Directrices para establecer una configuración de permisos óptima y segura en recursos compartidos CIFS, aplicable tanto a nivel de NTFS como de recurso compartido. La metodología presentada es extensible a cualquier tipo de recurso compartido en red.

Requisitos para establecer permisos apropiados a carpeta compartida de recurso CIFS.
Permisos NTFS para carpeta compartida raíz CIFS.
Permisos NTFS apropiados para cada subcarpeta del CIFS.
Permisos apropiados para el recurso compartido CIFS y carpeta de Windows.
- Establecer permisos de recurso compartido en unidad CIFS.
Establecer permisos de recurso compartido en carpeta de Windows.

Requisitos para establecer permisos apropiados a carpeta compartida de recurso CIFS

Todos los equipos de la organización con acceso al recurso compartido CIFS deberán estar agregados al dominio AD DC Active Directory. Los usuarios con los que se inicie sesión en dichos equipos, serán usuarios del dominio. En el siguiente enlace mostramos un tutorial sobre cómo desplegar un dominio AD DC:

Servicios de dominio de Active Directory Windows Server 2012 controlador dominio.

Y en este otro enlace, indicamos cómo agregar un equipo a un dominio:

Agregar equipo Windows Server 2022 a dominio habilitar Escritorio Remoto y configuración de red segura.

Deberemos disponer de una unidad CIFS, montada sobre el mismo dominio al que estén agregados los equipos. En el siguiente enlace mostramos un tutorial para montar un CIFS en una SAN NetApp:

Activar protocolo CIFS en SAN NetApp uso de CIFS en Active Directory Windows.

El recurso compartido CIFS tendrá una IP y un nombre DNS, deberemos conocer ambos datos para realizar la configuración pertinente. En este estudio de caso, el recurso CIFS tiene de nombre DNS datos.proyectoa.local y la carpeta compartida raíz se llama datos.

En el dominio, tendremos, al menos, un grupo de usuarios de administración del recurso CIFS. A este grupo solo añadiremos usuarios que realmente tengan que tener permisos de acceso a todas las carpetas, subcarpetas y ficheros del CIFS. En este estudio de caso, el grupo de administración se llama gruAdminDatos.

Permisos NTFS para carpeta compartida raíz CIFS

Lo ideal es agregar un grupo de usuarios administradores del recurso compartido CIFS, que tendrán acceso, con privilegios elevados, a la carpeta raíz y a todas sus subcarpetas. Este grupo es necesario para gestión y administración de dicho recurso. Además, para que el resto de usuarios pueda «ver» dicha carpeta compartida, agregaremos el grupo «Usuarios autenticados» con permisos de «Lectura y ejecución» solo para esta carpeta raíz. A continuación, explicamos cómo establecer estos permisos.

Desde un equipo con acceso al recurso compartido CIFS y con un usuario del dominio con permisos de administración de dicho recurso, abriremos el Explorador de Windows y accederemos a:

datos.proyectoa.local

Pulsaremos con el botón derecho del ratón sobre la carpeta raíz del recurso CIFS, en este caso, también se llama datos. Y elegiremos «Propiedades»:

Pulsaremos en la pestaña «Seguridad» y en «Opciones avanzadas»:

En primer lugar, deshabilitaremos la herencia para tener un control total sobre la seguridad que estableceremos a la carpeta raíz y al resto de subcarpetas sucesivas. En este estudio de caso estamos suponiendo que aún no hay datos dentro de la carpeta raíz y subcarpetas. Aunque los hubiera, procederemos de tal forma que no modificaremos los permisos que se hayan establecido. Por ello, desmarcaremos la opción «Reemplazar todas las entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto» y pulsaremos en «Deshabilitar herencia».

Nos preguntará si queremos mantener, para la carpeta raíz, los permisos actuales. En este caso, no queremos mantener los permisos heredados, queremos limpiar permisos y establecer nosotros los apropiados, por lo que pulsaremos en «Quitar todos los permisos heredados de este objeto» (esto no afectará a los permisos que haya en subcarpetas, solo a esta carpeta):

Sin cerrar esta ventana, pulsaremos en «Agregar»:

Pulsaremos en «Seleccionar una entidad de seguridad»:

Buscaremos el grupo de usuarios del dominio que tendrán privilegios de administración de todo el recurso CIFS, en nuestro caso gruAdminDatos:

Dejaremos las siguientes opciones:

Se aplica a: Esta carpeta, subcarpetas y archivos.
Permisos básicos: marcaremos todas las opciones (Control total, Modificar, Lectura y ejecución, Mostrar el contenido de la carpeta, Lectura, Escritura).
Desmarcaremos «Aplicar estos permisos solo a objetos y/o contenedores dentro de este contenedor.

