Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In Windows NT wird zwischen den Zugriffsberechtigungen auf Freigabeebene und den Zugriffsberechtigungen auf Datei- und Verzeichnisebene, die im folgenden auch NTFS-Berechtigungen genannt werden, unterschieden. Die Zugriffsberechtigungen auf Freigabeebene (Shares) werden in M 2.94 Freigabe von Verzeichnissen unter Windows NT betrachtet.

Zugriffsberechtigungen auf Datei- und Verzeichnisebene stehen im Gegensatz zu den Freigabeberechtigungen (Share-Berechtigungen) nur auf Datenträgern mit dem Dateisystem NTFS zur Verfügung. Sie werden in der Regel vom Ersteller oder Besitzer eines Objektes (Verzeichnis oder Datei) vergeben. Auf Servern erfolgt dies meistens durch den Administrator. Die Festlegung von NTFS-Berechtigungen erfolgt unter Windows NT 4.0 typischerweise mittels des Windows NT Explorers oder über das Desktop-Symbol "Arbeitsplatz". Im Kontextmenü des entsprechenden Verzeichnisses bzw. der entsprechenden Datei ist der Menüpunkt "Eigenschaften"/"Sicherheit" auszuwählen. Dadurch gelangt man zu folgender Zugriffskontrolliste:

Verzeichnisberechtigung

Abbildung: Verzeichnisberechtigungen - Zugriffskontrolliste

Die entsprechende Zugriffskontrolliste findet sich unter Windows NT 3.51 im Dateimanager unter "Sicherheit"/"Berechtigungen". In diese Zugriffskontrolliste können bestehende Benutzergruppen und Benutzer aufgenommen und hier können jeder Benutzergruppe und jedem Benutzer Berechtigungen zugewiesen und entzogen werden. Auch ist es möglich, Benutzergruppen und Benutzer aus der Zugriffskontrolliste zu entfernen. Durch Aktivieren der Option "Berechtigungen für existierende Dateien ersetzen" können die für das Verzeichnis festgesetzten Berechtigungen auf alle Dateien dieses Verzeichnisses übertragen werden. Wird die Option "Berechtigungen für Unterverzeichnisse ersetzen" gewählt, werden die eingestellten Berechtigungen zudem auf alle Unterverzeichnisse übertragen. Auf diese Weise lassen sich leicht einheitliche Rechtestrukturen realisieren.

NTFS-Berechtigungen werden zunächst beim lokalen Zugriff wirksam. Müssen z. B. mehrere Benutzer an einem Computer arbeiten, so ist es möglich, durch Vergabe entsprechender Datei- und Verzeichnisberechtigungen sicherzustellen, dass jeder Benutzer nur Zugriff auf seine Daten hat.

Auch beim Zugriff über das Netz werden NTFS-Berechtigungen wirksam. Voraussetzung für den Netzzugriff ist aber, dass das Verzeichnis, auf das zugegriffen werden soll oder in dem sich das gewünschte Unterverzeichnis oder die gewünschte Datei befindet, zuvor freigegeben und mit einer entsprechenden Freigabeberechtigung versehen wurde (s. M 2.94 Freigabe von Verzeichnissen unter Windows NT). Im Zusammenspiel zwischen Freigabeberechtigung und NTFS-Berechtigung ist zu beachten, dass die jeweils restriktivere Berechtigung maßgebend ist. NTFS-Berechtigungen lassen sich feiner abstufen als Freigabeberechtigungen. Es ist insbesondere möglich, für jedes Unterverzeichnis und für jede Datei gesonderte NTFS-Berechtigungen zu vergeben. Von daher ist es auch möglich, Freigaben mit der Freigabeberechtigung "Vollzugriff" für die Gruppe der Benutzer bzw. Domänen-Benutzer zu versehen und die effektiven Zugriffsrechte über die NTFS-Berechtigungen zu vergeben.

Die NTFS-Berechtigungen werden unterschieden in spezifische (auch individuelle) Berechtigungen und vordefinierte Standardberechtigungen, die Kombinationen der spezifischen Zugriffsberechtigungen darstellen.

Es gibt folgende individuellen Berechtigungen:

Aus diesen Einzelberechtigungen sind unter Windows NT vorgegebene Standardberechtigungen kombiniert worden:

 
Standardberechtigung  Einzelberechtigungen 
Kein Zugriff  
Lesen  RX 
Ändern  RWXD 
Anzeigen  RX 
Hinzufügen  WX 
Hinzufügen und Lesen  RWX 
Vollzugriff   RWXDPO 

Tabelle: Vorgegebene Standardberechtigungen unter Windows NT

Der Besitzer einer Datei bzw. eines Verzeichnisses hat in jedem Fall das Recht, Berechtigungen für die Datei bzw. das Verzeichnis zu vergeben und zu entziehen. Jeder, der ein Verzeichnis oder eine Datei erstellt, wird automatisch Besitzer dieser Ressource. Der Besitz an einem Verzeichnis bzw. an einer Datei kann durch "Besitz übernehmen" (P) an andere Benutzer übertragen werden. Der Besitz an einem Verzeichnis oder einer Datei geht allerdings erst durch die Besitzübernahme durch den Empfänger auf diesen über. Es ist im Gegensatz zu anderen Betriebssystemen nicht möglich, Dateien und Verzeichnisse zu verschenken. Unabhängig von den Eintragungen in der Zugriffskontrolliste können Administratoren in jedem Fall den Besitz an Dateien und Verzeichnissen übernehmen.

Hinweis:

Benutzer sollten möglichst nie die Berechtigung "Vollzugriff" vergeben, sondern höchstens die Berechtigung "Ändern", damit ihnen nicht der Besitz entzogen werden kann und sie immer die Hoheit über die Rechtevergabe behalten.
Alle Benutzer müssen darauf aufmerksam gemacht werden, regelmäßig mit dem Dateimanager oder dem Explorer zu überprüfen, ob sie noch Besitzer ihrer Verzeichnisse und Dateien sind. Dies ist der einzige Weg, mit dem Benutzer erkennen könne, ob von Ihnen gesetzte Zugriffsrechte umgangen worden sind.

Die in den folgenden Abschnitten genannten Maßnahmen gelten hauptsächlich für Dateien und Verzeichnisse, für die der Administrator zuständig ist, das heißt für solche, die entweder für alle Benutzer von Bedeutung sind oder die Administrationszwecken dienen. Es reicht nicht aus, die Rechte eines Programms zu überprüfen, es muss auch die Rechtevergabe aller Programme überprüft werden, die von diesem Programm aus aufgerufen werden (insbesondere zur Vermeidung Trojanischer Pferde).

Die Attribute aller Systemdateien sollten möglichst so gesetzt sein, dass nur der Systemadministrator Zugriff darauf hat. Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen.

Verzeichnisse des Betriebssystems und der Anwendungsprogramme

Die Dateien und Verzeichnisse des Betriebssystems selbst müssen gegen unzulässige Zugriffe hinreichend geschützt werden. Die standardmäßig vorgesehenen Zugriffsrechte sollten unmittelbar nach der Installation des Systems auf schärfere Formen der Zugriffskontrolle auf die betreffenden Dateien und Verzeichnisse (das Windows-Verzeichnis, %SystemRoot%, z. B. \WINNT, das Windows-Systemverzeichnis %SystemRoot%\SYSTEM32 und eventuelle weitere Programmverzeichnisse, z. B. \MsOffice und \Programme, und alle Unterverzeichnisse) eingestellt werden.

Dabei ist jedoch zu beachten, dass manche Programme, insbesondere 16-Bit Programme, aber auch z. B. MS Winword 7.0, im Windows-Verzeichnis und/oder im Programmverzeichnis Initialisierungs- und Konfigurationsdateien anlegen. Sollen solche Programme genutzt werden, so kann es erforderlich werden, den Benutzern das Zugriffsrecht "Ändern" auf die betreffenden Verzeichnisse und Dateien zu geben.

Nur Administratoren dürfen auf diese Dateien und Verzeichnisse schreibenden Zugriff haben. Für alle anderen Benutzer ist der Zugriff so einzuschränken, dass sie dort nur lesenden und ausführenden Zugriff (RX) haben:

 
Benutzer(gruppe) Zugriffsrecht

SYSTEM

 

Vollzugriff

 

Administratoren

 

Vollzugriff

 

Benutzer

 

Lesen

 

Tabelle: Zugriffsrechte auf das Betriebssystem und die Anwenderprogramme

Ggf. kann der Zugriff auf ausführbare Dateien (.EXE-, COM- und BAT-Dateien) noch weiter eingeschränkt werden, so dass nur ausführender Zugriff (X) auf diese Dateien möglich ist. In ähnlicher Weise sind die für den Systemstart kritischen Dateien \BOOT.INI, \NTDETECT.COM, \NTLDR, \AUTOEXEC.BAT und \CONFIG.SYS gegen unbefugte Veränderung durch unprivilegierte Benutzer zu schützen.

Dabei sollte allerdings - am besten in einer Testumgebung - überprüft werden, ob alle Anwendungsprogramme bei dieser restriktiven Einstellung noch lauffähig sind, oder ob einzelne Zugriffskontrollen doch um weitere Zugriffsmöglichkeiten ergänzt werden müssen, um beispielsweise die Abspeicherung temporärer Dateien oder von Konfigurationsinformationen in einem Programmverzeichnis zu erlauben. Generell sollte jedoch der Zugriff auf die Programmdateien selbst (.EXE-Dateien) und auf dynamische Bibliotheken (.DLL-Dateien) für die Gruppe "Jeder" auf lesenden Zugriff beschränkt werden, zumal diese Maßnahme auch einen gewissen Schutz gegen die Verbreitung von Viren bietet.

Temporäre Dateien

Temporäre Dateien, die von verschiedenen Anwendungsprogramme zum Auslagern und Zwischenspeichern von Daten verwendet werden, werden unter Windows NT im Verzeichnis %TEMP% (in der Regel C:\TEMP) abgelegt. Alle Anwender benötigen für dieses Verzeichnis auch das Recht, hier Dateien abzulegen, doch muss gleichzeitig verhindert werden, dass Benutzer auf temporäre Dateien anderer Benutzer Zugriff erhalten. Die Zugriffsrechte für das Verzeichnis sollten daher auf folgenden Wert geändert werden

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
Administratoren  Vollzugriff 
Ersteller/Besitzer  Ändern 
Benutzer  Hinzufügen 

Tabelle: Zugriffsrechte bei temporären Dateien

Registrierung

Die Registrierung von Windows NT befindet sich im Unterverzeichnis CONFIG des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32, d. h. im allgemeinen im Verzeichnis C:\WINNT\SYSTEM32\CONFIG. Auf dieses Verzeichnis muss der Anwender Zugriff haben, da die Registrierung automatisch durch Einstellungen des Benutzers in Anwendungsprogrammen geändert wird. Kann der Benutzer nicht auf dieses Verzeichnis zugreifen, führt das zu Systemfehlern oder zu einem Absturz des Systems. Die auf dieses Verzeichnis gesetzten Standardrechte, die möglichst nicht verändert werden sollten, sind unter Version 3.51:

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
Administratoren  Vollzugriff 
Ersteller/Besitzer  Ändern 
Benutzer  Anzeigen 

Tabelle: Zugriffsrechte bei der Registrierung bei Windows NT, Version 3.51

Ab Version 4.0 sind die Standardrechte:

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
Administratoren  Vollzugriff 
Ersteller/Besitzer  Vollzugriff  
Jeder  Anzeigen 

Tabelle: Zugriffsrechte bei der Registrierung ab Version 4.0

Die Gruppe "Jeder" sollte allerdings durch die Gruppe "Benutzer" ersetzt werden. Nur wenn Gäste auf dieses Verzeichnis Zugriff haben, muss die Gruppe "Jeder" das Recht "Anzeigen" haben.

Bei der Installation legt Windows NT das Verzeichnis %SystemRoot%\REPAIR an, um dort Konfigurationsinformationen abzuspeichern, die für eine ggf. notwendige Reparatur einer bestehenden Installation benötigt werden. Diese Dateien werden mit Hilfe des Dienstprogramms RDISK aktualisiert (siehe auch M 6.42 Erstellung von Rettungsdisketten für Windows NT). Da da mit Hilfe dieser Dateien und entsprechender Schadsoftware Sicherheitsfunktionalitäten von Windows NT außer Kraft gesetz werden können, sollten die Rechte auf das Verzeichnis mit allen darin befindlichen Dateien wie folgt gesetzt werden:

 
Benutzer(gruppe)  Zugriffsrecht 
System  Vollzugriff 
Administratoren  Vollzugriff 

Tabelle: Zugriffsrechte auf Verzeichnisse

Profile

Zum Abspeichern der Daten, die die Benutzeroberfläche und Einträge im Menü START ab der Version 4.0 beschreiben, legt Windows NT für jeden Benutzer vom System ein eigenes Profilverzeichnis im Unterverzeichnis Profiles des Windows-Verzeichnisses %SystemRoot% (in der Regel C:\WINNT\PROFILE) an. Unter der Version 3.51 werden Profile in Unterverzeichnissen des Systemverzeichnisses %SystemRoot%\SYSTEM32\CONFIG bzw. in für die einzelnen Benutzer explizit angegebenen Verzeichnissen abgespeichert.

Auf diese Verzeichnisse muss der Benutzer vollen Zugriff haben, sofern er seine Benutzeroberfläche selbst verändern können soll. Dies ist jedoch nicht immer gewünscht (siehe M 4.51 Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT). Beim ersten Anmelden des Benutzers wird sein Benutzerprofil automatisch vom System erzeugt. Die Standard-Zugriffsrechte für das Verzeichnis sehen wie folgt aus:

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
Administratoren  Vollzugriff 
betreffender Benutzer  Vollzugriff 

Tabelle: Zugriffsrechte bei Profilverzeichnissen

Neben dem Profilverzeichnis für den einzelnen Benutzer gibt es noch ein Verzeichnis für alle Benutzer (All Users) und ein Verzeichnis als Vorlage für neue Benutzer (Default User). Schreibenden Zugriff auf diese Verzeichnisse sollte nur Systemverwalter haben. Die Zugriffsrechte sollten wie folgt gesetzt werden:

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
Administratoren  Vollzugriff 
Benutzer  Lesen 

Tabelle: Zugriffsrechte in den Verzeichnissen All Users und Default User

Diese Einstellungen sollten nur verändert werden, wenn man dem Anwender das Recht nehmen möchte, seine Benutzeroberfläche zu verändern.

Benutzer-Verzeichnisse

Die Verzeichnisse für die Daten der einzelnen Benutzer sollten in der Regel so geschützt werden, dass nur die betreffenden Benutzer auf ihre Dateien zugreifen können. Andere Benutzer, auch Administratoren benötigen in der Regel keinen Zugriff auf die Daten eines Benutzers, es sei denn, dass dieser selbst explizit zusätzliche Zugriffsrechte vergibt. Damit ist in den meisten Fällen die folgende Voreinstellung für die Zugriffsrechte auf Benutzerverzeichnisse ausreichend:

 
Benutzer(gruppe)  Zugriffsrecht 
SYSTEM  Vollzugriff 
betreffender Benutzer  Vollzugriff 

Tabelle: Benutzer-Verzeichniss-Zugriffsrechte

Benutzer, die einzelne Dateien oder Verzeichnisse anderen Benutzern zugänglich machen wollen, sollten hierfür Verzeichnisse außerhalb ihres Basis-Verzeichnisses einrichten. Ebenso sollten für Projektgruppen, die gemeinsam an bestimmten Dateien arbeiten, spezielle Verzeichnisse eingerichtet werden. Die Zugriffsrechte auf solche Verzeichnisse sollten auch wiederum explizit auf die Benutzer in diesen Gruppen beschränkt werden.

Sperren der Zugriffsrechte für Gäste

Bei den oben beschriebenen Zugriffskontrolllisten ist davon ausgegangen worden, dass keine Benutzer der Gruppe "Gäste" zugelassen sind. Deswegen ist die Gruppe "Jeder" durch die Gruppe "Benutzer" zu ersetzen. Mit dieser Maßnahme wird Gästen effektiv jede Möglichkeit zur Arbeit mit dem System und zum Zugriff auf Daten entzogen. Da dies jedoch unter Umständen dazu führen kann, dass bestimmte Anwendungssoftware nicht mehr korrekt läuft, sollte eine derartige Änderung zuerst an einem Testsystem vorgenommen und hinsichtlich ihrer Auswirkungen überprüft werden, ehe sie allgemein umgesetzt wird.

Ergänzende Kontrollfragen: