CAPTULO 05

Sistemas de Archivos en Windows 2003S

El acceso a la informacin almacenada un equipo ejecutando Windows Server 2003 se hace a travs de carpetas o Directorios Compartidos. Por lo tanto un administrador debe desarrollar habilidades que le permitan garantizar el acceso a estos directorios con el grado de seguridad apropiado.

Que son los permisos?

Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo para un objeto. Por ejemplo, puede permitir a un usuario leer el contenido de un archivo, dejar que otro usuario realice cambios en el archivo e impedir a los demas usuarios el acceso al archivo. Puede establecer permisos similares en impresoras para que determinados usuarios puedan configurar una impresora y otros usuarios solo puedan imprimir en ella. Los permisos se aplican a cualquier objeto protegido, como archivos, objetos del servicio de directorios Active Directory y objetos del registro. Los permisos se pueden conceder a cualquier usuario, grupo o equipo. Puede conceder permisos para objetos a: 1. Grupos, usuarios e identidades especiales del dominio. 2. Grupos y usuarios de cualquier dominio de confianza. 3. Grupos y usuarios locales del equipo en el que reside el objeto. I 117

Al establecer permisos, se especifica el nivel de acceso de los grupos y usuarios. Los permisos adjuntos a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se adjuntan a un archivo son diferentes de los que se adjuntan a una clave de registro. Sin embargo, algunos permisos, son comunes a la mayoria de los tipos de objeto. Los permisos siguientes son permisos comunes: 1. Permisos de lectura 2. Permisos de escritura 3. Permisos de eliminacion

Permisos Estandar y Especiales

Puede conceder permisos estandar y especiales para objetos. Los permisos estandar son los que se asignan con mayor frecuencia. Los permisos especiales ofrecen un grado de control mas preciso para asignar acceso a objetos. El sistema tiene un nivel de configuracion de seguridad predeterminado para un determinado objeto. Esta configuracion constituye el conjunto de permisos mas habituales que suele utilizar diariamente un administrador de sistema. La lista de permisos estandar disponibles vara en funcion del tipo de objeto para el que se esta modificando la seguridad. Los permisos especiales conforman una lista mas detallada. Un permiso NFTS de lectura estandar esta relacionado con los siguientes permisos especiales: 1. Mostrar lista de carpetas/leer datos 2. Leer atributos 3. Leer atributos extendidos 4. Leer permisos Si el administrador del sistema elimina un permiso especial relacionado con un permiso estandar, la casilla de verificacion del permiso estandar deja de estar activada. En su lugar, se activa la casilla de verificacion del permiso especial incluido en la lista de permisos estandar.

118

Carpetas Compartidas
Una carpeta compartida es aquella a la que pueden obtener acceso varios usuarios a traves de la red. Una vez que se comparte una carpeta, los usuarios pueden obtener acceso a todos sus archivos y subcarpetas, siempre que se les hayan concedido permisos. Puede colocar carpetas compartidas en el servidor de archivos o en un equipo de la red. Puede almacenar archivos en las carpetas compartidas segn sus categoras y funciones. Por ejemplo, puede colocar archivos de datos compartidos en una carpeta y compartir archivos de aplicacion en otra.

Una carpeta compartida se distingue en el Explorador de Windows por un icono de una mano que sostiene una carpeta. Solo se pueden compartir carpetas, no archivos individuales. Si varios usuarios necesitan obtener acceso al mismo archivo, debe introducirlo en una carpeta y compartir esta a continuacion. Cuando se comparte una carpeta, se concede un permiso de lectura al grupo Todos de forma predeterminada. Elimine el permiso predeterminado y conceda permiso de cambio o de lectura a los grupos segn sea necesario. Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso predeterminado es el de lectura. Al copiar una carpeta compartida, se sigue compartiendo la carpeta compartida original, pero no as su copia. Cuando una carpeta compartida se mueve a otra ubicacion, deja de estar compartida. Puede ocultar una carpeta compartida si pone un signo de dolar ($) al final del nombre de la carpeta. El usuario no puede ver la carpeta compartida en la interfaz de usuario, pero puede obtener acceso a ella escribiendo el nombre UNC (Universal Naming Convention, Convencion de nomenclatura universal). Por ejemplo \\servidor\secretos$.

I 119

Que son las carpetas compartidas administrativas?

Windows Server 2003 comparte automaticamente carpetas que permiten realizar tareas administrativas. Se caracterizan por incluir un signo de dolar ($) al final del nombre de carpeta. El signo de dolar permite ocultar la carpeta compartida a los usuarios que examinan el equipo en Mis sitios de red. Los administradores pueden administrar de forma rapida archivos y carpetas en servidores remotos utilizando estas carpetas compartidas ocultas. Los miembros del grupo Administradores tienen, de manera predeterminada, permiso de control total en las carpetas compartidas administrativas. No se pueden modificar los permisos de las carpetas compartidas administrativas. La siguiente tabla describe la finalidad de las carpetas compartidas administrativas que ofrece automaticamente Windows Server 2003.
Carpeta Finalida d compartida C$, D$, E$ Utilice estas carpetas compartidas para conectarse de forma remota a un equipo y realizar tareas administrativas. La raiz de cada particion (que tenga una letra de unidad asignada) del disco duro se comparte automticamente. Al conectarse a esta carpeta, tiene acceso a toda la particion. Esta es la carpeta raiz del sistema, que se encuentra de forma predeterminada en C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta compartida para administrar Windows Server 2003 sin necesidad de conocer en que carpeta esta instalada esta aplicacion. Esta carpeta ofrece acceso a los archivos de controladores de impresora de los equipos clientes. Al instalar la primera impresora compartida, la carpeta ubicada en Systemroot\System32\Spool\Drivers se comparte con el nombre Print$. Solo los miembros de los grupos Administradores, Operadores de servidor y Operadores de impresion tienen permiso de control total para esta carpeta. El grupo Todos tiene permiso de lectura para esta carpeta.

Admin$

Print$

120

Quien puede tener acceso a las carpetas compartidas?

En Windows Server 2003, los nicos grupos que pueden crear carpetas compartidas son Administradores, Operadores de servidor y Usuarios avanzados. Son grupos integrados ubicados en la carpeta Grupo de Administracion de equipos o en la carpeta integrada de Usuarios y grupos de Active Directory.

