Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Das Dateisystem von Windows 2000/XP ist die Weiterentwicklung des Windows NT Dateisystems. Die Mechanismen zur Zugriffssteuerung unterscheiden sich dabei kaum. Die folgende Tabelle gibt einen Überblick der möglichen Zugriffsrechte auf Dateien. Diese erlauben unter Windows 2000/XP eine wesentlich detailliertere Konfiguration, als dies unter Windows NT möglich ist.

Zugriffsrechte für Ordner  Zugriffsrechte für Dateien 
Ordner durchsuchen  Datei ausführen 
Ordner auflisten  Daten lesen 
Attribute lesen  Attribute lesen 
Erweiterte Attribute lesen  Erweiterte Attribute lesen 
Dateien erstellen  Daten schreiben 
Ordner erstellen  Daten anhängen 
Attribute schreiben  Attribute schreiben 
Erweiterte Attribute schreiben  Erweiterte Attribute schreiben 
Unterordner und Dateien löschen   
Löschen  Löschen 
Berechtigungen lesen  Berechtigungen lesen 
Berechtigungen ändern  Berechtigungen ändern 
Besitzrechte übernehmen  Besitzrechte übernehmen 

Tabelle: Überblick der Zugriffsrechte für Ordner und Dateien

Die Zugriffrechte können dabei auf Dateien oder Ordner angewandt werden. Im Rahmen der Rechtevererbung ist es möglich, dass Rechte eines Ordners an Dateien und/oder Unterordner weitergereicht werden, so dass eine einfache Möglichkeit besteht, die Zugriffsberechtigungen in einem ganzen Teildateibaum durch die Änderung an einer Stelle zu wechseln. Das Weiterreichen, d. h. das Vererben, an die Objekte in einem Verzeichnis kann gezielt durch folgende sieben Einstellungen kontrolliert werden, die angeben, auf welche Objekte die Zugriffsrechte angewandt bzw. vererbt werden sollen:

Durch die Option Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen kann zudem erreicht werden, dass die Rechte nicht rekursiv in den jeweiligen Unterbaum weitervererbt werden, sondern nur auf die Objekte im aktuellen Verzeichnis.

Berechtigungseintrag für Lokaler Datenträger (C:)

Abbildung: Berechtigungseintrag für Lokaler Datenträger (C:)

Zur Steuerung der Rechteübernahme auf Objekte beim Einsatz des Vererbungsmechanismus stehen zwei weitere Optionen zur Verfügung:

Zugriffseinstellungen für Program Files

Abbildung: Zugriffseinstellungen für Program Files

Diese Fülle an unterschiedlichen Dateiberechtigungen im Zusammenspiel mit den unterschiedlichen Vererbungsmechanismen macht die Verwaltung von Zugriffsrechten für den Benutzer unübersichtlich. Im Normalfall empfiehlt sich daher, nur die zusammengesetzten Standardzugriffsrechte zu verwenden:

Ordner  Dateien  entspricht  
Vollzugriff  Vollzugriff  alle Einzelberechtigungen 
Ändern  Ändern  Lesen, Ausführen ergänzt um Löschen 
Lesen, Ausführen  Lesen, Ausführen  Lesen ergänzt um Datei ausführen 
Ordnerinhalt auflisten  -    
Lesen   Lesen   Daten lesen, Attribute lesen, erweiterte Attribute lesen, Berechtigungen lesen 
Schreiben  Schreiben  Daten schreiben, Daten anhängen, Attribute schreiben, erweiterte Attribute schreiben 

Tabelle: Standardzugriffsrechte

Im Rahmen der Planung des Windows 2000/XP Einsatzes ist auch das Zugriffskonzept für Dateien und Ordner zu entwerfen, durch das die detaillierten Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und geschäftlichen Anforderungen zu berücksichtigen. Generell empfiehlt es sich, für die Windows 2000/XP Systemdateien restriktive Rechte zu vergeben.

Als Ausgangskonfiguration für Windows 2000 können folgende Berechtigungsvorgaben genutzt werden, die jedoch auf jeden Fall an die lokalen Gegebenheiten angepasst werden müssen. Die vorgeschlagenen Einstellungen gehen davon aus, dass die Benutzerkennung Hauptbenutzer (Power-User) nicht verwendet wird, da administrative Belange durch Administratoren mit entsprechenden Berechtigungen im Rahmen des Administrationskonzeptes abgedeckt werden. Aus diesem Grund ist die Kennung Hauptbenutzer aus allen Zugriffslisten zu entfernen. Zusätzlich empfiehlt sich im Rahmen des Administrationskonzeptes eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entsprechende Konten aufgeteilt werden. Im Folgenden wird jedoch davon ausgegangen, dass jeweils die Gruppe Administratoren die gesamte administrative Gewalt hat. Die Berechtigungen gelten nur für die angegebenen Verzeichnisse oder Dateien und sind nicht für die Vererbung gedacht.

Verzeichnis  Rechte 
Stammverzeichnis der Systempartition  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen 
\WINNT  Administratoren: VollzugriffSYSTEM: VollzugriffERSTELLER-BESITZER: VollzugriffBenutzer: Lesen, Ausführen 
WINNT\REPAIR  Administratoren: Vollzugriff 
WINNT\SYSTEM32\CONFIG  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen 
WINNT\SYSTEM32\SPOOL  Administratoren: VollzugriffSYSTEM: VollzugriffERSTELLER-BESITZER: VollzugriffBenutzer: Lesen 

Tabelle: Berechtigungsvorgaben für Verzeichnisse unterWindows 2000

Verzeichnis / Datei  Rechte 
boot.inintldr  Administratoren: VollzugriffSYSTEM: Vollzugriff 
autoexec.batconfig.sys  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen 
TEMP  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Ändern 
PROGRAMME  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen, Ausführen 
Dokumente und Einstellungen  Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen 

Tabelle: Berechtigungsvorgaben für Dateien unter Windows 2000

Bei einer Aktualisierung eines Windows NT Rechners auf Windows 2000/XP werden nicht die Windows 2000/XP Standardberechtigungen installiert, sondern es werden die vorhandenen Einstellungen übernommen. Daher muss bei solchen Systemen immer überprüft werden, ob die Berechtigungen konform zum entworfenen Berechtigungskonzept sind.

Auch Windows 2000/XP erlaubt es, Verzeichnisse und die darin enthaltenen Dateien über eine Freigabe für den Netzzugriff zur Verfügung zu stellen. Dabei erfolgt die Zugriffskontrolle zweistufig. Zum einen können Zugriffsberechtigungen auf die Netzfreigabe selbst eingerichtet werden, die bestimmen, wer generell auf die Netzfreigabe zugreifen darf. Zum anderen greifen die oben beschriebenen, auf Dateisystemebene angegebenen Zugriffsrechte auf Dateien und Verzeichnisse. Berechtigungen auf Netzfreigaben können nur über die Rechte

gesteuert werden. Eine feinere Kontrolle ist jedoch an dieser Stelle nicht notwendig.

Berechtigungen für Netzfreigabe

Abbildung: Berechtigungen für Netzfreigabe

Um Datei-, Verzeichnis- und Freigabeberechtigungen festzulegen, sollten folgende Regeln beachtet werden:

Ergänzende Kontrollfragen: