M 4.149 Datei- und Freigabeberechtigungen unter Windows

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Das Dateisystem von Windows ab Version 2000 ist die Weiterentwicklung des Windows NT Dateisystems. Die Mechanismen zur Zugriffssteuerung unterscheiden sich dabei kaum. Die folgende Tabelle gibt einen Überblick der möglichen Zugriffsrechte auf Dateien. Diese erlauben unter Windows ab Version 2000 eine wesentlich detailliertere Konfiguration, als dies unter Windows NT möglich ist.

Zugriffsrechte für Ordner Zugriffsrechte für Dateien
Ordner durchsuchen Datei ausführen
Ordner auflisten Daten lesen
Attribute lesen Attribute lesen
Erweiterte Attribute lesen Erweiterte Attribute lesen
Dateien erstellen Daten schreiben
Ordner erstellen Daten anhängen
Attribute schreiben Attribute schreiben
Erweiterte Attribute schreiben Erweiterte Attribute schreiben
Unterordner und Dateien löschen  
Löschen Löschen
Berechtigungen lesen Berechtigungen lesen
Berechtigungen ändern Berechtigungen ändern
Besitzrechte übernehmen Besitzrechte übernehmen

Tabelle: Überblick der Zugriffsrechte für Ordner und Dateien

Die Zugriffrechte können dabei auf Dateien oder Ordner angewandt werden. Im Rahmen der Rechtevererbung ist es möglich, dass Rechte eines Ordners an Dateien und/oder Unterordner weitergereicht werden, so dass eine einfache Möglichkeit besteht, die Zugriffsberechtigungen in einem ganzen Teildateibaum durch die Änderung an einer Stelle zu wechseln. Das Weiterreichen, d. h. das Vererben, an die Objekte in einem Verzeichnis kann gezielt durch folgende sieben Einstellungen kontrolliert werden, die angeben, auf welche Objekte die Zugriffsrechte angewandt bzw. vererbt werden sollen:

Durch die Option Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen kann zudem erreicht werden, dass die Rechte nicht rekursiv in den jeweiligen Unterbaum weitervererbt werden, sondern nur auf die Objekte im aktuellen Verzeichnis.

Zur Steuerung der Rechteübernahme auf Objekte beim Einsatz des Vererbungsmechanismus stehen zwei weitere Optionen zur Verfügung:

Stehen die beiden Rechte in Konflikt miteinander, so wird die erzwungene Übernahme der vererbten Rechte durchgesetzt.

In Windows XP und Windows Vista sind die Zugriffseinstellungen für Programme in Erweiterte Sicherheitseinstellungen für Programme umbenannt und um die Registerkarten Überwachung und Effektive Berechtigungen erweitert worden.

Die Überwachung des Zugriffs auf Objekte, wie Dateien, Ordner und Programme lässt sich in Windows XP und Windows Vista über die Registerkarte Überwachung konfigurieren. Hierbei ist es möglich beispielsweise fehlerhafte Zugriffe auf einen Ordner zu überwachen. Dieses Überwachungsereignis kann an alle, im Ordner enthaltenen Ordner und Dateien, vererbt werden.

Die Überprüfung der Rechte eines Benutzers unterstützt unter Windows XP und Windows Vista die Registerkarte Effektive Berechtigung. Es kann für jede Datei, jeden Ordner usw. überprüft werden, welche effektive Berechtigung ein Anwender bzw. eine Gruppe hat. Diese effektiven Berechtigungen können aufgrund von Vererbung oder Zugehörigkeit eines Benutzers zu verschiedenen Gruppen unterschiedlich sein.

Diese Fülle an unterschiedlichen Dateiberechtigungen im Zusammenspiel mit den unterschiedlichen Vererbungsmechanismen macht die Verwaltung von Zugriffsrechten für den Benutzer unübersichtlich. Im Normalfall empfiehlt sich daher, nur die zusammengesetzten Standardzugriffsrechte zu verwenden:

Ordner Dateien entspricht
Vollzugriff Vollzugriff alle Einzelberechtigungen
Ändern Ändern Lesen, Ausführen ergänzt um Löschen
Lesen, Ausführen Lesen, Ausführen Lesen ergänzt um Datei ausführen
Ordnerinhalt auflisten -  
Lesen Lesen Daten lesen, Attribute lesen, erweiterte Attribute lesen, Berechtigungen lesen
Schreiben Schreiben Daten schreiben, Daten anhängen, Attribute schreiben, erweiterte Attribute schreiben

Tabelle: Standardzugriffsrechte

Im Rahmen der Planung des Windows Einsatzes ist auch das Zugriffskonzept für Dateien und Ordner zu entwerfen, durch das die detaillierten Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und geschäftlichen Anforderungen zu berücksichtigen. Generell empfiehlt es sich, für die Windows-Systemdateien restriktive Rechte zu vergeben.

Als Ausgangskonfiguration für Windows 2000 können folgende Berechtigungsvorgaben genutzt werden, die jedoch auf jeden Fall an die lokalen Gegebenheiten angepasst werden müssen. Die vorgeschlagenen Einstellungen gehen davon aus, dass die Benutzerkennung Hauptbenutzer (Power-User) nicht verwendet wird, da administrative Belange durch Administratoren mit entsprechenden Berechtigungen im Rahmen des Administrationskonzeptes abgedeckt werden. Aus diesem Grund ist die Kennung Hauptbenutzer aus allen Zugriffslisten zu entfernen. Zusätzlich empfiehlt sich im Rahmen des Administrationskonzeptes eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entsprechende Konten aufgeteilt werden. Im Folgenden wird jedoch davon ausgegangen, dass die Gruppe Administratoren die gesamte administrative Gewalt hat. Die Berechtigungen gelten nur für die angegebenen Verzeichnisse oder Dateien und sind nicht für die Vererbung gedacht.

