Saltar a contenido

3.4. Sistema de ficheros y compartición

1. Conceptos básicos del sistema de ficheros

  • ¿Qué es un sistema de ficheros?: estructura que permite almacenar, organizar y acceder a los datos en un disco.
  • Tipos de sistemas de ficheros en Windows:
  • NTFS: seguridad avanzada, permisos, cifrado, cuotas de disco, journaling.
  • FAT32: compatibilidad con otros sistemas, pero sin permisos avanzados y límite de tamaño (4 GB por archivo).
  • Jerarquía de carpetas:
  • Comprensión de la estructura raíz (C:\, D:) y la importancia de separar sistema, programas y datos.

Recomendaciones prácticas

  • Usa NTFS para volúmenes de datos en servidores. FAT32 solo para medios extraíbles heredados; considera exFAT en discos externos si necesitas compatibilidad amplia.
  • Separa volúmenes cuando sea posible:
  • C: Sistema operativo y binarios.
  • D: Datos y compartidos (p. ej., D:\Datos, D:\Perfiles).
  • Estructura sugerida para compartidos:
  • D:\Compartidos\Departamentos\Finanzas
  • D:\Compartidos\Publico (solo lectura), D:\Compartidos\Intercambio (entrega/recogida)
  • Activa Copias de sombra (VSS) en volúmenes de datos para recuperación rápida de archivos.

2. Gestión de permisos y seguridad

  • NTFS permite controlar acceso a archivos y carpetas mediante:
  • Permisos básicos: Lectura, Escritura, Modificar, Control total.
  • Permisos avanzados: heredados, explícitos, denegaciones.
  • Usuarios y grupos: cómo se asignan permisos a grupos y usuarios locales o del dominio.
  • Concepto de propietario del archivo y cómo afecta a la administración de permisos.

Detalles clave de NTFS

  • Herencia: los permisos se heredan desde la carpeta padre; puedes interrumpir la herencia si necesitas excepciones controladas.
  • Evaluación: las denegaciones explícitas tienen prioridad sobre los permisos de permitir. Evita Denegar salvo para casos muy concretos.
  • Propietario: el propietario siempre puede reasignar permisos (o tomar posesión si es Administrador). En datos compartidos, fija como propietario al grupo Administradores o a la cuenta de servicio de ficheros.
  • Auditoría: habilita auditoría de acceso (Advanced Auditing) para carpetas sensibles y envía eventos a un SIEM cuando sea posible.

Buenas prácticas de asignación (AGDLP)

  • AGDLP: Usuarios (Accounts) -> Grupos Globales -> Grupos de Dominio Local -> Permisos (Permissions).
  • Concede permisos a grupos, no a usuarios individuales.
  • Separa grupos por función: GG_Finanzas_Edicion, GG_Finanzas_Lectura mapeados a DL_Finanzas_Compartido_Editar, etc.

Permisos efectivos (NTFS + compartición)

  • Regla general de acceso por red: Acceso efectivo = mínimo entre permisos de Compartición y de NTFS.
  • Ejemplo: si la compartición permite "Cambiar" pero NTFS solo "Lectura", el acceso final será Lectura.
flowchart TD
  A[Solicitud de acceso por red] --> B{Permisos de compartición}
  B -->|Permiten| C{Permisos NTFS}
  B -->|Deniegan| X[Acceso denegado]
  C -->|Permiten| D[Acceso concedido]
  C -->|Deniegan| X

3. Compartición de recursos

  • Carpetas compartidas: permitir acceso remoto a archivos dentro de una red.
  • Diferencia entre:
  • Permisos de NTFS (sobre el disco local).
  • Permisos de compartición (sobre la red).
  • Cómo se combinan para determinar el acceso efectivo.
  • Mapeo de unidades de red: cómo los clientes acceden a recursos compartidos.

Crear una carpeta compartida (recomendaciones)

  • Establece permisos de compartición amplios y controla el acceso con NTFS:
  • Opción común: Compartición = "Todos/Authenticated Users: Cambiar" y granularidad en NTFS.
  • Alternativa segura: Compartición = "Administrators: Full", "Users: Read" y refinar en NTFS.
  • Activa Access-Based Enumeration (ABE) para ocultar carpetas a quienes no tienen permisos.
  • Considera SMB Signing/Encryption según las políticas de seguridad.

Mapeo de unidades con GPO (Drive Maps)

  1. Crea o edita una GPO vinculada a la OU de usuarios.
  2. Preferencias -> Windows Settings -> Drive Maps -> New -> Mapeo de unidad.
  3. UNC: \\SERVIDOR\Compartido y letra (p. ej., H:). Marca "Reconnect".
  4. Usa "Item-level targeting" para asignar por grupo (p. ej., GG_Finanzas_Edicion).

Servicios relacionados

  • FSRM (File Server Resource Manager): cuotas, file screening, informes de uso.
  • EFS/BitLocker: protege datos en reposo (evalúa su idoneidad frente a cifrado de volumen completo).
  • DFS Namespace/Replication: unifica rutas lógicas (\\dominio.local\DFS\Departamentos) y replica entre sitios; respeta sitios de AD para referencias cercanas.

Práctica AWS relacionada

Implementa un servidor de ficheros unido a AD en AWS siguiendo esta guía: Servicios de ficheros con AD