Enumeración Basada en el Acceso (ABE = “Access Based Enumeration”)

La opción que un usuario no pueda ver las carpetas compartidas sobre las cuales no tiene permiso de lectura, es algo que lo he visto solicitado muchas veces, y es muy fácil de conseguir, el tema es que no es tan fácil de encontrar dónde se configura

¿Será porque hay tantas formas de crear y configurar carpetas compartidas?, y además cada una configura de diferente manera los permisos. Hay por lo menos siete formas diferentes de compartir carpetas:

  • Explorador de Archivos: Compartir / Compartir
  • Explorador de Archivos: Compartir / Uso Compartido Avanzado
  • Explorador de Archivos: Compartir con / Usuarios Específicos
  • Administración de Equipos
  • Administrador del Servidor
  • CMD: NET SHARE
  • PowerShell: New-SMBShare

En esta nota mostraré una de las opciones que permite activar ABE, no es la única, pero no todas muestran la opción

Utilizaré tres máquinas virtuales del ambiente que normalmente utilizo en el blog:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio
  • SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
  • CL1.ad.guillermod.com.ar: Cliente del Dominio (W81)

Para poder demostrar creé dos usuarios de prueba en el Dominio: “User Uno” (u1@ad.guillermod.com.ar) y “User Dos” (u2@guillermod.com.ar)

 

Comenzaré en SRV1 donde debemos instalar, si no lo estuviera, la funcionalidad “File Server” en la forma habitual. No muestro todas las pantallas del asistente ya que entiendo que nadie tendrá dificultad con esto

ABE-01

Y utilizando “Server Manager” procederé a la creación de una nueva carpeta compartida, siguiendo el asistente como muestran las siguientes capturas

ABE-02

ABE-03

ABE-04

Le damos un nombre

ABE-05

Y acá está la configuración buscada, debemos marcar la opción “Enable access-based enumeration”

ABE-06

No modificaré para este caso los permisos de la carpeta compartida, pero observen que por omisión, todos los usuarios (“BUILTIN\Users”) tienen permisos de lectura y creación de archivos y carpetas

ABE-07

ABE-08

ABE-09

Dentro de esta carpeta compartida crearé dos carpetas, dándole un nombre significativo para poder demostrar la funcionalidad más fácilmente

ABE-10

Y finalmente cambio los permisos en ambas carpetas, de forma tal que la carpeta “SoloU1” tenga permisos sólo “Usuario Uno”, y análogamente que “SoloU2” tenga permisos sólo “Usuario Dos”. No muestro todas las capturas de pantalla de cómo llegar al resultado porque entiendo que no tendrán problemas, muestro sólo cómo quedan los permisos en cada carpeta, aunque noten que se ha quitado la herencia de permisos

ABE-11

ABE-12

Iniciando sesión en CL1 con “User Uno” podemos ver que sólo puede ver su carpeta asignada, y no la otra

ABE-13

Y análogamente si hacemos lo mismo con “User Dos”

ABE-14

 

Como hemos visto, esto es sólo una pequeña demostración de la funcionalidad, y que puede agregar un poco más de seguridad a la información, y además evitar confusiones en usuarios inexpertos

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • coldfran  On 08/12/2015 at 07:45

    Hola, buen día!
    Como haría para que no se muestre la carpeta compartida superior, por ejemplo creo otra carpeta compartida TestABE-2 (con ABE claro) en la cual tengo la carpeta “SoloU3” que sólo tienen permiso para User Tres (u3@ad.guillermod.com.ar), entonces cuando desde el cliente como u1 o u2 ingreso a \\SRV1 quiero que sólo me muestre TestABE, porque me muestra TestABE y también TestABE-2 aunque claro cuando ingreso a TestABE-2 no me muestra nada, pero me gustaría que no mostrara TestABE-2.

    • Guillermo Delprato  On 08/12/2015 at 08:11

      Cuando hice la nota estuve justamente tratando de lograr eso, y más, suponía que trabajaba así, pero no pude lograrlo
      El ABE trabaja sobre las subcarpetas
      Si lo logras avisa :)

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: