M 4.149 Datei- und Freigabeberechtigungen unter Windows
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Windows-Betriebssysteme mit NT-Kern nutzen das Dateisystem NTFS. Die Mechanismen zur Zugriffssteuerung unterscheiden sich dabei kaum. Die folgende Tabelle gibt einen Überblick der möglichen Zugriffsrechte auf Dateien. Diese erlauben ab Windows XP eine wesentlich detailliertere Konfiguration, als es bei den Vorversionen möglich ist.
Zugriffsrechte für Ordner | Zugriffsrechte für Dateien |
---|---|
Ordner durchsuchen | Dateien ausführen |
Ordner auflisten | Daten lesen |
Attribute lesen | Attribute lesen |
Erweiterte Attribute lesen | Erweiterte Attribute lesen |
Dateien erstellen | Datienen schreiben |
Ordner erstellen | Daten anhängen |
Attribute schreiben | Attribute schreiben |
Erwiterte Attribute schreiben | Erweiterte Attribute schreiben |
Unterordner und Dateien löschen | |
Löschen | Löschen |
Besitz übernehmen (vor Windows 7 ist diese Einstellung mit "Besitzrechte übernehmen" betitelt) | Besitz übernehmen (vor Windows 7 ist diese Einstellung mit "Besitzrechte übernehmen" betitelt) |
Tabelle: Überblick der Zugriffsrechte für Ordner und Dateien
Die Zugriffsrechte können auf Dateien oder Ordner angewandt werden. Im Rahmen der Rechtevererbung ist es möglich, dass Rechte eines Ordners an Dateien und/oder Unterordner weitergereicht werden, sodass eine einfache Möglichkeit besteht, die Zugriffsberechtigungen in einem ganzen Teildateibaum durch die Änderung an einer Stelle zu wechseln. Das Vererben an die Objekte in einem Verzeichnis kann gezielt durch folgende sieben Einstellungen kontrolliert werden, die angeben, auf welche Objekte die Zugriffsrechte vererbt werden sollen:
- Nur diesen Ordner
- Diesen Ordner, Unterordner und Dateien
- Diesen Ordner, Unterordner
- Diesen Ordner, Dateien
- Nur Unterordner und Dateien
- Nur Unterordner
- Nur Dateien
Durch die Option Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen kann zudem erreicht werden, dass die Rechte nicht rekursiv in den jeweiligen Unterbaum weitervererbt werden, sondern nur auf die Objekte im aktuellen Verzeichnis.
Zur Steuerung der Rechteübernahme auf Objekte beim Einsatz des Vererbungsmechanismus stehen zwei weitere Optionen zur Verfügung:
Funktion | Erlauben oder Blockieren der Vererbung für untergeordnete Objekte |
---|---|
Windows XP | Berechtigung übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben |
Windows Vista / Windows 7 | Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen |
Windows 8 | Vererbung aktivieren |
Funktion | Erzwingen der Vererbung von Berechtigungen auf untergeordnete Objekte |
---|---|
Windows XP | Berechtigungen für alle untergeordneten Objekte durch die angezeigten Einträge, sofern anwendbar, ersetzen |
Windows Vista / Windows 7 | Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigungen von diesem Objekt ersetzen |
Windows 8 | Alle Berechtigungseinträge für untergeordnete Objekte durch vererbbare Berechtigungseinträge von diesem Objekt ersetzen |
Stehen die beiden Rechte in Konflikt miteinander, so wird die erzwungene Übernahme der vererbten Rechte durchgesetzt.
Ab Windows XP sind die Zugriffseinstellungen für [Ordner- oder Dateiname] in Erweiterte Sicherheitseinstellungen für [Ordner- oder Dateiname] umbenannt und um die Registerkarten Überwachung und Effektive Berechtigungen erweitert worden.
Die Überwachung des Zugriffs auf Objekte, wie Dateien und Ordner lässt sich ab Windows XP über die Registerkarte Überwachung konfigurieren. Hierbei ist es beispielsweise möglich, fehlerhafte Zugriffe auf einen Ordner zu überwachen. Diese Zugriffsüberwachung kann an alle, im Ordner enthaltenen Ordner und Dateien, vererbt werden.
Die Überprüfung der Rechte eines Benutzers erfolgt ab Windows XP mittels der Registerkarte Effektive Berechtigungen, deren Bezeichnung ab Windows 8 in Effektiver Zugriff geändert wurde. Es kann für jede Datei und jeden Ordner überprüft werden, welche effektiven Berechtigungen ein Anwender oder eine Gruppe haben. Diese effektiven Berechtigungen können aufgrund von Vererbung oder Zugehörigkeit eines Benutzers zu verschiedenen Gruppen unterschiedlich sein.
Diese Fülle an unterschiedlichen Dateiberechtigungen im Zusammenspiel mit den unterschiedlichen Vererbungsmechanismen macht die Verwaltung von Zugriffsrechten für den Benutzer unübersichtlich. Im Normalfall empfiehlt sich daher, nur die zusammengesetzten Standardzugriffsrechte zu verwenden:
Ordner | Dateien | entspricht |
---|---|---|
Vollzugriff | Vollzugriff | alle Einzelberechtigungen |
Ändern | Ändern | Lesen, Ausführen ergänzt um Schreiben und Löschen |
Lesen, Ausführen | Lesen, Ausführen | Lesen ergänzt um Datei ausführen |
Ordnerinhalt auflisten | - | Lesen ergänzt um Ordner durchsuchen |
Lesen | Lesen | Daten lesen, Attribute lesen, erweiterte Attribute lesen, Berechtigungen lesen |
Schreiben | Schreiben | Daten schreiben, Daten anhängen, Attribute schreiben, erweiterte Attribute schreiben |
Tabelle: Standardzugriffsrechte
Im Rahmen der Planung des Windows Einsatzes ist auch das Berechtigungs- und Zugriffskonzept für Dateien und Ordner zu entwerfen, durch das die detaillierten Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und geschäftlichen Anforderungen zu berücksichtigen. Generell empfiehlt es sich, für die Windows-Systemdateien restriktive Rechte zu vergeben.
Als Ausgangskonfiguration für Clients ab Windows XP können die folgenden Berechtigungsvorgaben genutzt werden, die auf jeden Fall an die lokalen Gegebenheiten angepasst werden müssen. Die vorgeschlagenen Einstellungen gehen davon aus, dass die Benutzerkennung Hauptbenutzer (Power-User) nicht verwendet wird, da administrative Belange durch Administratoren mit entsprechenden Berechtigungen im Rahmen des Administrationskonzeptes abgedeckt werden. Aus diesem Grund ist die Kennung Hauptbenutzer aus allen Zugriffslisten zu entfernen. Zusätzlich empfiehlt sich im Rahmen des Administrationskonzeptes eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entsprechende Konten aufgeteilt werden. Im Folgenden wird jedoch davon ausgegangen, dass die Gruppe Administratoren die gesamte administrative Gewalt hat. Die Berechtigungen gelten nur für die angegebenen Verzeichnisse oder Dateien und sind nicht für die Vererbung gedacht.
Verzeichnis | Rechte |
---|---|
Stammverzeichnis der Systempartition | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
\WINDOWS | Administratoren: Vollzugriff SYSTEM: Vollzugriff ERSTELLER-BESITZER: Spezielle Berechtigungen Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
WINDOWS\REPAIR | Administratoren: Vollzugriff |
WINDOWS\SYSTEM32\CONFIG | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Ordnerinhalt auflisten |
WINDOWS\SYSTEM32\SPOOL | Administratoren:Vollzugriff SYSTEM: Vollzugriff ERSTELLER-BESITZER: Spezielle Berechtigungen Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
Tabelle: Berechtigungsvorgaben für Verzeichnisse unter Windows XP
Verzeichnis / Datei | Rechte |
---|---|
boot.inintldr | Administratoren: Vollzugriff SYSTEM: Vollzugriff |
autoexex.batconfig.sys | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen |
\WINDOWS\Temp | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: spezielle Berechtigungen |
PROGRAMME | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
Dokumente und Einstellungen | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
Tabelle: Berechtigungsvorgaben für Dateien unter Windows XP
Die Berechtigungsvorgaben für Verzeichnisse für Clients ab Windows Vista dokumentiert folgende Tabelle:
Verzeichnis | Rechte |
---|---|
Stammverzeichnis der Systempartition | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt auflisten; Lesen |
\WINDOWS | Administratoren: spezielle Berechtigungen Ordner durchsuchen / Dateien asuführen, Ordner auflisten / Dateien lesen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen / Dateien schreiben, Ordner erstellen / Daten anhängen, Attribute schreiben / Erweiterte Attribute schreiben, Löschen, Berechtigungen lesen Auf die Unterordner haben Administratoren Vollzugriff SYSTEM: wie Administratoren Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen TrustedInstaller: Ordnerinhalt anzeigen |
WINDOWS\SYSTEM32\CONFIG | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen ERSTELLER-BESITZER: Vollzugriff TrustedInstaller: Ordnerinhalt anzeigen |
WINDOWS\SYSTEM32\SPOOL | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen ERSTELLER-BESITZER: Vollzugriff TrustedInstaller: Ordnerinhalt anzeigen |
Tabelle: Berechtigungsvorgaben für Verzeichnisse für Clients ab Windows Vista
In obiger Tabelle wird der TrustedInstaller erwähnt, siehe dazu M 4.341 Integritätsschutz ab Windows Vista im Abschnitt Windows Ressource Protection und TrustedInstaller für weitergehende Hinweise.
Die Berechtigungsvorgaben für Dateien von Clients ab Windows Vista dokumentiert folgende Tabelle:
Verzeichnis / Datei | Rechte |
---|---|
Bootmgr BCD | SYSTEM: lesen, ausführen Administratoren: lesen, ausführen TrustedInstaller: Vollzugriff |
autoexec.batconfig.sys | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen TrustedInstaller: Vollzugriff |
TEMP | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Spezielle Berechtigungen |
PROGRAMME | Administratoren: spezielle Berechtigungen Ordner durchsuchen / Dateien asuführen, Ordner auflisten / Dateien lesen, Attribute lesen, Erweiterte Attribute lesen, Dateien erstellen / Dateien schreiben, Ordner erstellen / Daten anhängen, Attribute schreiben / Erweiterte Attribute schreiben, Löschen, Berechtigungen lesen Auf die Unterordner haben Administratoren Vollzugriff SYSTEM: wie Administratoren Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen TrustedInstaller: Ordnerinhalt anzeigen |
Benutzer | Administratoren: Vollzugriff SYSTEM: Vollzugriff Benutzer: Lesen, Ausführen; Ordnerinhalt anzeigen; Lesen |
Tabelle: Berechtigungsvorgaben für Dateien von Clients ab Windows Vista
Freigabe für den Netzzugriff
Windows erlaubt es, Verzeichnisse und die darin enthaltenen Dateien über eine Freigabe für den Netzzugriff zur Verfügung zu stellen. Dabei erfolgt die Zugriffskontrolle zweistufig. Es können Zugriffsberechtigungen für die Netzfreigabe selbst eingerichtet werden. Sie bestimmen, wer generell auf die Netzfreigabe zugreifen darf.
Sind die Benutzer für die Berechtigungsvergabe beispielsweise auf eigene oder Projektdateien zuständig, so müssen sie entsprechend geschult werden. Anderenfalls können unsichere Dateizugriffsrechte unter Umständen zur Kompromittierung eines Einzelsystems oder, im schlimmsten Fall, zur Kompromittierung des Informationsverbundes führen.
Eine Berechtigungsvergabe an die vorkonfigurierte Benutzergruppe Jeder (insbesondere Vollzugriff, Schreiben/Ändern) sollte grundsätzlich vermieden werden. Soll der Zugriff für alle Benutzer möglich sein, empfiehlt sich stattdessen die Verwendung der ebenfalls vorkonfigurierten Gruppe Authentifizierte Benutzer. Weiterhin wirken die oben beschriebenen, auf Dateisystemebene angegebenen Zugriffsrechte auf Dateien und Verzeichnisse. Berechtigungen auf Netzfreigaben können nur über die Rechte:
- Vollzugriff,
- Ändern und
- Lesen
gesteuert werden. Eine feinere Kontrolle ist jedoch an dieser Stelle nicht notwendig.
Um Datei-, Verzeichnis- und Freigabeberechtigungen festzulegen, sollten folgende Regeln beachtet werden:
- Freigaben auf Arbeitsplatzrechnern sind zu vermeiden.
- Freigaben auf Domänen-Controllern sind ebenfalls zu vermeiden, da Domänen-Controller sensitive Daten speichern.
- Alle nicht vermeidbaren Freigaben auf Arbeitsplatzrechnern und Domänen-Controllern sind zu begründen und zu dokumentieren und sollten nur nach einer vorherigen Risikoabwägung erfolgen.
- Für alle Freigaben und die dadurch zugreifbaren Daten müssen die Zugriffsberechtigungen so restriktiv wie möglich vergeben werden.
- Es sollte überlegt werden, das Benutzerkonto Jeder zu entfernen und stattdessen das Benutzerkonto Authentifizierte Benutzer zu verwenden.
- Das Zugriffskonzept muss dokumentiert sein.
Prüffragen:
-
Wurde ein bedarfsgerechtes Berechtigungs- und Zugriffskonzept für Windows erstellt?
-
Sind die Berechtigungen aller Verzeichnisse und Dateien auf allen, von einem älteren Windows-Betriebssystem aktualisierten, Rechnern überprüft worden?
-
Sind die eingestellten Datei- und Verzeichnisberechtigungen von freigegebenen Verzeichnissen für den Netzzugriff geeignet? Wurden die Freigaben so restriktiv wie möglich vergeben?