Restringir Acceso a Carpeta Compartida en Windows Server 2022 con NTFS y GPO

En muchos entornos corporativos se necesita aislar cierta información sensible para que solo usuarios o grupos muy concretos puedan leerla o modificarla. Windows Server 2022 ofrece dos barreras complementarias—permisos NTFS y permisos de recurso compartido—que, combinadas con Directiva de Grupo (GPO), permiten bloquear eficazmente el acceso y además mostrar al usuario un claro mensaje de “Acceso denegado”. En este artículo aprenderás a implementar paso a paso la estrategia completa y, al mismo tiempo, conocerás las mejores prácticas de seguridad y auditoría que todo administrador debería aplicar.

Conceptos que debes dominar antes de empezar

Antes de tocar permisos conviene repasar la arquitectura de seguridad que interviene al acceder a \\servername\folder_share:

• Sistema de archivos NTFS: controla qué identidades (usuarios, grupos o cuentas de equipo) pueden listar, leer, crear, modificar o eliminar archivos y subcarpetas en el volumen local.
• Permisos del recurso compartido: actúan como puerta de entrada al pasar de la red al sistema de archivos. Se evalúan primero y, si alguno niega la acción, el intento se detiene sin llegar a NTFS.
• Directiva de Grupo (GPO): permite “imponer” los mismos permisos de forma centralizada y, además, configurar mensajes o scripts que refuercen la experiencia de bloqueo.
• Auditoría Windows Security: sirve para registrar quién intentó acceder, cuándo y desde qué equipo, datos imprescindibles para cumplir normativas o investigar incidentes.
• Principio del permiso efectivo: el acceso final es la intersección de permisos Share × NTFS; basta que uno de los dos sea más restrictivo para que la operación se bloquee.

Ajuste de permisos NTFS paso a paso

Trabajarás directamente sobre la carpeta física (o su ruta local) donde reside folder_share:

1. Abre Administrador de archivos, localiza la carpeta, botón derecho → Properties → Security → Edit.
2. Revisa la lista actual. Si “Domain Users” aparece con permisos amplios, quítalo si tu objetivo es impedir que la mayoría de usuarios vea el contenido.
3. Añade únicamente los grupos o cuentas con necesidad real (por ejemplo, “ArchivoFinanzas_R”) y asígnales el nivel mínimo suficiente—Read suele bastar para usuarios de consulta.
4. Evita activar explícitamente la casilla Deny salvo cuando sea imprescindible sobrescribir herencias complejas; recuerda que “Denegar” prevalece sobre cualquier “Permitir”.
5. Propaga cambios a subcarpetas y archivos marcando Replace all child object permission entries with inheritable permission entries from this object si necesitas uniformidad completa.

Buenas prácticas adicionales en NTFS

• Herencia controlada: cuando bloqueas la herencia, documenta el motivo. Romperla indiscriminadamente complica futuras auditorías.
• Grupos en vez de usuarios: administra permisos indirectamente; así evitas “explosiones” de ACL al añadir o quitar empleados.
• Nombres descriptivos: crea grupos como “GRPFINCONTABILIDAD_RW” para que su propósito sea evidente.

Configuración de permisos del recurso compartido

Los permisos de “share” definen el primer filtro cuando un hilo SMB intenta abrir la ruta UNC:

1. En la misma carpeta, ve a la pestaña Sharing → Advanced Sharing y marca Share this folder.
2. Pulsa Permissions. Windows hereda por defecto la entrada Everyone: Read. Aprovecha para:
   • Eliminar “Everyone” si el recurso debe ser totalmente privado.
   • Añadir solo los grupos autorizados (GRPFINCONTABILIDADRW, GRPTISOPORTEFull…) con los niveles Change o únicamente Read según el caso.
3. Guarda cambios. A partir de ahora, un usuario no incluido fallará la verificación de permisos incluso antes de que NTFS intervenga.

Política de seguridad recomendada para shares

Grupo	Permisos Share	Permisos NTFS sugeridos
Administradores del servidor	Full Control	Full Control
Equipo TI soporte	Change, Read	Modify
Usuarios de negocio autorizados	Read	Read & Execute
Domain Users (o público)	No definido	No definido

Así nadie ajeno a los grupos listados podrá ni siquiera enumerar la carpeta compartida.

Aplicación de GPO para reforzar restricciones

Si la organización tiene varios servidores o quieres impedir que otro administrador cambie manualmente las ACL, consolida la configuración con Directiva de Grupo:

1. Abre Group Policy Management Console (GPMC).
2. Crea o elige una GPO vinculada a la OU que contiene los usuarios afectados o, mejor, a la OU del servidor si solo ese host aloja la carpeta.
3. Navega a Configuración de Equipo → Configuración de Windows → Configuración de seguridad → Sistema de archivos.
4. Usa el menú contextual Agregar archivo. Selecciona la ruta local (ej. D:\Shares\folder_share) o introduce la UNC; especifica los mismos permisos NTFS que configuraste manualmente.
5. Para mostrar una advertencia genérica de acceso restringido, ve a Directivas locales → Opciones de seguridad → Inicio de sesión interactivo: Mensaje de texto y agrega un texto como: “Este sistema registra todo intento de acceso. El uso no autorizado está prohibido.”
6. Aplica la GPO, forzando gpupdate /force en los clientes o esperando el ciclo de actualización (por defecto, 90 minutos ± 30).

¿Por qué usar GPO además de ACL locales?

GPO elimina la “drift” o deriva de configuración. Si alguien cambia accidentalmente (o maliciosamente) los permisos en el servidor, en el siguiente procesamiento de políticas se restaurarán los valores definidos. Además, las GPO quedan registradas y versionadas, lo que facilita auditorías de cumplimiento normativo como ISO 27001 o SOX.

