Configuración de permisos NTFS

subcomponent subcomponent--text

Acompáñanos en este pequeño artículo donde revisaremos cómo realizar la configuración de permisos NTFS para mantener los datos de tus usuarios a salvo de miradas indiscretas.

Antes de entrar en materia, recomendamos leer este otro artículo del blog, donde explicamos qué es NTFS y sus características principales y que creemos que puede servir de un buen preámbulo al artículo actual, ya que en este solo hablaremos de la configuración de los permisos.

Los permisos NTFS:

Entendiendo los permisos predeterminados:

Ahora que empezaremos a hablar de los permisos dentro de NTFS, debemos conocer cuáles son los permisos que se pueden asignar o, mejor dicho, conceder y denegar, recordando que estos permisos se asignarán a archivos y carpetas:

Cambiar.
Leer y ejecutar.
Mostrar el contenido de la carpeta.
Leer.
Escribir.
Control total.

Imagen. Ejemplo de permisos NTFS

El problema de estos permisos es que se comportan de distinta manera en función de a qué se aplican, por lo que, en realidad, hay que hilar más fino para tener una descripción de permisos más específicos.

Por ello debemos mostrar un nuevo listado de permisos, que definiremos para una mejor comprensión de los mismos:

Navegar por carpeta: Permite al usuario moverse por las carpetas, aunque no tenga permisos para manipular los contenidos.
Ejecutar Archivo: Iniciar la ejecución de un programa.
Listar carpeta: Visualizar el listado de archivos y carpetas contenidos dentro de una carpeta.
Leer datos: Abrir los archivos para visualizar sus contenidos.
Leer atributos: Permite mostrar los atributos con los que el sistema operativo identifica y cataloga un archivo.
Leer atributos extendidos: Es igual que el anterior, pero mostrando los atributos extendidos asociados a aplicaciones.
Crear archivos: Permite que el usuario cree archivos dentro de una carpeta.
Escribir datos: Permite que el usuario realice cambios en un archivo existente o que incluso sobrescriba el contenido.
Crear carpeta: Permite que el usuario crear carpetas dentro de otras carpetas.
Agregar datos: Permite que el usuario añada datos adicionales al final de un archivo, pero no permite ni modificar ni eliminar contenidos anteriores.
Escribir atributos: Permite que el usuario cambie los atributos con los que cataloga el sistema operativo a un archivo o carpeta.
Escribir atributos extendidos: Permite que el usuario modifique los atributos extendidos que fueron establecidos previamente por una aplicación.
Eliminar subcarpetas y archivos: Permite que el usuario eliminar las subcarpetas y los archivos incluso en los casos en los que el permiso de eliminar no haya sido explícitamente concedido.
Eliminar: Permite que el usuario elimine archivos y carpetas.
Visualizar permisos: Permite que el usuario lea los permisos de archivos y carpetas.
Cambiar Permisos: Permite que el usuario modifique (cambie) los permisos concedidos previamente a archivos y carpetas.
Tomar propiedad: Permite que el usuario se nombre a sí mismo propietario del archivo o carpeta para de esta manera modificar sus permisos.
Sincronizar: Permite que los programas multiproceso tengan en espera distintos subprocesos por parte de manipuladores de archivos o carpetas y sincronizar con otros procesos que puedan señalizarlos.

A continuación presentamos una pequeña tabla en la que se describe qué se permite y qué se deniega en cada caso.

	Cambiar	Leer y ejecutar	Mostrar el contenido (carpetas)	Leer	Escribir	Control Total
Navegar por carpeta o Ejecutar Archivo	Sí	Sí	Sí			Sí
Listar carpeta o leer datos	Sí	Sí	Sí	Sí		Sí
Leer atributos	Sí	Sí	Sí	Sí		Sí
Leer atributos extendidos	Sí	Sí	Sí	Sí		Sí
Crear archivos o Escribir datos	Sí				Sí	Sí
Crear carpeta o Agregar datos	Sí				Sí	Sí
Escribir atributos	Sí				Sí	Sí
Escribir atributos extendidos	Sí				Sí	Sí
Eliminar subcarpetas y archivos						Sí
Eliminar	Sí					Sí
Visualizar permisos	Sí	Sí	Sí	Sí	Sí	Sí
Cambiar Permisos						Sí
Tomar propiedad						Sí
Sincronizar	Sí	Sí	Sí	Sí	Sí	Sí

