Bloquear acesso a \servername\folder_share no Windows Server 2022 (SMB/NTFS/ABE/GPO)

Guia prático e direto para impedir o acesso a \\servername\folder_share no Windows Server 2022: configure corretamente NTFS + Compartilhamento, habilite ABE, use FSRM para mensagens de “acesso negado” e complemente com GPO apenas onde faz sentido.

Visão geral e ideia central

Se o objetivo é que usuários de domínio não consigam listar, criar ou excluir conteúdo em um compartilhamento de rede como \\servername\folder_share — e recebam a mensagem “Acesso negado” ao tentar — a abordagem vencedora é tratar a segurança no servidor de arquivos com permissões corretas de NTFS e de Compartilhamento SMB. Políticas de Grupo (GPO) são úteis para complementar o cenário (remover mapeamentos, reduzir descoberta de rede, padronizar mensagens), mas não substituem ACLs bem definidas. Em outras palavras: bloqueio real se faz com ACL; GPO ajuda na organização e experiência do usuário.

Por que permissões NTFS + Compartilhamento resolvem

O acesso efetivo é a interseção entre o que o usuário tem no nível do compartilhamento e no nível do NTFS. Você pode pensar assim:

Camada	Onde configurar	Objetivo	Exemplo de grupos
Compartilhamento SMB	Propriedades → Compartilhamento Avançado → Permissões	Porta de entrada do acesso remoto	GGFShareLeitura, GGFShareContrib, Administradores
NTFS	Propriedades → Segurança	Controle fino sobre pastas/arquivos	Mesmos grupos; herança e permissões granulares

O usuário só consegue fazer o que estiver permitido em ambas as camadas. Sem permissão em qualquer uma delas, o resultado é “Acesso negado”.

Preparar o que será compartilhado

Boas práticas fundamentais evitam surpresas de segurança e auditoria:

• Nunca compartilhe a raiz do C:\. Em vez disso, crie uma pasta dedicada como D:\Dados\Departamental (ou outro volume de dados) e compartilhe apenas o necessário.
• Se existir um compartilhamento apontando para C:\, remova e recrie apontando para a pasta correta.
• Não remova os compartilhamentos administrativos padrão C$, ADMIN$ e IPC$; eles são parte do sistema.

Definir permissões NTFS na pasta

O NTFS é onde você dita “quem pode fazer o quê” dentro da pasta. Proceda assim:

1. Acesse Propriedades da pasta → Segurança.
2. Remova Everyone, Users, Authenticated Users e Domain Users, se presentes (mantenha apenas as entradas necessárias para o funcionamento e administração).
3. Crie e use grupos de AD específicos para o recurso, por exemplo:
   • GGFShareLeitura — leitura/execução.
   • GGFShareContrib — modificar (criar/alterar/excluir, sem poder alterar permissões).
4. Aplique as permissões:
   • GGFShareLeitura → Read & Execute (Leitura).
   • GGFShareContrib → Modify (Modificar).
   • Mantenha Administrators e contas de serviço conforme necessário com Full Control.

Evite o uso de Deny. Em 99% dos casos, “não conceder” já bloqueia. Reserve Deny para exceções muito específicas, porque ele herda e pode causar comportamentos confusos.

Permissão NTFS	O que permite	Quando usar
Read & Execute	Abrir/ler arquivos, navegar nas pastas	Grupos de leitura
Modify	Criar/editar/excluir arquivos, sem mudar ACL	Equipes que precisam trabalhar no conteúdo
Full Control	Todas as ações, incluindo alterar permissões	Apenas administradores e contas de sistema

Ajustar permissões do compartilhamento SMB

Alinhe o que foi decidido no NTFS com o que a porta do compartilhamento permite:

1. Propriedades da pasta → Compartilhamento Avançado → Permissões.
2. Remova Everyone.
3. Conceda apenas aos grupos específicos:
   • GGFShareLeitura → Read.
   • GGFShareContrib → Change (ou Full apenas para administradores).

Regra de ouro: o efetivo do usuário será sempre o menor entre as duas camadas. Se o compartilhamento der Change, mas o NTFS der apenas Read, o efetivo será Read; se o compartilhamento nem permitir entrar, o usuário nem chega nas ACLs NTFS.

Ocultar o que o usuário não deve ver

Bloquear é ótimo. Não mostrar é ainda melhor para reduzir chamados de suporte.

• Access-Based Enumeration (ABE): oculta automaticamente pastas para quem não tem permissão.
  • Em Propriedades do compartilhamento, habilite Enable access-based enumeration.
  • Via PowerShell: Set-SmbShare -Name "folder_share" -FolderEnumerationMode AccessBased.
• Compartilhamento “oculto” (opcional): renomeie como folder_share$ para não aparecer em enumerações de rede. O acesso direto por caminho continua funcionando para quem tem permissão.

Mensagem clara de “Acesso negado”

O erro genérico ajuda pouco. Uma mensagem guiada reduz chamados e acelera solicitações de acesso:

• Instale o File Server Resource Manager (FSRM) no servidor de arquivos.
• Configure Access-Denied Assistance com um texto personalizado e, se desejar, um botão “Solicitar acesso” que envia e-mail ao time de TI com contexto (usuário, caminho, servidor).

Modelo sugerido de mensagem:

Você não tem permissão para acessar esta pasta.
Servidor: \\servername
Caminho: \\servername\folder_share
Se você acredita que precisa deste acesso, clique em "Solicitar acesso" ou abra um chamado informando:
- Justificativa
- Unidade/Projeto
- Prazo (se houver)

Onde a GPO realmente ajuda

GPO é poderosa, mas seu papel aqui é complementar:

• Servidor de arquivos (Computers)
  • Security Settings ▸ File System: é possível implantar ou padronizar ACLs para caminhos específicos. Vincule a GPO à OU onde está o servidor.
  • Advanced Audit Policy: habilite auditoria de acesso a compartilhamentos/arquivos.
• Estações/usuários (Users)
  • Preferences ▸ Windows Settings ▸ Drive Maps: remova mapeamentos indesejados e padronize as letras de unidade.
  • Administrative Templates ▸ Network: reduza descoberta de rede (apenas para “esconder”, não é controle de acesso).
  • Security Options: configure mensagens de logon/uso aceitável (complementa, não substitui ABE/FSRM).

Teste e validação

1. Execute gpupdate /force nas máquinas relevantes.
2. Teste com uma conta comum (não admin) que não esteja em nenhum grupo de acesso.
   • Ao acessar \\servername\folder_share, a pasta deve estar oculta (com ABE) ou apresentar “Acesso negado”.
   • Conteúdo não deve ser listado.
3. Use a guia Effective Access (Propriedades → Segurança → Avançado) para simular permissões.

Dicas rápidas (checklist)

Item	Status ideal	Observações
Compartilhamento não aponta para C:\ (raiz)	✓	Use volume de dados dedicado
Sem Everyone/Domain Users em NTFS e Compartilhamento	✓	Remova concessões amplas
Grupos dedicados de Leitura e Contribuição	✓	Ex.: GGFShareLeitura, GGFShareContrib
ABE habilitado	✓	Evita listar pastas sem permissão
Compartilhamento com $ (opcional)	✓/–	Ajuda a não aparecer na rede
FSRM Access-Denied Assistance configurado	✓	Mensagem amigável e pedido de acesso
GPO usada para ACLs no servidor e mapeamentos no cliente	✓	Complementa, não substitui ACLs

Exemplos práticos em PowerShell

Verificar o compartilhamento existente

# Ver o compartilhamento
Get-SmbShare -Name "folder_share"

Checar quem tem acesso no compartilhamento

Get-SmbShareAccess -Name "folder\_share" 

Endurecer permissões do compartilhamento

# Remover 'Everyone' do compartilhamento
Revoke-SmbShareAccess -Name "folder_share" -AccountName "Everyone" -Force

Conceder acesso no compartilhamento

Grant-SmbShareAccess -Name "folder\_share" -AccountName "DOMÍNIO\GGFShareLeitura" -AccessRight Read -Force
Grant-SmbShareAccess -Name "folder\_share" -AccountName "DOMÍNIO\GGFShareContrib" -AccessRight Change -Force

Habilitar Access-Based Enumeration

Set-SmbShare -Name "folder\_share" -FolderEnumerationMode AccessBased 

Exemplo completo para criar pasta, configurar NTFS e publicar o share

# Variáveis
$Path = "D:\Dados\Departamental"
$ShareName = "folder_share"
$Dom = "CONTOSO"
$GrpRead = "$Dom\GGFShareLeitura"
$GrpContrib = "$Dom\GGFShareContrib"

Criar pasta (se não existir)

if (-not (Test-Path \$Path)) { New-Item -Path \$Path -ItemType Directory | Out-Null }

Backup rápido das ACLs atuais (rollback)

icacls \$Path /save "C:\Temp\ACL\\$(\$ShareName)\backup.txt"

Remover herança e limpar ACLs padrão

icacls \$Path /inheritance\:r

Conceder NTFS (leitura e modificar)

icacls \$Path /grant "\$GrpRead:(OI)(CI)(RX)"
icacls \$Path /grant "\$GrpContrib:(OI)(CI)(M)"
icacls \$Path /grant "\$Dom\Domain Admins:(OI)(CI)(F)" "\$Env\:COMPUTERNAME\Administrators:(OI)(CI)(F)"

Criar/ajustar o compartilhamento

if (Get-SmbShare -Name \$ShareName -ErrorAction SilentlyContinue) {
Set-SmbShare -Name \$ShareName -FolderEnumerationMode AccessBased
} else {
New-SmbShare -Name \$ShareName -Path \$Path -FolderEnumerationMode AccessBased
}

Limpar concessões amplas

Revoke-SmbShareAccess -Name \$ShareName -AccountName "Everyone" -Force -ErrorAction SilentlyContinue

Conceder no compartilhamento

Grant-SmbShareAccess -Name \$ShareName -AccountName \$GrpRead -AccessRight Read -Force
Grant-SmbShareAccess -Name \$ShareName -AccountName \$GrpContrib -AccessRight Change -Force
Grant-SmbShareAccess -Name \$ShareName -AccountName "\$Dom\Domain Admins" -AccessRight Full -Force 

Restaurar ACLs NTFS (rollback)

icacls "D:\Dados\Departamental" /restore "C:\Temp\ACLfoldershare_backup.txt"

Estratégia de grupos e boas práticas de AD

Para manter clareza e escalabilidade, aplique o padrão de grupos AGDLP/AGUDLP:

• Contas de usuário entram em Grupos Globais por papel (ex.: GG-Marketing).
• Grupos globais entram em um Grupo de Domínio Local do recurso (ex.: GDL-folder_share-Contrib).
• Esse grupo de domínio local recebe a permissão na pasta/compartilhamento.

Isso reduz trabalho operacional e riscos quando equipes mudam.

Auditoria e monitoramento

Se você quer evidências de tentativas de acesso (sucesso/falha), habilite auditoria:

• Computer Configuration ▸ Policies ▸ Windows Settings ▸ Security Settings ▸ Advanced Audit Policy Configuration
• Ative:
  • Object Access ▸ Audit File Share (sucesso e falha).
  • Object Access ▸ Audit File System (sucesso e falha, se precisar de nível arquivo).

Eventos úteis:

• 5140: objeto de compartilhamento acessado.
• 5145: verificação de acesso ao compartilhamento (mostra tentativa e motivo da negação).
• 4663: acesso a objeto no sistema de arquivos (quando ativado).

Erros comuns e como evitar

• Compartilhar a raiz do volume do sistema: aumenta o risco e mistura dados com o SO.
• Manter Everyone ou Domain Users em NTFS/Compartilhamento: torna o bloqueio ineficaz.
• Uso excessivo de Deny: causa conflitos de herança e diagnósticos difíceis.
• Desalinhamento entre Share e NTFS: libera no share, bloqueia no NTFS (ou vice-versa) e confunde usuários.
• DFS sem ABE: usuários enxergam pastas que não deveriam; habilite ABE no destino.
• Cache Offline Files: pode “parecer” acesso; valide políticas de sincronização quando necessário.

Execução rápida (runbook de emergência)

1. Remova Everyone do compartilhamento.
2. Em NTFS, conceda apenas aos grupos corretos; remova concessões amplas.
3. Habilite ABE no compartilhamento.
4. Opcional: renomeie o share para folder_share$.
5. Comunique a mudança e ofereça canal de solicitação de acesso.

Como a experiência do usuário melhora

• Com ABE, o usuário não vê pastas para as quais não tem acesso (menos cliques em itens proibidos).
• Com FSRM Access-Denied Assistance, a mensagem explica “por quê” e “como pedir acesso”.
• Com Drive Maps via GPO, os usuários veem apenas unidades relevantes.

Validação técnica rápida

# Efetivo de compartilhamento
Get-SmbShareAccess -Name "folder_share" | Format-Table -Auto

Efetivo NTFS (resumo por identidade)

(Get-Acl "D:\Dados\Departamental").Access |
Select-Object IdentityReference, FileSystemRights, AccessControlType, IsInherited |
Format-Table -Auto

Conferir grupos do usuário de teste

whoami /groups 

Integração com GPO: exemplos úteis

Remover mapeamentos de unidade herdados

Use User Configuration ▸ Preferences ▸ Windows Settings ▸ Drive Maps para Delete mapeamentos antigos e criar novos apenas para grupos que realmente têm acesso.

Padronizar ACLs em servidores

Com Computer Configuration ▸ Policies ▸ Windows Settings ▸ Security Settings ▸ File System você adiciona caminhos e define ACLs. Vincule a GPO à OU dos file servers. Ideal para manter padrões entre servidores e ambientes.

Notas para ambientes com DFS

• Se usar DFS Namespaces, habilite ABE também nos compartilhamentos de destino.
• Se usar DFS Replication, ACLs replicam junto com os dados; mantenha consistência entre membros.

Considerações de segurança avançadas

• Backup Operators e Administrators podem contornar ACLs por design; controle quem está nesses grupos.
• Evite executar serviços com contas com privilégios desnecessários que tenham acesso aos dados.
• Considere políticas de Just Enough Administration e Privileged Access Workstations para administração do file server.

FAQ — Perguntas frequentes

É possível bloquear acesso apenas via GPO?
Não. GPO não substitui ACLs. Ela ajuda a aplicar padrões e remover mapeamentos, mas o bloqueio real depende de permissões NTFS e de Compartilhamento corretamente configuradas no servidor.

Devo usar Deny?
Somente em exceções específicas. Prefira “não conceder”. Deny mal aplicado herda e costuma gerar inconsistências difíceis de depurar.

Por que o usuário ainda vê a pasta?
Verifique se o ABE está habilitado, se não há outro compartilhamento apontando para o mesmo caminho, se o usuário não está em um grupo transitivo com permissão e se o cliente não está montando via caminho alternativo.

Posso bloquear pelo firewall?
Bloquear SMB no firewall client/servidor impede todos os acessos por rede, inclusive de quem precisa. Use firewall para segmentação macro; para controle de quem acessa qual pasta, use ACL.

O que acontece se eu renomear o compartilhamento para $?
Ele deixa de aparecer em enumerações, mas não é segurança por si só. Quem sabe o caminho ainda pode tentar acessar — e será barrado pelas ACLs se não tiver permissão.

Exemplo de comunicação ao usuário

Atualizamos a segurança dos compartilhamentos de rede.
Você poderá ver apenas pastas para as quais tem permissão.
Se precisar de acesso adicional, abra um chamado informando a pasta, a justificativa e seu gestor aprovador.
Obrigado pela colaboração.

Resumo prático

• Controle o acesso com NTFS + Compartilhamento.
• Remova Everyone/Domain Users e use grupos dedicados.
• Habilite ABE para não exibir o que não deve ser visto.
• Use FSRM para uma mensagem de “Acesso negado” útil.
• Use GPO para remover mapeamentos, padronizar ACLs e auditoria.
• Teste com conta sem privilégios e monitore com auditoria.

Comandos rápidos para referência

# Compartilhamento e ABE
Get-SmbShare -Name "folder_share"
Revoke-SmbShareAccess -Name "folder_share" -AccountName "Everyone" -Force
Grant-SmbShareAccess -Name "folder_share" -AccountName "DOMÍNIO\GGFShareLeitura" -AccessRight Read -Force
Grant-SmbShareAccess -Name "folder_share" -AccountName "DOMÍNIO\GGFShareContrib" -AccessRight Change -Force
Set-SmbShare -Name "folder_share" -FolderEnumerationMode AccessBased

Em resumo: corrija as ACLs (NTFS + Compartilhamento) e habilite ABE. Use GPO para remover mapeamentos e, se quiser, padronizar ACLs e mensagens. Assim, mesmo conhecendo \\servername\folder_share, quem não tem permissão não verá o conteúdo e receberá “Acesso negado”.