Freigabeberechtigungen

Einführung

Das Konzept eines Netzwerks von Computern ist nicht neu oder revolutionär. Server, die normalerweise in verschlossenen Räumen untergebracht sind, speichern die Unternehmensressourcen (Ordner, Dateien, Dokumente, Tabellenkalkulationen usw.). Diese Server werden hinter verschlossenen Türen aufbewahrt, so dass die Mitarbeiter nur über das Netzwerk Zugang zu den Ressourcen haben. Eine Sicherheitsebene zum Schutz der Ressourcen ist also die physische Sicherheit, die dadurch gewährleistet wird, dass die Mitarbeiter keinen direkten Zugriff auf die Hardware haben, auf der sich die Ressourcen befinden.

Damit die Mitarbeiter auf die auf den Servern gespeicherten Ressourcen zugreifen können, muss der Server so konfiguriert werden, dass die Mitarbeiter über das Netzwerk auf die Ressourcen zugreifen können. In einer Windows-Umgebung geschieht dies über freigegebene Ordner. Wenn ein Ordner freigegeben ist, wird er über das Netzwerk verfügbar, so dass alle Benutzer im Netzwerk den Namen des freigegebenen Ordners sehen können, wie in Abbildung 1 dargestellt.

Abbildung 1: Auflistung der freigegebenen Ordner, die auf einem Server über das Netzwerk verfügbar sind

Um die Ressourcen zu schützen, die über freigegebene Ordner verfügbar gemacht werden, müssen die Administratoren „Berechtigungen“ für die Ordner und Dateien konfigurieren, die über das Netzwerk verfügbar gemacht werden. Es gibt zwei Arten von Berechtigungen, die für freigegebene Ordner konfiguriert werden können: Freigabe und NTFS. Wir werden uns auf die Freigabeberechtigungen konzentrieren und einige Fallstricke erörtern, die bei deren Verwendung auftreten können, sowie einige empfohlene Methoden zur erfolgreichen Konfiguration von Berechtigungen für freigegebene Ordner.

Eine Geschichte von zwei Berechtigungen

Um sicherzustellen, dass meine Beschreibung der für einen freigegebenen Ordner verfügbaren Berechtigungen klar ist, möchte ich zunächst die zwei verschiedenen Berechtigungen beschreiben, die für jeden freigegebenen Ordner konfiguriert werden können. Die beiden Berechtigungen sind: Freigabe und NTFS.

NTFS-Berechtigungen sind ein Attribut des Ordners oder der Datei, für die sie konfiguriert werden. Die NTFS-Berechtigungen umfassen sowohl Standard- als auch spezielle Einstellungsebenen. Die Standardeinstellungen sind Kombinationen der speziellen Berechtigungen, wodurch die Konfiguration effizienter und einfacher wird. Zu diesen Berechtigungen gehören die folgenden, wie in Abbildung 2 dargestellt:

  • Volle Kontrolle
  • Ändern
  • Lesen &Ausführen
  • Ordnerinhalt auflisten
  • Lesen
  • Schreiben

Abbildung 2: NTFS-Standardberechtigungen für einen Ordner

Es gibt 14 spezielle Berechtigungen für Ordner, die eine detaillierte Kontrolle über das Erstellen, Ändern, Lesen und Löschen von Unterordnern und Dateien innerhalb des Ordners umfassen, für den die Berechtigungen festgelegt wurden.

NTFS-Berechtigungen sind mit dem Objekt verknüpft, so dass die Berechtigungen bei einer Umbenennung, Verschiebung oder Archivierung des Objekts immer mit dem Objekt verbunden sind.

Freigabeberechtigungen sind nur mit dem Ordner verbunden, der freigegeben wird. Wenn sich beispielsweise 5 Unterordner unter dem freigegebenen Ordner befinden, können nur für den ersten freigegebenen Ordner Freigabeberechtigungen konfiguriert werden. NTFS-Berechtigungen können für jede Datei und jeden Ordner innerhalb der Datenspeicherstruktur festgelegt werden, auch wenn ein Ordner nicht freigegeben ist.

Freigabeberechtigungen werden auf der Registerkarte Freigabe des freigegebenen Ordners konfiguriert. Auf dieser Registerkarte gibt es eine Schaltfläche „Berechtigungen“, die die Freigabeberechtigungen sichtbar macht, wenn sie ausgewählt wird, wie in Abbildung 3 dargestellt.

Abbildung 3: Freigabeberechtigungen für einen freigegebenen Ordner

Wie Sie sehen, ist die Standardliste der Optionen für Freigabeberechtigungen nicht so umfangreich wie die der NTFS-Berechtigungen. Die Freigabeberechtigungen bieten nur Vollzugriff, Ändern und Lesen. Es gibt keine speziellen Berechtigungen für Freigabeberechtigungen, daher sind die Standardberechtigungen so granular wie möglich für diese Art der Zugriffskontrolle.

Die Freigabeberechtigungen sind nicht Teil des Ordners oder der Datei, d.h. wenn der Freigabename geändert, der Ordner verschoben oder der Ordner gesichert wird, sind die Freigabeberechtigungen nicht enthalten. Dadurch wird die Kontrolle über die Freigabeberechtigungen bei einer Änderung des Ordners gefährdet.

Historische Freigabeberechtigungen

Microsoft hat in der Vergangenheit alle neuen freigegebenen Ordner mit sehr offenen Freigabeberechtigungen konfiguriert. Die Standardfreigabeberechtigung für Windows NT, Windows 2000 (Server und Professional) und Windows XP (vor Service Pack 1) ist, dass die Gruppe „Jeder“ Vollzugriff hat.

Dies mag bei Vollzugriff unsicher erscheinen, aber wenn die NTFS-Berechtigungen mit den Freigabeberechtigungen kombiniert werden, kontrolliert die sicherste der beiden Berechtigungen den Zugriff auf die Ressource.

Wenn in der Vergangenheit die Freigabeberechtigungen von „Jeder“ mit Vollzugriff geändert wurden, kann dies mehr Probleme verursachen, als es wert ist. Wenn ein Unternehmen zum Beispiel normalerweise keine Freigabeberechtigungen verwendet, kann es länger dauern, den Zugriff auf Ressourcen zu reparieren, wenn sie verwendet werden. Wenn die Freigabeberechtigungen für einen freigegebenen Ordner falsch konfiguriert sind, sind die Freigabeberechtigungen nicht die erste zu prüfende Konfiguration. In den meisten Fällen hat sich gezeigt, dass es Stunden dauern kann, bis die Freigabeberechtigungen untersucht werden. Während der Fehlerbehebung können Benutzer zu „Admin“-Gruppen hinzugefügt, mit erweiterten Benutzerrechten ausgestattet und direkt in die ACL der Ressource aufgenommen werden. Wenn die Freigabeberechtigungen schließlich untersucht und korrigiert werden, kann es schwierig sein, sich an all die anderen Konfigurationen zu erinnern, die vorgenommen wurden, um den Zugriff des Benutzers auf die Ressource zu korrigieren. Dies führt natürlich dazu, dass sich die Ressource und das gesamte Netzwerk in einem unsicheren Zustand befinden, weil die Freigabeberechtigungen falsch konfiguriert wurden.

Neue Freigabeberechtigungen

Aufgrund der Verwirrung, die alte Freigabeberechtigungen verursachen konnten, beschloss Microsoft, die Regeln für Standardfreigabeberechtigungen mit der Veröffentlichung von Windows XP Service Pack 1 zu ändern. Bei allen Betriebssystemen nach diesem Service Pack (einschließlich Windows Server 2003) ist die neue Standardberechtigung für alle neuen freigegebenen Ordner „Jeder“ mit Nur-Lese-Zugriff, wie in Abbildung 3 dargestellt.

Dies scheint eine gute Sicherheitseinstellung zu sein, bis Sie bedenken, auf wie viele Ressourcen in Ihrem Netzwerk tatsächlich „Nur-Lese-Zugriff“ für alle haben können. Es gibt nicht viele, da die Benutzer den Inhalt der meisten Ressourcen ändern müssen, um produktiv zu sein.

In fast allen Fällen müssen die Freigabeberechtigungen von Lesezugriff geändert werden. Dadurch wird der Administrator dazu veranlasst, detaillierte Freigabeberechtigungen zu konfigurieren, was zu den Problemen führen kann, die wir zuvor in Bezug auf die Fehlerbehebung beim Ressourcenzugriff mit den alten geänderten Freigabeberechtigungen besprochen haben. Da die Freigabeberechtigungen standardmäßig geändert werden, habe ich festgestellt, dass viele Administratoren es nicht mehr für nötig halten, NTFS-Berechtigungen zu konfigurieren, da sie sich auf die Freigabeberechtigungen verlassen, um die Ressource zu schützen. Dies ist ein grober Fehler und lässt das Netzwerk und die Ressourcen in einem sehr verwundbaren Zustand zurück. Die Freigabeberechtigungen gelten nur für den Zugriff auf die Ressource über das Netzwerk, nicht aber für den lokalen Zugriff über die Terminaldienste usw. Denken Sie auch daran, dass Freigabeberechtigungen nicht mit der Ressource gesichert werden, so dass alle gesicherten Dateien ebenfalls angreifbar sind, ohne dass sie durch Berechtigungen geschützt sind.

Best Practice für Freigabeberechtigungen

Als Best Practice ist es am effizientesten, die Freigabeberechtigungen so zu konfigurieren, dass authentifizierte Benutzer Vollzugriff haben. Dann sollten die NTFS-Berechtigungen für jede Gruppe mit Standardberechtigungen konfiguriert werden. Dies bietet hervorragende Sicherheit für den lokalen und den Netzwerkzugriff auf die Ressource. Es bietet auch einen hervorragenden Schutz der Ressource, wenn sie gesichert wird und wenn der Ressourcenname geändert oder verlegt wird. Wie bereits erwähnt, schützen die NTFS-Berechtigungen die Ressource auch dann, wenn die Freigabeberechtigungen auf Vollzugriff eingestellt sind.

Zusammenfassung

Freigabeberechtigungen sind nicht per se schlecht, aber es gibt viele Möglichkeiten, sie falsch zu verwenden. Wenn die Dokumentation und das Verwaltungspersonal sehr versiert sind, können Freigabeberechtigungen in Verbindung mit NTFS-Berechtigungen verwendet werden, um Netzwerkressourcen weiter zu sperren und zu sichern. Wenn es jedoch wenig Dokumentation und eine hohe Fluktuation bei den IT-Mitarbeitern gibt, ist es am besten, keine Freigabeberechtigungen zu verwenden und die Sicherheit der Netzwerkressourcen den NTFS-Berechtigungen zu überlassen. Auch wenn Microsoft die Freigabeberechtigungen für die Gruppe „Jeder“ auf „Lesen“ geändert hat, stellt dies keine praxisgerechte Lösung dar. Es ist nur Microsofts bester Versuch, die Sicherheit von Netzwerkressourcen zu erhöhen, was leider kein sehr guter Versuch ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.