En los roles que cumplimos dentro del área de IT lo más importante es mantener toda la información y toda la configuración de la infraestructura asegurada evitando accesos no autorizados, malos manejos, propagación de virus, instalación de aplicaciones no autorizadas, etc.
Sabemos que en una organización, el personal que no es de IT no conoce las vulnerabilidades de copiar, instalar o ejecutar diferentes programas en el equipo local ya que desde allí puede derivarse a toda la red y ocasionar graves problemas que conllevan tiempo, recursos y en ocasiones dinero.
Una de las grandes novedades que tenemos en Windows Server 2016 es la posibilidad de administrar el tipo de archivos que los usuarios pueden instalar o guardar en sus máquinas o en alguna carpeta compartida los cuales puede generar problemas de seguridad, inicio de ataques o problemas de rendimiento de la arquitectura establecida. Para gestionar y administrar este tipo de archivos usaremos el Administrador de filtrado de archivos en Windows Server 2016. Es posible que también te interese el siguiente tema: administrar cuotas en Windows Sever 2016.
1. ¿Qué es el administrador de filtrado de archivos?
El administrador de filtrado es un complemento del rol del Administrador de recursos del servidor de archivos el cual nos permite crear parámetros para definir el tipo de archivos que cada usuario puede usar en sus máquinas.
- Definir plantillas que pueden ser aplicadas a nuevas carpetas o volúmenes.
- Crear y administrar filtros que nos permiten controlar de manera centralizada los archivos que los usuarios guardar.
- Generar notificaciones que nos alertan cuando algún usuario está intentando guardar un archivo no autorizado.
- Crear excepciones de filtrado para usuarios definidos.
Por ejemplo con este administrador podemos evitar que los usuarios de un determinado grupo guarde archivos .exe, pero al mismo tiempo podemos crear una excepción para que el coordinador de esa área si tenga ese permiso.
2. Escenario de implementación
Para este análisis como hemos mencionado usaremos el administrador de filtrado de archivos en un entorno Windows Server 2016 Technical Preview 5 y además hemos creado una carpeta compartida llamada Producción.
En esta carpeta producción vamos a crear la restricción de algunos de los tipos de archivos más comunes.
3. Analizar el filtrado de archivos
Para comenzar el proceso de creación de filtrado vamos a abrir el Administrador de recursos del servidor de archivos usando cualquiera de los siguientes métodos:
A través del menú Herramientas en Administrador del servidor:
A través de Herramientas Administrativas en el menú Inicio:
Una vez seleccionemos cualquiera de las anteriores se abrirá la siguiente ventana:
Pulsamos sobre la opción Administración de filtrado de archivos y veremos lo siguiente:
Si pulsamos en las opciones Plantillas de filtros de archivos y Grupos de archivos podemos ver que por defecto ya tenemos valores predefinidos.
En Plantillas de filtros de archivos podemos ver plantillas para el correo electrónico, audio y vídeo, archivos ejecutables, entre otros.
En Grupos de archivos podemos ver las diferentes categorías que podemos restringir, como archivos de texto, archivos temporales, archivos ejecutables, audio y vídeo, etc.
4. Crear la política de restricción usando el filtrado de archivos
Una vez tengamos definido que tipo de archivos hemos de restringir a los usuarios de la unidad organizativa, en nuestro ejemplo Producción, vamos a seleccionar la opción Filtros de archivos.
Allí seleccionamos la opción Crear filtro de archivos de cualquiera de las siguientes formas:
- Clic derecho en Filtros de archivos.
- Seleccionando Crear filtro de archivos en el costado derecho.
Una vez seleccionemos esta opción se desplegará la siguiente ventana donde debemos indicar la ruta donde se encuentra la carpeta a la cual se aplicará la restricción.
Vemos en el campo “Derivar propiedades de esta plantilla de filtro de archivos” que por defecto está seleccionada la restricción para los archivos de audio y vídeo, si desplegamos hacia abajo podemos ver las diferentes alternativas de restricción.
Seleccionemos para este ejemplo la opción Bloquear archivos ejecutables y veremos lo siguiente:
Notemos que en la parte inferior vemos un resumen de la restricción a aplicar, a que carpeta se ha de aplicar la misma y la forma como se notificará al administrador de dichos eventos. Vemos la restricción que creamos:
5. Verificar la efectividad de la restricción
Para comprobar que la restricción que hemos creado funciona de manera adecuada vamos a intentar copiar un archivo ejecutable en la carpeta Producción, veremos que se despliega el siguiente mensaje de error:
6. Cómo visualizar el intento en el visor de eventos
Como se ha descrito en el resumen de la restricción, la advertencia que algún usuario ha intentado copiar un archivo, en este caso ejecutable, en la carpeta seleccionada llegará a nuestro correo y al visor de eventos de Windows. Podemos comprobar esto abriendo el visor de eventos y buscando la advertencia en Registros de Windows / Aplicación:
Podemos ver como el visor de eventos nos brinda una información detallada acerca de que usuario y que tipo de archivo ha intentado copiar y a partir de allí podremos llevar un control centralizado acerca de que usuarios no se están guando por las políticas de la organización.
7. Cómo establecer restricciones usando las plantillas de filtro
A continuación analizaremos cómo usar las plantillas predeterminadas en el administrador de recursos. Para este ejemplo vamos a implementar la plantilla para supervisar archivos ejecutables.
Para crear esta plantilla pulsamos clic derecho sobre la plantilla o seleccionamos la opción Crear plantilla de filtro de archivos ubicada en la columna derecha.
Veremos la siguiente ventana:
En esta ventana debemos definir los parámetros necesarios como:
- Nombre de la plantilla
- Tipo de filtrado
- Definir que grupo de archivos serán restringidos
Si deseamos crear un grupo definido de archivos podemos usar la opción Crear y agregar los tipos de archivos que deseamos, por ejemplo, *.exe, *.mp3, *.bat etc.
En la pestaña Mensaje de correo electrónico podemos definir a quienes llega la notificación de advertencia (Debemos activar la casilla para que se emitan los mensajes).
En la pestaña Registro de eventos podemos activarla para que cada advertencia quede almacenada en el visor de eventos de Windows Server 2016.
Una vez tengamos definidos estos parámetros pulsamos Aceptar. Podemos ver cómo se ha creado la plantilla Solvetic_Acceso:
Para aplicar esta política a la carpeta que deseemos vamos a pulsar clic derecho sobre la plantilla y seleccionamos la opción “Crear filtros de archivos a partir de una plantilla”.
Vemos que se abre lo siguiente:
Allí debemos seleccionar la carpeta a aplicar la plantilla y pulsamos Crear y podemos ver creada nuestra plantilla creada de manera correcta:
Ahora procedemos a copiar un archivo que hemos creado llamado solvetic.txt en la carpeta producción y podemos ver en el visor de eventos de Windows Server que se ha creado la advertencia respectiva.
Con esta plantilla en tipo pasivo vemos que se crea la advertencia pero se habilita la posibilidad de copiar los archivos en la carpeta seleccionada.
Como vemos podemos copiar archivos y no hay ninguna restricción, pero se emite un mensaje de advertencia en el correo y en el visor de eventos para nuestras tareas administrativas.
Usando esta herramienta de filtrado de archivos podemos ver que contamos con bastantes posibilidades para restringir la copia de archivos en las carpetas compartidas dentro de nuestro dominio con Windows Server 2016.
Recordemos que así como existen archivos que no son peligrosos, como los mp3 o jpeg, si existen archivos que significan un riesgo para la seguridad y rendimiento de la infraestructura como son los archivos ejecutables (.bat .exe) o los archivos de sistema. Saquemos el máximo provecho a esta poderosa utilidad y aseguremos aún más nuestro dominio para no llevarnos sustos.