Configuración de permisos NTFS

Configuración de permisos NTFS

Compartir

Acompáñanos en este pequeño artículo donde revisaremos cómo realizar la configuración de permisos NTFS para mantener los datos de tus usuarios a salvo de miradas indiscretas.

Antes de entrar en materia, recomendamos leer este otro artículo del blog, donde explicamos qué es NTFS y sus características principales y que creemos que puede servir de un buen preámbulo al artículo actual, ya que en este solo hablaremos de la configuración de los permisos.

 

Los permisos NTFS:

 

Entendiendo los permisos predeterminados:

Ahora que empezaremos a hablar de los permisos dentro de NTFS, debemos conocer cuáles son los permisos que se pueden asignar o, mejor dicho, conceder y denegar, recordando que estos permisos se asignarán a archivos y carpetas:

  • Cambiar.
  • Leer y ejecutar.
  • Mostrar el contenido de la carpeta.
  • Leer.
  • Escribir.
  • Control total.

 

Imagen. Ejemplo de permisos NTFS
Imagen. Ejemplo de permisos NTFS

El problema de estos permisos es que se comportan de distinta manera en función de a qué se aplican, por lo que, en realidad, hay que hilar más fino para tener una descripción de permisos más específicos.

Por ello debemos mostrar un nuevo listado de permisos, que definiremos para una mejor comprensión de los mismos:

  • Navegar por carpeta: Permite al usuario moverse por las carpetas, aunque no tenga permisos para manipular los contenidos.
  • Ejecutar Archivo: Iniciar la ejecución de un programa.
  • Listar carpeta: Visualizar el listado de archivos y carpetas contenidos dentro de una carpeta.
  • Leer datos: Abrir los archivos para visualizar sus contenidos.
  • Leer atributos: Permite mostrar los atributos con los que el sistema operativo identifica y cataloga un archivo.
  • Leer atributos extendidos: Es igual que el anterior, pero mostrando los atributos extendidos asociados a aplicaciones.
  • Crear archivos: Permite que el usuario cree archivos dentro de una carpeta.
  • Escribir datos: Permite que el usuario realice cambios en un archivo existente o que incluso sobrescriba el contenido.
  • Crear carpeta: Permite que el usuario crear carpetas dentro de otras carpetas.
  • Agregar datos: Permite que el usuario añada datos adicionales al final de un archivo, pero no permite ni modificar ni eliminar contenidos anteriores.
  • Escribir atributos: Permite que el usuario cambie los atributos con los que cataloga el sistema operativo a un archivo o carpeta.
  • Escribir atributos extendidos: Permite que el usuario modifique los atributos extendidos que fueron establecidos previamente por una aplicación.
  • Eliminar subcarpetas y archivos: Permite que el usuario eliminar las subcarpetas y los archivos incluso en los casos en los que el permiso de eliminar no haya sido explícitamente concedido.
  • Eliminar: Permite que el usuario elimine archivos y carpetas.
  • Visualizar permisos: Permite que el usuario lea los permisos de archivos y carpetas.
  • Cambiar Permisos: Permite que el usuario modifique (cambie) los permisos concedidos previamente a archivos y carpetas.
  • Tomar propiedad: Permite que el usuario se nombre a sí mismo propietario del archivo o carpeta para de esta manera modificar sus permisos.
  • Sincronizar: Permite que los programas multiproceso tengan en espera distintos subprocesos por parte de manipuladores de archivos o carpetas y sincronizar con otros procesos que puedan señalizarlos.

A continuación presentamos una pequeña tabla en la que se describe qué se permite y qué se deniega en cada caso.

 

  Cambiar Leer y ejecutar Mostrar el contenido (carpetas) Leer Escribir Control Total
Navegar por carpeta o Ejecutar Archivo
Listar carpeta o leer datos
Leer atributos
Leer atributos extendidos
Crear archivos o Escribir datos
Crear carpeta o Agregar datos
Escribir atributos
Escribir atributos extendidos
Eliminar subcarpetas y archivos
Eliminar
Visualizar permisos
Cambiar Permisos
Tomar propiedad
Sincronizar

Tabla. Permisos granulares de NTFS

 

La herencia:

Cuando hablamos de los permisos en carpetas y archivos, debemos tener en cuenta el concepto de herencia. El concepto de herencia describe cómo se propagan los permisos que otorgamos a una carpeta a través de los archivos y carpetas que ésta contiene.

Por defecto, cuando se proporcionan unos permisos a una carpeta que es padre de otras (es decir, que contiene a otras), todos los archivos y carpetas contenidos dentro de esta carpeta heredarán los mismos permisos.

