Introducción
El concepto de red de ordenadores no es nuevo ni revolucionario. Los servidores, normalmente guardados en salas cerradas, almacenan los recursos de la empresa (carpetas, archivos, documentos, hojas de cálculo, etc.). Estos servidores se cierran con llave para que el único acceso que tengan los empleados a los recursos sea a través de la red. Así, un nivel de seguridad para proteger el recurso es la seguridad física que se proporciona al no permitir a los empleados el acceso directo al hardware en el que se encuentra el recurso.
Para que los empleados puedan acceder a los recursos almacenados en los servidores, el servidor debe ser configurado para permitir a los empleados acceder a los recursos a través de la red. En un entorno Windows, esto se hace a través de carpetas compartidas. Cuando se comparte una carpeta, ésta pasa a estar disponible a través de la red para que todos los usuarios de la red puedan ver el nombre de la carpeta compartida, como se muestra en la Figura 1.
Figura 1: Listado de carpetas compartidas disponibles en un servidor a través de la red
Para proteger los recursos que se ponen a disposición a través de las carpetas compartidas, los administradores deben configurar «permisos» para las carpetas y archivos que se ponen a disposición a través de la red. Hay dos tipos de permisos que se pueden configurar en las carpetas compartidas: share y NTFS. Vamos a centrarnos en los permisos share, comentando algunos escollos que se exponen al utilizarlos, así como algunos métodos recomendados para configurar con éxito los permisos de las carpetas compartidas.
Una historia de dos permisos
Para asegurarme de que tengo clara mi descripción de los permisos disponibles en una carpeta compartida, quería empezar describiendo los dos permisos diferentes que se pueden configurar en cada carpeta compartida. Los dos permisos son: compartir y NTFS.
Los permisos NTFS son un atributo de la carpeta o archivo para el que están configurados. Los permisos NTFS incluyen niveles de configuración estándar y especiales. Los ajustes estándar son combinaciones de los permisos especiales, lo que hace que la configuración sea más eficiente y fácil de establecer. Estos permisos incluyen los siguientes, como se muestra en la Figura 2:
- Control total
- Modificar
- Leer &Ejecutar
- Listar el contenido de la carpeta
- Leer
- Escribir
Figura 2: Permisos estándar de NTFS para una carpeta
Existen 14 permisos especiales para carpetas, que incluyen un control detallado sobre la creación, modificación, lectura y eliminación de subcarpetas y archivos contenidos en la carpeta donde se establecen los permisos.
Los permisos de NTFS están asociados al objeto, por lo que los permisos siempre están conectados con el objeto durante un cambio de nombre, movimiento o archivo del objeto.
Los permisos para compartir sólo se asocian con la carpeta que se está compartiendo. Por ejemplo, si hay 5 subcarpetas debajo de la carpeta que se comparte, sólo la carpeta compartida inicial puede tener permisos de uso compartido configurados en ella. Los permisos NTFS pueden establecerse en cada archivo y carpeta dentro de la estructura de almacenamiento de datos, incluso si una carpeta no está compartida.
Los permisos compartidos se configuran en la pestaña Compartir de la carpeta compartida. En esta pestaña, tendrá un botón de Permisos, que expone los permisos de compartición cuando se selecciona, como se muestra en la Figura 3.
Figura 3: Permisos de compartición en una carpeta compartida
Como puede ver, la lista de opciones estándar de los permisos de compartición no es tan robusta como los permisos NTFS. Los permisos de uso compartido sólo proporcionan Control total, Cambio y Lectura. No hay permisos especiales disponibles para los permisos de uso compartido, por lo que los permisos estándar son tan granulares como se puede ir para este conjunto de control de acceso.
Los permisos de compartición no son parte de la carpeta o archivo, por lo que cuando se cambia el nombre de la compartición, se mueve la carpeta o se hace una copia de seguridad de la misma, los permisos de compartición no se incluyen. Esto hace que el control de los permisos de compartición sea frágil si se modifica la carpeta.
Permisos compartidos históricos
Históricamente, Microsoft ha configurado todas las carpetas compartidas nuevas con permisos compartidos muy abiertos. Los permisos compartidos por defecto para Windows NT, Windows 2000 (Server y Professional), y Windows XP (pre Service Pack 1) es que el grupo Everyone tiene acceso de Control Total.
Esto puede parecer inseguro con el acceso de Control Total, pero cuando los permisos NTFS se combinan con los permisos de uso compartido, el más seguro de los dos permisos controla el acceso al recurso.
En el pasado, cuando los permisos de recursos compartidos son alterados de que Todos tengan Control Completo, puede causar más problemas de los que vale. Por ejemplo, cuando una empresa no suele utilizar los permisos de uso compartido, puede llevar un ciclo más largo arreglar el acceso a los recursos cuando se utilizan. Cuando los permisos compartidos están configurados incorrectamente en una carpeta compartida, los permisos compartidos no son la configuración inicial que hay que comprobar. En la mayoría de los casos, he comprobado que pueden pasar horas antes de que se investiguen los permisos compartidos. Durante los procedimientos de resolución de problemas, los usuarios pueden ser añadidos a los grupos de «administradores», se les dan derechos de usuario elevados y se añaden directamente a la ACL del recurso. Cuando finalmente se investigan y se arreglan los permisos de uso compartido, puede ser difícil recordar todas las demás configuraciones que se han hecho en un intento de arreglar el acceso de los usuarios al recurso. Por supuesto, esto deja al recurso y a la red en general en un estado inseguro, todo debido a que los permisos de uso compartido están configurados incorrectamente.
Nuevos permisos de recursos compartidos
Con toda la confusión que podían causar los antiguos permisos de recursos compartidos, Microsoft decidió cambiar las reglas de los permisos de recursos compartidos por defecto con el lanzamiento del Service Pack 1 de Windows XP. En todos los sistemas operativos posteriores a esta versión del Service Pack (incluido Windows Server 2003), los nuevos permisos predeterminados para todas las nuevas carpetas compartidas son Todos con acceso de sólo lectura, como se muestra en la Figura 3.
Esto parece una buena configuración de seguridad, hasta que usted considera cuántos recursos en su red pueden realmente tener acceso de «sólo lectura» para todos. No son muchos, debido a que los usuarios necesitan modificar y alterar el contenido de la mayoría de los recursos para ser productivos.
En casi todos los casos los permisos de uso compartido tendrán que ser cambiados de acceso de Lectura. Esto hace que el administrador tenga que configurar los permisos detallados de los recursos compartidos, lo que puede causar los problemas que hemos discutido antes con respecto a la solución de problemas de acceso a los recursos con los antiguos permisos compartidos que se modifican. Con los permisos de uso compartido que se cambian por defecto, he encontrado que muchos administradores no sienten que necesitan configurar los permisos NTFS, ya que confían en los permisos de uso compartido para proteger el recurso. Esto es un grave error y deja la red y los recursos en un estado muy vulnerable. Los permisos compartidos sólo son válidos cuando se accede al recurso a través de la red, pero no cuando se accede localmente, usando Terminal Services, etc. También hay que recordar que los permisos de uso compartido no se respaldan con el recurso, por lo que todos los archivos respaldados son vulnerables también, sin ningún permiso que los proteja.
Mejor práctica de permisos compartidos
Como mejor práctica, es más eficiente configurar los permisos compartidos con usuarios autenticados que tengan acceso de control total. Luego, los permisos NTFS deben configurar cada grupo con permisos estándar. Esto proporciona una excelente seguridad para el acceso local y de red al recurso. También proporciona una excelente protección del recurso para cuando se hace una copia de seguridad y cuando se cambia el nombre del recurso o se reubica. Como dije antes, los permisos NTFS protegerán el recurso incluso si los permisos del recurso compartido están configurados con acceso de Control Total.
Resumen
Los permisos de compartición no son intrínsecamente malos, pero hay muchas formas de utilizarlos incorrectamente. Si la documentación y el personal administrativo son muy conocedores, los permisos compartidos se pueden utilizar junto con los permisos NTFS para bloquear y asegurar aún más los recursos de la red. Sin embargo, si hay poca documentación y una alta rotación en el personal de TI, es una mejor práctica no utilizar los permisos de compartir y dejar la seguridad de los recursos de la red a los permisos NTFS. Aunque Microsoft ha cambiado los permisos de uso compartido para que sean de Lectura para el grupo Todos, esto no indica una solución del mundo real. Es sólo el mejor intento de Microsoft para aumentar la seguridad de los recursos de red, que no es un intento muy bueno, por desgracia.