none
Ordnerfreigaben auf Dateiserver - SICHERHEIT RRS feed

  • Frage

  • Wie sicher ist der Zugriff auf ein Netzlaufwerk (Share) bei folgenden Einstellungen.

    Sicherheitseinstellung NTFSGruppe / Benutzer      Berichtigung
    Jeder                           ändern
    System                        Vollzugriff
    Administratoren          Vollzugriff

    Dateifreigabe
    Gruppe / Benutzer
          Berechtigungsebene
    Administratoren          Besitzer
    Mitarbeitergruppe       lesen/schreiben
    Mitarbeiter X               lesen/schreiben

    Die Verzeichnisse sind nicht versteckt und werden somit im Windowsexplorer angezeigt. Beim Aufruf eines Ordners, für den man keine Berechtigung hat, kommt der Hinweis „keine Berechtigung“.

    Ist bei dieser Konstellation der Netzwerkzugriff nur für die in der Dateifreigabe aufgeführten Benutzer und Gruppen möglich oder gibt es Sicherheitsbedenken?

    Kann ein erfahrener User evtl. auf nicht freigegebene Ordner ohne eine entsprechende Berechtigung zugreifen?

    Mittwoch, 25. Juni 2014 04:06

Antworten

  • Ist bei dieser Konstellation der Netzwerkzugriff nur für die in der Dateifreigabe aufgeführten Benutzer und Gruppen möglich oder gibt es Sicherheitsbedenken?

    Für den Zugriff auf eine Freigabe sind immer die kleinsten gemeinsamen Berechtigungen, die sich aus den Freigabeberechtigungen, den NTFS-Berechtigungen und, falls konfiguriert, aus den Berechtigungen der dynamischen Zugriffssteuerung ergeben gültig.

    Damit ist beim Zugriff über das Netzwerk nur der von dir beabsichtigte Zugriff möglich. Anders ist es aber, wenn es einem Benutzer gelingt, sich direkt an dem Computer anzumelden, auf dem die freigegebenen Ordner liegen. Da du der Kennung Jeder die Berechtigung Ändern zugewiesen hast, kann nun auch jeder beliebige Benutzer, der sich erfolgreich authentifizieren konnte (es sei denn, es handelt sich noch um Windows 2000, dann werden auch anonyme Benutzer zu Jeder gezählt) auf die Daten zugreifen und sie auch löschen!

    Ich empfehle dir daher der sogenannten AGDLP-Regel zu folgen. Sie besagt, dass Benutzerkonten (Accounts) Mitglied von globalen Gruppen (Global Groups) sein sollen. Diese werden zu Mitgliedern von domänenlokalen Gruppen (Domain Local groups) gemacht, denen dann Berechtigungen (Permissions) an den Ressourcen erteilt werden.

    Ein Beispiel: Du hast einen Projektordner ProjektX, auf den sollen Projektmitarbeiter Änderungsberechtigungen haben. Zusätzlich soll das Management lesend zugreifen können. Damit würdest du wie folgt vorgehen:

    1. Erzeuge zwei domänenlokale Gruppen ProjektX-Lesen und ProjektX-Ändern.
    2. Erteile folgende Freigabeberechtigungen:
      Administratoren: Vollzugriff
      ProjektX-Lesen: Lesen
      ProjektX-Ändern: Ändern
    3. Deaktiviere die Vererbung der NTFS-Berechtigungen und erteile folgende Berechtigungen:
      Administratoren: Vollzugriff
      ProjektX-Lesen: Lesen
      ProjektX-Ändern: Ändern
    4. Erstelle eine globale Gruppe ProjektX-Mitarbeiter. Stelle sicher, dass nur Projektmitarbeiter Mitglied sind, entweder direkt oder indirekt über ihre globalen Gruppen, zum Beispiel Verkäufer, Entwickler usw.
    5. Erstelle, falls noch nicht vorhanden, eine globale Gruppe Manager mit den entsprechenden Mitgliedern.
    6. Nimm die globale Gruppe ProjektX-Ändern in die domänenlokale Gruppe ProjektX-Ändern und die Manager in ProjektX-Lesen auf. Fertig.

