Permissões NTFS: Um Guia Abrangente

O Windows permite que os usuários atribuam permissões a arquivos e pastas, para maior segurança e controle sobre quais usuários podem executar ações específicas em arquivos e pastas. Saiba tudo o que você precisa saber sobre permissões básicas, permissões de pasta, permissões de usuário, permissões explícitas e muito mais.

O que são permissões NTFS?

As permissões NTFS, introduzidas pela primeira vez com o Microsoft Windows NT, são um dos dois tipos de controles de acesso integrados aos sistemas Windows formatados com o sistema de arquivos NTFS (New Technology File System). O outro tipo é as permissões de ‘Compartilhamento’.

Essas permissões podem ser usadas para restringir quem pode acessar arquivos e pastas em computadores Windows usando permissões de permitir ou negar. As permissões NTFS são herdadas de uma pasta raiz (pasta pai) para os arquivos abaixo dela. No entanto, essa herança pode ser desativada. Há uma grande quantidade de granularidade disponível, mas isso pode rapidamente se tornar um pesadelo administrativo.

Como as permissões NTFS diferem das permissões de Compartilhamento?

As permissões NTFS são definidas em volumes NTFS, que são áreas lógicas de um disco físico. As permissões NTFS controlam o acesso a arquivos e pastas. As permissões de Compartilhamento são definidas em pastas compartilhadas e ajudam a controlar o acesso no nível de compartilhamento. As permissões de compartilhamento são avaliadas antes das permissões NTFS.

Você descobrirá mais granularidade com as permissões do NTFS, permitindo que você conceda um controle mais preciso aos seus usuários. Por outro lado, as permissões de compartilhamento são mais simples de gerenciar, mas oferecem menos granularidade. Basicamente, você tem três permissões de compartilhamento:

1. Controle Total
2. Alterar
3. Ler

Você encontrará MUITOS mais níveis com as permissões do NTFS mais adiante neste artigo.

Como Configurar Permissões do NTFS

No nível mais simples, os Profissionais de TI podem usar o Explorador de Arquivos (ou Windows Explorer) no Windows para definir e aplicar as permissões do NTFS usando listas de controle de acesso. Para abrir o Explorador de Arquivos, pressione WIN+E. Existem outras ferramentas e soluções de terceiros que podem ser utilizadas para oferecer os mesmos passos, mas em um nível fundamental, o Explorador de Arquivos é a sua opção.

Deixe-me abrir meu laboratório Hyper-V com meu ambiente de Active Directory baseado no Windows Server 2022. Eu entrei em uma das minhas máquinas virtuais (VM) do Windows 11 para te mostrar como funciona.

Na figura abaixo, você pode ver um compartilhamento em um dos meus servidores de arquivos. Há duas pastas aqui. Deixe-me clicar com o botão direito em ‘Pasta_01’ e clicar em Propriedades.

A partir daqui, vamos clicar na guia Segurança no topo e depois clicar no botão ‘Editar…‘ para fazer algumas alterações.

Podemos selecionar cada usuário ou grupo na primeira seção para ver quais permissões NTFS o usuário ou grupo em questão possui.

A quick note – if the checkmark is ‘clean’ or not faded, that means the permissions are explicit. If the checkmark is greyed or faded, that means the permission level is inherited from the parent folder above. I will explain this more later.

Deixe-me clicar no botão ‘Adicionar…‘.

Em seguida, digitarei o nome de um usuário e depois clicarei em Verificar Nomes para confirmar a escolha. Aqui escolhi Billy Reinders. Clicarei em OK.

Por padrão, o Windows escolhe as permissões básicas de ‘Leitura’ – ‘Ler & executar’, ‘Listar conteúdo da pasta’ e ‘Ler’. É isso que estou procurando – quero que Billy consiga ler esses arquivos e copiá-los para outro lugar, mas não quero que ele consiga fazer alterações.

Certo, vamos entrar em mais detalhes sobre essas permissões e opções.

Quais são os diferentes tipos de permissões NTFS?

Em um nível fundamental, existem tipos de permissões Básicas e Avançadas. As Básicas incluem: Ler, Ler e Executar, Escrever, Modificar, Listar Conteúdo da Pasta e Controle Total.

• Ler: Permite que os usuários visualizem o conteúdo de um arquivo ou pasta.
• Ler e Executar: Permite que os usuários visualizem o conteúdo de um arquivo ou pasta e executem arquivos.
• Escrever: Permite que os usuários criem novos arquivos e pastas e modifiquem arquivos e pastas existentes.
• Modificar: Permite aos usuários criar novos arquivos e pastas, modificar arquivos e pastas existentes e excluir arquivos e pastas.
• Listar Conteúdo da Pasta: Permite aos usuários visualizar o conteúdo de uma pasta.
• Controle Total: Permite aos usuários realizar qualquer ação em um arquivo ou pasta, incluindo modificar permissões.

