3 Study area and research data acquisition
3.2 Research data acquisition
Los archivos y carpetas almacenados en un servidor de archivos pueden contener información confidencial. Es necesario garantizar la seguridad del acceso para asegurar la confidencialidad de los datos.
1. Los permisos NTFS
Los permisos NTFS se asignan a los archivos o carpetas almacenados en una partición NTFS. Permiten autorizar o denegar el acceso a una cuenta o grupo de usuarios o equipos.
Las subcarpetas (carpetas hijo) pueden heredar las autorizaciones que poseen las carpetas que se encuentran por encima de ellas (carpetas padre). Por defecto, la herencia se encuentra activa al crear una nueva carpeta o archivo. Estos últimos heredan de sus padres.
Se pueden configurar dos tipos de permisos: los permisos estándar y los permisos
avanzados.
Los permisos estándar son los más utilizados en un archivo o carpeta. El permiso Control
totalproporciona al objeto afectado (usuario, equipo o grupo) permisos completos sobre un
archivo o una carpeta, lo que incluye la posibilidad de modificar los permisos o convertirse en propietario. El permiso Modificar permite leer, escribir y eliminar un archivo o una carpeta. Se concede al objeto afectado permisos para ejecutar un archivo o efectuar su creación. Atribuyendo el permisoLectura y ejecución, es posible leer un archivo y ejecutar un programa. A diferencia del permisoLectura y ejecución, Lectura solo permite ver el contenido de un archivo o de una carpeta. El permiso Escritura proporciona permisos de escritura sobre un archivo. Por último, al atribuir a un objeto el permiso Mostrar el contenido
de la carpeta, es posible enumerar las carpetas y archivos contenidos en una carpeta pero sin
tener la posibilidad de abrir y leer el contenido de un archivo.
Los permisos avanzados permiten implementar autorizaciones mucho más granulares.
Atravesar carpeta/ejecutar archivo
El permiso Atravesar carpeta permite al objeto recorrer un árbol de carpetas. Esto permite, por ejemplo, acceder a un archivo en una subcarpeta sin poder leer los archivo de la carpeta compartida o de otras subcarpetas. La autorización ejecutar archivo permite autorizar o denegar la ejecución de programas.
Mostrar
carpeta/leer datos
A diferencia de la autorización Atravesar carpeta, la autorización Mostrar
carpeta se aplica solamente a la carpeta y a su contenido. Leer datos permite
autorizar o denegar a un usuario la lectura de los archivos.
Leer atributos Este permiso permite leer los atributos básicos de un archivo o carpeta (solo lectura, mostrar el contenido...).
Crear
archivos/escribir datos
Crear archivos se aplica exclusivamente a la carpeta y proporciona permisos
para escribir archivos en el interior de esta carpeta. Escribir datos permite por su parte autorizar al usuario a sobrescribir el contenido de un archivo.
Crear
carpetas/anexar datos
Crear carpetas proporciona la autorización para crear carpetas en el interior de
la carpeta en la que se sitúa el permiso de acceso. Anexar datos permite agregar datos al final del archivo, el usuario no podrá modificar ni eliminar los datos
2.
Defi
nició
n de
una
carp
eta
com
parti
da
Las carpet as compa rtidas permiten un acceso directo a un recurso almacenado en un servidor. Este acceso se efectúa a través de la red, al compartir una carpeta, ésta se vuelve disponible para los usuarios y equipos conectados a la red. Para limitar el acceso con el objetivo de garantizar la confidencialidad, es necesario poner autorizaciones de seguridad. Éstas pueden asignarse a una carpeta o un archivo.El acceso se efectúa empleando una ruta UNC (Universal Naming Convention). Ésta se compone del nombre del servidor que contiene el recurso seguido del nombre del recurso compartido (por ejemplo: \\dc1\Datos). Los recursos compartidos administrativos se utilizan desde hace años. Permiten poner disponible un recurso en la red sin que el usuario pueda verlo. Para acceder, es necesario introducir la ruta UNC. Los recursos como c$, admin$ se crean durante la instalación de un sistema operativo cliente o servidor. Para ocultar un recurso compartido y transformarlo en un recurso administrativo, debemos añadir un $ al final del recurso (\\dc1\Data$).
Por defecto, el sistema NTFS utiliza la herencia para transmitir los permisos de acceso. Al crear un archivo o carpeta, este último recupera automáticamente los permisos de seguridad aplicados a su padre. En ciertas ocasiones, se puede llegar al caso de que los permisos heredados contradicen a los permisos explícitos. Hablamos entonces de conflictos. En este caso, los permisos declarados explícitamente por el administrador tienen prioridad sobre los permisos heredados de la carpeta padre. Los últimos pueden ser deshabilitados bloqueando la herencia en la carpeta o el archivo. Esta operación se efectúa en las opciones avanzadas del archivo o carpeta (clic derecho en la carpeta, Propiedades - pestaña Seguridad - Opciones
avanzadas).
Después de bloquear la herencia, las modificaciones a los permisos del padre no se aplicarán más al hijo. A veces es necesario restablecer los permisos en cada nodo del árbol remplazando los permisos del padre al hijo. Para esto, se debe usar la opción Remplazar todas las
entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto. La operación consiste en propagar los permisos del padre a todas las
subcarpetas.
existentes.
Escribir atributos Proporciona permisos para modificar los atributos básicos (mostrar el contenido, solo lectura).
Eliminar subcarpetas y archivos
Permite eliminar subcarpetas y archivos. Este permiso solo se aplica a las carpetas.
Eliminar Proporciona la posibilidad de eliminar las carpetas y archivos. El usuario deberá sin embargo poseer el permiso Eliminar subcarpetas y archivos en la carpeta padre para poder efectuar las eliminaciones.
Permisos de lectura Autoriza al objeto que recibe este permiso a leer los permisos asignados a un recurso.
Cambiar permisos La persona a la que se concede este permiso puede efectuar la modificación de los permisos.
Tomar posesión Autoriza al usuario a convertirse en propietario del recurso. Tendrá la posibilidad de modificar los permisos.
Una autorización efectiva es un permiso final otorgado a un objeto de Active Directory (usuario, grupo o equipo). Puede ser complicado conocer esta autorización, se puede obtener un resultado diferente del deseado si hay muchos grupos implicados y el usuario está incluido en diferentes grupos. Desde hace algunos años, existe una herramienta que permite calcular esta autorización final disponible en los sistemas operativos de Microsoft. Muy práctica en arquitecturas complejas, permite saber en pocos clics el permiso otorgado a un usuario o grupo.
La primera etapa consiste en seleccionar el usuario o grupo deseado.
Haciendo clic en Ver el acceso efectivo, podemos visualizar las autorizaciones que el usuario tiene sobre el recurso.
La siguiente pantalla muestra que los miembros del grupo Formadores no poseen ningún permiso sobre la carpeta.
3. Visualizar recursos compartidos en función de los permisos de acceso
La enumeración basada en el acceso (ABE - Access-Based Enumeration) consiste en mostrar solamente las carpetas contenidas en un recurso compartido a las que el usuario tiene permitido el acceso. De esta forma, se simplifica el acceso a los recursos compartidos y a los archivos. La activación de esta función se realiza desde la consola Administrador delservidor.
Una vez iniciada la consola, debemos acceder al nodo Servicios de archivos y de
almacenamiento y luego Recursos compartidos.
Accediendo a las Propiedades de un recurso compartido y luego a la pestaña Configuración, podemos activar la opción.
La opción debe activarse en cada recurso compartido.