Como crear una carpeta compartida?

Al crear una carpeta compartida, se debe asignar un nombre a la carpeta y proporcionar un comentario que ofrezca una descripcion de la carpeta y su contenido. Tambien se puede limitar el nmero de usuarios que pueden obtener acceso a la carpeta, conceder permisos y compartir varias veces la misma carpeta. Para crear una carpeta compartida mediante Administracion de equipos: 1. En Administracion de equipos, en el arbol de consola, expanda Carpetas compartidas y, a continuacion, haga clic en Recursos compartidos. 2. En el men Accion, haga clic en Recurso compartido nuevo. 3. Siga los pasos del Asistente para compartir una carpeta.

I 121

Carpetas compartidas publicadas

Los recursos de publicacion y las carpetas compartidas de Active Directory permiten a los usuarios buscar en Active Directory recursos de la red, incluso aunque cambie la ubicacin fsica de los recursos. Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los accesos directos que sealan al objeto de Active Directory que representa a la carpeta compartida publicada siguen funcionando, siempre que se actualice la referencia a la ubicacion fsica. No es necesario que los usuarios actualicen las conexiones. Puede publicar una carpeta compartida en Active Directory a la que se pueda obtener acceso mediante un nombre UNC. Una vez publicada una carpeta compartida, el usuario del equipo con Windows Server 2003 puede utilizar Active Directory para buscar el objeto que representa a la carpeta compartida y conectarse a sta. Al publicar la carpeta compartida en Active Directory, sta se convierte en un objeto secundario de la cuenta de equipo. Para ver las carpetas compartidas como objetos, haga clic en Usuarios, grupos y equipos como contenedores en el men Ver de Usuarios y equipos de Active Directory. A continuacion, en el arbol de la consola, haga clic en la cuenta de equipo. Vera en el panel de detalles, todas las carpetas compartidas publicadas que estan asociadas a la cuenta de equipo.

122

La informacion de publicacion de los recursos de red de Active Directory facilita a los usuarios la bsqueda de estos en la red. Puede publicar informacion sobre carpetas compartidas e impresoras mediante Administracion de equipos o Usuarios y equipos de Active Directory. Para publicar una carpeta compartida como objeto del servidor: 1. En Administracion de equipos, en el arbol de consola, expanda Carpetas compartidas y, a continuacion, haga clic en Recursos compartidos. 2. Haga clic con el boton secundario del mouse en una carpeta compartida y, a continuacion, haga clic en Propiedades. 3. En el cuadro de dialogo Propiedades, en la ficha Publicar, seleccione la casilla de verificacion Publicar este recurso compartido en Active Directory y, a continuacion, haga clic en Aceptar. Para publicar una carpeta compartida en una unidad organizativa: 1. En Usuarios y equipos de Active Directory, en el arbol de consola, haga clic con el boton secundario del mouse en la carpeta a la que desea agregar la carpeta compartida, seale Nuevo y, a continuacion, haga clic en Carpeta compartida. 2. En el cuadro de dialogo Nuevo objeto Carpeta compartida, en el cuadro Nombre, escriba el nombre de la carpeta que desea que utilicen los clientes. 3. En el cuadro Ruta de red, escriba el nombre UNC que desea publicar en Active Directory y, a continuacion, haga clic en Aceptar.

P ermisos de carpetas compartidas

Los permisos de las carpetas compartidas solo se aplican a los usuarios que se conectan a la carpeta a traves de la red. No restringen el acceso de los usuarios a la carpeta del equipo en el que esta almacenada. Puede conceder permisos de carpeta compartida a cuentas de usuario, grupos y cuentas de equipo.

I 123

Entre los permisos de carpeta compartida, se incluyen: Lectura El permiso de lectura es el permiso de carpeta compartida predeterminado y se aplica al grupo Todos. El permiso de lectura le permite: Ver datos de archivos y atributos. Ver los nombres de archivos y subcarpetas. Ejecutar archivos de programa.

El permiso de cambio incluye todos los permisos de lectura y tambien le permite: Agregar archivos y subcarpetas. Cambiar datos en archivos. Eliminar subcarpetas y archivos.

Control total El permiso de control total incluye todos los permisos de lectura y cambio y, adems, le permite cambiar los permisos de los archivos y las carpetas NTFS.

Permisos en una carpeta compartida

Utilice el siguiente procedimiento para establecer permisos en una carpeta compartida. Para establecer permisos en una carpeta compartida mediante Administracion de equipos: 1. En Administracion de equipos, en el arbol de consola, expanda Carpetas Compartidas y, a continuacion, haga clic en Recursos compartidos. 2. En el panel de detalles, haga clic con el boton secundario del mouse en la carpeta compartida para la que desea establecer los permisos y, a continuacion, haga clic en Propiedades. En el cuadro de dialogo Propiedades, en la ficha Permisos de los recursos compartidos, realice una de las siguientes acciones: Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el cuadro de dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o grupo y, a continuacion, haga clic en Aceptar. Haga clic en Quitar para revocar el acceso a una carpeta compartida. En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establecer permisos individuales para el usuario o grupo seleccionado. A continuacion, haga clic en Aceptar.

3.

4.

Para establecer permisos en una carpeta compartida mediante el Explorador el Explor de Windows: En el Explorador de Windows, haga clic con el boton secundario del mouse en la 1. carpeta compartida para la que desea establecer los permisos y, a continuacin, haga clic en Compartir y seguridad. 2. 3. En el cuadro de dialogo Propiedades, en la ficha Compartir, haga clic en Permisos. En el cuadro de dialogo Permisos, realice una de las siguientes acciones:

124

 Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el c dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o gru continuacin, haga clic en Aceptar. Haga clic en Quitar para revocar el acceso a un recurso compartido.

4. En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establece permisos individuales para el usuario o grupo seleccionado.

Conectarse a las Carpetas Compartidas

Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a ella a traves de la red. Los usuarios pueden obtener acceso a una carpeta compartida en otro equipo mediante Mis sitios de red, la funcion Conectar a unidad de red o el comando Ejecutar del men Inicio. Para conectarse a una carpeta compartida mediante Mis sitios de red: 1. Abra Mis sitios de red y haga doble clic en Agregar un sitio de red. 2. En el Asistente para agregar sitios de red, en la pagina este es el Asistente para agregar sitios de red, haga clic en Siguiente. 3. En la pagina Donde desea crear este sitio de red, haga clic en Elija otra ubicacion de red y, a continuacion, haga clic en Siguiente. 4. En la pgina Cual es la direccion de este sitio de red, escriba la ruta UNC de la carpeta compartida o haga clic en Examinar. a. b. c. d. Si hace clic en Examinar, expanda Toda la red. Expanda Red de Microsoft Windows. Expanda el dominio y el servidor al que desea conectarse. Haga clic en la carpeta compartida que desea agregar y, a continuacion, haga clic en Aceptar. 5. Haga clic en Siguiente. 6. En la pagina Desea ponerle un nombre a este lugar, escriba el nombre del sitio de red y, a continuacion, haga clic en Siguiente. 7. En la pagina Finalizacion del Asistente para agregar sitios de red, haga clic en Finalizar. I 125

Que es NTFS?
NTFS es un sistema de archivos disponible en Windows Server 2003. NTFS ofrece un rendimiento y unas funciones que no se encuentran en FAT (file allocation table, Tabla de asignacion de archivos) o FAT32. NTFS ofrece las siguientes ventajas: Fiabilidad NTFS utiliza el archivo de registro y la informacion de punto de comprobacion para restaurar la integridad del sistema de archivos al reiniciar el equipo. Si se produce un error de sector defectuoso, NTFS vuelve a asignar de forma dinamica el clster que contiene este sector defectuoso y asigna un nuevo clster para los datos. NTFS tambien marca el clster como inservible. Seguridad a nivel de archivos y de carpetas Los archivos NTFS utilizan el Sistema de archivos de cifrado (EFS, Encrypting File System) para proteger los archivos y las carpetas. Si EFS esta activado, pueden cifrarse los archivos y las carpetas para uno o varios usuarios. Este cifrado ofrece como ventaja la confidencialidad e integridad de los datos. En otras palabras, los datos estan protegidos frente a una modificacion accidental o no autorizada. NTFS tambien le permite establecer permisos de acceso a un archivo o una carpeta. Se pueden establecer permisos de lectura, de lectura y escritura, o permisos para denegar el acceso. NTFS tambien almacena una lista de control de acceso (ACL, access control list) con todos los archivos y carpetas de una particion NTFS. ACL contiene una lista de todas las cuentas de usuarios, grupos y equipos a los que se les concede acceso al archivo o carpeta y el tipo de acceso concedido. Para un usuario que desea obtener acceso a un archivo o carpeta, ACL debe contener una entrada, denominada ACE, para la cuenta de usuario, grupo o equipo a la que esta asociado el usuario. ACE debe permitir de forma especifica el tipo de acceso que solicita el usuario para poder obtener acceso al archivo o carpeta. Si no existe una entrada ACE en ACL, Windows Server 2003 deniega el acceso del usuario al recurso. Administracion mejorada del aumento de almacenamiento NTFS admite cuotas de disco, que permiten especificar la cantidad de espacio en disco disponible para un usuario. Mediante las cuotas de disco, se puede realizar un seguimiento y controlar el uso del espacio en disco y establecer si se permite a los usuarios superar un nivel de advertencia o el lmite de cuota de almacenamiento. NTFS admite archivos de mayor tamao y un mayor nmero de archivos por volumen que FAT o FAT32. NTFS tambien administra el espacio en disco de forma eficaz utilizando tamaos de clsteres reducidos. Por ejemplo, un volumen NTFS de 30 gigabytes (GB) utiliza clsteres de cuatro kilobytes (KB). El mismo volumen con formato FAT32 utiliza clsteres de 16 KB. Al utilizar clsteres de menor tamao, se reduce el desaprovechamiento de espacio en los discos duros. Permisos a varios usuarios Si se conceden permisos NTFS a una cuenta de usuario individual y a un grupo al que pertenezca el usuario, se le conceden tambien varios permisos al usuario. Existen reglas para determinar como NTFS puede combinar estos permisos mltiples con el fin de producir los permisos efectivos del usuario.

Permisos de archivo y carpeta NTFS

126

Los permisos NTFS se utilizan para especificar que usuarios, grupos y equipos pueden obtener acceso a los archivos y las carpetas. Los permisos NTFS tambien establecen las acciones que pueden realizar los usuarios, grupos y equipos con el contenido de los archivos o carpetas. Los permisos NTFS proporcionan en general todo el control de acceso que necesita para proteger sus recursos. Sin embargo, hay situaciones en las que los permisos NTFS estndar no proporcionan el nivel especfico de acceso que quiz desee conceder a los usuarios. Para crear el nivel especfico de acceso, puede conceder permisos de acceso especiales. La siguiente tabla enumera los permisos de archivo NTFS estandar que se pueden conceder y el tipo de acceso que brinda cada permiso. Permiso de archivo NTFS Permite al usuario: Control Total Cambiar permisos, tomar posesion de objetos y realizar las acciones autorizadas por otros permisos de archivo NTFS. Modificar y eliminar el archivo y realizar las acciones autorizadas por el permiso de escritura y el permiso de lectura y ejecucion. Ejecutar aplicaciones y realizar las acciones autorizadas por el permiso de lectura. Sobrescribir el archivo, cambiar los atributos de archivo y ver sus permisos y posesion. Leer el archivo y ver sus atributos, permisos y posesion.

Modificar

Leer/Ejecutar Escritura Lectura

I 127

Efectos producidos en los permisos NTFS al copiar y mover archivos y carpetas

Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en funcion de la ubicacion a la que se mueva. Es importante conocer los cambios que sufren los permisos al copiarse o moverse. Al copiar archivos o carpetas de una carpeta a otra, o de una particion a otra, los permisos de los archivos o carpetas pueden cambiar. Al copiar un archivo o carpeta, se producen los siguientes efectos en los permisos NTFS: Al copiar una carpeta o archivo en una nica particion NTFS, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino. Al copiar una carpeta o archivo a una particion NTFS diferente, la copia de la carpeta o archivo hereda los permisos de la carpeta de destino. Al copiar una carpeta o archivo a una particion no NTFS, como, por ejemplo, una particion FAT, la copia de la carpeta o archivo pierde los permisos NTFS debido a que las particiones no NTFS no admiten este tipo de permisos.

Para copiar archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe tener permiso de lectura para la carpeta de origen y permiso de escritura para la carpeta de destino. Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus permisos originales. Al mover una carpeta o archivo a una particion NTFS diferente, la carpeta o archivo hereda los permisos de la carpeta de destino. Al mover una carpeta o archivo entre particiones, Windows Server 2003 copia la carpeta o archivo a la nueva ubicacin y, a continuacion, la elimina de la antigua ubicacion. Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivo pierde los permisos NTFS debido a que las particiones no NTFS no admiten este tipo de permisos.

128

mover un archivo o carpeta, los permisos pueden cambiar en funcion de los permisos de la carpeta de destino. Al mover un archivo o carpeta, se producen los siguientes efectos en los permisos NTFS: Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus permisos originales. Al mover una carpeta o archivo a una particion NTFS diferente, la carpeta o archivo hereda los permisos de la carpeta de destino. Al mover una carpeta o archivo entre particiones, Windows Server 2003 copia la carpeta o archivo a la nueva ubicacion y, a continuacion, la elimina de la antigua ubicacion. Al mover una carpeta o archivo a una particion no NTFS, la carpeta o archivo pierde los permisos NTFS debido a que las particiones no NTFS no admiten este tipo de permisos.

Para mover archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe tener permiso de escritura para la carpeta de destino y permiso de modificacion para la carpeta o archivo de origen. Es necesario tener permiso de modificacin para mover un archivo o carpeta debido a que Windows Server 2003 elimina la carpeta o archivo de la carpeta de origen tras copiarla en la carpeta de destino. La siguiente tabla enumera las posibles opciones para las acciones Copiar y Mover y describe el tratamiento del estado de compresin de un archivo o carpeta por parte de Windows Server 2003. Accion Copiar un archivo a una Carpeta dentro de un volumen Resultado

I 129

Que es la herencia de permisos NTFS?

Los permisos que se conceden a una carpeta principal son heredados de forma predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear archivos y carpetas, y al formatear una particion con NTFS, Windows Server 2003 asigna automaticamente permisos NTFS predeterminados. Puede evitar que los archivos y las subcarpetas hereden los permisos asignados a la carpeta principal. Al impedir la herencia de permisos, puede: Copiar los permisos heredados de la carpeta principal Eliminar los permisos heredados y mantener solo aquellos que se hayan asignado explicitamente.

La carpeta en la que impide la herencia de permisos se convierte en la nueva carpeta principal y las subcarpetas y los archivos incluidos en ella heredan los permisos que se le asignaron. La herencia de permisos simplifica la asignacion de permisos a las carpetas principales, las subcarpetas y los recursos. Sin embargo, es posible que desee impedir la herencia para que los permisos no se propaguen desde una carpeta principal a sus archivos y subcarpetas. Por ejemplo, puede ser necesario incluir todos los archivos del Departamento de Ventas en una carpeta de ventas en la que todos los empleados de este departamento tengan permiso de escritura. Sin embargo, es posible que se necesite limitar los permisos de lectura en algunos archivos de la carpeta. Para ello, es necesario impedir la herencia y evitar as que los permisos de escritura se propaguen a los archivos de la carpeta.

130

C opiar o eliminar permisos heredados?

Utilice el siguiente procedimiento para copiar o eliminar permisos heredados. Para copiar o eliminar permisos heredados: 1. En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o la carpeta en la que desee cambiar los permisos heredados, y, a continuacion, haga clic en Propiedades. En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas. En el cuadro de dialogo Configuracion de seguridad avanzada, desactive la casilla de verificacion Permitir que los permisos heredables del primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas indicadas aqu de forma explicita. En el cuadro de dialogo Seguridad, realice una de las siguientes acciones: Haga clic en Copiar para copiar las entradas de permisos que se aplicaron anteriormente del primario a este objeto. Haga clic en Quitar para eliminar las entradas de permisos que se aplicaron anteriormente desde el primario y mantener solo aquellos permisos asignados explcitamente. En el cuadro de dialogo Configuracion de seguridad avanzada, haga clic en Aceptar. En el cuadro de dialogo Propiedades, haga clic en Aceptar.

2. 3.

4.

5. 6.

Administracion de archivos y carpetas NTFS

Al administrar el acceso a archivos y carpetas, tenga en cuenta las siguientes practicas recomendadas si concede permisos NTFS: Conceder permisos a grupos en lugar de a usuarios. Como no es eficaz mantener cuentas de usuario directamente, evite conceder permisos a usuarios individuales.

I 131

Utilizar permisos Denegar en las siguientes situaciones: Para excluir a un subconjunto de un grupo que tiene permisos Permitir. Para excluir un permiso cuando ya se han concedido permisos de control total a un usuario o grupo. Si es posible, no cambiar las entradas de permisos predeterminadas de los objetos del sistema de archivos, sobre todo, en las capetas del sistema y las carpetas raz. Si se cambian los permisos predeterminados, pueden producirse problemas de acceso inesperados o se puede reducir la velocidad. No denegar nunca el acceso del grupo Todos a un objeto. Si deniega el acceso de todos a un objeto, tambien se lo deniega a los administradores. En su lugar, es recomendable que se elimine el grupo Todos, siempre y cuando se concedan permisos para el objeto a otros usuarios, grupos o equipos. Conceder permisos a un objeto ubicado en el nivel mas alto posible del arbol para que la configuracion de seguridad se propague por todo ste. Puede conceder de forma rapida y eficaz permisos a todos los objetos secundarios o a un subrbol de un objeto principal. Mediante esta accin, puede conceder permisos a la mayor parte de los objetos con el menor esfuerzo. Conceda permisos adecuados para la mayora de los usuarios, grupos y equipos. Para simplificar la administracion, agrupe los archivos segn su funcion. Por ejemplo: Agrupe archivos de programa en las carpetas en las que residen las aplicaciones utilizadas habitualmente. Agrupe en una carpeta las carpetas de datos que contienen carpetas principales. Agrupe en una carpeta los archivos de datos compartidos por varios usuarios. Conceder permisos de lectura y ejecucion a los grupos Usuarios y Administradores para las carpetas de aplicacion. De esta forma, se evita que los usuarios o los virus eliminen accidentalmente o daen los datos y archivos de aplicacion. Solo autorizar a los usuarios el nivel de acceso que necesiten. Por ejemplo, si un usuario necesita leer un archivo, concedale a el o al grupo al que pertenece un permiso de lectura para ese archivo. Conceder permisos de escritura y permisos de lectura y ejecucion al grupo Usuarios o permisos de modificacion al grupo Creador Propietario para las carpetas de datos. Esto permite a los usuarios leer y modificar documentos que crean otros usuarios y leer, modificar y eliminar los archivos y las carpetas que crean ellos mismos.

132

Como administrar el acceso a archivos y carpetas mediante permisos NTFS?

Utilice el siguiente procedimiento para cambiar los permisos estandar y especiales de archivos y carpetas. Para cambiar los permisos estandar: 1. En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o carpeta para el que desea conceder permisos, y, a continuacion, haga clic en Propiedades. 2. En el cuadro de dialogo Propiedades, en la ficha Seguridad, realice una de las siguientes acciones: Para conceder permisos a un grupo o usuarios que no aparece en el cuadro Nombres de grupos o usuarios, haga clic en Agregar. En el cuadro de dialogo Seleccionar Usuarios, Equipos o Grupos, en el cuadro Escriba los nombres de objeto que desea seleccionar, escriba el nombre del grupo o usuario al que desea conceder los permisos y, a continuacin, haga clic en Aceptar. Para cambiar o eliminar permisos de un grupo o usuario existente, haga clic en el nombre del grupo o usuario en el cuadro Nombres de grupos o usuarios y , a continuacin, realice una de las siguientes acciones: Para permitir o denegar permisos, seleccione la casilla de verificacion Permitir o Denegar. Para eliminar el grupo o usuario del cuadro Nombres de grupos o usuarios, haga clic en Quitar.

I 133

Permisos Efectivos de archivos y carpetas NTFS

Windows Server 2003 ofrece una herramienta que muestra los permisos efectivos, es decir, los permisos acumulados basados en la pertenencia a un grupo. La informacion se calcula a partir de las entradas de permisos existentes y se muestra en formato de solo lectura. Los permisos efectivos tienen las siguientes caracteristicas: Los permisos acumulados son la combinacin de los permisos NTFS de ms alto nivel concedidos al usuario y todos los grupos de los que el usuario es miembro. Los permisos de archivo NTFS tienen prioridad sobre los permisos de carpeta. Los permisos Denegar suplantan a todos los permisos. Cada objeto, ya sea de un volumen NTFS o de Active Directory, tiene un propietario. El propietario controla el modo en que se establecen los permisos del objeto y a quin se conceden. Importante Si un administrador necesita arreglar o cambiar los permisos de un archivo, debe tomar posesin del archivo. En la familia Windows Server 2003, el propietario es de manera predeterminada el grupo Administradores. El propietario puede cambiar en todo momento los permisos de un objeto, incluso aunque se le haya denegado el acceso a este objeto. La posesion puede ser tomada por: Un administrador. De manera predeterminada, al grupo Administradores se le concede el derecho de usuario Tomar posesion de archivos y otros objetos. Cualquier usuario o grupo que tenga el permiso Tomar posesin en el objeto en cuestion. Un usuario que tenga el privilegio Restaurar archivos y directorios. La posesion se puede transferir de las formas siguientes: El propietario actual puede conceder el permiso Tomar posesion a otro usuario. El usuario debe tomar posesion realmente para completar la transferencia. Un administrador puede tomar posesion. Un usuario que tenga el privilegio Restaurar archivos y directorios puede hacer doble clic en Otros usuarios y grupos y seleccionar cualquier usuario o grupo al que asignarle la posesion. Importante Los permisos de una carpeta compartida no forman parte del clculo de los permisos efectivos. Se puede denegar el acceso a las carpetas compartidas mediante permisos de carpeta compartida, incluso cuando se autoriza el acceso mediante permisos NTFS.

134

Aplicar permisos N T FS

En este ejercicio, se presenta una situacion de ejemplo en la que se le solicita que aplique permisos NTFS. Usted y sus compaeros discutiran las posibles soluciones a la situacion. El Usuario1 es miembro del grupo Usuarios y del grupo Ventas. 1. El grupo Usuarios tiene permiso de escritura y el grupo Ventas tiene permiso de lectura en la Carpeta1. Que permisos tiene el Usuario1 en la Carpeta 1? El Usuario1 tiene permisos de lectura y escritura en la Carpeta1 porque es miembro del grupo Usuarios, que tiene permiso de escritura, y del grupo Ventas, que tiene permiso de lectura.

2.

El grupo Usuarios tiene permiso de lectura en la Carpeta1. El grupo Ventas tiene permiso de escritura en la Carpeta2. Que permisos tiene el Usuario1 en el Archivo2? El Usuario1 tiene permisos de lectura y escritura en el Archivo2 porque es miembro del grupo Usuarios, que tiene permiso de lectura en la Carpeta1 y del grupo Ventas, que tiene permiso de escritura en la Carpeta2. El Archivo2 hereda los permisos de la Carpeta2 y la Carpeta1.

3. El grupo Usuarios tiene permiso de modificacion en la Carpeta1. Solo el grupo Ventas puede obtener acceso al Archivo2, pero solo para leerlo. Qu debe hacer para garantizar que el grupo Ventas slo tiene permiso de lectura en el Archivo2? Impida la herencia de permisos para la Carpeta2 o el Archivo2. Elimine los permisos de la Carpeta2 y el Archivo2 que la Carpeta2 ha heredado de la Carpeta1. Conceda slo permiso de lectura al grupo Ventas en la Carpeta2 o el Archivo2.

I 135

Como establecer los permisos efectivos en archivos y carpetas NTFS?

Utilice el siguiente procedimiento para ver los permisos de archivos y carpetas. Para ver los permisos efectivos de archivos y carpetas: 1. En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o la carpeta en el que desee ver los permisos efectivos y, a continuacion, haga clic en Propiedades. En el cuadro de dialogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas. En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha Permisos efectivos, haga clic en Seleccionar. En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario o grupo y, a continuacion, haga clic en Aceptar.

2. 3. 4.

Las casillas de verificacion activadas del cuadro de dialogo Configuracion de seguridad avanzada indican los permisos efectivos del usuario o grupo para ese archivo o carpeta.

Combinacion de permisos de carpeta compartida y NTFS

Al permitir el acceso a los recursos de red de un volumen NTFS, es recomendable utilizar los permisos NTFS ms restrictivos para controlar el acceso a las carpetas y los archivos, en combinacion con los permisos de carpeta compartida ms restrictivos para controlar el acceso de red. Al crear una carpeta compartida en una particion con formato NTFS, los permisos de la carpeta compartida y los permisos NTFS se combinan para proteger los recursos de archivo. Los permisos NTFS se aplican si se tiene acceso al recurso de forma local o a traves de la red.

136

Al conceder permisos de carpeta compartida en un volumen NTFS, se aplican las siguientes reglas: Son necesarios permisos NTFS en volmenes NTFS. El grupo Todos tiene permiso de lectura de forma predeterminada. Los usuarios deben tener los permisos NTFS adecuados para cada archivo y subcarpeta de una carpeta compartida, adems de los permisos de carpeta adecuados, para obtener acceso a estos recursos. Al combinar estos dos tipos de permiso, el permiso resultante es la combinacin de los permisos de carpeta compartida y los permisos NTFS mas restrictivos.

Permisos efectivos en permisos de carpeta compartida y permisos NTFS combinados?

Utilice el Explorador de Windows para ver los permisos efectivos de las carpetas compartidas. Para determinar los permisos efectivos, debe primero determinar los permisos maximos de carpeta compartida y NTFS, y compararlos a continuacion. Para determinar los permisos mximos que un usuario tiene en un archivo de un volumen NTFS: 1. 2. 3. 4. 5. En el Explorador de Windows, busque el archivo o la carpeta del que desea ver los permisos efectivos. Haga clic con el boton secundario del mouse en la carpeta o el archivo y, a continuacion, haga clic en Propiedades. En el cuadro de dilogo Propiedades, en la ficha Seguridad, haga clic en Opciones avanzadas. En el cuadro de dialogo Configuracion de seguridad avanzada, en la ficha Permisos efectivos, haga clic en Seleccionar. En el cuadro de dialogo Seleccionar Usuario, Equipo o Grupo, en el cuadro Escriba el nombre de objeto a seleccionar, escriba el nombre de un usuario o grupo y, a continuacion, haga clic en Aceptar.

Las casillas de verificacion activadas indican los permisos NTFS maximos que un usuario o grupo tiene en ese archivo o carpeta. Para determinar los permisos maximos que tiene un usuario en una carpeta compartida: 1. Abra el cuadro de dialogo Propiedades de la carpeta compartida. 2. Busque los permisos maximos que tiene un usuario en el recurso compartido, determinando el grupo al que pertenece.

Para determinar los permisos efectivos de una carpeta compartida: 1. Compare los permisos NTFS maximos con los permisos de carpeta compartida maximos. 2. Los permisos de usuario ms restrictivos que se encuentren entre los permisos maximos de carpeta compartida y NTFS son los permisos efectivos.

I 137

Ejercicio: Establecer los permisos de carpeta compartida y NTFS efectivos

En este ejercicio, se determinarn los permisos efectivos de carpeta compartida y NTFS. El grfico de esta pgina muestra dos carpetas compartidas que contienen carpetas y archivos a los que se les ha asignado permisos NTFS. Consulte cada ejemplo y determine los permisos efectivos del usuario. 1. En el primer ejemplo, se ha compartido la carpeta Usuarios, y el grupo Usuarios tiene el permiso de carpeta compartida Control Total. Al Usuario1, Usuario2 y Usario3 se les ha concedido el permiso NTFS Control Total slo para sus carpetas. Todos estos usuarios son miembros del grupo Usuarios. Tienen los miembros del grupo Usuarios permiso de control total en todas las carpetas principales de la carpeta Usuarios una vez que se conectan a la carpeta compartida Usuarios? No, porque solo se le ha concedido el permiso NTFS Control Total al usuario individual en su carpeta de inicio. Por lo tanto, solo el usuario individual tiene permiso de control total en su carpeta de inicio. 2. En el segundo ejemplo, se ha compartido la carpeta Datos. Al grupo Ventas se le concedido el permiso de carpeta compartida Lectura en la carpeta compartida Datos y el permiso NTFS Control Total en la carpeta Ventas. Cuales son los permisos efectivos del grupo Ventas al obtener acceso a la carpeta Ventas, conectandose a la carpeta compartida Datos? Permiso de lectura, porque, al combinar los permisos de carpeta compartida y los permisos NTFS, se aplican los permisos mas restrictivos.

138

Caracteristica de Archivos sin conexion?

La caracteristica Archivos sin conexion es una importante funcion de administracion de documentos que ofrece a los usuarios acceso constante, en lnea y sin conexion, a los archivos. Cuando el cliente se desconecta de la red, todos los elementos que se han descargado en la cache local permanecen disponibles. Los usuarios pueden seguir trabajando como si todava estuvieran conectados a la red. Pueden continuar realizando tareas de edicion, copia, eliminacion, etc. Desde la perspectiva del usuario, la apariencia de los espacios de trabajo permanece invariable, esten o no conectados a la red. Las seales visuales, como iconos, mens y Active Directory, permanecen igual, incluida la vista de las unidades de red asignadas. Los archivos de red aparecen en el mismo directorio de unidad de red y se puede obtener acceso a ellos, copiarlos, editarlos, imprimirlos o eliminarlos exactamente del mismo modo que cuando estn disponibles en lnea. Si vuelve a conectarse a la red, los archivos de servidor y cliente se vuelven a sincronizar automticamente. La caracteristica Archivos sin conexion ofrece las siguientes ventajas: Conexion Compatibilidad con usuarios moviles Cuando un usuario movil ve la carpeta compartida sin conexion, el usuario puede todava examinar, leer y editar los archivos, porque stos se han almacenado en la cach del equipo cliente. Cuando el usuario se conecte mas tarde al servidor, el sistema reconciliar los cambios efectuados con el servidor. Sincronizacion automatica Puede configurar una directiva y comportamiento de sincronizacion basados en el momento del da y el tipo de conexion de red mediante el Administrador de sincronizacion. Por ejemplo, puede configurar la sincronizacion para que se realice automaticamente cuando el usuario inicie una sesion en una conexion de red de rea local (LAN, local area network) directa o para que se realice nicamente a peticion del usuario cuando utilice una conexin de acceso telefonico. Ventajas de rendimiento La caracteristica Archivos sin conexion ofrece ventajas de rendimiento para las redes. Los clientes pueden, al conectarse a la red, leer todava los archivos almacenados en la cach local, reduciendo la cantidad de datos transferidos por la red. Ventajas de copia de seguridad La caracteristica Archivos sin conexion soluciona el dilema al que deben enfrentarse la mayora de las organizaciones empresariales en la actualidad. Muchas organizaciones ponen en prctica una directiva de copia de seguridad que obliga a que todos los datos de usuario se almacenen en servidores administrados. A menudo, el Departamento de TI de la organizacin no realiza copias de seguridad de los datos en discos locales. Esto supone un problema para los usuarios moviles de equipos porttiles. Si se desea obtener acceso a los datos sin conexin, se necesita un mecanismo que replique los datos entre el equipo porttil y los servidores. Algunas organizaciones utilizan la herramienta Mi Maletn. Otros utilizan archivos por lotes o replican los datos manualmente. Con Windows Server 2003, la replicacin entre cliente y servidor se administra automticamente. Se puede obtener acceso a los archivos sin conexin y, adems, stos se sincronizan automticamente con el servidor administrado.

I 139

Como se sincronizan los archivos sin conexion?

Un usuario puede configurar un archivo en una red para que este disponible sin conexion, siempre que se encuentre activada la caracteristica Archivos sin conexion para la carpeta en la que reside el archivo. Al configurar los archivos para que esten disponibles sin conexion, los usuarios trabajan con la version de red de los archivos cuando estn conectados y, cuando no, con una versin almacenada localmente en cache. Cuando un usuario configura un archivo para que este disponible sin conexion, se producen los siguientes eventos de sincronizacion al desconectarse de la red: Cuando el usuario cierra una sesion en la red, el sistema operativo cliente Windows sincroniza los archivos de red con una copia del archivo almacenada localmente en cache. Mientras el equipo esta desconectado de la red, el usuario trabaja con la copia del archivo almacenada localmente en cache. Cuando el usuario inicia de nuevo una sesion en la red, el sistema operativo cliente Windows sincroniza todos los archivos sin conexion que el usuario ha modificado con las versiones de red de los mismos. Si el archivo se ha modificado en el equipo de red y del usuario, el sistema operativo cliente Windows solicitar al usuario que seleccione que version del archivo desea conservar. El usuario tambien puede cambiar el nombre de uno de los archivos y conservar las dos versiones.

140

Opciones de cache de archivos sin conexion

La caracterstica Archivos sin conexion almacena en cache los archivos de una carpeta compartida a los que se tiene acceso con frecuencia. Esta tarea es parecida al almacenamiento en cache de los sitios Web visitados recientemente que realiza un explorador Web. Al crear carpetas compartidas en la red, se pueden especificar las opciones de cache para los archivos y programas de esa carpeta. Hay tres opciones diferentes de cach. La cache manual de documentos ofrece acceso sin conexion a los archivos y programas especificados por el usuario. Esta opcion de cache resulta idonea para una carpeta de red compartida que contenga archivos que utilizaran y modificarn varios usuarios. Esta opcin se selecciona de forma predeterminada al configurar una carpeta compartida para que est disponible sin conexion. Si se configura la cache automtica de documentos, todos los archivos y programas de la carpeta compartida que abra el usuario estaran disponibles sin conexion. Los archivos que no abra el usuario no estaran disponibles sin conexion. Las copias ms antiguas se sobrescriben automticamente con las nuevas versiones de los archivos. Si se selecciona la casilla de verificacion Rendimiento Optimo, se activa la cache automtica de programas, que ofrece acceso sin conexion a las carpetas compartidas que contienen archivos que no se van a modificar. La cache automatica de programas reduce el trfico de red, al permitir abrir directamente los archivos sin conexion. No se puede obtener acceso de ninguna forma a las versiones de red. Si bien, el inicio y la ejecucion de los archivos sin conexion es normalmente mas rapido que el de las versiones de red. Cuando utilice la cache automatica de programas, asegrese de restringir los permisos de los archivos incluidos en las carpetas compartidas a acceso de solo lectura.

I 141

Auditoria de Acceso a los recursos del sistema

Windows Server 2003 permite seguir las acciones de los usuarios y las actividades del sistema operativo en el equipo. Analize estas actividades para evaluar el nivel de seguridad. Entender como implementar auditoria y monitorear eventos del sistema es crtico para detectar intentos de intrusos para comprometer la informacin en la red.

La auditoria es el proceso de seguir las acciones del usuario o las actividades del sistema operativo (Llamados eventos) en una computadora. Cuando un evento de auditoria ocurre, Windows Server 2003 escribe un registro del evento en el registro de seguridad. Una auditoria de entrada es un registro de seguridad que contiene la siguiente informacin: 1. La accin realizada. 2. El usuario que realizo la accin. 3. El xito o error del evento y cuando ocurri. 4. Informacin adicional, como la computadora desde la cual la accin fue intentada.

Polticas de auditoria
Una poltica de auditoria define la clase de eventos de seguridad que Windows Server 2003 registra en el registro de seguridad de cada computadora. Windows Server 2003 registra un evento en el registro de seguridad de cada equipo donde el evento ocurrio. Establezca una politica de auditoria por equipo para: Para seguir el xito o fracaso de un evento, tales como intentos de logeo, intentos de un usuario especfico de leer cierto archive especfico, cambio de cuenta de usuario o membresa de grupo y cambios en las configuraciones de seguridad. Minimice el uso desautorizado de recursos. Mantener un registro de las actividades del usuario y del administrador.

142

Seleccionando un Evento para Auditoria

El primer paso para implementar una poltica de auditoria es escoger que tipo de evento se desea auditoriar en Windows Server 2003. La siguiente tabla muestra los eventos que se pueden auditoriar :
Evento
Account Logon

Ejemplo Una cuenta es autentificada por la base de datos de seguridad. Cuando un usuario se conecta en un equipo, el equipo registra un evento de AccountLogon. Cuando un usuario se logea al dominio se registra un evento de AccountLogon. Un administrador crea, cambia o borra una cuenta de usuario o grupo. Una cuenta de usuario es renombrada, deshabilitada o activada o un password se establece o se cambia Un usuario obtiene acceso a un objeto Active Directory. Para registrar este tipo de acceso, debes configurar un objeto Active Directory especifico. Un usuario inicia o termina su sesin en un equipo, o un usuario realiza o cancela una conexin en la red al equipo. El evento se registra en el equipo al cual el usuario accede, sin importar si se uso una cuenta local o de dominio. Un usuario obtiene acceso a un archivo, flder o impresora.El administrador debe configurar archivos, flder o impresoras especificas para auditoria.

Account Management

Directory Service Access

Logon

Object Access

I 143

Policy Change

Un cambio es hecho en las opciones de seguridad del usuario(opciones de password, configuraciones de logeo de cuentas),derechos de usuario, o Polticas de auditoria. Un usuario hace uso de sus derechos, tales como cambio de la fecha del sistema (Esto no esta relacionado con derechos de logeo y salida del sistema) , o un administrador toma la propiedad de un archivo.

Privilege Use

Process Tracking

Una aplicacion realize una accion. Esta informacin es normalmente usada por programadores que desean seguir los detalles durante la ejecucin de una aplicacin. Un usuario reinicia o apaga un equipo, o incluso cuando un evento afecta la seguridad de Windows Server2003 o la del registro de seguridad.

System

Planeando una poltica de auditoria

Auditoreando tantos tipos de eventos puede crear un exceso de sobrecarga. Esto puede reducir el rendimiento del sistema. Se recomienda solo auditoriar aquellos eventos que proveen informacin util para los esfuerzos de seguridad. Use las siguientes pautas cuando planee una poltica de auditoria: 1. Determine los equipos que se va a auditar. Planee que se va a auditar en cada equipo pues Windows Server 2003 registra los eventos auditados en cada equipo por separado. De esta forma puede auditar frecuentemente equipos que contienen informacin importante o critica, pero no puedes auditoriar de manera frecuente equipos clientes que son usados exclusivamente por aplicaciones de productividad. 2. Determine el tipo de evento a auditoriar: Acceso a archivos y carpetas Logeo y salida de usuarios del sistema Reinicio o apagado de equipos Cambios decuentras de usuarios y grupos 3. Determine cuando auditoriar eventos existoso o fracasados, o ambos. Seguir eventos exitosos pueden indicar como Windows Server 2003 o usuarios acceden a ciertos archivos o impresoras. Puede usar esta informacin para planeamiento de resource. Seguir eventos fallidos pueden alertarlo a uno de possibles problemas de seguridad. 4. Determine cuando necesita seguir un trend o uso del sistema. Si es asi, plane guarder el registro de eventos. A algunas empresas se les requiere que mantengan un record de acceso a recursos e informacin. 5. Revice los registros de seguridad frecuentemente. Establezca un programa de revision y revice los registros de seguridad peridicamente. Configurando solo la auditoria no alerta de brechas de seguridad.

144

Estableciendo una poltica de auditoria

Despus de haber establecido una poltica de auditoria en un solo equipo, puedes implementar auditoria en objetos del sistema de archivo, objetos del Active Directory, e impresoras. Para asignar una poltica de auditoria a un solo equipo, configure las opciones del Audit Policy para la computadora bajo polticas locales o de grupo. Tambin puedes configurar las opciones de auditoria como parte de una plantilla de seguridad y usar el Security Configuration and Analysis para aplicar las opciones de auditoria o importar la plantilla a una poltica de grupo.

Para establecer una poltica de auditoria, haga lo siguiente:

1. Cree una consola MMC y agregue el Group Policy snap-in. Seleccione Local Computer como un objeto de Group Policy. 2. En la parte de Local Computer Policy, expande Computer Configuration, expande Windows Settings, expande Security Settings, expande Local Policies, y luego click en Audit Policy. La consola muestra las opciones de la poltica de auditoria en el panel de detalle. 3. Seleccione el tipo de evento a auditar, y luego click en Security en el men de Action 4. Seleccione Success o Failure, o ambos, y luego click en OK.

Importante Necesitas ser un miembro del grupo de administradores para configurar una poltica de auditoria.

I 145

Auditoriando acceso a recursos

Cuando realiza una auditoria con propsito de seguridad, normalmente auditoria acceso a archivos de objetos del sistema e impresoras.

Auditoriando el acceso a archivos de objetos del sistema

Para auditar el acceso de usuarios archivos del sistema, realice los siguientes pasos: 1. Establezca una poltica de auditoria para revisar el acceso a objetos, los cuales incluye archivos y flderes. 2. Habilite auditoria para un archive o flder especifico, especificando el tipo de acceso a auditor. Solo puedes auditor el acceso para archivos y flderes que estn en volmenes NTFS. El sistema de archivos FAT no soporta auditoria Cuando especifique las opciones de auditoria para un archivo de sistema especifico. Use las siguientes sugerencias: 1. Registre eventos fallidos para operaciones de lectura para determinar cuando un usuario esta tratando de tener acceso a un archivo al cual no tiene permiso. 2. Registre eventos exitosos o fracasados en operaciones de Delete (Borrado) cuando evalue archivos confidenciales y de archivo 3. Registre eventos exitosos o fracasados en eventos de cambio de permisos (Change Permissions) y en operaciones de toma de propiedad (Take Ownership) para uso confidencial y personal de los archivos de usuario. Estas operaciones pueden indicar que alguien esta tratando de modificar la seguridad para acceder a informacin a la cual no tienen acceso. Si un administrador toma posesin de un archivo de un usuario para tener acceso a el, esta configuracin asegura que esto se registre. 4. Registre eventos exitosos o fracasados en eventos para todas las operaciones realizadas cuando se auditoriaba a miembros del grupo de invitados (Guests group). Esto debe hacerse especialmente en archivos y flderes a los cuales un invitado no debe tener acceso. 5. Realice auditoria en el acceso a archivos y flderes en computadoras que contengan informacin compartida que debe ser asegurada.

146