Verificación y pruebas controladas

Valida siempre con cuentas de laboratorio antes de afectar a usuarios reales:

1. Inicia sesión en una estación como un usuario perteneciente a “Domain Users” pero no a ningún grupo permitido.
2. Abre \\servername\folder_share desde Ejecutar o File Explorer. Deberías recibir inmediatamente la ventana de credenciales o el mensaje “No tiene permiso para acceder…”.
3. Comprueba el Visor de eventos (Security) en el servidor. Debería haber eventos 5145 (A network share object was checked to see whether client can be granted desired access) y 4663 (An attempt was made to access an object) marcados como Access Denied.
4. Repite la prueba con un usuario sí autorizado para confirmar que puede leer o modificar archivos según lo establecido.

Habilitar auditoría avanzada

La auditoría complementa los permisos permitiendo detectar patrones sospechosos (muchos intentos fallidos, accesos fuera de horario, etc.). Para activar la auditoría focalizada en la carpeta:

1. En la misma ventana Advanced Security Settings, abre la pestaña Auditing.
2. Añade las entradas que necesites (por ejemplo, Domain Users → Fail en List Folder/Read Data y Create files/Write Data).
3. Guarda y aplica. Ten en cuenta que la auditoría intensiva puede llenar el Security log; ajusta su tamaño o exporta los eventos a un SIEM.

Filtrado rápido desde PowerShell

Get-WinEvent -FilterHashtable @{LogName='Security';Id=4663} |
  Where-Object { $.Properties[5].Value -like '*foldershare*' -and
                 $_.Properties[10].Value -eq '%%4418' } |
  Select-Object TimeCreated, @{n='Usuario';e={$_.Properties[1].Value}},
                @{n='Operación';e={$_.Properties[8].Value}} |
  Sort-Object TimeCreated -Descending | Format-Table -AutoSize

Con este script localizas los últimos bloqueos de acceso a la carpeta en cuestión, listando quién y cuándo los provocó.

Automatizar creación y mantenimiento con PowerShell

Si administras docenas de shares resulta más cómodo un enfoque Infrastructure as Code. Ejemplo simplificado:

$sharePath = 'D:\Shares\folder_share'
$shareName = 'folder_share'
$allowedGroup = 'GRPFINCONTABILIDAD_RW'

Crear carpeta si no existe
if (-not (Test-Path $sharePath)) { New-Item -ItemType Directory -Path $sharePath }

Ajustar NTFS: limpia herencia y asigna solo Administradores + grupo permitido
icacls $sharePath /inheritance:r
icacls $sharePath /grant 'BUILTIN\Administrators:(OI)(CI)F'
icacls $sharePath /grant "$allowedGroup:(OI)(CI)M"

Crear recurso compartido
New-SmbShare -Name $shareName -Path $sharePath -FullAccess 'BUILTIN\Administrators' -ChangeAccess $allowedGroup

Habilitar auditoría de acceso denegado
$acl = Get-Acl $sharePath
$rule = New-Object System.Security.AccessControl.FileSystemAuditRule(
  'Domain Users','ReadData, WriteData','ContainerInherit,ObjectInherit','None','Failure')
$acl.AddAuditRule($rule); Set-Acl $sharePath $acl

Incluye este script en una GPO Startup o en tu pipeline de automatización (Ansible, DSC) para garantizar coherencia entre entornos.

Preguntas frecuentes

¿Qué pasa si concedo Deny a “Domain Users” en el share? El efecto es inmediato: ningún usuario autenticado podrá atravesar la puerta de la compartición, aunque en NTFS tenga permisos concedidos. Úsalo solo si necesitas un bloqueo global y documenta la decisión. ¿El mensaje de “Inicio de sesión interactivo” aparece cuando acceden vía red? No, se muestra durante el logon local o RDP. Para mensajes SMB necesitarías soluciones de terceros o scripts que creen archivos “README_NoAcceso.txt” a la vista del usuario. ¿Se puede hacer lo mismo en un clúster de alta disponibilidad? Sí. Configura la ACL en la unidad compartida del clúster y replica la GPO a todos los nodos. SMB balanceará las peticiones y los permisos serán consistentes.

Resolución de problemas comunes

Síntoma	Causa más probable	Solución rápida
Usuario recibe doble petición de credenciales	Acceso denegado en share pero permitido en NTFS	Revoca permisos en share o unifica grupos
Nadie puede acceder excepto administradores	Grupo “Everyone” eliminado sin añadir grupos de lectura	Añade grupos legítimos con Read o Change
Eventos de auditoría masivos saturan el log	Auditoría habilitada en “Success” y “Failure” para todos	Filtra solo operaciones Failure o grupos críticos
Herencia complicada tras varias migraciones	ACL Legacy con muchas excepciones	Usa icacls /reset y aplica nuevo diseño

Checklist final antes de pasar a producción

• ACL NTFS revisada, sin entradas redundantes ni permisos implícitos.
• Permisos del recurso compartido coherentes con el diseño de seguridad.
• GPO aplicada y verificada en al menos dos ciclos de actualización.
• Evento 5145 (share) y 4663 (NTFS) monitorizados en SIEM.
• Documentación actualizada en el runbook de TI y comunicada a partes interesadas.
• Grupo “break‑glass” registrado y con supervisión estricta.

Conclusión

Restringir el acceso a \\servername\folder_share no es solo cuestión de marcar casillas; requiere una estrategia que combine la capa física (NTFS), la capa lógica (Share) y la capa de gobierno (GPO). Siguiendo los pasos descritos, garantizarás el principio de mínimo privilegio, mejorarás la postura de seguridad y dispondrás de trazabilidad completa ante auditorías. Mantén siempre la disciplina de revisar permisos de forma periódica y de automatizar la configuración para evitar errores humanos.