Bloquear Recursos Compartidos de mi red a determinados usuarios

Hola, ByteMad:

Y si me permitís, Marc y Guillermo... indicar que no es recomendable
que <users> en un entorno de red corporativo tenga más privilegios
de los estrictamente necesarios para la ejecución de su tarea, ya que
en cuanto pueden, te demostrarán que son una apuesta SEGURA para
jod... incluso su propio equipo.

Personalmente, te recomiendo primero asegurarte que <users> tienen
los permisos mínimos necesarios (personalmente, les dejo siempre como
"invitados del dominio" y a algunos pocos elegidos como "usuarios". Los
menús de acceso con otras credenciales... y la opción "savecred").

Con ello, es cierto que impides al resto de <users> a crearse sus propios
directorios compartidos (que es la idea) ya que para tema de recursos de
red, lo idóneo es que cada dep. tenga su propia "sala común" (además del
resto de recursos compartidos) con privilegios completos (y los datos en la
misma cifrados, por supuesto) para traspasarse sus datos de menor relevancia
en el <server> (o mejor aún, en una estación de trabajo especial
específicamente
implementada para desempeñar funciones de almacén). A una y sólo una de
éstas
"salas comunes" es donde tu amado outsourcing podría tener acceso, por
dependencias
departamentales.

Eso sí: TODOS los directorios han de ser auditados severamente (en especial
si hay acceso desde el exterior), y los accesos desde el exterior,
permitidos a
una hora concreta, con un tiempo limitado en minutos (sin posibilidad de
reconexión) y desde un cliente que tenga instalado un determinado
certificado
de seguridad que haya emitido tu <CA> empresarial.

A lo mejor, a priori te parece exagerado lo que he montado en la empresa,
pero
después de varias experiencias negativas de seguridad en el pasado,
considero
que con ésta estructura ya puedes defecar con cierta tranquilidad (sin bajar
la
guardia). La idea final no es "blindar" completamente la red ya que es
imposible,
sino jugar con la mente del <user> no autorizado y hacerle creer que tiene
el
control de todo y que ahí no está lo que él busca.

Durante más de 6 años, a mí me ha funcionado correctamente. Seguro que habrá
gente que tiene métodos 1000 veces mejores y más fáciles, pero por ahora es
el
que me ha valido. A lo mejor a tí también te "rula". Por probar


Sin mover el trasero de mi sitio
...espero haberte servido de "alluda". Un saludo.
==· Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==


"ByteMad" escribió en el mensaje
news:

Bueno, encontré el modo de facilitarme el trabajo, aquí la respuesta...

En el servidor principal, ingresar a la consola de "Usuarios y Equipos de
Active Directory", ir a la unidad organizacional donde tienen las PC's que
desean controlar, situarse sobre la PC a gestionar, botón derecho,
"Administrar".

Se abrirá el ya conocido panél de administración LOCAL (de la PC remota),
en la sección "Carpetas Compartidas", "Recursos Compartidos", pueden
visualizar los recursos de éstas máquinas y sus respectivos permisos, si
no les gusta lo que ven, eliminan el recurso compartido y crean uno con el
mismo nombre pero con los permisos que ustedes deseen.

Lo que significa que voy a implementar una política que impida a los
usuarios modificar los permisos de los recursos compartidos.

Claro!!!, Esto siempre y cuando la PC haya sido incluida y pertenezca al
dominio.


Salu2



ByteMad



"Marc [MVP Windows]" escribió en el mensaje
news:u%
Si tus usuarios comparten carpetas a nivel de su máquina, no podrás hacer
nada que no sea quitrarles permisos. Por defecto los "Administradores" y
los "Usuarios avanzados" pueden compartir recursos locales. Bastaría
quitarles, si es posible, esos derechos.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA Windows Server 2003
Citrix CCA
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"ByteMad" escribió en el mensaje
news:

Gracias Mark y Guillermo por responder.

Les comento que mi servidor y los recursos compartidos de mi área SI
están
protegidos de esa manera, el problema es que los usuarios "comparten" sus
recursos de su PC a "Todos" y por mas que se les dice comparten "C" o
"D"...
y no creo que deba de estar paseando máquina por máquina para ver si es
que
han modificado estos permisos o entrando a "administrar" cada maquina si
es
que existe una manera de que se pueda hacer el trabajo una sola vez y
definitiva..

Facil sería prohibirles el compartir, pero a veces si es necesario, es
por
eso que deseo limitar las facilidades de acceso que da cada uno de estos
recursos al grupo principal que SI debe de tener acceso a él.

