Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Windows-Berechtigungen reparieren

Geschrieben von Michael Buckbee | Apr 10, 2012 10:43:00 AM

von Brian Vecci

Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen zu tun. „Fehlerhaft“ kann natürlich mehreres bedeuten, denn NTFS-Berechtigungen können unterschiedliche Fehler aufweisen.

Berechtigungen, die an sich korrekt funktionieren – die also die vorgesehene Authentifizierungsfunktion erfüllen –, können dennoch fehlerhaft sein, weil sie keine angemessene Autorisierung bieten. Wenn ein Ordner beispielsweise für die Gruppe Jeder zugänglich ist, werden dessen Berechtigungen wahrscheinlich als fehlerhaft eingestuft. Doch in diesem Beitrag soll es nicht um Autorisierungsfehler gehen. Vielmehr möchte ich über Ordnerzugriffsrechte in Windows sprechen, die nicht korrekt funktionieren – wenn also NTFS-Berechtigungen falsch „vererbt“ werden.

Prinzipiell bestehen drei Vererbungsszenarien für Windows-Ordner. Im ersten Szenario erbt der Ordner einfach alle Berechtigungen des übergeordneten Ordners – und weist somit die gleiche ACL auf wie der übergeordnete Ordner. Im zweiten Szenario erbt der Ordner zwar alle Einträge des übergeordneten Ordners, es werden ihm jedoch noch zusätzliche Berechtigungen zugewiesen. Varonis nennt diese Ordner „unique“ (eindeutig). Änderungen der Berechtigungen des übergeordneten Ordners[1] werden in beiden Fällen auch auf den untergeordneten Ordner angewendet. Im dritten Szenario wird die Vererbung unterbrochen oder deaktiviert. Microsoft (und Varonis) nennen diese Ordner „protected“ (geschützt). Geschützte Ordner erben die Berechtigungen des übergeordneten Ordners nicht. Genauso wenig ändert sich ihre ACL, wenn die Berechtigungen des übergeordneten Ordners geändert werden. Die meisten Windows-Administrations-Tools bieten keine Übersicht über die Ordner, bei denen die Vererbungsfunktion deaktiviert wurde oder für die eigene Berechtigungen gelten. Deshalb wissen Organisationen oft gar nicht, dass zu viele Nutzer auf ihre Daten zugreifen können.

Manchmal kann die Vererbung von Berechtigungen aber Fehler aufweisen – was die Situation zusätzlich verkompliziert. Entweder wurden die Berechtigungen nicht korrekt auf den untergeordneten Ordner übertragen (ein Zugriffssteuerungseintrag fehlt also in der ACL) oder es werden Berechtigungen vererbt, die nicht für den übergeordneten Ordner gelten (es besteht also ein zusätzlicher Zugriffssteuerungseintrag in der ACL). Das Ergebnis ist chaotisch: Die IT-Abteilung denkt, dass der Zugriff auf Ordner eingeschränkt bzw. möglich ist, doch in Wahrheit ist das Gegenteil der Fall. Ist das Chaos erst einmal ausgebrochen, kann der Übeltäter nur gefunden werden, indem jede einzelne ACL des betroffenen Hierarchiezweigs analysiert wird.

Fehlerhafte ACLs können auf unterschiedliche Weise entstehen. Einige automatisierte Kopierprogramme sind dafür bekannt, unerwartete Ergebnisse zu erzeugen. Selbst geschriebene Skripte können ebenfalls Probleme verursachen. Außerdem kann es zu Inkonsistenzen kommen, wenn ein Nutzer eine Datei oder einen Ordner von einem Ordner auf einem Datenträger in einen anderen Ordner mit anderen Berechtigungen auf demselben Datenträger verschiebt. Denn wird eine Datei oder ein Ordner innerhalb eines Laufwerks verschoben, wird das Objekt in der Dateizuordnungstabelle einfach umbenannt. Die Berechtigungen werden nicht verändert. Wird eine Datei oder ein Ordner jedoch zwischen zwei Laufwerken verschoben, werden die Berechtigungen des neuen übergeordneten Ordners vererbt.

Glücklicherweise steht uns nun die erforderliche Technologie zur Verfügung, um diese Probleme zu finden und zu beheben. Varonis DatAdvantage erstellt eine vollständige Übersicht über die Windows-Berechtigungen sowie die Nutzer und Gruppen aus Active Directory und generiert im Handumdrehen einen Bericht mit allen Ordnern, die eine fehlerhafte ACL oder inkonsistente Berechtigungen aufweisen. Zudem bietet DatAdvantage die Möglichkeit, Änderungen per Commit an den Server zu übertragen (und diese sogar zu planen oder zurückzusetzen), so dass Administratoren die Probleme direkt aus der Anwendung heraus lösen können. So können an sich fehlerhafte Berechtigungen repariert werden. Jetzt bleibt nur noch zu klären, wie Berechtigungen gelöst werden können, die zwar fehlerfrei funktionieren, jedoch zu vielen Nutzern Zugang zu Dateien verschaffen. Bleiben Sie dran.

[1] (außer die Einstellungen wurden so gesetzt, dass Berechtigungen nicht auf untergeordnete Ordner übertragen werden)

 

 

The post Windows-Berechtigungen reparieren appeared first on Varonis Deutsch.