NOTA: Los permisos heredados pueden ser a veces un poco liosos, pero son mucho más sencillos de mantener que aquellos que manipulamos de manera explícita e individual.

Como ya sabemos, los permisos explícitos, a diferencia de los permisos heredados, son aquellos que se configuran de propio en un recurso. Es decir, aquellos que se establecen ex profeso para ese particular.

Ahora que tenemos claro que son los permisos heredados y que son los permisos explícitos, podemos decir que no es necesario romper la herencia si queremos mantener esos permisos hacia abajo, sino que tenemos que declarar permisos explícitos para proporcionar nuevos permisos de denegación o concesión de nuevos privilegios. Teniendo todo esto en cuenta, solo deberemos modificar esa herencia cuando queramos modificar algo, dejando sin modificación cuando queramos mantener la misma configuración.

 

Gestión de la herencia en permisos NTFS:

En ocasiones, puede ser necesario que estos permisos no sean heredados hacia el interior, sino que se desea que la concesión de permisos quede “reseteada” añadiendo a mano los permisos que se deseen desde este punto.

Para estos casos, se deberá tomar uno de los siguientes caminos que comentamos a continuación:

  • Redefinir los permisos de manera explícita.
  • Eliminar la herencia en el objeto hijo.
  • Eliminar la herencia al nivel del padre, lo que hará que se interrumpa la extensión hacia abajo (hacia los hijos).

 

La herencia vista desde el padre:

Para romper la herencia que un objeto hijo como un archivo o una subcarpeta recibe del objeto padre (nivel superior) que conforma la carpeta contenedora, deberemos acceder a la pestaña de seguridad del objeto padre, para acceder a continuación a las opciones avanzadas.

Esto lo haremos, haciendo clic en el botón derecho sobre el objeto y seleccionando “Propiedades” (1).

Imagen. Accedemos a la pestaña de propiedades del objeto padre
Imagen. Accedemos a la pestaña de propiedades del objeto padre

Una vez hecho esto, accedemos a la pestaña “Seguridad” (2) para a continuación, seleccionar un grupo a modificar la herencia, seleccionando a continuación la opción “Opciones avanzadas” (3).

Imagen. Seleccionamos la pestaña de seguridad y opciones avanzadas
Imagen. Seleccionamos la pestaña de seguridad y opciones avanzadas

Antes de hacer los cambios pertinentes, deberemos marcar el checkbox “Remplazar todas las entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto” (4).

NOTA: Podemos cambiar o no los permisos antes de detener la herencia en función de lo que busquemos conseguir.

Imagen. Seleccionamos el checkbox de reemplazar la herencia
Imagen. Seleccionamos el checkbox de reemplazar la herencia

 

La herencia vista desde el hijo:

Cuando queramos acceder para cambiar los permisos desde un objeto hijo (un nivel inferior al que se han asignado) debemos operar de una manera un poco distinta, ya que se trata de permisos heredados.

La forma más obvia de cambiar los privilegios sería acceder al nivel en el que se han asignado y modificarlos, pero esto puede no ser lo que deseemos y puede generar situaciones contraindicadas, como acceso a información a quien no se quiera proporcionar, bloqueo de accesos a quien sí debería acceder, etc.

Una forma correcta de operar esto sería acceder al nivel que queremos modificar estos permisos, que en este caso sería al nivel de un hijo, y cambiar los permisos que queremos modificar.

Para ello, lo primero que debemos hacer es acceder al nivel de hijo, posicionarnos sobre el archivo que queremos modificar y hacer clic en el botón derecho, seleccionando “Propiedades” (5).

Imagen. Accedemos al cuadro propiedades del archivo que queremos modificar
Imagen. Accedemos al cuadro propiedades del archivo que queremos modificar

En este punto, accedemos a la pestaña “Seguridad” (6) y hacemos clic en “Editar” (7).

Imagen. Accedemos a la edición de los permisos de seguridad del archivo
Imagen. Accedemos a la edición de los permisos de seguridad del archivo

En este punto tenemos la edición de los permisos de seguridad, por lo que vamos a seleccionar el usuario (8) sobre el que queremos operar y una vez hecho esto, seleccionaremos los permisos que queremos cambiar (9) para a continuación, hacer clic en “Aplicar” y “Aceptar” (10).

Imagen. Seleccionamos los permisos explícitos que queremos darle a este archivo
Imagen. Seleccionamos los permisos explícitos que queremos darle a este archivo

Con esto, los cambios tomarán efecto y los podremos ver representados en la pestaña de “Seguridad” (11).