Pulsaremos «Aceptar»:

Para que los usuarios «normales» (no administradores) puedan ver las subcarpetas contenidas dentro de la carpeta raíz , necesitaremos agregar un grupo con unos permisos concretos. Para ello, desde esta misma ventana, volveremos a pulsar en «Agregar»:

Elegiremos, en «Seleccionar una entidad de seguridad», un grupo de usuarios (podemos elegir el grupo por defecto «Usuarios autenticados», pero no es lo recomendado por seguridad) que podrán ver las subcarpetas a las que tengan acceso dentro de la carpeta raíz del CIFS. En este caso, lo recomendable es crear un grupo de usuarios específico para este propósito, en lugar de usar el grupo predefinido «Usuarios autenticados». Si se crea este grupo, cualquier usuario que necesite acceso a alguna carpeta del recurso CIFS tendrá que pertenecer a dicho grupo. Para este grupo, únicamente especificaremos los siguientes valores:

Se aplica a: Solo esta carpeta.
Permisos básicos: marcaremos únicamente «Lectura y ejecución», «Mostrar el contenido de la carpeta» y «Lectura». Pulsaremos en «Mostrar permisos avanzados»:

Marcaremos la opción «Atravesar carpeta / ejecutar archivo»:

De forma que, los permisos para la carpeta raíz, quedarán con un grupo de usuarios administradores con permisos totales para esta carpeta y sus subcarpetas y un grupo con permiso de solo lectura y solo para esta carpeta raíz. Aceptaremos los cambios:

Se teníamos alguna subcarpeta creada dentro de la raíz, se habrán mantenido sus permisos y se habrán agregado los anteriores:

Nota importante: este tipo de permisos NTFS no se aplicarán hasta que no se cierre la sesión del usuario o se reinicie el equipo.

Permisos NTFS apropiados para cada subcarpeta del CIFS

Una vez definidos los permisos de la carpeta raíz, procederemos a crear las subcarpetas y sus permisos. Si se decide crear una subcarpeta por departamento, por ejemplo:

datosdatosfacturación
datosdatosalmacén
datosdatosventas

Crearíamos dos grupos de usuarios en el dominio por cada carpeta de cada departamento, una para los usuarios que tendrán acceso de lectura/escritura y otro para los que tendrán solo permisos de lectura. Esto es un ejemplo, incluso se pueden tener tres grupos, otro más para los usuarios que podrían eliminar ficheros. En este estudio de caso, tendremos un grupo por carpeta, para el caso de la carpeta «facturación», crearemos el grupo gruFacturacion, que tendrá, como miembros, todos los usuarios que tendrán permisos de acceso a esta carpeta:

En las propiedades de la subcarpeta facturación del CIFS, pulsaremos en «Agregar»:

Añadiremos la entidad de seguridad gruFacturacion (grupo de usuarios que tendrá acceso a la subcarpeta facturación y estableceremos las opciones:

Tipo: Permitir.
Se aplica a: Esta carpeta, subcarpetas y archivos.
Permisos básicos:
- Modificar
- Lectura y ejecución.
- Mostrar el contenido de la carpeta.
- Lectura.
- Escritura.

Nota importante: este tipo de permisos NTFS no se aplicarán hasta que no se cierre la sesión del usuario o se reinicie el equipo.

Permisos apropiados para el recurso compartido CIFS y carpeta de Windows

En los recursos compartidos, además de los permisos NTFS, es recomendable, por seguridad, quitar el permiso a «Todos» que se establece por defecto al compartir una carpeta o recurso. Lo ideal es añadir un grupo de seguridad que contenga como miembros todos los usuarios que requieran de acceso al recurso compartido. Para este estudio de caso, disponemos del grupo grupoAccesoCIFS, que contiene todos los usuarios que tendrán acceso a este recurso compartido, tanto los usuarios con permisos de lectura, como los que tengan todos los permisos. Dado que el nivel de permisos (lectura, escritura, eliminación, etc.) lo estableceremos mediante NTFS, como hemos explicado anteriormente. Y el nivel de permisos NTFS prevalece sobre el nivel de permisos del recurso compartido.

Establecer permisos de recurso compartido en unidad CIFS

En el caso de un recurso compartido CIFS, al no ser una carpeta «al uso», para acceder a la configuración del recurso compartido (y a sus permisos de acceso), tendremos que abrir el «Administración de equipos» (compmgmt.msc), pulsaremos con el botón derecho del ratón sobre «Administración del equipo (local)», en el menú emergente, pulsaremos en «Conectar a otro equipo…»:

En «Otro equipo», introduciremos la IP o el nombre DNS del recurso CIFS:

Desplegaremos el árbol «Herramientas del sistema» – «Carpetas compartidas» – «Recursos compartidos» [1], pulsaremos con el botón derecho sobre el recurso CIFS compartido [2], en el menú emergente elegiremos «Propiedades» [3]:

Seleccionaremos «Todos» y pulsaremos «Quitar»:

Seguiremos el resto de pasos que indicamos en el siguiente punto, para agregar un grupo y marcar los permisos de «Cambiar» y «Leer».

Nota importante: este tipo de permisos de recurso compartido se aplican en el momento de aceptar los cambios, las sesiones de los usuarios no tienen que cerrarse ni reiniciarse los equipos.

Establecer permisos de recurso compartido en carpeta de Windows

En el caso de una carpeta compartida desde un equipo Windows, será suficiente con, desde un equipo con acceso a la carpeta y con un usuario administrador del dominio (o con privilegios suficientes para modificar permisos), pulsar con el botón derecho del ratón y elegir «Propiedades». En la ventana de propiedades del recurso compartido, en la pestaña «Compartir», pulsaremos en «Uso compartido avanzado»:

Pulsaremos en «Permisos»:

Establecer permisos de recurso compartido en carpeta de Windows

Seleccionaremos «Todos» y pulsaremos en «Quitar»:

Pulsaremos en «Agregar»:

Seleccionaremos el grupo grupoAccesoCIFS:

Marcaremos «Cambiar» y «Leer» y pulsaremos «Aceptar»:

Como hemos indicado anteriormente, aunque en los permisos de los recursos compartidos se marquen las opciones de Cambiar y Leer, serán los permisos NTFS los que definan el nivel de acceso, pues prevalecen sobre estos. Es decir, aunque un usuario pertenezca al grupo grupoAccesoCIFS (con Cambiar y Leer), si en los permisos NTFS de una carpeta no se le asigna el permiso de modificación, no podrá modificar.

Nota importante: este tipo de permisos de recurso compartido se aplican en el momento de aceptar los cambios, las sesiones de los usuarios no tienen que cerrarse ni reiniciarse los equipos.

Sobre el autor

alonsojpd

Comentar Cancelar la respuesta

Sesión

Videotutoriales

Post foros

Respuestas foros

Descargas

Plugin WordPress Reprocesador de Contenido WordPress

Sistema de pentesting WAF Profesional código fuente Python

Ejemplo de fichero JSON del resultado del comando ceph pg .. query

Código fuente Delphi 12.2 ProyectoA Notificaciones Windows Toast

Código fuente App Cliente de IA con API Google Gemini en Python

Wiki

Descarga de la IOS de Cisco para router C7200 c7200-advipservicesk9-mz.152-4.S5.bin

BDE Borland Database Engine 5.2

Descarga de la IOS de Cisco para router C3725 c3725-adventerprisek9-mz.124-25d.bin

Código fuente en Python de la aplicación que lee una matrícula de una imagen

Código fuente en Python de la aplicación Detector de manos y dedos levantados

Código fuente en Python de la aplicación Detector de matrículas desde vídeo o WebCam en tiempo real

Turbo Pascal 7.0

Descarga código fuente script Python detector de cuerpos humanos en tiempo real

ProyectoA Envío email TLS SSL v.1.6.8.69 con código fuente completo en Delphi 6

Descarga código fuente script Python detector movimiento y notificación por email

Gestión de permisos óptima en recurso compartido CIFS