    Um im Active Directory die Gruppen besser auseinanderhalten zu können, kannst du ihnen Kürzel, wie GG für globale Gruppen und DL bzw. ACL (Access Control List) für domänenlokale Gruppen voranstellen. Vorteil: Da die Einträge alphabetisch sortiert werden, findet man so schnelle die gewünschte Gruppe.

    An meinem Beispiel siehst du auch, dass die Freigabe- und NTFS-Berechtigungen gleich sind. Das vereinfacht ebenfalls die Administration, da du nie mehr die kleinsten gemeinsamen Berechtigungen ermitteln musst.

    Du solltest immer nach diesem Schema vorgehen. Nur dann sind Berechtigungen noch zu überblicken. Das Berechtigungskonzept ist in Windows sehr kompliziert. Versuche einmal, die Berechtigungen aller Dateien und Ordner im Windows-Verzeichnis zu dokumentieren. Vermutlich wirst du nach einigen Stunden verzweifelt aufgeben.

    Kann ein erfahrener User evtl. auf nicht freigegebene Ordner ohne eine entsprechende Berechtigung zugreifen?

    Nein, es sei denn, es handelt sich um Unterordner eines freigegebenen Ordners.

    Zusammengefasst: Die von dir vergebenen Berechtigungen erfüllen die Anforderungen, solange eine lokale Anmeldung oder der Zugriff über RDP am Dateiserver nicht möglich ist. Aber die Art, wie du Berechtigungen vergibst, erschwert dir die Administration. Das wirst du spätestens dann merken, wenn du hunderte von Freigaben in möglicherweise mehreren Domänen verwalten musst. Aber dann das Konzept nachträglich auf AGDLP umzustellen, ist so gut wie unmöglich.

    Wenn dir mein Beitrag nützt, kannst du ihn als Antwort markieren.


    Mittwoch, 25. Juni 2014 07:39
  • Eine winzig kleine Erweiterung:

    Aktiviere auch noch ABE, denn wenn du wie von mslux vorgehst, sehen die User die Ordner, auf die sie nicht berechtigt sind auch nicht:
    http://technet.microsoft.com/de-de/library/dd772681(v=WS.10).aspx

    Gruß
    Lennart

    Donnerstag, 26. Juni 2014 12:45

Alle Antworten

  • Ist bei dieser Konstellation der Netzwerkzugriff nur für die in der Dateifreigabe aufgeführten Benutzer und Gruppen möglich oder gibt es Sicherheitsbedenken?

    Für den Zugriff auf eine Freigabe sind immer die kleinsten gemeinsamen Berechtigungen, die sich aus den Freigabeberechtigungen, den NTFS-Berechtigungen und, falls konfiguriert, aus den Berechtigungen der dynamischen Zugriffssteuerung ergeben gültig.

    Damit ist beim Zugriff über das Netzwerk nur der von dir beabsichtigte Zugriff möglich. Anders ist es aber, wenn es einem Benutzer gelingt, sich direkt an dem Computer anzumelden, auf dem die freigegebenen Ordner liegen. Da du der Kennung Jeder die Berechtigung Ändern zugewiesen hast, kann nun auch jeder beliebige Benutzer, der sich erfolgreich authentifizieren konnte (es sei denn, es handelt sich noch um Windows 2000, dann werden auch anonyme Benutzer zu Jeder gezählt) auf die Daten zugreifen und sie auch löschen!

    Ich empfehle dir daher der sogenannten AGDLP-Regel zu folgen. Sie besagt, dass Benutzerkonten (Accounts) Mitglied von globalen Gruppen (Global Groups) sein sollen. Diese werden zu Mitgliedern von domänenlokalen Gruppen (Domain Local groups) gemacht, denen dann Berechtigungen (Permissions) an den Ressourcen erteilt werden.

    Ein Beispiel: Du hast einen Projektordner ProjektX, auf den sollen Projektmitarbeiter Änderungsberechtigungen haben. Zusätzlich soll das Management lesend zugreifen können. Damit würdest du wie folgt vorgehen:

    1. Erzeuge zwei domänenlokale Gruppen ProjektX-Lesen und ProjektX-Ändern.
    2. Erteile folgende Freigabeberechtigungen:
      Administratoren: Vollzugriff
      ProjektX-Lesen: Lesen
      ProjektX-Ändern: Ändern
    3. Deaktiviere die Vererbung der NTFS-Berechtigungen und erteile folgende Berechtigungen:
      Administratoren: Vollzugriff
      ProjektX-Lesen: Lesen
      ProjektX-Ändern: Ändern
    4. Erstelle eine globale Gruppe ProjektX-Mitarbeiter. Stelle sicher, dass nur Projektmitarbeiter Mitglied sind, entweder direkt oder indirekt über ihre globalen Gruppen, zum Beispiel Verkäufer, Entwickler usw.
    5. Erstelle, falls noch nicht vorhanden, eine globale Gruppe Manager mit den entsprechenden Mitgliedern.
    6. Nimm die globale Gruppe ProjektX-Ändern in die domänenlokale Gruppe ProjektX-Ändern und die Manager in ProjektX-Lesen auf. Fertig.

    Um im Active Directory die Gruppen besser auseinanderhalten zu können, kannst du ihnen Kürzel, wie GG für globale Gruppen und DL bzw. ACL (Access Control List) für domänenlokale Gruppen voranstellen. Vorteil: Da die Einträge alphabetisch sortiert werden, findet man so schnelle die gewünschte Gruppe.

    An meinem Beispiel siehst du auch, dass die Freigabe- und NTFS-Berechtigungen gleich sind. Das vereinfacht ebenfalls die Administration, da du nie mehr die kleinsten gemeinsamen Berechtigungen ermitteln musst.

    Du solltest immer nach diesem Schema vorgehen. Nur dann sind Berechtigungen noch zu überblicken. Das Berechtigungskonzept ist in Windows sehr kompliziert. Versuche einmal, die Berechtigungen aller Dateien und Ordner im Windows-Verzeichnis zu dokumentieren. Vermutlich wirst du nach einigen Stunden verzweifelt aufgeben.

    Kann ein erfahrener User evtl. auf nicht freigegebene Ordner ohne eine entsprechende Berechtigung zugreifen?

    Nein, es sei denn, es handelt sich um Unterordner eines freigegebenen Ordners.

    Zusammengefasst: Die von dir vergebenen Berechtigungen erfüllen die Anforderungen, solange eine lokale Anmeldung oder der Zugriff über RDP am Dateiserver nicht möglich ist. Aber die Art, wie du Berechtigungen vergibst, erschwert dir die Administration. Das wirst du spätestens dann merken, wenn du hunderte von Freigaben in möglicherweise mehreren Domänen verwalten musst. Aber dann das Konzept nachträglich auf AGDLP umzustellen, ist so gut wie unmöglich.

    Wenn dir mein Beitrag nützt, kannst du ihn als Antwort markieren.


    Mittwoch, 25. Juni 2014 07:39
  • Vielen Dank für die Antwort.

    Donnerstag, 26. Juni 2014 08:42
  • Eine winzig kleine Erweiterung:

    Aktiviere auch noch ABE, denn wenn du wie von mslux vorgehst, sehen die User die Ordner, auf die sie nicht berechtigt sind auch nicht:
    http://technet.microsoft.com/de-de/library/dd772681(v=WS.10).aspx

    Gruß
    Lennart

    Donnerstag, 26. Juni 2014 12:45