Los niveles de permisos se configuran para limitar el acceso de usuarios individuales o grupales a determinados datos. Tanto FAT32 como NTFS ofrecen permisos de uso compartido de carpetas y de nivel de carpeta para usuarios con acceso a la red. En la Figura 1, se muestran los permisos de carpeta. Solo NTFS ofrece seguridad adicional de permisos de nivel de archivo. En la Figura 2, se muestran los permisos de nivel de archivo.
Para configurar permisos de nivel de archivo o carpeta, utilice la siguiente ruta:
Haga clic con el botón secundario en el archivo o la carpeta y seleccione Propiedades > Seguridad > Editar...
Para configurar permisos de recursos compartidos de red para una PC con NTFS, cree un recurso compartido de red y asigne permisos compartidos a los usuarios o grupos. Solo los usuarios y grupos que posean tanto permisos NTFS como permisos compartidos pueden acceder a un recurso compartido de red.
Para configurar permisos de uso compartido de carpetas en Windows 7, utilice la siguiente ruta:
Haga clic con el botón secundario en la carpeta y seleccione Compartir con.
Puede elegir una de las siguientes cuatro opciones de uso compartido de archivos:
- Nadie: no se comparte la carpeta.
- Grupo en el hogar (lectura): la carpeta solo se comparte con los miembros del grupo en el hogar. Los miembros del grupo en el hogar solo pueden leer el contenido de la carpeta.
- Grupo en el hogar (lectura y escritura): la carpeta se comparte solo con los miembros del grupo en el hogar. Los miembros del grupo en el hogar pueden leer el contenido de la carpeta y crear archivos y carpetas dentro de la carpeta.
- Usuarios específicos... : abre el cuadro de diálogo Uso compartido de archivos. Elija los usuarios y grupos con los que desea compartir el contenido de la carpeta y seleccione el nivel de permiso para cada uno.
Para configurar permisos de uso compartido de carpetas en Windows Vista, utilice la siguiente ruta:
Haga clic con el botón secundario en una carpeta y seleccione Compartir...
Para configurar permisos de uso compartido de carpetas en Windows XP, utilice la siguiente ruta:
Haga clic con el botón secundario en una carpeta y seleccione Compartir y seguridad...
Si bien todos los sistemas de archivos mantienen un registro de los recursos, solo los sistemas de archivos con diarios, que son áreas especiales donde se registran los cambios del archivo antes de las modificaciones, pueden registrar el acceso por usuario, fecha y hora. El sistema de archivos FAT32 no posee capacidades de registro en diario ni de encriptación. Por lo tanto, las situaciones que requieren buena seguridad suelen implementarse mediante NTFS. En caso de necesitarse mayor seguridad, se pueden ejecutar determinadas utilidades, como CONVERT, para actualizar un sistema de archivos FAT32 a NTFS. El proceso de conversión es irreversible. Es importante que defina claramente sus objetivos antes de realizar la transición. En la Figura 3, se muestra una comparación de los dos sistemas de archivos.
Principio de privilegios mínimos
Debe limitarse el acceso de los usuarios solo a los recursos que necesitan de un sistema de computación o una red. No debe permitirse el acceso a todos los archivos del servidor, por ejemplo, si solo necesitan acceder a una única carpeta. Si bien puede resultar más sencillo permitir el acceso de los usuarios a toda la unidad, es más seguro limitar el acceso solo a la carpeta que necesitan para realizar su trabajo. Esto se conoce como “principio de privilegios mínimos”. Limitar el acceso a los recursos también permite evitar el acceso de programas malintencionados a esos recursos en caso de que se infecte la PC del usuario.
Restricción de los permisos de usuario
Los permisos de uso de recursos compartidos de red y de archivos pueden otorgarse individualmente o mediante la membresía de un grupo. Si se niegan permisos de uso de un recurso compartido de red a una persona o un grupo, esta denegación anula cualquier permiso otorgado. Por ejemplo, si a una persona se le niega el permiso de acceso a un recurso compartido de red, el usuario no puede acceder a este aunque sea el administrador o forme parte del grupo administrador. La política de seguridad local debe describir los recursos a los que puede acceder cada usuario y grupo, y el tipo de acceso para cada uno.
Al modificar los permisos de una carpeta, se presenta la opción de aplicar los mismos permisos a todas las subcarpetas. Esto se denomina “propagación de permisos”. La propagación de permisos es una forma sencilla de aplicar permisos a muchos archivos y carpetas rápidamente. Una vez que se establecen los permisos de la carpeta principal, las carpetas y los archivos que se crean dentro de ella heredan sus permisos.