Tabla. Permisos granulares de NTFS

La herencia:

Cuando hablamos de los permisos en carpetas y archivos, debemos tener en cuenta el concepto de herencia. El concepto de herencia describe cómo se propagan los permisos que otorgamos a una carpeta a través de los archivos y carpetas que ésta contiene.

Por defecto, cuando se proporcionan unos permisos a una carpeta que es padre de otras (es decir, que contiene a otras), todos los archivos y carpetas contenidos dentro de esta carpeta heredarán los mismos permisos.

NOTA: Los permisos heredados pueden ser a veces un poco liosos, pero son mucho más sencillos de mantener que aquellos que manipulamos de manera explícita e individual.

Como ya sabemos, los permisos explícitos, a diferencia de los permisos heredados, son aquellos que se configuran de propio en un recurso. Es decir, aquellos que se establecen ex profeso para ese particular.

Ahora que tenemos claro que son los permisos heredados y que son los permisos explícitos, podemos decir que no es necesario romper la herencia si queremos mantener esos permisos hacia abajo, sino que tenemos que declarar permisos explícitos para proporcionar nuevos permisos de denegación o concesión de nuevos privilegios. Teniendo todo esto en cuenta, solo deberemos modificar esa herencia cuando queramos modificar algo, dejando sin modificación cuando queramos mantener la misma configuración.

Gestión de la herencia en permisos NTFS:

En ocasiones, puede ser necesario que estos permisos no sean heredados hacia el interior, sino que se desea que la concesión de permisos quede “reseteada” añadiendo a mano los permisos que se deseen desde este punto.

Para estos casos, se deberá tomar uno de los siguientes caminos que comentamos a continuación:

Redefinir los permisos de manera explícita.
Eliminar la herencia en el objeto hijo.
Eliminar la herencia al nivel del padre, lo que hará que se interrumpa la extensión hacia abajo (hacia los hijos).

La herencia vista desde el padre:

Para romper la herencia que un objeto hijo como un archivo o una subcarpeta recibe del objeto padre (nivel superior) que conforma la carpeta contenedora, deberemos acceder a la pestaña de seguridad del objeto padre, para acceder a continuación a las opciones avanzadas.

Esto lo haremos, haciendo clic en el botón derecho sobre el objeto y seleccionando “Propiedades” (1).

Imagen. Accedemos a la pestaña de propiedades del objeto padre

Una vez hecho esto, accedemos a la pestaña “Seguridad” (2) para a continuación, seleccionar un grupo a modificar la herencia, seleccionando a continuación la opción “Opciones avanzadas” (3).

Imagen. Seleccionamos la pestaña de seguridad y opciones avanzadas

Antes de hacer los cambios pertinentes, deberemos marcar el checkbox “Remplazar todas las entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto” (4).

NOTA: Podemos cambiar o no los permisos antes de detener la herencia en función de lo que busquemos conseguir.

Imagen. Seleccionamos el checkbox de reemplazar la herencia

La herencia vista desde el hijo:

Cuando queramos acceder para cambiar los permisos desde un objeto hijo (un nivel inferior al que se han asignado) debemos operar de una manera un poco distinta, ya que se trata de permisos heredados.

La forma más obvia de cambiar los privilegios sería acceder al nivel en el que se han asignado y modificarlos, pero esto puede no ser lo que deseemos y puede generar situaciones contraindicadas, como acceso a información a quien no se quiera proporcionar, bloqueo de accesos a quien sí debería acceder, etc.

Una forma correcta de operar esto sería acceder al nivel que queremos modificar estos permisos, que en este caso sería al nivel de un hijo, y cambiar los permisos que queremos modificar.

