Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Freigabeberechtigungen

Geschrieben von Michael Buckbee | May 25, 2012 5:54:00 AM

von David Gibson

Manche Organisationen verwenden statt den NTFS-Berechtigungen die Windows-Freigabeberechtigungen für die Dateifreigabe. Dieser Ansatz entspricht zwar nicht den Empfehlungen von Microsoft, weist aber einen entscheidenden Vorteil auf: Freigabeberechtigungen werden mehr oder weniger sofort umgesetzt, während die Anwendung von NTFS-Berechtigungen in großen Hierarchien mit zahlreichen Dateien und Ordnern relativ lange dauern kann. Wo liegen also die Nachteile? Die ausschließliche Verwendung von Freigabeberechtigungen führt zu drei Problemen:

  1. Die drei möglichen Freigabeberechtigungen sind Vollzugriff, Schreiben (Ändern) und Lesen – NTFS bietet hier deutlich mehr Optionen.
  2. Im Gegensatz zu NTFS-Berechtigungen gelten Freigabeberechtigungen nur, wenn über diese Freigabe auf die Dateien und Ordner zugegriffen wird – und nicht, wenn die Daten beispielsweise lokal oder über einen anderen Pfad verwendet werden.
  3. Bezüglich Punkt 2 sind mehrere Freigaben in derselben Hierarchie – so genannte „verschachtelte Freigaben“ – möglich. Jedem freigegebenen Ordner sind möglicherweise unterschiedliche Berechtigungen zugewiesen. Deshalb kann es sehr verwirrend sein, die effektiven Berechtigungen zu bestimmen.

Ein Beispiel zur Veranschaulichung von Punkt 3 – nehmen wir an, Sie haben eine einfache Ordnerstruktur wie die folgende:

 

Sie besteht aus den drei Ordnern A, B und C, wobei Ordner B den Ordner C und Ordner A die Ordner B und C enthält. Die Pfeile zeigen an, dass sowohl A als auch C als Netzwerklaufwerke konfiguriert sind. In unserem Fall soll der Server „Text“ und die Netzlaufwerke „ShareA“ und „ShareC“ heißen.

Die Freigabeberechtigung auf ShareA ist „Lesezugriff für alle“, auf ShareC „Lese-/Schreibzugriff für alle“. Nehmen wir der Einfachheit halber an, dass auch die NTFS-Berechtigungen allen Nutzern den Zugriff erlauben. (Dies sind übrigens Beispiele für „offene Freigaben“, die Sie, Ihr IT-Sicherheitsteam und Ihre Auditoren definitiv nicht im Netzwerk sehen möchten – um diese offenen Freigaben wird es in einem späteren Blog-Beitrag gehen.)

Wenn Sie über das Netzwerk auf freigegebene Ordner und Dateien zugreifen, binden Sie diese in der Regel als Laufwerke ein oder geben die Adresse im Windows Explorer ein. In beiden Fällen greifen Sie über einen so genannten UNC-Pfad zu, der etwa so aussieht:

\\[Servername]\[Netzlaufwerkname]\[Ordner]\[Dateien]

Wenn Sie also in Ordner C Dateien erstellen oder verwenden möchten, können Sie auf zweierlei Arten auf C zugreifen:

  1. \\Test\ShareC\
  2. \\Test\ShareA\B\C\

Die Freigabeberechtigungen von ShareC erlauben den Lese- und Schreibzugriff. Wenn Sie also über den ersten Pfad auf C zugreifen, können Sie dort Dateien anzeigen, erstellen und ändern. Verwenden Sie jedoch den zweiten Pfad, verfügen Sie lediglich über Lesezugriff. Das heißt, je nachdem, auf welchem Wege die Nutzer auf Dateien und Ordner zugreifen, haben sie unterschiedliche Zugriffsrechte – was zu zahlreichen Helpdesk-Anrufen führt.

Das Ganze wird noch verwirrender, wenn Sie Freigabeberechtigungen auf Gruppen beschränken – und wenn Sie dann NTFS-Berechtigungen verwenden (was Sie durchaus tun sollten), ist das Chaos perfekt. Wenn sich Organisationen dieser verschachtelten Freigaben nicht bewusst sind, kommt es zu einem weit verbreiteten Sicherheitsproblem: Sie nehmen an, ihre Daten seien sicher, weil den bekannten Netzlaufwerken entsprechende Berechtigungen zugewiesen sind – doch tief in der Hierarchie versteckt hat ein Nutzer eine Freigabe mit großzügigeren Berechtigungen erstellt, ohne dass es jemand bemerkt hat.

Eine automatisierte Data-Governance-Lösung wie Varonis DatAdvantage kann Organisationen dabei unterstützen, offene und verschachtelte Freigaben zu identifizieren und die effektiven Berechtigungen anzuzeigen (Freigabe- + NTFS-Berechtigungen).

The post Freigabeberechtigungen appeared first on Varonis Deutsch.