O que são permissões especiais?

Permissões especiais, ou permissões avançadas como são mais comumente conhecidas, são impressionantes e assustadoras ao mesmo tempo. Esta lista vem diretamente do ntfs.com e é bastante educativa.

• Atravessar Pasta/Executar Arquivo: Este atributo permite que você se mova através de uma pasta restrita para acessar arquivos e pastas abaixo da pasta restrita. Atravessar pasta só tem efeito quando o grupo ou usuário não tem concedido o direito de “Ignorar usuário de verificação de travessia” no snap-in de Política de Grupo. Lembre-se de que esta permissão não permite a execução automática de arquivos de programa. Executar Arquivo: Permite ou nega a execução de arquivos de programa (executáveis).
• Listar Pasta/Ler Dados: Isso permitirá ou negará a capacidade de visualizar nomes de arquivos e nomes de subpastas dentro da referida pasta. Listar Pasta afeta apenas o conteúdo da pasta especificada e não afeta se a pasta na qual você está definindo a permissão será exibida. Ler Dados: Permite ou nega a visualização de dados em arquivos.
• Leia Atributos: Este atributo é muito comum. Isso permite que o usuário ou grupo visualize os atributos de um arquivo ou pasta, por exemplo, “somente leitura” e “oculto”.
• Leia Atributos Estendidos: Isso é um pouco mais obscuro, mas permite que um usuário visualize os atributos estendidos de um arquivo ou pasta. Programas definem atributos estendidos e podem variar de programa para programa.
• Criar Arquivos/Escrever Dados: Criar Arquivos: Isso permitirá ou negará a capacidade de criar arquivos dentro da pasta. Escrever Dados: isso permite ou nega a um usuário fazer alterações em um arquivo e sobrescrever o conteúdo existente.
• Criar Pastas/Anexar Dados: Criar Pastas: Isso permitirá que o usuário crie subpastas dentro da pasta. Anexar Dados: Isso significa que você poderá abrir explicitamente um arquivo e adicionar a ele. Isso NÃO inclui excluir ou alterar um arquivo (Salvar).
• Escrever Atributos: Este é um atributo poderoso – ele permite ou nega a alteração dos atributos de um arquivo ou pasta. A permissão de Escrever Atributos não inclui necessariamente a criação ou exclusão de arquivos ou pastas, apenas permite que o usuário faça alterações nos atributos de um arquivo ou pasta existente.
• Escrever Atributos Estendidos: Este atributo permite que o usuário altere os atributos estendidos de um arquivo ou pasta. Programas definem atributos estendidos e podem variar de programa para programa. A permissão de Escrever Atributos Estendidos não implica a criação ou exclusão de arquivos ou pastas. Apenas incluirá a permissão para alterar atributos estendidos de arquivos ou pastas em uma pasta existente.
• Excluir Subpastas e Arquivos: Um atributo muito poderoso – use com cautela – isso permite ao usuário excluir subpastas e arquivos, mesmo que a permissão de exclusão não tenha sido concedida na subpasta ou arquivo.
• Excluir: Outra ferramenta poderosa no arsenal do usuário – isso permitirá que você exclua arquivos em uma pasta, incluindo a pasta. No entanto, e isso é frequentemente ignorado – se você não tiver permissão de exclusão em um arquivo ou pasta, ainda poderá excluí-lo se tiver sido concedida a permissão de Excluir Subpastas e Arquivos na pasta pai.
• Permissões de Leitura: Este atributo permitirá que você leia as permissões de arquivos e pastas em uma pasta específica.

Todos vs. Usuários Autenticados

Ao planejar a atribuição de permissões NTFS para seus arquivos e pastas, você inevitavelmente escolherá um grupo para a pasta ‘raiz’ ou ‘de nível superior’ para seus diversos volumes. Você precisará escolher com cuidado para restringir a possibilidade de violações de segurança em sua rede. Os dois grupos mais usados são ‘Todos’ e ‘Usuários Autenticados’.

‘Todos’ inclui todos os usuários de toda a floresta AD, incluindo contas integradas, sem proteção de senha, como Convidado e NETWORK_SERVICE. Se você conceder o grupo ‘Todos’ a uma pasta, literalmente TODOS, até mesmo usuários sem uma conta de usuário em sua rede, terão acesso. Um ENORME risco de segurança, sim.

Por outro lado, ‘Usuários Autenticados’ inclui apenas usuários autenticados. Esses usuários precisam de um nome de usuário autorizado e senha para acessar a pasta ou arquivo.

Como funciona a herança com as permissões NTFS?

