Entendiendo el manejo de recursos compartidos

ENTENDIENDO EL MANEJO DE RECURSOS COMPARTIDOS
---------------------------------------------

Windows XP ofrece dos formas distintas de compartir recursos.

1) Uso compartido simple de archivos:

Esta es la única forma que tiene XP Home de compartir recursos. En este caso es muy simple compartir los recursos, pero las opciones de configuración son muy limitadas. El recurso que compartimos estará disponible a todos los usuarios de la red y no podremos dar permisos selectivos para diferentes usuarios. Con el uso compartido simple de archivos, Windows XP usa la cuenta de "invitado" para todas las conexiones de la red.

2) Modelo clásico de compartir archivos:

Esta forma, sólo accesible en XP Profesional, no viene por defecto y es necesario activarla en Panel de Control, Opciones de carpeta, pestaña Ver, y quitar la marca a "uso compartido simple de archivos". Esta modelo es similar al empleado por Windows 2000. Cuando compartimos una carpeta debemos dar los permisos apropiados a los recursos, y los permisos apropiados a los archivos / carpetas NTFS para controlar el uso de dicha carpeta. En este caso podemos dar permisos diferentes para usuarios individuales o grupos (permitiendo control total para algunos, lectura para otros, y bloqueo para otros. Por ejemplo). También podemos limitar el número de conexiones activas.

NOTA: si nuestra máquina está unida a un Dominio, siempre usa el método clásico de compartir archivos.

Un tercer modelo:

Nivel de acceso a los recursos en Windows 95/98/Me:

Si hemos compartido recursos en W95/98/Me, nos será familiar este tercer modelo. Estos sistemas usan control de acceso share-level (a nivel de recurso). Con este tipo de acceso, las password (una para lectura y otra para acceso total) pueden ser asignadas a un recurso. Windows, en este caso, solicita password y no necesita saber quién, o qué usuario, le suministra la password. Cualquiera de la red que conozca la password, tendrá acceso a ese recurso.

Windows XP, al contrario, siempre usa control de acceso user-level (a nivel de usuario). Cada recurso compartido sólo permitirá acceso a determinadas cuentas de usuario. Para obtener el acceso a un recurso compartido en la red, el usuario debe conectarse a su máquina con una cuenta que tenga acceso a ese recurso.

COMPARTIENDO UNA CARPETA CON LA RED
-----------------------------------

Al compartir una carpeta con la red, permitimos el acceso a la carpeta y a los ficheros que contiene.

El "compartir" está desactivado en una instalación limpia de XP. Esto es debido a que el compartir en un entorno de grupo de trabajo necesita la cuenta de invitado la cual está desactivada por defecto. La manera más fácil de configurar nuestra máquina para compartir carpetas, ficheros e impresoras es ejecutar el asistente de red. Este asistente se asegurará también de que las máquinas de nuestra red pertenezcan al mismo grupo de trabajo (imprescindible), establecerá los recursos shared (compartidos) y protejerá la conexión a Internet mediante un firewall.

El consejo anterior es para aquellos que, o bien tengan XP Home, o bien desconozcan o no necesiten las amplias posibilidades que nos da XP Profesional. Recordemos que el activar el compartir archivos, es por defecto el Uso Simple. Esto activa además la cuenta de invitado y por tanto da conexión completa a todos los usuarios de la red, estén o no autenticados (caso de W9X / ME), pero a su vez perdemos la potencia de poder asignar recursos y privilegios diferentes a cada usuario.

En "uso simple", si no hemos ejecutado el asistente de red, cuando damos con el botón derecho sobre una carpeta que queremos compartir y seleccionamos la correspondiente pestaña, nos aparece un cuadro de dialogo con dos opciones principales. En la parte inferior de la caja de diálogo, podremos, o bien ejecutar el asistente de red, o bien pinchando en la segunda opción, pasar de la ejecución de dicho asistente. Si seleccionamos esta última opción, nos aparece una nueva caja de diálogo que nos permite:

a) Usar el asistente para activar el compartir archivos
b) Sólo permitir el compartir.