Imagen. Validamos que los cambios se muestran en la pestaña de seguridad
Imagen. Validamos que los cambios se muestran en la pestaña de seguridad

NOTA: Cuando observamos los permisos desde el objeto padre, se podrá ver que estos están marcados con el checkbox en gris, impidiendo su manipulación, lo que representa que estos son heredados de un nivel superior.

La otra forma sería ir al nivel del hijo y romper la herencia. Para ello, vamos a volver a acceder al nivel de hijo, posicionarnos sobre el archivo en el que queremos desvincular la herencia y hacer clic en el botón derecho, seleccionando “Propiedades” (12).

Imagen. Accedemos al cuadro propiedades del archivo que queremos desvincular de herencia
Imagen. Accedemos al cuadro propiedades del archivo que queremos desvincular de herencia

En la nueva ventana, accedemos a “Seguridad” (13) y hacemos clic en “Opciones avanzadas” (14).

Imagen. Seleccionamos las opciones avanzadas de seguridad para este archivo
Imagen. Seleccionamos las opciones avanzadas de seguridad para este archivo

En este punto, accedemos a la pestaña de “Permisos” (15) y hacemos clic en “Desvincular la herencia” (16).

Imagen. Seleccionamos deshabilitar la herencia del archivo
Imagen. Seleccionamos deshabilitar la herencia del archivo

En este momento se muestra una ventana emergente en la que se nos pregunta ¿Qué desea hacer con los permisos heredados actuales?, mostrándose dos opciones (17):

  • Convertir los permisos heredados en permisos explícitos en este objeto.
  • Quitar todos los permisos heredados de este objeto.

Debemos pensar qué cambios queremos hacer para seleccionar uno u otro.

Si se van a hacer muchos cambios, sería recomendable eliminar los permisos heredados y partir de cero, mientras que, si van a ser pocos cambios, se puede optar por la opción de convertirlos en explícitos.

Imagen. Decidimos que queremos hacer con los permisos heredados
Imagen. Decidimos que queremos hacer con los permisos heredados

Tras esto, podremos ver que se han eliminado las herencias y deberemos empezar a redefinir los privilegios de nuevo.

Para realizar la edición de estos permisos, deberemos posicionarnos sobre la entidad de seguridad (usuario o grupo) que queremos cambiar y hacer clic en “Editar” (18).

Imagen. Observamos que se han eliminado las herencias
Imagen. Observamos que se han eliminado las herencias

En esta nueva ventana se deberán dar los permisos que se quieran proporcionar a este recurso, pudiendo seleccionar distintas opciones (19). Así mismo, se podrá hacer clic en el botón “Mostrar permisos avanzados” (20) para optar a otras opciones más detalladas.

Imagen. Revisamos los permisos que queremos aplicar
Imagen. Revisamos los permisos que queremos aplicar

Con esto ya tendremos configurados los nuevos permisos.

 

Conclusiones:

A lo largo de este artículo hemos revisado como realizar la configuración de permisos NTFS para mantener los datos de tus usuarios a salvo de miradas indiscretas. Explicando brevemente cuales son los permisos disponibles, que son los permisos explícitos y heredados, la diferencia entre estos y como funciona la herencia, así como la forma en que podemos gestionarla o eliminarla.

Así mismo, en este artículo hemos revisado distintas maneras de gestionar los permisos de manera superficial, para dar al lector una breve introducción a la gestión de los mismos, que esperamos que pueda mejorar con la práctica.

Si se quiere ampliar la información contenida en estos artículos, se puede acceder a la web de introducción a NTFS de Microsoft.

¡Gracias por dedicarnos este tiempo!

Categorías:Cloud y sistemas

Otros posts que te pueden interesar

20 de febrero de 2024
Acompáñanos en este artículo en el que trataremos uno de esos “pains” a los que se enfrenta toda pyme,
15 de febrero de 2024
Acompáñanos y descubre qué es y por qué necesitamos Disaster Recovery. La creciente dependencia de todas las organizaciones de
14 de febrero de 2024
Hablemos de Disaster Recovery: ¿qué son RPO, RTO, MTD o WRT y por qué es importante comprender estos conceptos

Rellena el formulario y nuestro equipo de Sales contactará contigo lo antes posible.

growth@jotelulu.com  |  +34 911 333 712  |  jotelulu.com 

Puedes darte de baja de estas comunicaciones en cualquier momento.  Consulta nuestra Política de privacidad.