Sistema de archivos en Windows - NTFS vs Permisos SMB

#windows #filesystem #ntfs #smb #permissions #security #administration #network-shares

🧾 Contexto rápido

📊 Windows domina ~70% del mercado de escritorio, por eso es objetivo prioritario de malware.
🦠 Muchas amenazas se propagan a través de recursos compartidos con permisos permisivos (p.ej. ransomware tras EternalBlue en SMBv1).
📎 SMB (Server Message Block) — protocolo de red para compartir archivos/impresoras entre máquinas Windows y clientes (Linux puede acceder vía CIFS/SMB).

⚖️ Diferencia clave: NTFS vs Permisos para compartir

NTFS (permisos locales) — 🎯 Se aplican en el sistema de ficheros donde reside la carpeta. Proporcionan control granular (herencia, permisos especiales).
Permisos para compartir (SMB) — 🌐 Se aplican cuando se accede a la carpeta por red vía SMB. Existen junto con NTFS y el acceso efectivo es la intersección (más restrictiva) entre ambos.

✅ Regla práctica: Cuando accedes por red, tanto los permisos de Compartir como los de NTFS deben permitir la acción para que el usuario la realice.

🧩 Permisos de Compartir (SMB) — tabla rápida

🪪 Permiso compartir	🔎 Significado
Full Control — 🔐	Todos los permisos de Read y Change + cambiar permisos NTFS en subcarpetas/archivos.
Change — ✍️	Leer, editar, eliminar y crear archivos/subcarpetas.
Read — 👀	Solo ver el contenido y listar archivos/subcarpetas.

🗂️ Permisos básicos NTFS — tabla rápida

🔑 Permiso NTFS	🔎 Significado
Full Control (F) — 🛠️	Añadir/editar/mover/eliminar archivos/carpetas y cambiar permisos (ownership).
Modify (M) — ✏️	Leer, escribir, eliminar y modificar archivos/carpetas.
Read & Execute (RX) — ▶️	Leer contenido y ejecutar ficheros/programas.
List folder contents — 📂	Listar archivos/subcarpetas (aplica a carpetas).
Read (R) — 📖	Leer archivos y listar carpetas.
Write (W) — 📝	Crear y escribir archivos dentro de la carpeta.
Special Permissions — ⚙️	Permisos avanzados (ver tabla más abajo).

🧭 Permisos especiales NTFS (ejemplos)

🔧 Permiso especial	🔎 Descripción
Traverse folder / execute file — 🚪▶️	Atravesar carpetas aunque no se pueda listar su contenido; ejecutar ficheros.
List folder / read data — 📜	Ver lista de archivos y abrir archivos para lectura.
Read attributes — 🏷️	Ver atributos básicos (readonly, hidden, system).
Read extended attributes — 🧾	Ver atributos extendidos definidos por aplicaciones.
Create files / write data — ➕	Crear archivos y escribir datos (sobrescribir permitido).
Create folders / append data — 📁➕	Crear subcarpetas y añadir datos sin sobrescribir contenido.
Write attributes / extended — ✍️	Cambiar atributos básicos/extendidos.
Delete subfolders and files — ❌	Eliminar subcarpetas y archivos dentro de la carpeta.
Delete — 🗑️	Eliminar la carpeta/archivo principal.
Read permissions — 🔐👀	Leer la ACL (quién tiene permisos).
Change permissions — 🔧🔐	Modificar la ACL (cambiar permisos).
Take ownership — 👑	Tomar posesión del archivo/carpeta (nuevo owner).

🧰 Comandos y ejemplos prácticos (con explicación inline)

smbclient -L SERVER_IP -U htb-student — 🔎 Enumera recursos SMB disponibles en SERVER_IP.
smbclient '\\SERVER_IP\Company Data' -U htb-student — 🔌 Conecta al share Company Data con usuario htb-student (interactivo).
sudo mount -t cifs -o username=htb-student,password=Academy_WinFun! //IP/"Company Data" /home/user/Desktop/ — 🖇️ Monta el recurso SMB en Linux (CIFS).
sudo apt-get install cifs-utils — 📦 Instala utilidades CIFS necesarias para montar shares en Linux.
net share — 📋 Muestra shares configurados en la máquina Windows (incluye C $, A D M I N$ , IPC$, y shares creadas).
icacls C:\path\to\folder — 🔐 Muestra ACL NTFS del folder especificado.
icacls C:\users /grant joe:F — ➕ Otorga control total a joe sobre C:\users (solo carpeta si no se usan flags OI/CI).
icacls C:\users /remove joe — ❌ Quita permisos de joe.
type C:\ruta\al\archivo.txt — 📄 Muestra el contenido de un archivo desde CMD.
tree c:\ /f | more — 🌳 Muestra árbol de C: con archivos, paginando la salida.

🔒 Firewall y autenticación — consideraciones

🔥 Windows Defender Firewall puede bloquear SMB entrante dependiendo del perfil (Public/Private/Domain) y reglas.
🧩 Si el firewall bloquea, smbclient o montaje CIFS fallará aunque permisos estén correctamente configurados.
🧾 Grupos de trabajo vs Dominios:
- Workgroup → autenticación local (SAM).
- Domain → autenticación centralizada (Active Directory).
- ✅ Asegúrate de autenticar contra la base correcta (p.ej. dónde está alojada la cuenta htb-student).

🧪 Cómo crear un recurso compartido (GUI) — pasos resumidos

🖱️ Crear carpeta (p.ej. Company Data) en Desktop.
➤ Click derecho → Properties → Sharing → Advanced Sharing.
🔤 Definir Share name, limit concurrent users (opcional).
⚠️ En Share Permissions añadir grupos/usuarios (p.ej. Everyone → Read/Change/Full Control).
🔐 En Security (NTFS) (tab Security) revisar permisos NTFS y ajustar según necesidad (más granular).

🧭 Flujo de acceso efectivo (resumen)

Usuario intenta acceder por red → SMB share recibe petición.
Sistema aplica Permisos de Compartir (SMB).
Si permitido, sistema aplica Permisos NTFS sobre objetos en disco.
🔁 Acceso final = intersección entre ambos (si alguno deniega, se deniega).

🔍 Monitoreo / Auditoría

🧾 Event Viewer — Ver logs de acceso, creación/lectura/edición de archivos y acciones en shares.
🧰 Computer Management → Shared Folders — Ver Shares, Sessions y Open Files (útil para investigar qué usuarios/hosts están usando qué archivos).
🧾 Registrar y revisar: para responder incidentes, revisar Shares/Sessions/Open Files y eventos puede ser clave para reconstruir acciones del atacante.

🛡️ Buenas prácticas (resumen)

👥 Evitar asignar Everyone permisos amplios en shares.
🔐 Usar permisos NTFS granulares en lugar de confiar solo en permisos de compartir.
🔄 Habilitar logging/auditoría en archivos sensibles.
🔒 Mantener SMB actualizado y deshabilitar SMBv1 (riesgo: EternalBlue).
🔥 Configurar reglas de firewall adecuadas en perfiles (Public/Private/Domain).
🧑‍💻 Principio de menor privilegio: dar solo los permisos estrictamente necesarios.