Seleccionando la segunda opción, ésta (lo mismo que en las opciones a través de asistente):

* Activa la cuenta de invitado. Recordemos que esta cuenta, esté o no activada, no aparecerá nunca en el panel de bienvenida (a no ser que posteriormente en esa cuenta, le quitemos la política de "denegar logon localmente".

* Quita la cuenta de invitado de la lista de "Denegar acceso a esta máquina desde la red"

Debemos fijarnos en que, con estas opciones, estamos bajando la seguridad de la máquina Por tanto es importante ser consciente del efecto que tiene emplear el "uso simple" al compartir archivos e impresoras.

Esta es la única opción que podemos seleccionar en XP Home. Es decir, la seguridad en XP Home queda a un nivel bastante bajo. Por contra es sencilla, interconecta con sistemas operativos anteriores, y a nivel doméstico no necesitamos una protección mayor.

Únicamente, y como tip si queremos que un recursos compartido no sea visto por otras máquinas y sólo accedan a ella los que conozcan el nombre del recurso: recordemos que si terminamos el nombre del recurso compartido con un $, por ejemplo "carpeta$", este recursos no será visto en el examinador de red, y únicamente podrán asignárselo los que conozcan explícitamente su nombre.

RESTRINGIENDO EL ACCESO A LOS RECURSOS COMPARTIDOS
--------------------------------------------------

Comparado con el "Uso simple", el modelo clásico de compartir (que puede activarse tal y como hemos citado al comienzo del documento, únicamente en XP Profesional), da un salto cuantitativo y cualitativo importante. Se permite controlar qué usuarios acceden, y a qué recursos y con qué permisos.

La manera clásica de compartir permite controlar quién accede a cada recurso (en contra de permitir el acceso a "cualquiera" de la red), y con qué permisos: por ejemplo, sólo lectura, o bien actualización.

El compartir de manera clásica conlleva tres cambios fundamentales:

* Podemos especificar permisos básicos en recursos compartidos -simple file sharing- (esto coloca permisos solo para el grupo "Everyone".

* Si la carpeta compartida está en un volumen NTFS, podemos crear ACL's (listas de control de acceso) en cada objeto del recurso compartido ("simple file sharing" pone permisos en NTFS sólo para el grupo "Everyone", y oculta la posibilidad de ver o modificar ACL's).

* Los usuarios que se conectan a nuestra máquina bajo la red, no serán autenticados como "Invitados". Si el nombre del usuario de la red y una password distinta de blancos coincide con el nombre y password de una cuenta dada de alta en nuestra máquina, Windows autentifica el usuario con la cuenta local. Si el usuario de red, nombre y password no coincide con una cuenta local, entonces Windows lo autenticará como invitado (si este estuviese configurado para admitir conexiones por red).

Es muy importante este último párrafo ya que explica la manera de autenticar usuario que posee Windows XP cuando está funcionando como grupo de trabajo. La autenticación en Dominio es totalmente diferente.

--

José Manuel Tella Llop
jmtella@compuserve.com

28 - marzo - 2004

ENTENDIENDO EL MANEJO DE RECURSOS COMPARTIDOS
---------------------------------------------

COMPARTIENDO UNA CARPETA CON LA RED
-----------------------------------

RESTRINGIENDO EL ACCESO A LOS RECURSOS COMPARTIDOS
--------------------------------------------------

ENTENDIENDO EL MANEJO DE RECURSOS COMPARTIDOS ---------------------------------------------

COMPARTIENDO UNA CARPETA CON LA RED -----------------------------------

RESTRINGIENDO EL ACCESO A LOS RECURSOS COMPARTIDOS --------------------------------------------------

ENTENDIENDO EL MANEJO DE RECURSOS COMPARTIDOS
---------------------------------------------

COMPARTIENDO UNA CARPETA CON LA RED
-----------------------------------

RESTRINGIENDO EL ACCESO A LOS RECURSOS COMPARTIDOS
--------------------------------------------------