Administración de los permisos de NTFS en Windows

Los permisos NTFS en Windows se utilizan para restringir el acceso a las carpetas y archivos de las particiones del disco formateadas con el sistema de archivos NTFS. Los permisos NTFS proporcionan una protección flexible para los objetos del sistema de archivos, pueden aplicarse a las carpetas o a los archivos individuales; se aplican tanto a los usuarios locales como a los remotos (cuando se accede a los archivos a través de la red mediante el protocolo SMB).

Cada archivo o carpeta NTFS (objeto) tiene un registro separado en la tabla especial MFT (Master File Table). Cada registro contiene un Descriptor de Seguridad que consiste en dos ACLs:

  • Lista de control de acceso al sistema (SACL) – lista de control de acceso al sistema. Se utiliza para auditar el acceso a los objetos del sistema de archivos NTFS;
  • Lista de control de acceso discrecional (DACL) – una lista de acceso en la que se definen los usuarios y grupos y sus permisos para acceder a un objeto.

Cuando hablamos de permisos de acceso a los objetos NTFS, normalmente nos referimos a los DACL (más tarde usaremos el término ACL para ellos).

El ACL NTFS del objeto contiene los siguientes campos:

  • Un identificador de seguridad (SID) del usuario o grupo al que se aplica este registro;
  • Lista de objetos para un determinado SID;
  • Banderas de herencia;
  • Tipo de acceso (ACE): permitir, denegar o auditar.

El token de acceso se genera en base a la cuenta del usuario cuando éste se conecta. El token de acceso contiene el SID del usuario y los SID de todos los grupos de dominios locales y dominios a los que pertenece el usuario. Cuando un usuario accede al objeto NTFS, Windows compara los datos del token de acceso con la ACL del archivo (carpeta) y proporciona acceso basado en estos datos.

LEER TAMBIÉN Configurar DC para el tiempo de sincronización con el servidor NTP externo

Puede ver y administrar los permisos actuales de NTFS en los objetos del sistema de archivos desde el Explorador de Archivos (o puede administrar los permisos de NTFS desde cli utilizando la utilidad iCACLS ).

Selecciona cualquier archivo o carpeta en el Explorador de archivos, abre sus propiedades y ve a la pestaña Seguridad .

En la parte superior (la sección Grupos o nombres de usuario ) hay una lista de SIDs (convertidos automáticamente a los nombres de usuario o grupo), en la sección Permisos se pueden ver los permisos NTFS para el SID seleccionado y el tipo de acceso asignado (ACE).

Para añadir un nuevo SID de usuario/grupo a la ACL de archivo/carpeta, haz clic en el botón Editar (disponible si la UAC está activada) y utiliza los botones Añadir / Eliminar para añadir un nombre de usuario a la ACL. Después de añadir el SID del usuario (grupo), puedes seleccionar un permiso de acceso al objeto.

Consideremos la lista de permisos básicos del sistema de archivos NTFS:

  • Listar el contenido de las carpetas – ver una lista de los archivos de una carpeta;
  • Leer – ver (en modo de sólo lectura) el archivo o la carpeta;
  • Leer y ejecutar – permite leer archivos y ejecutar ejecutables;
  • Escribir – el permiso para crear archivos (carpetas) y editarlos (sin posibilidad de eliminación);
  • Modificar – incluye el permiso de escritura y permite eliminar objetos del sistema de archivos;
  • Control total – incluye el permiso de Modificación y adicionalmente permite controlar el acceso al objeto (modificación de ACL).

LEER TAMBIÉN Cómo arreglar el problema de la conexión a Internet para los usuarios de Windows 10?

Puede ver que todos los permisos NTFS se conceden para la cuenta del SISTEMA seleccionado (véase la captura de pantalla a continuación).

Además de los permisos básicos de NTFS, hay permisos adicionales que permiten gestionar los permisos de acceso a los objetos de un sistema de archivos con mayor flexibilidad.

Si se asignan permisos especiales de NTFS al SID seleccionado, la opción «Permisos especiales» se marcará en la lista de permisos.

Para ver y editar los permisos avanzados, haz clic en el botón Avanzado , selecciona un usuario o grupo y haz clic en el botón Editar .

Para mostrar los permisos avanzados, haz clic en el enlace Mostrar permisos avanzados .

Lista completa de permisos avanzados de NTFS:

  • Carpeta transversal/archivo de ejecución;
  • Listar la carpeta/leer los datos;
  • Atributos de lectura;
  • Leer atributos extendidos;
  • Crear archivos/escribir datos;
  • Crear carpetas/apagar datos;
  • Atributos de escritura;
  • Escribir atributos extendidos;
  • Eliminar subcarpetas y archivos;
  • Suprimir;
  • Permisos de lectura;
  • Cambiar los permisos;
  • Toma la propiedad.

Todos los permisos de archivos y carpetas se dividen en dos tipos: explícitos y heredables (implícitos). El mecanismo de herencia de NTFS implica la transferencia automática del permiso de NTFS del objeto padre al hijo.

En la siguiente captura de pantalla se puede ver que los permisos de los objetos se heredan ( Heredados de : C: ). Puedes desactivar la herencia haciendo clic en el botón Desactivar herencia. En este caso, puedes cambiar los permisos del objeto a explícitos.

LEER TAMBIÉN Configurar los Avisos Legales sobre Computadoras de Dominio usando la Política de Grupo

Además de los atributos y permisos, cada objeto del sistema de archivos NTFS tiene un atributo de propietario. Este puede ser un administrador local, un usuario, un TrustedInstaller, un SYSTEM, etc. El propietario puede cambiar los permisos de acceso a sus archivos y carpetas, pero el administrador local puede reasignarse como propietario de cualquier objeto NTFS y cambiar los permisos del objeto (puede utilizar el comando takeown para cambiar la propiedad).

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.