In Microsoft Windows Netzwerken können Berechtigungen auf dem File Server entweder über Freigabeberechtigungen oder NTFS Berechtigungen vergeben werden. Auch eine Kombination beider Berechtigungsarten ist möglich. Allerdings werden überwiegend NTFS Berechtigungen genutzt, da sich die Zugriffe damit granularer steuern lassen.
Als Berechtigungsstufen für Anwender vergibt man in der Regel entweder die Berechtigungsstufe „Lesen und Ausführen“ oder „Ändern“. Dadurch wird sichergestellt, dass der Anwender auf dem gewünschten Verzeichnis die Daten nur lesend oder aber schreibend zur Verfügung gestellt bekommt.
Die klassische Berechtigung „Ändern“ bringt allerdings ein Problem mit sich.
In diesem Artikel gehen wir genau auf dieses Problem ein und bieten eine Lösung, um die Berechtigungsendpunkte zukünftig abzusichern.
Die Problematik mit der "Ändern" Berechtigung
In der Regel gibt die IT auf dem File Server eine gewissen Grundstruktur vor. Gehen wir vom gängigen Fall einer Abteilungsstruktur aus: Es gibt meist für jede Abteilung ein eigenes Verzeichnis, auf das die Mitarbeiter der Abteilung meist eine „Ändern“ Berechtigung auf dem Abteilungsordner bekommen. In diesem Fall ist das Abteilungsverzeichnis also der Berechtigungsendpunkt (das Verzeichnis, auf dem die Berechtigung schlussendlich wirkt).
Schaut man sich die erweiterten Berechtigungen an, aus denen sich die „Ändern“ Berechtigung zusammensetzt, wird sehr schnell die Problematik erkennbar.
Dabei wird sichtbar, dass die Berechtigung dazu führt, dass der Anwender in der Lage ist das Verzeichnis zu löschen („Löschen“ beinhaltet darüber hinaus auch noch das „Verschieben“ oder „Umbenennen“ des Ordners).
Das bedeutet also, dass der Anwender den von der IT vorgegebenen Berechtigungsendpunkt „kaputt machen“ kann. Er kann das Verzeichnis also verschieben, umbenennen oder löschen.
Dies stellt für Administratoren immer wieder ein Problem dar. Häufig verschwinden Ordner und müssen mühselig in tieferen Ordnerstrukturen gesucht oder aus dem Backup zurückgeholt werden, da Anwender diese aus Versehen oder bewusst verschieben oder löschen.
Laden Sie unser Whitepaper herunter!
Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.
"Ändern Plus“ als Alternative zur "Ändern“ Berechtigung
Um die Berechtigungsendpunkte zu schützen und abzusichern sollte man nicht die vorgegebene „Ändern“ Berechtigung benutzen. Stattdessen sollte man mit einer modifizierten „Ändern“ Berechtigung, dem „Ändern Plus“ arbeiten.
Schaut man sich die erweiterten Berechtigungen einer „Ändern Plus“ Berechtigung an, ist ersichtlich, dass hier nicht das „Löschen“ Flag gesetzt ist. Im Gegenteil wird beim „Ändern Plus“ das Flag „Unterordner und Dateien löschen“ vergeben.
Dadurch stellt der Administrator sicher, dass sein vorgegebener Berechtigungsendpunkt nicht mehr durch den Anwender beschädigt werden kann. Innerhalb des Abteilungsverzeichnisses ist der Benutzer allerdings weiterhin in der Lage Ordner und Dateien zu erstellen, zu modifizieren oder aber auch zu löschen, umzubenennen und zu verschieben. Der Hauptordner (in unserem Beispiel das Abteilungsverzeichnis) kann selbst nicht mehr gelöscht, verschoben oder umbenannt werden.
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!
Fazit und Empfehlung
Um die Berechtigungsendpunkte abzusichern, wird empfohlen die vergebenen „Ändern“ Berechtigungen im Dateisystem durch die verbesserte „Ändern Plus“ Berechtigung zu ersetzen.
Mit unserer permSUITE und dem darin enthaltenen permWRITER können Administratoren die vorhandenen Berechtigungen dahingehend optimieren. Mit unserem permWRITER können die Berechtigungen über die Berechtigungsstufe „Ändern Plus“ vergeben werden.
Anschließend empfehlen wir die optimierten und bereinigten Berechtigungen mit einer Softwarelösung für den dauerhaften Einsatz konsistent und valide zu halten. Auch unser Österreichischer Partner tenfold ist mit seiner gleichnamigen Identity- und Access Managementlösung „tenfold“ in der Lage „Ändern Plus“ Berechtigungen zu vergeben und die Berechtigungsendpunkte damit zu schützen.
Die vorherige Bereinigung der Fileshares mit der permSUITE und der anschließenden Anbindung an tenfold sorgt für eine dauerhaft sicher gestaltete Ordnerstruktur.
