CCAAPPÍÍTTUULLOO 0055 Sistemas de Archivos en Windows 2003S

El acceso a la información almacenada unhace a través de carpetas o Directorios Co

equipo ejecutando Windows Server 2003 se mpartidos. Por lo tanto un administrador debe

n el desarrollar habilidades que le permitan garantizar el acceso a estos directorios cogrado de seguridad apropiado.

Que son los permisos?

Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo para un objePor ejemplo, puede permitir a un usuario leer el contenido de un archivo, dejar que ousuario realice cambios en el archivo e impedir a los demas usuarios el acceso al archPuede establecer permisos similares en impresoras para que determinados usuarios pueda

to. tro

ivo. n

os usuarios solo puedan imprimir en ella.

a

s para objetos a:

1. Grupos, usuarios e identidades especiales del dominio.

.

3. Grupos y usuarios locales del equipo en el que reside el objeto.

configurar una impresora y otr

Los permisos se aplican a cualquier objeto protegido, como archivos, objetos del servicio dedirectorios Active Directory y objetos del registro. Los permisos se pueden conceder cualquier usuario, grupo o equipo.

Puede conceder permiso

2. Grupos y usuarios de cualquier dominio de confianza

I 117

Al establecer permisos, se especifica el nivel de acceso de los grupos y usuarios. Los permisos adjuntos a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se adjuntan a un archivo son diferentes de los que se adjuntan a una clave de registro. Sin embargo, algunos permisos, son comunes a la mayoria de los tipos de objeto. Los permisos siguientes son permisos comunes:

1. Permisos de lectura

2. Permisos de escritura

3. Permisos de eliminacion

Permisos Estandar y Especiales

Puede conce tandar y eque se asignan con mayor frecuencia.mas preciso para asignar acceso a obje

El sistema tiene un ni de configuracobjeto. Esta configuracion constituyeutilizar diariamente un administrador de sistvarÌa en fun jeto para

Los permisos especiales conforman uestandar es o con los sigui

1. Most carpetas/leer d

2 Leer atributos

3 Leer atributos extendidos

4 Leer permisos Si el administrador del sistema elimina un permiso especial relacionado con un permiso esta la casilla de verificacion del permiso estandar deja de estar activada. En su lugar, se activa la casilla de verificacion del permiso especial incluido en la lista de permisos estandar.

der permisos es speciales para objetos. Los permisos estandar son los Los permisos especiales ofrecen un grado de control tos.

vel ion de seguridad predeterminado para un determinado el conjunto de permisos mas habituales que suele

ema. La lista de permisos estandar disponibles el que se esta modificando la seguridad. cion del tipo de ob

na lista mas detallada. Un permiso NFTS de lectura entes permisos especiales: ta relacionad

rar lista de atos

.

.

.

ndar,

118

Carpetas Compartidas

Una carpeta compartida es aquella a la que pueden obtener acceso varios usuarios a traves de la red. Una vez que se comparte una carpeta, los usuarios pueden obtener acceso a todos sus archivos y subcarpetas, siempre que se les hayan concedido permisos.

Puede colocar carpetas compartidas en el servidor de archivos o en un equipo de la red. Puede almacenar archivos en las carpetas compartidas según sus categorÌas y funciones. Por ejemplo, puede colocar archivos de datos compartidos en una carpeta y compartir archivos de aplicacion en otra.

Solo se pueobtener acce ocontinuacion

• tura al grupo

•

compartida original, pero no asÌ su copia. Cuando una carpeta compartida se mueve a otra ubicacion, deja de estar compartida.

re de la carpeta. El usuario no puede ver la carpeta compartida en la

Una carpeta compartida se distingue en el Explorador de Windows por un icono de una mano que sostiene una carpeta.

den compartir carpetas, no archivos individuales. Si varios usuarios necesitan s al mismo archivo, debe introducirlo en una carpeta y compartir esta a .

Cuando se comparte una carpeta, se concede un permiso de lecTodos de forma predeterminada. Elimine el permiso predeterminado y conceda permiso de cambio o de lectura a los grupos según sea necesario.

Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso predeterminado es el de lectura.

• Al copiar una carpeta compartida, se sigue compartiendo la carpeta

• Puede ocultar una carpeta compartida si pone un signo de dolar ($) al final del nombinterfaz de usuario, pero puede obtener acceso a ella escribiendo el nombre UNC (Universal Naming Convention, Convencion de nomenclatura universal). Por ejemplo \\servidor\secretos$.

I 119

Que son las carpetas compartidas administrativas?

Windows Server 2003 comparte automaticamente carpetas que permiten realizar tareaadministrativas. Se caracterizan por incluir un signo de dolar ($) al final del nombre d

rpeta. El signo de dolar permite oculta

s e

r la carpeta compartida a los usuarios que examinan administrar de forma rapida as compartidas ocultas.

tienen, de manera predeterminada, permiso de artidas administrativas. No se pueden modificar los

rmisos de las carpetas compartidas administrativas.

La siguiente tabla describe la finalidad de las carpetas compartidas administrativas que ofrece automaticamente Windows Server 2003.

Carpeta Finalidad compartida

C$, D$, E$ Utilice estas carpetas compartidas para conectarse de forma remota a un equipo y realizar tareas administrativas. La raiz de cada particion (que tenga una letra de unidad asignada) del disco duro se comparte autom·ticamente. Al conectarse a esta carpeta, tiene acceso a toda la particion.

Admin$ Esta es la carpeta raiz del sistema, que se encuentra de forma predeterminada en C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta compartida para administrar Windows Server 2003 sin necesidad de conocer en que carpeta esta instalada esta aplicacion.

Print$ Esta carpeta ofrece acceso a los archivos de controladores de impresora de los equipos clientes. Al instalar la primera impresora compartida, la carpeta ubicada en Systemroot\System32\Spool\Drivers se comparte con el nombre Print$. Solo los miembros de los grupos Administradores, Operadores de servidor y Operadores de impresion tienen permiso de control total para esta carpeta. El grupo Todos tiene permiso de lectura para esta carpeta.

cael equipo en Mis sitios de red. Los administradores pueden

chivos y carpetas en servidores remotos utilizando estas carpetar

Los miembros del grupo Administradores control total en las carpetas comppe

120

Quien puede tener acceso a las carpetas compartidas?

En Windows Server 2003, los únicos grupos que pueden crear carpetas compartidas son

Como crear una carpeta compartida?

nombre a la carpeta y proporcionar un comentario que mbien se puede limitar el número de rtir varias veces m

ara crear una carpeta compartida mediante Administracion de equipos:

nú Accion, haga clic en Recurso compartido nuevo.

Administradores, Operadores de servidor y Usuarios avanzados. Son grupos integrados ubicados en la carpeta Grupo de Administracion de equipos o en la carpeta integrada de Usuarios y grupos de Active Directory.

Al crear una carpeta compartida, se debe asignar un ofrezca una descripcion de la carpeta y su contenido. Ta

usuarios que pueden obtener acceso a la carpeta, conceder permisos y compala isma carpeta.

P1. En Administracion de equipos, en el arbol de consola, expanda Carpetas

compartidas y, a continuacion, haga clic en Recursos compartidos.

2. En el me

3. Siga los pasos del Asistente para compartir una carpeta.

I 121

Carpetas compartidas publicadas

Lo cursos de publicacion y las carpetas compartidas de Active Directory permiten a los os buscar en Active Directory recursos de la red, incluso aunque cambie la ubicaciÛn de los recursos.

s reusuarifÌsica

se ta compartida publicada guen funcionando, siempre que se actualice la referencia a la ubicacion fÌsica. No es

pueda obtener acceso mediante un nombre UNC. Una vez publicada una carpeta compartida, el usuario del equipo con Windows Server 2003 puede utilizar Active Directory para buscar el objeto que representa a la carpeta compartida y conectarse a Èsta.

Al publicar la carpeta compartida en Active Directory, Èsta se convierte en un objeto secundario de la cuenta de equipo. Para ver las carpetas compartidas como objetos, haga clic en Usuarios, grupos y equipos como contenedores en el menú Ver de Usuarios y equipos de Active Directory. A continuacion, en el arbol de la consola, haga clic en la cuenta de equipo. Vera en el panel de detalles, todas las carpetas compartidas publicadas que estan asociadas a la cuenta de equipo.

Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los accesos directos que ñalan al objeto de Active Directory que representa a la carpesinecesario que los usuarios actualicen las conexiones.

Puede publicar una carpeta compartida en Active Directory a la que se

122

L ctive Directory facilita a los usuarios la petas compartidas e im tive Directory.

P carpeta compartida como objeto del servidor:

1

2.

3vh P 1 n s le N continuacion, haga clic en Carpeta compartida.

2

3 d, escriba el nombre UNC que desea publicar en Active

P

a informacion de publicacion de los recursos de red de A búsqueda de estos en la red. Puede publicar informacion sobre carpresoras mediante Administracion de equipos o Usuarios y equipos de Ac

ara publicar una

. En Administracion de equipos, en el arbol de consola, expanda Carpetas compartidas y, a continuacion, haga clic en Recursos compartidos.

Haga clic con el boton secundario del mouse en una carpeta compartida y, a continuacion, haga clic en Propiedades.

. En el cuadro de dialogo Propiedades, en la ficha Publicar, seleccione la casilla de erificacion Publicar este recurso compartido en Active Directory y, a continuacion, aga clic en Aceptar.

ara publicar una carpeta compartida en una unidad organizativa:

. En Usuarios y equipos de Active Directory, en el arbol de consola, haga clic con el botoecundario del mouse en la carpeta a la que desea agregar la carpeta compartida, señauevo y, a

. En el cuadro de dialogo Nuevo objeto Carpeta compartida, en el cuadro Nombre,escriba el nombre de la carpeta que desea que utilicen los clientes.

. En el cuadro Ruta de reDirectory y, a continuacion, haga clic en Aceptar.

ermisos de carpetas compartidas

Los permisos de las carpetas compartidas solo se aplican a los usuarios que se conectan a la carpeta a traves de la red. No restringen el acceso de los usuarios a la carpeta del equipo en el que esta almacenada. Puede conceder permisos de carpeta compartida a cuentas de usuario, grupos y cuentas de equipo.

I 123

Entre

El pe grup

• Ver datos de archivos y atributos.

• Ver los nombres de archivos y subcarpetas.

• Ejecutar archivos de programa.

El permiso de cambio incluye todos los permisos de lectura y tambien le permite:

• Agregar archivos y subcarpetas.

• Cambiar datos en archivos.

• Eliminar subcarpetas y archivos.

Control total El permiso de control total incluye todos los permisos de lectura y cambio y, adem·s, le permite cambiar los permisos de los archivos y las carpetas NTFS.

Permisos en una carpeta compartida

Utilice el siguiente procedimiento para establecer permisos en una carpeta compartida.

Para 1. equipos, en el arbol de consola, expanda Carpetas Compartidas

compartidos.

2.

3. , realice una de las siguientes acciones:

•

• ra revocar el acceso a una carpeta compartida.

4.

tar. Para Wind1. lorador de Windows, haga clic con el boton secundario del mouse en la

carpeta compartida para la que desea establecer los permisos y, a continuaciÛn, haga clic en Compartir y seguridad.

2. En el cuadro de dialogo Propiedades, en la ficha Compartir, haga clic en Permisos.

3. En el cuadro de dialogo Permisos, realice una de las siguientes acciones:

los permisos de carpeta compartida, se incluyen: Lectura

rmiso de lectura es el permiso de carpeta compartida predeterminado y se aplica alo Todos. El permiso de lectura le permite:

establecer permisos en una carpeta compartida mediante Administracion de equipos: En Administracion dey, a continuacion, haga clic en Recursos

En el panel de detalles, haga clic con el boton secundario del mouse en la carpeta compartida para la que desea establecer los permisos y, a continuacion, haga clic en Propiedades.

En el cuadro de dialogo Propiedades, en la ficha Permisos de los recursos compartidos

Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el cuadro de dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o grupo y, a continuacion, haga clic en Aceptar.

Haga clic en Quitar pa

En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establecer permisos individuales para el usuario o grupo seleccionado. A continuacion, haga clic en Acep

establecer permisos en una carpeta compartida mediante el Explorador el Explor de ows: En el Exp

124

• Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el cdialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o grucontinuaciÛn, haga clic en Aceptar.

• Haga clic en Quitar para revocar el acceso a un recurso compartido.

4. En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establecepermisos individuales para el usuario o grupo seleccionado.

Conectarse a las Carpetas Compartidas

Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a ella a traves quipo

nte Mis sitios de red, la funcion Conectar a unidad de red o el comando Ejecutar del menú Inicio.

Para conectarse a una carpeta compartida mediante Mis sitios de red: a doble clic en Agregar un sitio de red.

para

te sitio de red, haga clic en Elija otra ubicacion de Siguiente.

a. Si hace clic en Examinar, expanda Toda la red.

Aceptar.

5. Haga clic en Siguiente.

6. En la pagina Desea ponerle un nombre a este lugar, escriba el nombre del sitio de red y, a continuacion, haga clic en Siguiente.

7. En la pagina Finalizacion del Asistente para agregar sitios de red, haga clic en Finalizar.

de la red. Los usuarios pueden obtener acceso a una carpeta compartida en otro emedia

1. Abra Mis sitios de red y hag

2. En el Asistente para agregar sitios de red, en la pagina este es el Asistenteagregar sitios de red, haga clic en Siguiente.

3. En la pagina Donde desea crear esred y, a continuacion, haga clic en

4. En la p·gina Cual es la direccion de este sitio de red, escriba la ruta UNC de la carpeta compartida o haga clic en Examinar.

b. Expanda Red de Microsoft Windows.

c. Expanda el dominio y el servidor al que desea conectarse.

d. Haga clic en la carpeta compartida que desea agregar y, a continuacion, haga clic en

I 125

Que es NTFS?

NTFS es un sistema de archivos disponible en Windows Server 2003. NTFS ofrece un rendimiento y unas funciones que no se encuentran en FAT (file allocation table, Tabla de asignacion de archivos) o FAT32.

NTFS ofrece las siguientes ventajas:

Fiabilidad NTFS utiliza el archivo de registro y la informacion de punto de comprobacion para restaurar la integridad del sistema de archivos al reiniciar el equipo. Si se produce un error de sector defectuoso, NTFS vuelve a asignar de forma dinamica el clúster que contiene este sector defectuoso y asigna un nuevo clúster para los datos. NTFS tambien marca el clúster como inservible.

Seguridad a nivel de archivos y de carpetas

Los archivos NTFS utilizan el Sistema de archivos de cifrado (EFS, Encrypting File System) para proteger los archivos y las carpetas. Si EFS esta activado, pueden cifrarse los archivos y las carpetas para uno o varios usuarios. Este cifrado ofrece como ventaja la confidencialidad e integridad de los datos. En otras palabras, los datos estan protegidos fre te a una

S n todos los ar s las cuentas de

uars

conteesta asociado el rma especifica el tipo de acceso que solicita el usuario para poder obtener acceso al archivo o carpeta. Si no existe una entrada ACE en ACL, Windows Server 2003 deniega el acceso del usuario al recurso.

mi

NTFS ad

contronivel

umen que FAT FAT32. NTFS tambien administra el espacio en disco de forma eficaz utilizando tamaños de

cuauti miento de espacio en los discos du

Pe

Si que pertenezca el usuario, se l conceden tambien varios permisos al usuario. Existen reglas para determinar como NTFS puede combinar estos permisos múltiples con el fin de producir los permisos efectivos del usuario.

Permisos de archivo y carpeta NTFS

nmodificacion accidental o no autorizada. NTFS tambien le permite establecer permisos deacceso a un archivo o una carpeta. Se pueden establecer permisos de lectura, de lectura y escritura, o permisos para denegar el acceso.

NTF tambien almacena una lista de control de acceso (ACL, access control list) cochivos y carpetas de una particion NTFS. ACL contiene una lista de toda

us ios, grupos y equipos a los que se les concede acceso al archivo o carpeta y el tipo de acce o concedido. Para un usuario que desea obtener acceso a un archivo o carpeta, ACL debe

ner una entrada, denominada ACE, para la cuenta de usuario, grupo o equipo a la que usuario. ACE debe permitir de fo

Ad nistracion mejorada del aumento de almacenamiento

mite cuotas de disco, que permiten especificar la cantidad de espacio en discodisponible para un usuario. Mediante las cuotas de disco, se puede realizar un seguimiento y

lar el uso del espacio en disco y establecer si se permite a los usuarios superar un de advertencia o el lÌmite de cuota de almacenamiento.

dmite archivos de mayor tamaño y un mayor número de archivos por volNTFS ao clústeres reducidos. Por ejemplo, un volumen NTFS de 30 gigabytes (GB) utiliza clústeres de

tro kilobytes (KB). El mismo volumen con formato FAT32 utiliza clústeres de 16 KB. Al lizar clústeres de menor tamaño, se reduce el desaprovecharos.

rmisos a varios usuarios

se conceden permisos NTFS a una cuenta de usuario individual y a un grupo al e

126

s NTFS se utilizan para especificar que usuarios, gLos permiso rupos y equipos pueden obtener accespueden realLos permis nan en general todo el control de acceso que necesita para roteger sus recursos. Sin embargo, hay situaciones en las que los permisos NTFS

onceder a los os de acceso

.

La siguiente tabla enumera los permisos de archivo NTFS estandar que se pueden conceder y el tipo de acceso que brinda cada permiso.

Permiso de archivo NTFS Permite al usuario:

Control Total

Modificar

Leer/Ejecutar

Escritura

Lectura

Cambiar permisos, tomar posesion de objetos y realizar las acciones autorizadas por otros permisos de archivo NTFS.

Modificar y eliminar el archivo y realizar las acciones autorizadas por el permiso de escritura y el permiso de lectura y ejecucion.

Ejecutar aplicaciones y realizar las acciones autorizadas por el permiso de lectura.

Sobrescribir el archivo, cambiar los atributos de archivo y ver sus permisos y posesion.

Leer el archivo y ver sus atributos, permisos y posesion.

o a los archivos y las carpetas. Los permisos NTFS tambien establecen las acciones que izar los usuarios, grupos y equipos con el contenido de los archivos o carpetas. os NTFS proporcio

pestándar no proporcionan el nivel específico de acceso que quizá desee cusuarios. Para crear el nivel específico de acceso, puede conceder permisespeciales

I 127

Efectos producidos en los permisos NTFS al copiar y mover archivos y carpetas

Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en funcion de la bicaciu

con a la que se mueva. Es importante conocer los cambios que sufren los permisos al

opia m

Al copiar ar carpeta a otra, o de una particion a otra, los permisos de los a vo en los siguientes e

a de la reda los permisos de la carpeta de destino.

e la peta de destino.

lo, S

este tipo de permisos.

ta de origen y permiso de escritura para la carpeta de

nserva sus perm r

TFS diferente, la carpeta o o. Al mover una carpeta o

la

rse o overse.

chivos o carpetas de unarchi s o carpetas pueden cambiar. Al copiar un archivo o carpeta, se produc

fectos en los permisos NTFS:

• Al copiar una carpeta o archivo en una única particion NTFS, la copicarpeta o archivo he

• Al copiar una carpeta o archivo a una particion NTFS diferente, la copia dcarpeta o archivo hereda los permisos de la car

• Al copiar una carpeta o archivo a una particion no NTFS, como, por ejempuna particion FAT, la copia de la carpeta o archivo pierde los permisos NTFdebido a que las particiones no NTFS no admiten

Para copiar archivos y carpetas en una única particion NTFS o entre particiones NTFS, debetener permiso de lectura para la carpedestino.

Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo coisos o iginales.

• Al mover una carpeta o archivo a una particion Narchivo hereda los permisos de la carpeta de destinarchivo entre particiones, Windows Server 2003 copia la carpeta o archivo a nueva ubicaciÛn y, a continuacion, la elimina de la antigua ubicacion.

• Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivopierde los permisos NTFS debido a que las particiones no NTFS no admiten este tipo de permisos.

128

mover un archivo o carpeta, los permisos pueden cambiar en funcion de los permcarpeta de destino. Al mover un archivo o carpeta, se producen los siguientes epermisos NTFS:

Al mover una carpeta o archivo en una

isos de la fectos en los

particion NTFS, la carpeta o archivo conserva sus permisos originales.

• Al mover una carpeta o archivo a una particion NTFS diferente, la carpeta o archivo hereda los permisos de la carpeta de destino. Al mover una carpeta o archivo entre particiones, Windows Server 2003 copia la carpeta o archivo a la nueva ubicacion y, a continuacion, la elimina de la antigua ubicacion.

• Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivo pierde los permisos NTFS debido a que las particiones no NTFS no admiten este tipo de permisos.

Para mover archivos y carpetas en una única particion NTFS o entre particiones NTFS, debe tener permiso de escritura para la carpeta de destino y permiso de modificacion para la carpeta o archivo de origen. Es necesario tener permiso de modificaciÛn para mover un archivo o carpeta debido a que Windows Server 2003 elimina la carpeta o archivo de la carpeta de origen tras copiarla en la carpeta de destino.

La siguiente tabla enumera las posibles opciones para las acciones Copiar y Mover y describe el tratamiento del estado de compresiÛn de un archivo o carp ta por parte de

o a una

eWindows Server 2003.

Accion Resultado Copiar un archivCarpeta dentro de un volumen

I 129

Que es la herencia de permisos NTFS?

Los permisos que se conceden a una carpeta principal son heredados de fpredeterminada por las subcarpetas y los archivos incluidos en ella. Al crear archivcarpetas, y al formatear u

orma os y

na particion con NTFS, Windows Server 2003 asigna s NTFS predeterminados.

eta

asignado explicitamente.

a e

fica la asignacion de permisos a las carpetas principales, las

una de nos

la herencia y evitar asÌ que los permisos

automaticamente permiso

Puede evitar que los archivos y las subcarpetas hereden los permisos asignados a la carpprincipal. Al impedir la herencia de permisos, puede:

• Copiar los permisos heredados de la carpeta principal

• Eliminar los permisos heredados y mantener solo aquellos que se hayan

La carpeta en la que impide la herencia de permisos se convierte en la nueva carpetprincipal y las subcarpetas y los archivos incluidos en ella heredan los permisos que se lasignaron.

La herencia de permisos simplisubcarpetas y los recursos. Sin embargo, es posible que desee impedir la herencia para que los permisos no se propaguen desde una carpeta principal a sus archivos y subcarpetas.

Por ejemplo, puede ser necesario incluir todos los archivos del Departamento de Ventas encarpeta de ventas en la que todos los empleados de este departamento tengan permisoescritura. Sin embargo, es posible que se necesite limitar los permisos de lectura en alguarchivos de la carpeta. Para ello, es necesario impedirde escritura se propaguen a los archivos de la carpeta.

130

C

Utilice el siguiente procedimiento para copiar o eliminar permisos heredados.

Para copiar o eliminar permisos heredados:

1. En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o la carpeta en la que desee cambiar los permisos heredados, y, a continuacion, haga clic en Propiedades.

2. En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas.

3. En el cuadro de dialogo Configuracion de seguridad avanzada, desactive la casilla de verificacion Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aquÌ de forma explicita.

4. En el cuadro de dialogo Seguridad, realice una de las siguientes acciones:

• Haga clic en Copiar para copiar las entradas de permisos que se aplicaronanteriormente del primario a este objeto.

•

5. ridad avanzada, haga clic en Aceptar.

6.

A

opiar o eliminar permisos heredados?

Haga clic en Quitar para eliminar las entradas de permisos que se aplicaron anteriormente desde el primario y mantener solo aquellos permisos asignados explÌcitamente.

En el cuadro de dialogo Configuracion de segu

En el cuadro de dialogo Propiedades, haga clic en Aceptar.

dministracion de archivos y carpetas NTFS

Al administrar el acceso a archivos y carpetas, tenga en cuenta las siguientes practicas recomendadas si concede permisos NTFS:

Co permisos a grupos en lugar de a usuarios. Como no es eficaz mantener cuentas de usuario directamente, evite conceder permisos a usuarios individuales.

nceder

I 131

Utilizar permisos Denegar en las siguientes situaciones:

Para excluir a un subconjunto de un grupo que tiene permisos Permitir.

Para excluir un permiso cuando ya se han concedido permisos de control total a un usuario o grupo.

Si es posible, no cambiar las entradas de permisos predeterminadas de los objetos del sistema de archivos, sobre todo, en las capetas del sistema y las carpetas raÌz. Si se cambian los permisos predeterminados, pueden producirse problemas de acceso inesperados o se puede reducir la velocidad.

No denegar nunca el acceso del grupo Todos a un objeto. Si deniega el acceso de todos a un objeto, tambien se lo deniega a los administradores. En su lugar, es recomendable que se elimine el grupo Todos, siempre y cuando se concedan permisos para el objeto a otros usuarios, grupos o equipos.

Conceder permisos a un objeto ubicado en el nivel mas alto posible del arbol para que la configuracion de seguridad se propague por todo Èste. Puede conceder de forma rapida y eficaz permisos a todos los objetos secundarios o a un sub·rbol de un objeto principal. Mediante esta acciÛn, puede conceder permisos a la mayor parte de los objetos con el menor esfuerzo. Conceda permisos adecuados para la mayorÌa de los usuarios, grupos y equipos.

Para simplificar la administracion, agrupe los archivos según su funcion. Por ejemplo:

s

usuarios el nivel de acceso que necesiten. Por ejemplo, si un usuario necesita leer un archivo, concedale a el o al grupo al que pertenece un permiso de lectura

o

otros usuarios y leer,

• Agrupe archivos de programa en las carpetas en las que residen las aplicaciones utilizadas habitualmente.

• Agrupe en una carpeta las carpetas de datos que contienen carpetas principales.

• Agrupe en una carpeta los archivos de datos compartidos por varios usuarios.

Conceder permisos de lectura y ejecucion a los grupos Usuarios y Administradores para lacarpetas de aplicacion. De esta forma, se evita que los usuarios o los virus eliminenaccidentalmente o dañen los datos y archivos de aplicacion.

Solo autorizar a los

para ese archivo.

Conceder permisos de escritura y permisos de lectura y ejecucion al grupo Usuarios permisos de modificacion al grupo Creador Propietario para las carpetas de datos. Estopermite a los usuarios leer y modificar documentos que crean modificar y eliminar los archivos y las carpetas que crean ellos mismos.

132

Co as me

mo administrar el acceso a archivos y carpetdiante permisos NTFS?

Utilice el siguiente procedimiento para cambiar los permisos estandar y especiales de archivos y carpetas.

Para cambiar los permisos estandar: 1. Encarp

2. En tes accio es:

Paragrup , haga clic en Agregar. En el cuadro de dialogo Seleccionar Usuarios, Equipos criba los nombres de objeto que desea seleccionar, escriba el no esea conceder los permisos y, a continuaciÛn, haga clic en

Para cambiar o elimindel grupo o es de grupos o usuarios y , a continuaciÛn, realice una

Para permi

Para Quit

el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o eta para el que desea conceder permisos, y, a continuacion, haga clic en Propiedades.

el cuadro de dialogo Propiedades, en la ficha Seguridad, realice una de las siguienn

conceder permisos a un grupo o usuarios que no aparece en el cuadro Nombres de os o usuarios

o Grupos, en el cuadro Esmbre del grupo o usuario al que dAceptar.

ar permisos de un grupo o usuario existente, haga clic en el nombre usuario en el cuadro Nombr

de las siguientes acciones:

tir o denegar permisos, seleccione la casilla de verificacion Permitir o Denegar.

eliminar el grupo o usuario del cuadro Nombres de grupos o usuarios, haga clic en ar.

I 133

Permisos Efectivos de archivos y carpetas NTFS

Windows Server 2003 ofrece una herramienta que muestra los permisos efectivos, es decir, los permisos acumulados basados en la pertenencia a un grupo. La informacion se calcula a partir de las entradas de permisos existentes y se muestra en formato de solo lectura.

Los permisos efectivos tienen las siguientes caracteristicas:

Los permisos acumulados son la combinaciÛn de los permisos NTFS de m·s alto nivel concedidos al usuario y todos los grupos de los que el usuario es miembro.

Los permisos de archivo NTFS tienen prioridad sobre los permisos de carpeta.

Los permisos Denegar suplantan a todos los permisos.

Cada objeto, ya sea de un volumen NTFS o de Active Directory, tiene un propietario. El propietario controla el modo en que se establecen los permisos del objeto y a quiÈn se conceden.

Importante Si un administrador necesita arreglar o cambiar los permisos de un archivo, debe tomar posesiÛn del archivo.

En la familia Windows Server 2003, el propietario es de manera predeterminada el grupo Administradores. El propietario puede cambiar en todo momento los permisos de un objeto, incluso aunque se le haya denegado el acceso a este objeto.

La

Un a Administradores se le concede el de

Cualquier usuario o grupo que tenga el permiso Tomar posesiÛn en el objeto en cu

Un usuario que tenga el ede

transferir de las formas

El io a ual pus r pos

Un administrador puede

Un us tenga el ble clic en y rle la po

Importante Lo perm los permisos efectivos. Se nte permisos de carpeta co sos NTFS.

posesion puede ser tomada por:

dministrador. De manera predeterminada, al grupo recho de usuario Tomar posesion de archivos y otros objetos.

estion.

privilegio Restaurar archivos y directorios. La posesion se pu

siguientes:

propietar ct uede conceder el permiso Tomar posesion a otro usuario. El auario debe tom esion realmente para completar la transferencia.

tomar posesion.

uario que privilegio Restaurar archivos y directorios puede hacer do Otros us riua os grupos y seleccionar cualquier usuario o grupo al que asignasesion.

s isos de una carpeta compartida no forman parte del c·lculo de puede denegar el acceso a las carpetas compartidas mediampartida, incluso cuando se autoriza el acceso mediante permi

134

Aplicar T permisos N FS

En eperm

El Us ario1 es miembro del grupo Usuarios y del grupo Ventas.

1. El grupo Usuarios tiene permiso de escritura y el grupo Ventas tiene permiso de lec

El UsmiemVenta

2. El arpeta1. El grupo Ventas tiene

ste ejercicio, se presenta una situacion de ejemplo en la que se le solicita que aplique isos NTFS. Usted y sus compañeros discutiran las posibles soluciones a la situacion.

u

tura en la Carpeta1. Que permisos tiene el Usuario1 en la Carpeta 1?

uario1 tiene permisos de lectura y escritura en la Carpeta1 porque es bro del grupo Usuarios, que tiene permiso de escritura, y del grupo s, que tiene permiso de lectura.

grupo u a en la CUs arios tiene permiso de lecturpermiso d s el Usuario1 en el Archivo2?

El Usuar escritura en el Archivo2 porque es miembro de ectura en la Carpeta1 y del grupo V tas, que tiene permiso de escritura en la Carpeta2. El Archivo2 he

3. El grupo obtener agrupo Ventas sÛlo tiene permiso de lectura en el Archivo2?

Impi permConceda

e e critura en la Carpeta2. Que permisos tiene

io1 tiene permisos de lectura y l grupo Usuarios, que tiene permiso de l

enreda los permisos de la Carpeta2 y la Carpeta1.

Usuarios tiene permiso de modificacion en la Carpeta1. Solo el grupo Ventas puede cceso al Archivo2, pero solo para leerlo. øQuÈ debe hacer para garantizar que el

da la herencia de permisos para la Carpeta2 o el Archivo2. Elimine losisos de la Carpeta2 y el Archivo2 que la Carpeta2 ha heredado de la Carpeta1.

sÛlo permiso de lectura al grupo Ventas en la Carpeta2 o el Archivo2.

I 135

C en archivos y carpetas NTFS?

UtPa

l ,

2. En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas.

3. En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha Permisos efectivos, haga clic en Seleccionar.

4. En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario o grupo y, a continuacion, haga clic en Aceptar.

Las casillas de verificacion activadas del cuadro de dialogo Configuracion de seguridad avanzada indican los permisos efectivos del usuario o grupo para ese archivo o carpeta.

Combinacion de permisos de carpeta compartida y NTFS

omo establecer los permisos efectivos

ilice el siguiente procedimiento para ver los permisos de archivos y carpetas. ra ver los permisos efectivos de archivos y carpetas:

1. En el Explorador de Windows, haga clic con el boton secundario del mouse en earchivo o la carpeta en el que desee ver los permisos efectivos y, a continuacionhaga clic en Propiedades.

Al permitir el acceso a los recursos de red de un volumen NTFS, es recomendable utilizar los permien combiacceso de

Al crear una carpeta compartida en una particion con formato NTFS, los permisos de la carpeta compartida y los permisos NTFS se combinan para proteger los recursos de archivo. Los permisos NTFS se aplican si se tiene acceso al recurso de forma local o a traves de la red.

sos NTFS m·s restrictivos para controlar el acceso a las carpetas y los archivos, nacion con los permisos de carpeta compartida m·s restrictivos para controlar el red.

136

Al co NTFS, se aplican las siguientes regla

Son de fo

Los usuarios deben tener los permisos NTFS adecuados para cada archivo y subcarpeta de una carpeta compartida, adem·s de los permisos de carpeta adecuados, para obtener acceso a estos recursos.

Al combinar estos dos tipos de permiso, el permiso resultante es la combinaciÛn de los permisos de carpeta compartida y los permisos NTFS mas restrictivos.

Permisos efectivos en permisos de carpeta compartida y permisos NTFS combinados?

Utilice el Explorador de Windows para ver los permisos efectivos de las carpe s compartidas. Para determinar los permisos efectivos, debe primero determinar s perm

ParaNTFS

En el Explorador de Windows, busque el archivo o la carpeta del que desea ver l

2. Hc

3. E Opciones avanzadas.

en Seleccionar.

En el cEo

Las casillas grupo tie

Para determ 1. A

2. Bc

Para determinar los permisos efectivos de una carpeta compartida:

1. C

2. Lm NTFS son los permisos efectivos.

nceder permisos de carpeta compartida en un volumens:

necesarios permisos NTFS en volúmenes NTFS. El grupo Todos tiene permiso de lectura rma predeterminada.

talo

isos maximos de carpeta compartida y NTFS, y compararlos a continuacion.

determinar los permisos m·ximos que un usuario tiene en un archivo de un volumen :

1.os permisos efectivos.

aga clic con el boton secundario del mouse en la carpeta o el archivo y, a ontinuacion, haga clic en Propiedades.

n el cuadro de di·logo Propiedades, en la ficha Seguridad, haga clic en

4. En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha Permisos efectivos, haga clic

5. uadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro scriba el nombre de objeto a seleccionar, escriba el nombre de un usuario grupo y, a continuacion, haga clic en Aceptar.

de verificacion activadas indican los permisos NTFS maximos que un usuario o ne en ese archivo o carpeta.

inar los permisos maximos que tiene un usuario en una carpeta compartida: bra el cuadro de dialogo Propiedades de la carpeta compartida.

usque los permisos maximos que tiene un usuario en el recurso ompartido, determinando el grupo al que pertenece.

ompare los permisos NTFS maximos con los permisos de carpeta compartida maximos.

os permisos de usuario m·s restrictivos que se encuentren entre los permisos aximos de carpeta compartida y

I 137

Ejercicio: Establecer los permisos de carpeta s compartida y NTFS efectivo

En este ejercicio, se determinar·n los permisos efectivos de carpeta compartida y NTFS.

El gr·fico de esta p·gina muestra dos carpetas compartidas que contienen carpetas y archiva los que se les ha asignado permisos NTFS. Consulte cada ejemplo y determine los permiso

os s

efectivos del usuario.

suarios, y el grupo Usuarios tiene el Usuario2 y Usario3 se les ha

concedido el permiso NTFS Control Total sÛlo para sus carpetas. Todos estos usuarios son miembros del grupo Usuarios.

Tienen los miembros del grupo Usuarios permiso de control total en todas las carpetas principales de la carpeta Usuarios una vez que se conectan a la carpeta compartida Usuarios?

No, porque solo se le ha concedido el permiso NTFS Control Total al usuario individual en su carpeta de inicio. Por lo tanto, solo el usuario individual tiene permiso de control total en su carpeta de inicio.

2. En el segundo ejemplo, se ha compartido la carpeta Datos. Al grupo Ventas se le concedido el permiso de carpeta compartida Lectura en la carpeta compartida Datos y el permiso NTFS Control Total en la carpeta Ventas.

Cuales son los permisos efectivos del grupo Ventas al obtener acceso a la carpeta Ventas, conectandose a la carpeta compartida Datos?

Permiso de lectura, porque, al combinar los permisos de carpeta compartida y los permisos NTFS, se aplican los permisos mas restrictivos.

1. En el primer ejemplo, se ha compartido la carpeta Upermiso de carpeta compartida Control Total. Al Usuario1,

138

Caracteristica de Archivos sin conexion?

La caracteristica Archivos sin conexion es una importante funcion de administracion de documentos que ofrece a los usuarios acceso constante, en lÌnea y sin conexion, a los rchivos. Cuando el cliente se desconecta de la reda

descargado, todos los elementos que se han

en la cache local permanecen disponibles. Los usuarios pueden seguir trabajando

dos a la red. Las señales visuales, como iconos, menús y Active Directory, permanecen igual, incluida la vista de las unidades de red asignadas. Los archivos

viles

Cuando un usuario movil ve la carpeta compartida sin conexion, el usuario puede todavÌa

el Administrador de sincronizacion. Por ejemplo, puede configurar la sincronizacion para que se realice automaticamente cuando el usuario inicie una sesion en una conexion de red de ·rea local (LAN, local area network) directa o para que se realice únicamente a peticion del usuario cuando utilice una conexiÛn de acceso telefonico.

Ventajas de rendimiento

La caracteristica Archivos sin conexion ofrece ventajas de rendimiento para las redes. Los clientes pueden, al conectarse a la red, leer todavÌa los archivos almacenados en la cachÈ local, reduciendo la cantidad de datos transferidos por la red.

Ventajas de copia de seguridad

La caracteristica Archivos sin conexion soluciona el dilema al que deben enfrentarse la mayorÌa de las organizaciones empresariales en la actualidad. Muchas organizaciones ponen en pr·ctica una directiva de copia de seguridad que obliga a que todos los datos de usuario se almacenen en servidores administrados. A menudo, el Departamento de TI de la organizaciÛn no realiza copias de seguridad de los datos en discos locales. Esto supone un problema para los usuarios moviles de equipos port·tiles.

Si se desea obtener acceso a los datos sin conexiÛn, se necesita un mecanismo que replique los datos entre el equipo port·til y los servidores. Algunas organizaciones utilizan la herramienta Mi MaletÌn. Otros utilizan archivos por lotes o replican los datos manualmente.

administra ·s, Èstos se

como si todavÌa estuvieran conectados a la red. Pueden continuar realizando tareas de edicion, copia, eliminacion, etc.

Desde la perspectiva del usuario, la apariencia de los espacios de trabajo permanece invariable, esten o no conecta

de red aparecen en el mismo directorio de unidad de red y se puede obtener acceso a ellos, copiarlos, editarlos, imprimirlos o eliminarlos exactamente del mismo modo que cuando est·n disponibles en lÌnea. Si vuelve a conectarse a la red, los archivos de servidor y cliente se vuelven a sincronizar autom·ticamente.

La caracteristica Archivos sin conexion ofrece las siguientes ventajas:

Conexion Compatibilidad con usuarios mo

examinar, leer y editar los archivos, porque Èstos se han almacenado en la cachÈ del equipo cliente. Cuando el usuario se conecte mas tarde al servidor, el sistema reconciliar· los cambios efectuados con el servidor.

Sincronizacion automatica

Puede configurar una directiva y comportamiento de sincronizacion basados en el momento del dÌa y el tipo de conexion de red mediante

Con Windows Server 2003, la replicaciÛn entre cliente y servidor seautom·ticamente. Se puede obtener acceso a los archivos sin conexiÛn y, ademsincronizan autom·ticamente con el servidor administrado.

I 139

Como se sincronizan los archivos sin conexion?

Un usuario puede configurar un archivo en una red para que este disponible sin conexion, siempre que se encuentre activada la caracteristica Archivos sin conexion para la carpeta en la que reside el archivo. Al configurar los archivos para que esten disponibles sin conexion, los usuarios trabajan con la version de red de los archivos cuando est·n conectados y, cuando no, con una versiÛn almacenada localmente en cache.

Cuando un usuario configura un archivo para que este disponible sin conexion, se producen los siguientes eventos de sincronizacion al desconectarse de la red:

Cuando el usuario cierra una sesion en la red, el sistema operativo cliente Windows sincroniza los archivos de red con una copia del archivo almacenada localmente en cache.

Mientras el equipo esta desconectado de la red, el usuario trabaja con la copia del archivo almacenada localmente en cache.

Cuando el usuario inicia de nuevo una sesion en la red, el sistema operativo cliente Windows sincroniza todos los archivos sin conexion que el u ario ha modificado con las

en el equipo de red y del usuario, el sistema operativo cliente Windows solicitar· al usuario que seleccione que

suversiones de red de los mismos. Si el archivo se ha modificado

version del archivo desea conservar.

El usuario tambien puede cambiar el nombre de uno de los archivos y conservar las dos versiones.

140

Opciones de cache de archivos sin conexion

La caracterÌstica Archivos sin conexion almacena en cache los archivos de una carpeta artida a los que se tiene acceso con frecuencia. Esta tarea es parecida al

lmacenamiento en cache de los sitios Web visitados recientemente que realiza un explorador s opciones de cache

de cachÈ.

y programas espe n de cache resulta idonea para una carpeta de red com r icar·n varios usuarios. Esta opciÛn se seleccio carpeta compartida para que estÈ disp

partida que abra el usuario estaran disponibles sin conexion. Los archivos que no ·s antiguas se sob c n

Si sde pro a las carpetas compartidas que contienen arcred, a de obtener acceso de nin jecucion de los archivos sin

do que el de las versiones de red.

Cua o se de restringir los permisos de los arch

compaWeb. Al crear carpetas compartidas en la red, se pueden especificar lapara los archivos y programas de esa carpeta. Hay tres opciones diferentes

La cache manual de documentos ofrece acceso sin conexion a los archivoscificados por el usuario. Esta opciopa tida que contenga archivos que utilizaran y modif

na de forma predeterminada al configurar unaonible sin conexion.

Si se configura la cache autom·tica de documentos, todos los archivos y programas de la carpeta com

abra el usuario no estaran disponibles sin conexion. Las copias mres riben autom·ticamente con las uevas versiones de los archivos.

e selecciona la casilla de verificacion Rendimiento Optimo, se activa la cache autom·tica gramas, que ofrece acceso sin conexion

hivos que no se van a modificar. La cache automatica de programas reduce el tr·fico de l permitir abrir directamente los archivos sin conexion. No se pue

guna forma a las versiones de red. Si bien, el inicio y la econexion es normalmente mas rapi

nd utilice la cache automatica de programas, asegúreivos incluidos en las carpetas compartidas a acceso de solo lectura.

I 141

Auditoria de Acceso a los recursos del sistema

el de

istema es c ara comprometer la información en la red.

Windows Server 2003 permite seguir las acciones de los usuarios y las actividades dsistema operativo en el equipo. Analize estas actividades para evaluar el nivel seguridad. Entender como implementar auditoria y monitorear eventos del srítico para detectar intentos de intrusos p

La auditoria es el proceso de seguir las acciones del usuario o las actividades del sistema perativo (Llamados eventos) en una computadora. Cuando un evento de auditoria ocurre,

rver 2003 escribe un registro del evento en el registro de seguridad.

Una auditoria de entrada es un registro de seguridad que contiene la siguiente formación:

1. La acción realizada.

putadora desde la cual la acción fue intentada.

Políticas de auditoria U uridad que Windows Server 2 uridad de cada computadora. Windows Server 2003 r el registro de seguridad de cada equipo donde el evento ocurrio.

tentos

ario y del administrador.

oWindows Se

in

2. El usuario que realizo la acción. 3. El éxito o error del evento y cuando ocurrió. 4. Información adicional, como la com

na política de auditoria define la clase de eventos de seg003 registra en el registro de segegistra un evento en

Establezca una politica de auditoria por equipo para:

• Para seguir el éxito o fracaso de un evento, tales como intentos de logeo, inde un usuario específico de leer cierto archive específico, cambio de cuenta de usuario o membresía de grupo y cambios en las configuraciones de seguridad.

• Minimice el uso desautorizado de recursos. • Mantener un registro de las actividades del usu

142

Seleccionando un Evento para Auditoria

El primer paso para implementar una política de auditoria es escoger que tipo de evento se desea auditoriar en Windows Server 2003.

muestra los eventos que se pueden auditoriar : La siguiente tabla

Evento Ejemplo Account Logon Una cuenta es autentificada por la base de datos de seguridad.

Cuando un usuario se conecta en un equipo, el equipo registra un evento de AccountLogon. Cuando un usuario se logea al dominio se registra un evento de AccountLogon.

Account Un administrador crea, cambia o borra una cuenta de usuario o Management grupo. Una cuenta de usuario es renombrada, deshabilitada o

activada o un password se establece o se cambia Directory Un usuario obtiene acceso a un objeto Active Directory. Para Service Access registrar este tipo de acceso, debes configurar un objeto Active

Directory especifico.

ario inicia o termina su sesión en un equipo, o un realiza o cancela una conexión en la red al equipo. El

evento se registra en el equipo al cual el usuario accede, sin importar si se uso una cuenta local o de dominio.

Object Access Un usuario obtiene acceso a un archivo, fólder o impresora.El administrador debe configurar archivos, fólder o impresoras especificas para auditoria.

Logon Un usuusuario

I 143

Policy Change Un cambio es hecho en las opciones de seguridad del usuario(opciones de password, configuraciones de logeo de cuentas),derechos de usuario, o Políticas de auditoria.

Privilege Use Un usuario hace uso de sus derechos, tales como cambio de la

fecha del sistema (Esto no esta relacionado con derechos de logeo y salida del sistema) , o un administrador toma la propiedad de un archivo.

Process Tracking Una aplicacion realize una accion. Esta información es

normalmente usada por programadores que desean seguir los detalles durante la ejecución de una aplicación.

System Un usuario reinicia o apaga un equipo, o incluso cuando un

ndo planee una política de auditoria:

portante o critica, pero no puedes auditoriar de manera frecuente equipos clientes que son usados exclusivamente por aplicaciones de productividad.

• Cambios decuentras de usuarios y grupos

istoso o fracasados, o ambos. Seguir

eamiento de resource. Seguir eventos fallidos pueden alertarlo a uno de possibles problemas de

so a recursos e información.

icamente. Configurando solo la

evento afecta la seguridad de Windows Server2003 o la del registro de seguridad.

Planeando una política de auditoria

Auditoreando tantos tipos de eventos puede crear un exceso de sobrecarga. Esto puede reducir el rendimiento del sistema. Se recomienda solo auditoriar aquellos eventos que proveen información util para los esfuerzos de seguridad. Use las siguientes pautas cua

1. Determine los equipos que se va a auditar. Planee que se va a auditar en cada equipo pues Windows Server 2003 registra los eventos auditados en cada equipo por separado. De esta forma puede auditar frecuentemente equipos que contienen información im

2. Determine el tipo de evento a auditoriar:

• Acceso a archivos y carpetas • Logeo y salida de usuarios del sistema • Reinicio o apagado de equipos

3. Determine cuando auditoriar eventos ex

eventos exitosos pueden indicar como Windows Server 2003 o usuarios acceden a ciertos archivos o impresoras. Puede usar esta información para plan

seguridad. 4. Determine cuando necesita seguir un trend o uso del sistema. Si es asi, plane

guarder el registro de eventos. A algunas empresas se les requiere que mantengan un record de acce

5. Revice los registros de seguridad frecuentemente. Establezca un programa de revision y revice los registros de seguridad periódauditoria no alerta de brechas de seguridad.

144

Estableciendo una política de auditoria

Después de haber establecido una política de auditoria en un solo equipo, puedes

Directory, e impresoras. Para asignar una política de auditoria a un solo equipo, configure las opciones del Audit Policy para la computadora bajo políticas locales o

omo parte de una

implementar auditoria en objetos del sistema de archivo, objetos del Active

de grupo. También puedes configurar las opciones de auditoria cplantilla de seguridad y usar el Security Configuration and Analysis para aplicar las opciones de auditoria o importar la plantilla a una política de grupo.

Para establecer una política de auditoria, haga lo siguiente:

1. Cree una consola MMC y agregue el Group Policy snap-in. Seleccione Local Computer como un objeto de Group Policy.

2. En la parte de Local Computer Policy, expande Computer Configuration, expande Windows Settings, expande Security Settings, expande Local Policies, y luego click en Audit Policy. La consola muestra las opciones de la política de auditoria en el panel de detalle.

3. Seleccione el tipo de evento a auditar, y luego click en Security en el menú

esitas ser un miembro del grupo de administradores para

de Action 4. Seleccione Success o Failure, o ambos, y luego click en OK.

Importante Necconfigurar una política de auditoria.

I 145

Auditoriando acceso a recursos

Cuando realiza una auditoria con propósito de seguridad, normalmente auditoria acceso a archivos de objetos del sistema e impresoras.

Auditoriando el acceso a archivos de objetos del siste

Para auditar el acceso de usuarios archivos del sistema, realice los siguientes pasos:

1. Establezca una política de auditoria para revisar el acceso a

ma

objetos, los cuales res.

de ue están

1. Regis entos fallidos para operaciones de lectura para determinar cuando un

usuario esta tratando de tener acceso a un archivo al cual no tiene permiso. 2. Registre eventos exitosos o fracasados en operaciones de Delete (Borrado) cuando

evalue archivos confidenciales y de archivo 3. Registre eventos exitosos o fracasados en eventos de cambio de permisos (Change

Permissions) y en operaciones de toma de propiedad (Take Ownership) para uso confidencial y personal de los archivos de usuario. Estas operaciones pueden indicar que alguien esta tratando de modificar la seguridad para acceder a información a la cual no tienen acceso. Si un administrador toma posesión de un archivo de un usuario para tener acceso a el, esta configuración asegura que esto se registre.

4. Registre eventos exitosos o fracasados en eventos para todas las operaciones realizadas cuando se auditoriaba a miembros del grupo de invitados (Guests group). Esto debe hacerse especialmente en archivos y fólderes a los cuales un invitado no debe tener acceso.

5. Realice auditoria en el acceso a archivos y fólderes en computadoras que contengan información compartida que debe ser asegurada.

incluye archivos y fólde2. Habilite auditoria para un archive o fólder especifico, especificando el tipo

acceso a auditor. Solo puedes auditor el acceso para archivos y fólderes qen volúmenes NTFS. El sistema de archivos FAT no soporta auditoria

Cuando especifique las opciones de auditoria para un archivo de sistema especifico. Uselas siguientes sugerencias:

tre ev

146