Administración avanzada de permisos NTFS y compartidos en Windows

La seguridad de los datos en servidores Windows se apoya, en gran medida, en cómo configuras los permisos NTFS y los permisos de compartición. Si quieres que los usuarios accedan solo a lo que deben, y nada más, necesitas entender muy bien cómo se combinan estas dos capas y cómo se heredan los permisos dentro de las carpetas.

Cuando empiezas a trabajar con recursos compartidos, es muy habitual liarse: das Control total en la pestaña Compartir, pero en la pestaña Seguridad solo concedes Lectura y, claro, ya no sabes qué permiso manda. Además, entran en juego conceptos como permisos explícitos, herencia de permisos, permisos avanzados y la eterna duda de si es mejor tocar el recurso padre o el hijo. Todo esto es justo lo que vamos a desgranar, paso a paso y con detalle.

Conceptos básicos de NTFS y permisos de compartición

La base técnica es sencilla: NTFS es el sistema de archivos moderno de Windows (presente desde Windows NT en adelante) y es el que permite tener permisos avanzados, herencia, auditoría y cifrado a nivel de archivo y carpeta, mientras que el antiguo FAT/FAT32 es mucho más limitado en seguridad.

Los permisos NTFS controlan el acceso tanto local como remoto a los archivos almacenados en volúmenes NTFS; es decir, afectan igual a un usuario que está sentado delante del servidor que a otro que entra a través de la red, siempre que ambos se autentiquen con cuentas de Windows.

Por otro lado, los permisos de compartición actúan solo cuando se accede por red a una carpeta compartida; no afectan en absoluto si alguien abre la carpeta directamente desde la consola del servidor, ni permiten granularidad dentro de la compartición (no puedes tener un permiso distinto para una subcarpeta solo con esta capa).

Esta doble capa hace que, al acceder por red a un recurso compartido ubicado en un volumen NTFS, se combinen siempre permisos de compartición + permisos NTFS; y esa combinación se rige por una regla de oro muy clara: el resultado efectivo es siempre el permiso más restrictivo entre ambos.

Tipos de permisos NTFS: básicos y avanzados

Cuando abres la pestaña Seguridad de un archivo o carpeta, lo primero que ves son los permisos NTFS básicos, que son combinaciones prediseñadas de permisos avanzados para que no tengas que marcar casillas una a una.

Entre los permisos básicos más habituales encontrarás opciones como Control total, Modificar, Leer y ejecutar, Leer, Escribir o incluso Mostrar el contenido de la carpeta; todos ellos se traducen internamente en un conjunto de derechos más granulares.

Si entras en la configuración avanzada, tendrás la lista completa de permisos granulares NTFS, que son los que realmente definen qué acciones puede realizar un usuario sobre un archivo o carpeta en concreto.

Dentro de estos permisos avanzados, hay una serie de derechos muy importantes, como Navegar por carpeta / Ejecutar archivo, Listar carpeta / Leer datos, Leer atributos y Leer atributos extendidos, que en conjunto determinan lo que se puede ver y leer en el sistema de archivos.

Otros permisos granulados se centran en la capacidad de escritura y modificación, como Crear archivos / Escribir datos, Crear carpetas / Agregar datos, Escribir atributos y Escribir atributos extendidos, que definen si el usuario puede crear nuevos elementos, modificar archivos existentes o cambiar metadatos.

En la parte más sensible de la tabla de permisos avanzados están los que afectan a la eliminación y a la seguridad, como Eliminar subcarpetas y archivos, Eliminar, Cambiar permisos, Tomar propiedad, Visualizar permisos y Sincronizar, ya que de ellos depende que un usuario pueda borrar datos o incluso asumir el control de un recurso.

Si cruzas todos estos permisos avanzados con los básicos, verás que, por ejemplo, Control total incluye absolutamente todos esos derechos, mientras que permisos como Leer o Escribir incorporan solo un subconjunto de ellos, lo que permite ajustar el nivel de acceso de forma muy precisa.

Herencia, permisos explícitos y gestión avanzada

Uno de los pilares de la administración avanzada es entender bien la herencia de permisos en NTFS, es decir, cómo se propagan los permisos definidos en una carpeta padre hacia sus subcarpetas y archivos hijos.

Por defecto, cuando configuras unos permisos en una carpeta que actúa como contenedora, todos los objetos hijos heredan esos permisos; esto es muy cómodo porque reduce muchísimo el trabajo de administración en estructuras con gran número de carpetas y documentos.

Los permisos que llegan desde arriba se consideran permisos heredados, mientras que los que defines directamente sobre un archivo o subcarpeta concreta, sin depender del padre, se llaman permisos explícitos.

En escenarios complejos, muchas veces no necesitas romper la herencia; basta con añadir nuevos permisos explícitos de concesión o de denegación en niveles concretos para afinar la seguridad en determinadas carpetas sensibles.

Ahora bien, hay ocasiones en las que sí conviene romper la herencia porque en un punto de la estructura quieres hacer un “borrón y cuenta nueva” y definir un modelo de permisos completamente distinto para esa rama.

Desde la perspectiva de la carpeta padre, puedes reescribir la herencia marcando la opción avanzada de “Reemplazar todas las entradas de permisos de objetos secundarios con permisos heredables de este objeto”, lo que empuja los permisos recién definidos a todo el árbol inferior.

Desde la perspectiva del hijo, puedes deshabilitar la herencia directamente en el recurso concreto, y en ese momento el sistema te preguntará si deseas convertir los permisos heredados en explícitos o eliminarlos por completo para partir desde cero con una ACL vacía.

Si eliges convertirlos, mantendrás la configuración actual como permisos explícitos que luego podrás ir retocando; si eliges quitarlos, tendrás que definir manualmente todos los nuevos permisos, lo que da más control pero también exige más cuidado para no bloquear accesos legítimos.

Permisos de compartición: niveles y configuración

En el plano de red, los permisos de compartición regulan quién puede entrar a un recurso compartido y qué puede hacer una vez que se conecta, siempre que el acceso sea remoto (por UNC, unidades mapeadas, etc.).

Estos permisos se aplican a todos los archivos y carpetas dentro de la compartición, sin distinguir entre subcarpetas, por lo que no permiten el mismo grado de granularidad que NTFS, aunque sí son válidos sobre volúmenes FAT o FAT32.

Los niveles clásicos de una carpeta compartida son Read (Lectura), Change (Cambiar) y Full Control (Control total), cada uno con un conjunto de capacidades: ver, modificar, añadir o eliminar elementos y, en el caso de Control total, gestionar permisos NTFS en la propia compartición.

De fábrica, al compartir una carpeta, lo normal es que el grupo Everyone tenga permiso de Lectura, mientras que el grupo Administrators suele disponer de Control total, aunque en entornos protegidos esta configuración se ajusta de forma estricta.

Para configurar estos permisos, accedes a las propiedades de la carpeta, pestaña Compartir, y utilizas las opciones de Uso compartido avanzado para dar nombre al recurso compartido (con posibilidad de ocultarlo añadiendo un $ al final) y definir los permisos para grupos y usuarios concretos.

Cómo interactúan permisos NTFS y de compartición

El punto clave para no volverse loco es entender que, cuando un usuario accede a través de la red a una carpeta ubicada en un volumen NTFS, se aplican dos filtros de seguridad: primero el permiso de compartición y después el permiso NTFS.

La regla práctica es muy clara: el resultado efectivo será siempre el permiso más restrictivo que surja de combinar ambos, es decir, lo que una capa niega, la otra no puede concederlo, aunque sea más permisiva.

Imagina que a un usuario le concedes Control total en la pestaña Compartir pero solo Lectura en la pestaña Seguridad; en este caso, aunque el recurso compartido diga que el usuario puede hacer de todo, NTFS solo le deja leer, así que el permiso efectivo será de solo lectura.

Si ocurriese lo contrario —por ejemplo, Change (Cambiar) o Control total en NTFS y solo Read (Lectura) en la compartición—, el usuario también quedaría restringido a lo que permite la compartición, que es menos permisivo que la ACL NTFS.

Por este motivo, muchos administradores optan por una estrategia de dejar los permisos de compartición relativamente amplios (por ejemplo, Control total para administradores y Cambiar para Usuarios del dominio) y aplicar toda la lógica de restricción fina exclusivamente con permisos NTFS.

Configuración práctica de permisos de compartición y NTFS

Cuando diseñas un servidor de archivos, es habitual seguir una estructura de carpetas clara, por ejemplo algo similar a E:\Content como carpeta física que luego se publica mediante una compartición de red como \servidor\share$.

En la capa de compartición, lo lógico es que grupos como Administradores de dominio y cuentas de máquina tengan Control total, y que los usuarios de dominio dispongan al menos de permisos de Cambio si van a modificar contenido.

Después, sobre la carpeta física E:\Content, los permisos NTFS suelen limitarse a Administradores y System con Control total, sin añadir usuarios finales, porque el verdadero filtrado se hace en niveles más profundos de la estructura de carpetas.

Dentro de esa raíz, puedes tener contenedores específicos por sitio o por usuario, tipo E:\Content\<sitename>, donde otorgas Control total a Administradores y System, y permisos de solo lectura o listado de contenido al propietario del sitio si solo debe consultar, pero no modificar esa carpeta contenedora.

En la carpeta principal del sitio web, por ejemplo E:\Content\<sitename>\wwwroot, suele concederse Control total a Administradores y System, Control total al propietario del sitio y permisos de solo lectura a la identidad del grupo de aplicaciones de IIS, para que el sitio funcione correctamente sin dar más permisos de los necesarios.

Las carpetas de registros se recomiendan siempre por encima de la raíz web, algo tipo E:\Content\<sitename>\Logs, con Control total para Administradores y System y acceso controlado (normalmente lectura o lectura y escritura según el tipo de log) para el propietario del sitio o las cuentas de servicio que escriben los logs.

Guía paso a paso: permisos de compartición

Para crear un recurso compartido nuevo, lo primero es situarte en la carpeta que quieres publicar, hacer clic con el botón derecho y abrir las Propiedades de la carpeta, donde encontrarás la pestaña de Uso compartido.

Desde ahí puedes pulsar en Uso compartido avanzado, que es donde se configura el nombre del recurso compartido, el número máximo de usuarios simultáneos y, sobre todo, la lista de permisos de compartición.

En entornos con UAC activado, Windows puede solicitar confirmación para continuar, ya que modificar recursos compartidos necesita privilegios elevados; tendrás que aceptar el aviso para seguir configurando.

Una vez en Uso compartido avanzado, marcas la casilla de “Compartir esta carpeta”, defines el nombre (si quieres ocultarlo, añades un signo $ al final) y, si lo consideras necesario, añades un comentario descriptivo para identificar el recurso.

A continuación, pulsas en el botón Permisos y, en el cuadro emergente, eliminas el grupo Todos (Everyone) si aparece por defecto, añadiendo en su lugar los usuarios y grupos adecuados a los que quieres dar acceso y asignándoles Lectura, Cambiar o Control total según su función.

Guía paso a paso: permisos NTFS y permisos avanzados

Para configurar los permisos NTFS sobre la estructura de carpetas, vuelves a las Propiedades del objeto (archivo o carpeta), pero esta vez entras en la pestaña Seguridad, donde se ve la lista de usuarios y grupos con sus permisos concedidos o denegados.

Desde ahí puedes pulsar en Editar para añadir nuevas entradas, modificar existentes o eliminarlas; en este cuadro se definen los permisos básicos (Leer, Modificar, Control total, etc.) sobre el recurso seleccionado.

Si quieres un control más fino, haces clic en Avanzado, lo que te llevará a la ventana de configuración avanzada de seguridad, con pestañas específicas para permisos, herencia, propietario y auditoría.

En la pestaña de Permisos avanzados puedes pulsar Cambiar permisos para ajustar cada entrada en detalle, eligiendo en “Aplicar a” si esa entrada afecta solo a esta carpeta, a esta carpeta y subcarpetas, a archivos hijos, o a todas las combinaciones posibles.

En la sección de permisos avanzados verás la lista completa de casillas que comentábamos antes (Carpeta Traverse / archivo de ejecución, Lista de carpetas / lectura de datos, Leer atributos, Crear archivos, Eliminar, Cambiar permisos, Tomar propiedad, etc.), que puedes marcar como Permitir o Denegar.

Si quieres que las subcarpetas y archivos hereden exactamente la misma configuración, puedes seleccionar la opción de aplicar estos permisos a objetos y/o contenedores dentro de este contenedor únicamente, asegurando que desde ese punto hacia abajo se replica la ACL que acabas de definir.

Cuando termines de ajustar las distintas entradas de permisos NTFS, es recomendable revisar la casilla de “Reemplazar todos los permisos de objeto secundario con permisos heredables de este objeto” si tu intención es unificar por completo la seguridad en toda la rama inferior.

Buenas prácticas de administración avanzada de permisos

Para evitar que la gestión de permisos se convierta en un caos incontrolable, es fundamental seguir el principio de mínimo privilegio (PoLP), dando a cada usuario solo los permisos imprescindibles para su trabajo diario y nada más.

Una recomendación básica es asignar permisos a grupos y no a usuarios individuales, salvo casos muy excepcionales, ya que así basta con cambiar la pertenencia a grupos cuando un usuario cambia de puesto, sin tener que revisar cada ACL una por una.

También es una buena idea agrupar en una misma carpeta los recursos con requisitos de seguridad similares, de forma que puedas compartir una carpeta raíz y aplicar permisos NTFS homogéneos debajo, en vez de crear docenas de comparticiones pequeñas difíciles de mantener.

Respecto a los grupos especiales, conviene ser especialmente cuidadoso con Everyone y Administrators; se recomienda limitar al máximo los accesos amplios y mantener la membresía de administradores reducida y controlada, utilizando cuentas separadas para tareas administrativas.

En cuanto a la herencia y las denegaciones explícitas, es importante no abusar de permisos Denegar salvo cuando sea estrictamente necesario, ya que pueden generar efectos colaterales complicados de diagnosticar, sobre todo si hay grupos anidados y estructuras profundas de carpetas.

Solución de problemas y permisos efectivos

Cuando un usuario no puede acceder a un recurso que debería ver, o al revés, tiene más acceso del que conviene, suele deberse a permisos rotos o mal heredados, o a la presencia de grupos anidados y SIDs huérfanos en las ACL.

Una forma práctica de empezar el diagnóstico es usar herramientas nativas o de terceros, como AccessChk, para comprobar los permisos efectivos para un usuario concreto sobre un archivo o carpeta, teniendo en cuenta todos los grupos a los que pertenece.

Conviene revisar con calma si hay identificadores de seguridad desconocidos (SIDs sin resolver) en las listas de control de acceso; y, si procede, generar informes de permisos NTFS para analizarlos, ya que normalmente corresponden a cuentas eliminadas que dejaron restos y pueden complicar la interpretación de la ACL.

Otro punto a verificar es quién es el propietario del recurso, puesto que el propietario tiene la capacidad de cambiar permisos incluso cuando la ACL parecería restrictiva; a veces el administrador debe tomar posesión de un archivo o carpeta para poder corregir la configuración.

En estructuras complejas, es recomendable trazar la jerarquía de carpetas y revisar dónde se ha roto la herencia o dónde se aplican denegaciones explícitas, para identificar el nivel que está originando el conflicto de permisos que sufre el usuario.

Estrategia general: NTFS frente a permisos de compartición

En la mayoría de entornos empresariales, la práctica más sólida consiste en apoyarse principalmente en permisos NTFS para la parte fina de la seguridad, ya que se aplican tanto a accesos locales como remotos y permiten un control muy detallado por archivos y subcarpetas.

Los permisos de compartición se usan como capa de control general por red, sobre todo en sistemas donde hay volúmenes FAT/FAT32 que no soportan NTFS, o en pequeñas oficinas donde únicamente se accede a los recursos de forma remota y la administración es más sencilla.

Combinando ambas capas, lo ideal es configurar la compartición de forma relativamente abierta para el colectivo que debe acceder (por ejemplo, Cambiar para usuarios de dominio) y refinar al máximo los permisos NTFS para separar claramente quién puede leer, quién puede modificar y quién administra.

Siempre hay que tener presente que, ante cualquier solapamiento, prevalecerá el permiso más restrictivo, de modo que no tiene sentido conceder un Control total en la compartición si NTFS solo permite Lectura, o al revés, esperar que una compartición de solo Lectura permita Modificar por tener NTFS más permisivo.

En organizaciones con muchos usuarios y roles, puede ser muy útil apoyarse en modelos de Control de Acceso Basado en Roles (RBAC) y en herramientas como Active Directory, SolarWinds ARM, Netwrix u otras soluciones de terceros, para automatizar la asignación de permisos y revisar periódicamente quién tiene acceso a qué.

La administración avanzada de permisos NTFS, combinada con una configuración coherente de permisos de compartición, una herencia bien pensada y un uso disciplinado de grupos y roles, permite construir un modelo de seguridad robusto, flexible y manejable que protege los datos, facilita el trabajo diario y reduce al mínimo los sustos por accesos indebidos o bloqueos inesperados.