Para ello, lo primero que debemos hacer es acceder al nivel de hijo, posicionarnos sobre el archivo que queremos modificar y hacer clic en el botón derecho, seleccionando “Propiedades” (5).

Imagen. Accedemos al cuadro propiedades del archivo que queremos modificar

En este punto, accedemos a la pestaña “Seguridad” (6) y hacemos clic en “Editar” (7).

Imagen. Accedemos a la edición de los permisos de seguridad del archivo

En este punto tenemos la edición de los permisos de seguridad, por lo que vamos a seleccionar el usuario (8) sobre el que queremos operar y una vez hecho esto, seleccionaremos los permisos que queremos cambiar (9) para a continuación, hacer clic en “Aplicar” y “Aceptar” (10).

Imagen. Seleccionamos los permisos explícitos que queremos darle a este archivo

Con esto, los cambios tomarán efecto y los podremos ver representados en la pestaña de “Seguridad” (11).

Imagen. Validamos que los cambios se muestran en la pestaña de seguridad

NOTA: Cuando observamos los permisos desde el objeto padre, se podrá ver que estos están marcados con el checkbox en gris, impidiendo su manipulación, lo que representa que estos son heredados de un nivel superior.

La otra forma sería ir al nivel del hijo y romper la herencia. Para ello, vamos a volver a acceder al nivel de hijo, posicionarnos sobre el archivo en el que queremos desvincular la herencia y hacer clic en el botón derecho, seleccionando “Propiedades” (12).

Imagen. Accedemos al cuadro propiedades del archivo que queremos desvincular de herencia

En la nueva ventana, accedemos a “Seguridad” (13) y hacemos clic en “Opciones avanzadas” (14).

Imagen. Seleccionamos las opciones avanzadas de seguridad para este archivo

En este punto, accedemos a la pestaña de “Permisos” (15) y hacemos clic en “Desvincular la herencia” (16).

Imagen. Seleccionamos deshabilitar la herencia del archivo

En este momento se muestra una ventana emergente en la que se nos pregunta ¿Qué desea hacer con los permisos heredados actuales?, mostrándose dos opciones (17):

Convertir los permisos heredados en permisos explícitos en este objeto.
Quitar todos los permisos heredados de este objeto.

Debemos pensar qué cambios queremos hacer para seleccionar uno u otro.

Si se van a hacer muchos cambios, sería recomendable eliminar los permisos heredados y partir de cero, mientras que, si van a ser pocos cambios, se puede optar por la opción de convertirlos en explícitos.

Imagen. Decidimos que queremos hacer con los permisos heredados

Tras esto, podremos ver que se han eliminado las herencias y deberemos empezar a redefinir los privilegios de nuevo.

Para realizar la edición de estos permisos, deberemos posicionarnos sobre la entidad de seguridad (usuario o grupo) que queremos cambiar y hacer clic en “Editar” (18).

Imagen. Observamos que se han eliminado las herencias

En esta nueva ventana se deberán dar los permisos que se quieran proporcionar a este recurso, pudiendo seleccionar distintas opciones (19). Así mismo, se podrá hacer clic en el botón “Mostrar permisos avanzados” (20) para optar a otras opciones más detalladas.

Imagen. Revisamos los permisos que queremos aplicar

Con esto ya tendremos configurados los nuevos permisos.

Conclusiones:

A lo largo de este artículo hemos revisado como realizar la configuración de permisos NTFS para mantener los datos de tus usuarios a salvo de miradas indiscretas. Explicando brevemente cuales son los permisos disponibles, que son los permisos explícitos y heredados, la diferencia entre estos y como funciona la herencia, así como la forma en que podemos gestionarla o eliminarla.

Así mismo, en este artículo hemos revisado distintas maneras de gestionar los permisos de manera superficial, para dar al lector una breve introducción a la gestión de los mismos, que esperamos que pueda mejorar con la práctica.

Si se quiere ampliar la información contenida en estos artículos, se puede acceder a la web de introducción a NTFS de Microsoft.

¡Gracias por dedicarnos este tiempo!