As permissões herdadas oferecem aos profissionais de TI uma administração mais fácil das permissões de arquivos e pastas. Quando a herança é ativada em um grupo de arquivos e pastas, quaisquer objetos ‘filhos’ herdarão as permissões definidas pela pasta ‘pai’. Se você aplicasse permissões de ‘Leitura’ na pasta raiz de um volume específico e definisse todos os objetos filhos para herdar as permissões, TODOS os seus arquivos e pastas no volume teriam as permissões de ‘Leitura’ definidas. Sim, muito eficiente.

Deixe-me mostrar a você… Na mesma pasta ‘Pasta_01’, na guia Segurança, cliquei no botão Avançado.

Aqui podemos ver que Billy tem a permissão explícita de ‘Leitura’ que definimos anteriormente, e que as entradas restantes mostram herança do ‘Objeto Pai’. Poderíamos ‘Desativar a herança’ pressionando esse botão. Essas permissões seriam então marcadas como explícitas. E sim, você está começando a ver o potencial pesadelo de administrar isso. Mas, não se preocupe, o próximo tópico aborda isso.

O que são permissões NTFS efetivas?

Este conceito ilustra quais permissões um usuário ou grupo tem em um arquivo ou pasta específica. Leva em consideração as permissões de Compartilhamento e NTFS e oferece algumas informações concretas para os profissionais de TI.

Novamente na guia Segurança, cliquei em Avançado. Em seguida, cliquei na guia ‘Acesso efetivo‘ no topo. Em seguida, escolhi a conta de usuário de Billy Reinders e cliquei em ‘Visualizar acesso efetivo‘.

Podemos ver que Billy tem apenas permissões do tipo ‘Leitura’, pois essas foram explicitamente inseridas nesta pasta. Uma maneira rápida e fácil de verificar quais permissões um usuário ou grupo tem em um arquivo ou pasta.

Quais são as melhores práticas ao configurar permissões NTFS?

Existem algumas melhores práticas ‘padrão da indústria’ ao planejar e estrategizar uma abordagem de segurança geral para arquivos e pastas em seu ambiente. Aqui estão algumas.

1. Revise e audite regularmente suas permissões NTFS para garantir que as permissões corretas estejam definidas para seus servidores de arquivos.

2. Use uma ferramenta de terceiros ou solução de software para realizar essa análise para você. Muitas vezes, essas ferramentas também oferecerão alertas sobre alterações nas permissões NTFS em seus servidores.

3. Use a herança sempre que possível para facilitar a administração contínua e a auditoria de seus servidores de arquivos.

4. Grupos, grupos, grupos – faça um favor a si mesmo e utilize grupos de segurança o máximo possível para facilitar a administração. Em vez de ter que adicionar outro usuário e suas permissões em sete servidores de arquivos, você pode adicioná-los a um grupo de segurança e pronto.

Como fazer backup e restaurar permissões NTFS usando Icacls

Comando Icacls: quem não quer uma maneira fácil e rápida de fazer backup das permissões NTFS? – é aí que entra o comando Icacls. Com certeza, você deve ter uma solução de backup empresarial em vigor, mas, novamente, esta é uma boa opção improvisada. De volta ao meu laboratório…

I can issue this command to capture the current permissions on our ‘Folder_01’ folder.

icacls g:folder_01 /save ntfsperm.txt /t /c

A opção ‘/t’ informa ao comando para verificar também as pastas e arquivos filhos. A opção ‘/c’ diz para continuar em caso de erros.

E sim, isso parece maravilhosamente complicado, não é? Não se preocupe. Você pode simplesmente saber o suficiente para restaurá-las, se necessário.

icacls g:folder_01 /restore ntfsperm.txt

Auditoria de alterações de permissões NTFS no Windows

Para configurar a auditoria de alterações nas permissões NTFS no Windows, você deve usar a Política de Grupo. Aqui está um passo a passo de alto nível:

1. Abra o Editor de Política de Grupo em Ferramentas Administrativas.
2. Navegue até Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Política de Auditoria.
3. Para ‘Auditar acesso a objetos’, habilite ‘Sucesso’ e ‘Falha’.
4. Em seguida, você pode configurar uma entrada de auditoria nas pastas específicas que deseja auditar. Na caixa de diálogo Segurança Avançada, clique na guia Auditoria -> Continuar -> e clique em Adicionar e adicione um grupo que você deseja rastrear.
5. Selecione Tipo = Êxito e habilite Alterar Permissões e Assumir Propriedade em Permissões Avançadas.

É isso aí.

Conclusão

Esta postagem realmente aborda superficialmente as permissões NTFS no Windows. Há muitas opções envolvidas e muita granularidade com o design e administração dessas permissões.

Por favor, deixe um comentário ou pergunta abaixo e obrigado por ler.