Es bien conocido que uno de los mecanismos para para regular el acceso a archivos y carpetas en los entornos Windows son los permisos NTFS. Aunque los administradores poseen los conocimientos necesarios para establecer o modificar estos permisos, administrarlos de forma eficaz y sistemática para grupos de usuarios extensos llega a ser un desafío. A continuación, se muestra una guía sencilla para configurar y proteger los permisos NTFS.
Niveles de permisos NTFS
La configuración correcta de los permisos NTFS permite que individuos y grupos obtengan acceso a los ficheros y directorios. A diferencia de los permisos de uso compartido que proporcionan solo tres niveles de permisos (lectura, cambio y control total), los permisos NTFS ofrecen un nivel de control más detallado. Para establecer permisos NTFS, basta con acceder a “Seguridad” dentro de las “Propiedades” del archivo o carpeta. Desde ahí, ya accedemos a los permisos estándar o los especiales si accedemos a “Avanzado”.
Los niveles de permisos NTFS disponibles incluyen:
- Full Control / Control total.
- Modify / Modificar.
- Read & Execute / Leer y Ejecutar.
- List Folder Contents /Listado del contenido de la carpeta.
- Read /Leer.
- Write / Escritura.
- Special permissions Permisos especiales.
Para administrar eficazmente los permisos, es importante comprender la relación entre NTFS y los “Share Permissions”. Los “Share Permissions” y permisos NTFS se pueden combinar para administrar recursos compartidos de archivos, teniendo prevalencia los permisos más restrictivos. Por ejemplo, si el “Share Permission” se establece en “Cambiar” y el permiso NTFS se establece en “Leer”, los usuarios solo podrán leer el archivo.
Sin embargo, dado que los permisos NTFS proporcionan opciones de control de acceso más precisas, es aconsejable mantener los “Share Permission” en un nivel superior (“Control total” para administradores y “Cambio” para los usuarios) y definir el nivel de permiso específico mediante el sistema NTFS. Este enfoque ofrece un control más detallado y ayuda a evitar conflicto entre los dos tipos de permisos.
Errores habituales al configurar permisos NTFS
1. Otorgar acceso directamente a los usuarios
El principal error que se comete es otorgar permisos NTFS directamente a los usuarios en lugar de administrar el acceso a través de grupos. Aunque puede parecer una solución rápida inicialmente es, a la hora de revisar y actualizar los permisos, cuando esta opción genera problemas. Si bien puede requerir tiempo y esfuerzo establecer y administrar grupos de usuarios globales y grupos de permisos locales basados en el principio AGDLP de Microsoft, es mucho más simple que realizar un seguimiento de permisos individuales. Sencillamente, cuando se requieren ajustes en los permisos sobre archivos, es mejor modificar un grupo de permisos y luego modificar la configuración para varios usuarios individuales. Otro problema es la falta de transparencia. Si bien es fácil determinar a qué grupos pertenece un usuario examinando su cuenta, cualquier acceso directo que se le otorgue no se mostrará en esta lista. En su lugar, tendría que revisar las propiedades del directorio específico para ver la entrada de permisos. Además, si el usuario se elimina posteriormente, sus entradas en la lista de control de acceso permanecerán como SID huérfanos, lo que saturará su Active Directory.
2. Asignación de permisos a grupos de usuarios
En lugar de agregar grupos organizativos a grupos de permisos dedicados para acceder a recursos específicos, es común asignar permisos directamente a grupos de usuarios. Sin embargo, los grupos de usuarios solo deben usarse para agrupar a usuarios con el mismo rol, que requieren acceso a los mismos archivos y carpetas. La asignación de permisos directamente a los grupos de usuarios crea una falta de transparencia, ya que resulta difícil determinar qué permisos tiene el grupo.
3. Reutilización de grupos de permisos
Incluso los administradores que establecen permisos NTFS a través de grupos de permisos dedicados a menudo cometen el error de reutilizar grupos para conceder permisos adicionales que van más allá del propósito previsto del grupo. Puede ser tentador modificar un grupo existente para agregar o cambiar convenientemente los niveles de permisos. Sin embargo, cuando se usa el mismo grupo del AD para asignar nuevos derechos de acceso, los miembros del grupo terminan con más permisos de los que implica el nombre del grupo. Esto crea confusión y tergiversación a la hora de generar informes de permisos. Además, cuando más adelante se agreguen nuevos usuarios al grupo, recibirán más acceso del indicado por el nombre del grupo, lo que provoca un aumento de privilegios y el riesgo de amenazas internas.
4. Ignorar las normas establecidas
Cada vez que te desvías de las normas establecidas, ya sea en el uso de los grupos o en las normas de denominación, las cosas pueden caer rápidamente en el caos. Para mantener la claridad y evitar malentendidos, es esencial que todos los administradores se adhieran sistemáticamente a una única norma establecida. Este es uno de los principales factores que hacen que la implementación y administración de permisos NTFS sea un desafío.
Prácticas recomendadas para administrar permisos NTFS
Una vez revisadas las acciones a evitar a la hora de la administración de permisos NTFS, centrémonos en el enfoque adecuado para gestionar los permisos NTFS. Hay varios factores a tener en cuenta y enumeramos algunas de las prácticas más recomendables para administrar de forma segura y eficiente los permisos NTFS.
Adherirse a un proceso estandarizado
Con el fin de garantizar un enfoque coherente en la concesión de los permisos de acceso, la asignación de nombres a los grupos y añadir nuevos directorios, es necesario crear un proceso estandarizado. Documentar de modo claro estas políticas permiten convertir la documentación en un punto de referencia confiable cuando surgen incertidumbres, especialmente cuando se trata de situaciones atípicas. Y más cuando se busca un enfoque uniforme en un gran equipo de administradores
Desplegar una política de accesos de “mínimo privilegio”
El Principio de Privilegio Mínimo exige que a cada usuario se le otorgue el nivel de acceso más bajo posible necesario para realizar sus tareas, minimizando el riesgo de explotación en caso de un ciberataque. Este principio es un aspecto fundamental de los marcos de seguridad contemporáneos como Zero Trust, así como de varios estándares de cumplimiento como ISO 27001, NIST CSF e HIPAA.
Usar grupos siempre que sea posible
Siempre se recomienda utilizar grupos de permisos para establecer permisos NTFS. Evita asignar permisos NTFS directamente a usuarios u objetos individuales, ya que esto dificulta la administración y el seguimiento de los permisos de forma eficaz. Además, si se quita un usuario de Active Directory, los permisos asignados directamente pueden dar lugar a entradas huérfanas en la lista de control de acceso.
Restringir la creación de nuevas carpetas en el nivel raíz
Para mantener una estructura de carpetas organizada y evitar que elementos aleatorios saturen el directorio raíz, es aconsejable evitar que los usuarios, independientemente de su responsabilidad en la organización, creen nuevas carpetas en este nivel. Se recomienda otorgar únicamente a TI la autoridad para agregar nuevos directorios.
Evite otorgar el control total
Los usuarios no requieren permiso de control total bajo ninguna circunstancia. El permiso Modificar ya les otorga la capacidad de crear, editar y eliminar archivos, mientras que el control total se extiende a cambiar la configuración y los niveles de permisos.
Evita crear demasiados niveles
No establezca permisos NTFS explícitos en niveles profundos del árbol de directorio. Cíñete a dos o tres niveles de permisos explícitos para simplificar las cosas y deja que la herencia de permisos se encargue del resto. De lo contrario, el número de grupos de permisos y grupos de listas que necesita crece rápidamente fuera de control. Dado que Windows, en realidad, pone un límite estricto en la cantidad de grupos de los que un usuario puede formar parte, tener demasiados de estos grupos puede hacer que no todos los permisos se lean correctamente.
Evite romper la herencia
Los permisos en cada nivel de carpeta en Windows se pueden personalizar rompiendo la herencia. Esto permite la creación de permisos NTFS únicos que no se heredan de carpetas de nivel superior. Sin embargo, se recomienda abstenerse de utilizar esta función, ya que complica la comprensión de los permisos NTFS convirtiendo las estructuras de permisos desorganizadas y desconcertantes.
Utiliza la “Access Based Enumeration”
Windows 2003 R2 introdujo la Access Based Enumeration (ABE), que proporciona la capacidad de ocultar carpetas a los usuarios que carecen de los derechos de acceso adecuados. La habilitación de ABE supone una mejora significativa en la experiencia del usuario, ahorrándoles la laboriosa tarea de examinar innumerables directorios para localizar la carpeta concreta que necesitan.
Mostrar el contenido de la carpeta de directorios de nivel superior
Los permisos concedidos para un subdirectorio no se extienden automáticamente a la navegación por las subcarpetas. Si bien los usuarios tienen la opción de especificar la ruta exacta de la subcarpeta en Explorador, , la mayoría prefiere usar la interfaz gráfica de usuario (GUI). Para permitir que los usuarios accedan a la carpeta deseada utilizando la interfaz gráfica de usuario, es esencial proporcionarles permisos de lista («Mostrar contenido de carpeta») para directorios de nivel superior. El enfoque más eficaz es asignar usuarios a grupos de lista dedicados, que les otorgan automáticamente los permisos necesarios una vez que obtienen acceso a un recurso. Sin embargo, es vital restringir la herencia durante este proceso para asegurar que los usuarios solo puedan ver el contenido de la carpeta específica por la que necesitan navegar, de lo contrario, los usuarios tendrían acceso sin restricciones para navegar por todos los directorios del servidor de ficheros.
Cómo te podemos ayudar desde MICROMOUSE en la gestión de los permisos NTFS
Desde MICROMOUSE te ofrecemos una solución de auditoría que te puede ayudar a implementar y administrar los permisos NTFS de varias maneras:
Identificar comportamientos anómalos: Le podemos ayudar a supervisar el comportamiento de los usuarios e identificar cualquier actividad inusual relacionada con los permisos NTFS. Por ejemplo, si un usuario intenta modificar u obtener acceso no autorizado a un archivo o carpeta cambiando sus permisos NTFS.
Supervisar la escalada de privilegios: Con esta solución puede supervisar el comportamiento de los usuarios privilegiados y detectar cualquier intento no autorizado de escalar sus privilegios modificando los permisos NTFS. Esto ayuda a evitar el acceso no autorizado y las posibles filtraciones de datos.
Informes de cumplimiento: También genera informes detallados relacionados con los cambios de permisos NTFS, lo que proporciona información sobre quién tiene acceso a qué archivos y carpetas. Esto ayuda a tu organización en las medidas de cumplimiento normativo y permite identificar posibles brechas de seguridad o violaciones de políticas.
Evaluación de riesgos: Con nuestra solución puede analizar patrones de comportamiento para evaluar el riesgo asociado con usuarios o grupos específicos en términos de permisos NTFS. Esto ayuda a tu organización a priorizar sus esfuerzos de seguridad y asignar recursos de manera efectiva.
Si quieres conocer al detalle nuestra solución, no dudes en contactarnos ¿Hablamos de ciberseguridad?