, los permisos concedidos a una carpeta padre se heredan y propagan a las subcarpetas y archivos contenidos en dicha carpeta padre. Sin embargo, podemos evitar que esto ocurra si deseamos que las carpetas o archivos tengan permisos diferentes a los de su carpeta padre.
Permisos heredados
Los permisos concedidos a una carpeta padre son aplicables también a las subcarpetas y archivos que contiene. Cuando concedemos permisos de NTFS para dar acceso a una carpeta, estamos concediendo permisos sobre la carpeta, sobre cualquier archivo y subcarpeta existentes, y sobre cualquier nuevo archivo o subcarpeta que se cree en la carpeta.

2.1 Evitar la herencia de permisos

En general, deberíamos permitir que el sistema propague los permisos de una carpeta padre a las subcarpetas y archivos que contiene. La propagación de permisos simplifica la asignación de permisos a recursos. Sin embargo, es posible que en ocasiones deseemos evitar la herencia de permisos. Por ejemplo, es posible que necesitemos guardar todos los archivos del departamento de ventas en una carpeta Ventas para la que todos los miembros de dicho departamento tengan permiso de Escritura. Sin embargo, debemos limitar los permisos sobre algunos archivos de la carpeta con el permiso de Lectura únicamente. Por tanto, deberíamos evitar la herencia para que el permiso de Escritura no se propague a los archivos contenidos en la carpeta. Por defecto, las subcarpetas y archivos heredan los permisos concedidos sobre sus carpetas padre, como se muestra en las Opciones avanzadas de la ficha Seguridad del cuadro de texto Propiedades cuando está seleccionada la casilla de verificación siguiente:

Casilla de verificación para permitir o impedir la herencia

Para evitar que una subcarpeta o archivo herede permisos de una carpeta padre, debemos desmarcar dicha casilla y seleccionar una de las siguientes opciones:

Opciones si desmarcamos las casilla de propagar la herencia

  • Copiar: Copia permisos previamente heredados desde la carpeta padre a la subcarpeta o archivo y deniega la posterior herencia de permisos desde la carpeta padre.
  • Quitar: Elimina los permisos heredados concedidos sobre la carpeta padre desde la subcarpeta o archivo y conserva únicamente los permisos explícitamente concedidos sobre la subcarpeta o archivo.
Existe la opción también de propagar los permisos desde una carpeta a los objetos de su interior, eliminando todos aquellos permisos explícitos (no heredados) que tuvieran con anterioridad.


Casilla de verificación para forzar la propagación de permisos heredables

Por supuesto el sistema nos pregunta antes de realizar la acción:



2.2 Copiar archivos y carpetas

Cuando copiamos o movemos un archivo o carpeta, los permisos pueden cambiar dependiendo del lugar dónde movemos el archivo o carpeta. Es importante entender los cambios sufridos por los permisos cuando se mueven o copian.
Copiar un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
  • Cuando copiamos una carpeta o archivo dentro de una única partición NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
  • Cuando copiamos una carpeta o archivo entre particiones NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino.
  • Cuando copiamos archivos o carpetas a particiones que no son NTFS, como FAT, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS.
Importante: Para copiar archivos y carpetas dentro de una única partición NTFS o entre particiones NTFS, debemos disponer del permiso de Lectura sobre la carpeta original y permiso de Escritura sobre la carpeta de destino.


2.3 Mover archivos y carpetas

Cuando movemos un archivo o carpeta, los permisos pueden cambiar dependiendo de los permisos de la carpeta de destino. Mover un archivo o carpeta tiene los siguientes efectos en los permisos de NTFS:
  • Cuando movemos una carpeta o archivo dentro una partición NTFS, la carpeta o archivo conserva sus permisos originales.
  • Cuando movemos una carpeta o archivo entre particiones NTFS, la carpeta o archivo hereda los permisos de la carpeta de destino. Si lo pensamos bien. mover una carpeta o archivo entre particiones es copiar la carpeta o archivo a la nueva ubicación y eliminarlo de su antigua ubicación.
  • Cuando movemos archivos o carpetas a particiones que no son NTFS, las carpetas y archivos pierden sus permisos de NTFS, porque las particiones que no son NTFS no soportan los permisos de NTFS. 
Importante: Para mover archivos y carpetas dentro de una partición NTFS o entre particiones NTFS, debemos tener el permiso de Escritura sobre la carpeta de destino y el permiso de Modificación sobre la carpeta o archivo original. El permiso de Modificación es necesario para mover una carpeta o archivo, ya que el sistema elimina la carpeta o archivo de la carpeta original después de copiarla a la carpeta de destino.