Gracias



ByteMad



"Guillermo Delprato [MS-MVP]"

escribió en el mensaje news:OA%

Es que eso *es así* :-)
Podrán acceder *solamente* a donde tengan *específicamente* asignados
permisos
Otro problema es si tienes incorrectamente configurados los permisos, y
por ejemplo, hay compartidos con permisos a Everyone (Todos) o
Authenticated Users (Usuarios Autentificados), etc.

Cuando se comparte un recurso en la red hay que asignarle permisos
*solamente* a el/los grupos que tienen que acceder
Toca trabajar ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights.
You assume
all risk for your use.



"ByteMad" wrote in message
news:%

Buenas tardes


* Mi realidad

Tengo una red basada en Windows 2003 y Winsows XP. Los usuarios
comparten sus recursos en diferentes modos (R, RW).

No tengo firewall en la red interna.


* Mi problema

Tengo a un outsourcing trabajando en la empresa y me interesa que ellos
SOLO accedan al servidor principal, mas no a los diferentes recursos de
red de los computadores de mi LAN.

Si bien puedo prohibir desde cada PC estos accesos, por una cuestion de
"cantidad de maquinas" requiero hacerlo centralizadamente desde el
servidor.

Estas PC's del outsourcing estan en un grupo de mi Active Directory.


* Mi pregunta

Puedo establecer alguna politica, permiso o "hacer algo" para que solo
puedan acceder a donde deben acceder?


Gracias mil por anticipado...




ByteMad

Muchas gracias Desiderio por tan completa respuesta...

Mi esquema de red es asi:

Tengo los grupos clasicos, "Finanzas, Gerencia, Administracion, Sistemas,
Operaciones, Legal, Sucursales, etc.", cada una de ellas tiene lo que
denominas, su "sala comun", representado por un directorio llamado "comun"
al que solo tienen acceso los usuarios de un determinado grupo principal,
ademas cada usuario tiene su propio directorio personal y privado. En
adición existe un recurso "comun a todos" para intercambio de información
entre usuarios pertenecientes a grupos diferentes y claro, un recurso donde
mi outsourcing sube sus ejecutables para ser distribuidos, que es el único
punto del servidor donde pueden acceder, debido a que estos señores
pertenecen a un grupo especial, un grupo de denegacion explicita de permisos
llamado "Lista Negra", el cual figura en todos los discos del servidor, con
excepción de un solo recurso, el que les pertenece. Ademas estos usuarios
están limitados en las horas del login y maquinas de donde pueden hacerlo.

Como dije, el tema "servidor" no es problema, "creo" que he tomado las
previsiones del caso, aunque no todo es completamente seguro.

La mayoria de los ataques que puede sufrir un servidor o una red provienen
desde "dentro" de la LAN y no desde fuera, pero sin embargo ponemos mucho
mas énfasis y gastamos mas recursos en protegernos de los ataques que
provienen desde fuera y descuidamos el frente interno.

Por eso me suscribi a este foro (y a otros mas), donde con ayuda de vosotros
puedo mejorar mi nivel de administrador, aprender esos "tips" que pocos
comparten pero que muchos disfrutan. Sería interesante crear entre nosotros
y para nosotros una "hoja de procedimientos de seguridad", validada por
nuestras experiencias, supeditandola a nuestras realidades, seria una
experiencia muy fortificante y didactica, por no decir que tambien
entretenida.

Gracias por sus lineas a todos,

ByteMad





"Desiderio Ondo." escribió en el mensaje
news:%

Hola, ByteMad:

Y si me permitís, Marc y Guillermo... indicar que no es recomendable
que <users> en un entorno de red corporativo tenga más privilegios
de los estrictamente necesarios para la ejecución de su tarea, ya que
en cuanto pueden, te demostrarán que son una apuesta SEGURA para
jod... incluso su propio equipo.

Personalmente, te recomiendo primero asegurarte que <users> tienen
los permisos mínimos necesarios (personalmente, les dejo siempre como
"invitados del dominio" y a algunos pocos elegidos como "usuarios". Los
menús de acceso con otras credenciales... y la opción "savecred").

Con ello, es cierto que impides al resto de <users> a crearse sus propios
directorios compartidos (que es la idea) ya que para tema de recursos de
red, lo idóneo es que cada dep. tenga su propia "sala común" (además del
resto de recursos compartidos) con privilegios completos (y los datos en
la
misma cifrados, por supuesto) para traspasarse sus datos de menor
relevancia
en el <server> (o mejor aún, en una estación de trabajo especial
específicamente
implementada para desempeñar funciones de almacén). A una y sólo una de
éstas
"salas comunes" es donde tu amado outsourcing podría tener acceso, por
dependencias
departamentales.

Eso sí: TODOS los directorios han de ser auditados severamente (en
especial
si hay acceso desde el exterior), y los accesos desde el exterior,
permitidos a
una hora concreta, con un tiempo limitado en minutos (sin posibilidad de
reconexión) y desde un cliente que tenga instalado un determinado
certificado
de seguridad que haya emitido tu <CA> empresarial.

A lo mejor, a priori te parece exagerado lo que he montado en la empresa,
pero
después de varias experiencias negativas de seguridad en el pasado,
considero
que con ésta estructura ya puedes defecar con cierta tranquilidad (sin
bajar la
guardia). La idea final no es "blindar" completamente la red ya que es
imposible,
sino jugar con la mente del <user> no autorizado y hacerle creer que tiene
el
control de todo y que ahí no está lo que él busca.

Durante más de 6 años, a mí me ha funcionado correctamente. Seguro que
habrá
gente que tiene métodos 1000 veces mejores y más fáciles, pero por ahora
es el
que me ha valido. A lo mejor a tí también te "rula". Por probar


Sin mover el trasero de mi sitio
...espero haberte servido de "alluda". Un saludo.
==> · Desiderio Ondo Oyana
· Ingeniero en Informática
· Microsoft® Certified Systems Engineer - MCSE
· Visita mi website: http://pantuflo.escet.urjc.es/~desitech
==>


"ByteMad" escribió en el mensaje
news:

Bueno, encontré el modo de facilitarme el trabajo, aquí la respuesta...

En el servidor principal, ingresar a la consola de "Usuarios y Equipos de
Active Directory", ir a la unidad organizacional donde tienen las PC's
que desean controlar, situarse sobre la PC a gestionar, botón derecho,
"Administrar".

Se abrirá el ya conocido panél de administración LOCAL (de la PC remota),
en la sección "Carpetas Compartidas", "Recursos Compartidos", pueden
visualizar los recursos de éstas máquinas y sus respectivos permisos, si
no les gusta lo que ven, eliminan el recurso compartido y crean uno con
el mismo nombre pero con los permisos que ustedes deseen.

Lo que significa que voy a implementar una política que impida a los
usuarios modificar los permisos de los recursos compartidos.

Claro!!!, Esto siempre y cuando la PC haya sido incluida y pertenezca al
dominio.


Salu2



ByteMad



"Marc [MVP Windows]" escribió en el mensaje
news:u%
Si tus usuarios comparten carpetas a nivel de su máquina, no podrás hacer
nada que no sea quitrarles permisos. Por defecto los "Administradores" y
los "Usuarios avanzados" pueden compartir recursos locales. Bastaría
quitarles, si es posible, esos derechos.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA Windows Server 2003
Citrix CCA
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y
no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.

"ByteMad" escribió en el mensaje
news:

Gracias Mark y Guillermo por responder.

Les comento que mi servidor y los recursos compartidos de mi área SI
están
protegidos de esa manera, el problema es que los usuarios "comparten"
sus
recursos de su PC a "Todos" y por mas que se les dice comparten "C" o
"D"...
y no creo que deba de estar paseando máquina por máquina para ver si es
que
han modificado estos permisos o entrando a "administrar" cada maquina si
es
que existe una manera de que se pueda hacer el trabajo una sola vez y
definitiva..

Facil sería prohibirles el compartir, pero a veces si es necesario, es
por
eso que deseo limitar las facilidades de acceso que da cada uno de estos
recursos al grupo principal que SI debe de tener acceso a él.

Gracias



ByteMad



"Guillermo Delprato [MS-MVP]"

escribió en el mensaje news:OA%

Es que eso *es así* :-)
Podrán acceder *solamente* a donde tengan *específicamente* asignados
permisos
Otro problema es si tienes incorrectamente configurados los permisos, y
por ejemplo, hay compartidos con permisos a Everyone (Todos) o
Authenticated Users (Usuarios Autentificados), etc.

Cuando se comparte un recurso en la red hay que asignarle permisos
*solamente* a el/los grupos que tienen que acceder
Toca trabajar ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights.
You assume
all risk for your use.



"ByteMad" wrote in message
news:%

Buenas tardes


* Mi realidad

Tengo una red basada en Windows 2003 y Winsows XP. Los usuarios
comparten sus recursos en diferentes modos (R, RW).

No tengo firewall en la red interna.


* Mi problema

Tengo a un outsourcing trabajando en la empresa y me interesa que
ellos
SOLO accedan al servidor principal, mas no a los diferentes recursos
de
red de los computadores de mi LAN.

Si bien puedo prohibir desde cada PC estos accesos, por una cuestion
de
"cantidad de maquinas" requiero hacerlo centralizadamente desde el
servidor.

Estas PC's del outsourcing estan en un grupo de mi Active Directory.


* Mi pregunta

Puedo establecer alguna politica, permiso o "hacer algo" para que solo
puedan acceder a donde deben acceder?


Gracias mil por anticipado...




ByteMad