Verzeichnis Rechte
Stammverzeichnis der Systempartition Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen
\WINNT Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Vollzugriff
Benutzer: Lesen, Ausführen
WINNT\REPAIR Administratoren: Vollzugriff
WINNT\SYSTEM32\CONFIG Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen
WINNT\SYSTEM32\SPOOL Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Vollzugriff
Benutzer: Lesen

Tabelle: Berechtigungsvorgaben für Verzeichnisse unter Windows 2000

Verzeichnis / Datei Rechte
boot.ini
ntldr
Administratoren: Vollzugriff
SYSTEM: Vollzugriff
autoexec.bat
config.sys
Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen
TEMP Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Ändern
PROGRAMME Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen
Dokumente und Einstellungen Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen

Tabelle: Berechtigungsvorgaben für Dateien unter Windows 2000

Verzeichnis Rechte
Stammverzeichnis der Systempartition Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen
\WINDOWS Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Spezielle Berechtigungen
Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen
WINDOWS\REPAIR Administratoren: Vollzugriff
WINDOWS\SYSTEM32\CONFIG Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Ordnerinhalt auflisten
WINDOWS\SYSTEM32\SPOOL Administratoren: Vollzugriff
SYSTEM: Vollzugriff
ERSTELLER-BESITZER: Spezielle Berechtigungen
Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen

Tabelle: Berechtigungsvorgaben für Verzeichnisse unter Windows XP

Verzeichnis / Datei Rechte
boot.ini
ntldr
Administratoren: Vollzugriff
SYSTEM: Vollzugriff
autoexec.bat
config.sys
Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen
/WINDOWS/Temp Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Spezielle Berechtigungen
PROGRAMME Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen
Dokumente und Einstellungen Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen

Tabelle: Berechtigungsvorgaben für Dateien unter Windows XP

Die Berechtigungsvorgaben für Verzeichnisse unter Windows Vista dokumentiert folgende Tabelle:

Verzeichnis Rechte
Stammverzeichnis der Systempartition Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen
\WINDOWS Administratoren: spezielle Berechtigungen Ordner durchsuchen / Datei ausführen, Ordner auflisten / Datei lesen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen / Dateien schreiben, Ordner erstellen / Daten anhängen, Attribute schreiben, Erweiterte Attribute schreiben, Löschen, Berechtigungen lesen
Auf die Unterordner haben die Administratoren Vollzugriff
SYSTEM: wie Administratoren
Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen
TrustedInstaller: Ordnerinhalt anzeigen
WINDOWS\SYSTEM32\CONFIG Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen
ERSTELLER-BESITZER: Vollzugriff
TrustedInstaller: Ordnerinhalt anzeigen
WINDOWS\SYSTEM32\SPOOL Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen
ERSTELLER-BESITZER: Vollzugriff
TrustedInstaller: Ordnerinhalt anzeigen

Tabelle: Berechtigungsvorgaben für Verzeichnisse unter Windows Vista

In obiger Tabelle wird der TrustedInstaller erwähnt, siehe dazu M 4.341 Integritätsschutz unter Windows Vista im Abschnitt Windows Resource Protection und TrustedInstaller für weitergehende Hinweise.

Die Berechtigungsvorgaben für Dateien unter Windows Vista dokumentiert folgende Tabelle:

Verzeichnis / Datei Rechte
Bootmgr
BCD
System: lesen, ausführen
Administratoren: lesen, ausführen
TrustedInstaller: Vollzugriff
autoexec.bat
config.sys
Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen
XP, Vista: Lesen, Ausführen
TEMP Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Spezielle Berechtigungen
PROGRAMME Administratoren: spezielle Berechtigungen Ordner durchsuchen / Datei ausführen, Ordner auflisten / Datei lesen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen / Dateien schreiben, Ordner erstellen / Daten anhängen, Attribute schreiben, Erweiterte Attribute schreiben, Löschen, Berechtigungen lesenAuf die Unterordner haben die Administratoren Vollzugriff
SYSTEM: spezielle Berechtigungen wie Administratoren
TrustedInstaller: Vollzugriff
Benutzer: Lesen, Ausführen, Ordnerinhalte anzeigen, Lesen
Benutzer Administratoren: Vollzugriff
SYSTEM: Vollzugriff
Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen

Tabelle: Berechtigungsvorgaben für Dateien unter Windows Vista

Bei einer Aktualisierung eines Windows NT Rechners auf eine aktuellere Windows Version werden nicht die Standardberechtigungen der aktuelleren Windows Version installiert, sondern es werden die vorhandenen Windows NT Einstellungen übernommen. Daher muss bei solchen Systemen immer überprüft werden, ob die Berechtigungen konform zum entworfenen Berechtigungskonzept sind.

Windows ab Version 2000 erlaubt es, Verzeichnisse und die darin enthaltenen Dateien über eine Freigabe für den Netzzugriff zur Verfügung zu stellen. Dabei erfolgt die Zugriffskontrolle zweistufig. Zum einen können Zugriffsberechtigungen auf die Netzfreigabe selbst eingerichtet werden, die bestimmen, wer generell auf die Netzfreigabe zugreifen darf.

Zum anderen greifen die oben beschriebenen, auf Dateisystemebene angegebenen Zugriffsrechte auf Dateien und Verzeichnisse. Berechtigungen auf Netzfreigaben können nur über die Rechte:

gesteuert werden. Eine feinere Kontrolle ist jedoch an dieser Stelle nicht notwendig.

Um Datei-, Verzeichnis- und Freigabeberechtigungen festzulegen, sollten folgende Regeln beachtet werden:

Prüffragen: