1,6K
De forma predeterminada, cuando un usuario abre una carpeta de red compartida, SMB muestra una lista completa de los archivos y carpetas que contiene. Por supuesto, esto sucede sólo si el usuario tiene permiso para acceder al recurso compartido. Enumeración basada en acceso (ABE) permite ocultar archivos y carpetas específicos para un usuario que no tiene permiso de acceso en un servidor de archivos.
La enumeración basada en acceso está disponible en la plataforma Windows desde Windows Server 2003 SP1 y ayuda a evitar que los usuarios vean archivos y carpetas utilizando las funciones de administración de almacenamiento y recursos compartidos de Windows Server.
Enumeración basada en acceso en Server 2016
De forma predeterminada, el proceso de acceso a la carpeta de red se realiza de la siguiente manera:
- El usuario se conecta al servidor y solicita acceso a la carpeta compartida;
- El servicio LanmanServer en el servidor (responsable de compartir archivos y carpetas) verifica si el usuario tiene permisos NTFS para leer/enumerar el contenido de la carpeta. Si el acceso está disponible, el servicio devuelve una lista de todos los archivos y carpetas que contiene;
- El siguiente usuario selecciona un archivo o carpeta e intenta abrirlo;
- El servidor comprueba si el usuario tiene los derechos de acceso necesarios. Si un usuario tiene los permisos necesarios, devuelve el elemento deseado. Si el usuario no tiene derechos, se devuelve el error de acceso denegado.
Según este algoritmo, el servidor primero devuelve al usuario una lista de todos los contenidos de la carpeta. El servidor comprueba los derechos de acceso a archivos y carpetas individuales sólo cuando el usuario intenta acceder a ellos.
Luego, al utilizar ABE, al usuario se le mostrarán solo los recursos para los que tiene los derechos necesarios. Contenidos de la lista para carpetas, o Leer para archivos individuales.
Algunas características de ABE en Windows Server
- ABE controla solo la lista de contenidos en una carpeta compartida. No oculta la lista de carpetas compartidas a los usuarios. Por tanto, cuando un usuario se conecte al servidor, verá todas las carpetas compartidas. Si necesita crear un recurso compartido oculto, simplemente puede agregar el carácter $ a su nombre, por ejemplo, CompartirNombre$;
- ABE no funciona cuando el usuario inicia sesión localmente o cuando se conecta a través de RDP;
- Los miembros del grupo de administradores locales siempre ven la lista completa del contenido de la carpeta.
Configurar la enumeración basada en acceso en Windows Server
ABE está habilitado para cada carpeta individualmente. Para configurar y administrar la enumeración basada en acceso (ABE), abra la consola del Administrador del servidor y seleccione la función Servicios de archivos y almacenamiento.
Nota. Para habilitar la enumeración basada en acceso, la función de servicios de archivos y almacenamiento debe estar instalada en el servidor.
Luego, ve al Comparte y elija una carpeta de red de la lista para habilitar el ABE. Haga clic derecho sobre él y seleccione su Propiedades.
Luego, en las propiedades del recurso compartido, cambie a Ajustes pestaña. Habilitar la enumeración basada en acceso es tan simple como el proceso de marcar la casilla Habilitar la enumeración basada en acceso opción.
Habilite la enumeración basada en acceso usando PowerShell
Además, puede habilitar la enumeración basada en acceso en un recurso compartido de red utilizando el cmdlet de PowerShell. Conjunto-SmbShare. Utilice un comando sencillo:
Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased
Nota. Aprenda cómo iniciar sesión con una cuenta local de Windows en lugar de una cuenta de dominio.
Habilite la enumeración basada en acceso mediante la política de grupo
Si administra la configuración de las carpetas públicas de forma centralizada a través de la Política de grupo (Configuración de la computadora > Preferencias > Configuración de Windows > Recursos compartidos de red), puede habilitar ABE en las propiedades del recurso compartido.
Por ejemplo, una vez que habilita ABE, aquí hay un contenido de una carpeta de red con ABE habilitado para el administrador del servidor:
Y así es como busca el usuario promedio cuyo acceso de usuario y cuenta de usuario no incluyen permisos para todas las carpetas:
Así, la tecnología ABE facilita la vida tanto a los Usuarios como a los Administradores. La información redundante en las carpetas de red no se muestra para el Usuario. El administrador ya no tiene que responder preguntas sobre la falta de acceso.
Sin embargo, la enumeración basada en acceso tiene un serio inconveniente: una carga adicional en el servidor. La carga depende de la cantidad de usuarios por servidor y de la cantidad de objetos en los recursos compartidos. Durante una carga pesada, la velocidad de apertura de la carpeta puede disminuir significativamente.
Preguntas frecuentes sobre la enumeración basada en acceso
1. ¿Cuál es la evolución histórica de la Enumeración Basada en Acceso?
La enumeración basada en acceso, a menudo denominada ABE, ha sido una parte integral de la plataforma Windows desde su introducción con Windows Server 2003 Service Pack 1. A lo largo de los años, Microsoft ha mejorado y afinado su funcionalidad para garantizar que se mantenga al día con necesidades cambiantes de los usuarios y requisitos de seguridad.
2. ¿Cómo contribuye ABE a mantener la privacidad de los datos en una red?
ABE desempeña un papel fundamental en el mantenimiento de la privacidad de los datos al garantizar que los usuarios solo vean los archivos y carpetas a los que tienen derechos de acceso. Esto reduce las posibilidades de acceso no autorizado a datos confidenciales y evita posibles filtraciones de información dentro de entornos de red compartidos.
3. ¿Existen alternativas al uso de la consola del Administrador del servidor para habilitar ABE?
Además de la consola del Administrador del servidor, puede habilitar ABE mediante PowerShell o la Política de grupo. El cmdlet de PowerShell Conjunto-SmbShare es una herramienta útil que puede utilizarse para este propósito. La Política de grupo también se puede aprovechar si administra la configuración de las carpetas públicas de forma centralizada.
4. ¿Cómo afecta la enumeración basada en acceso al rendimiento del servidor?
Si bien ABE mejora significativamente la privacidad de los datos y la experiencia del usuario, puede agregar una carga adicional a su servidor. Esto se debe a que el servidor tiene que verificar los derechos de acceso de archivos y carpetas individuales cada vez que se accede a ellos. En entornos con una gran cantidad de usuarios u objetos en los recursos compartidos, esto puede potencialmente reducir la velocidad de apertura de carpetas.
La función principal de ABE es controlar la visibilidad de los contenidos de una carpeta compartida, no de las carpetas compartidas en sí. Entonces, un usuario que se conecte al servidor verá todas las carpetas compartidas. Sin embargo, si necesita crear un recurso compartido oculto, puede agregar un ps carácter al nombre del recurso compartido, lo que lo hará invisible en la lista de recursos compartidos.
6. ¿Cuál es la relación entre los permisos ABE y NTFS?
Los permisos ABE y NTFS (New Technology File System) funcionan de la mano para gestionar el acceso a los datos en una red. Mientras que ABE controla qué archivos y carpetas son visibles para un usuario en función de sus derechos de acceso, los permisos NTFS determinan qué acciones puede realizar un usuario en esos archivos y carpetas, como leer, escribir o ejecutar.
7. ¿ABE funciona para usuarios que han iniciado sesión localmente o mediante RDP?
ABE está diseñado para controlar la visibilidad de los recursos de red compartidos. Por lo tanto, no entra en juego cuando un usuario inicia sesión localmente o se conecta a través del Protocolo de escritorio remoto (RDP). Los miembros del grupo de administradores locales también verán siempre la lista completa del contenido de la carpeta, independientemente de la configuración de ABE.
Terminando
La implementación de la enumeración basada en acceso (ABE) en Windows Server 2016 es un enfoque excelente para mejorar la privacidad de los datos y la experiencia del usuario en entornos de red compartidos. Al presentar a los usuarios sólo los archivos y carpetas a los que tienen derechos de acceso, ABE mantiene sus datos seguros y evita el desorden innecesario en los directorios compartidos. Es vital recordar que, si bien ABE aporta importantes beneficios, también puede aumentar la carga del servidor, lo que podría afectar el rendimiento.
Además del método tradicional de habilitar ABE a través de la consola del Administrador del servidor, alternativas como los cmdlets de PowerShell y la Política de grupo brindan más flexibilidad para las configuraciones de la infraestructura de TI.