+49 30 3642803 0 | info@permsecure.com​

Ändern Berechtigungen-Berechtigungsendpunkte in NTFS schützen durch „Ändern Plus“

permSECURE - Modify

In Microsoft Windows Netzwerken können Berechtigungen auf dem File Server entweder über Freigabeberechtigungen oder NTFS Berechtigungen vergeben werden. Auch eine Kombination beider Berechtigungsarten ist möglich. Allerdings werden überwiegend NTFS Berechtigungen genutzt, da sich die Zugriffe damit granularer steuern lassen.

Als Berechtigungsstufen für Anwender vergibt man in der Regel entweder die Berechtigungsstufe „Lesen und Ausführen“ oder „Ändern“. Dadurch wird sichergestellt, dass der Anwender auf dem gewünschten Verzeichnis die Daten nur lesend oder aber schreibend zur Verfügung gestellt bekommt.

Die klassische Berechtigung „Ändern“ bringt allerdings ein Problem mit sich.
In diesem Artikel gehen wir genau auf dieses Problem ein und bieten eine Lösung, um die Berechtigungsendpunkte zukünftig abzusichern.

Inhalt

Die Problematik mit der "Ändern" Berechtigung

In der Regel gibt die IT auf dem File Server eine gewissen Grundstruktur vor. Gehen wir vom gängigen Fall einer Abteilungsstruktur aus: es gibt meist für jede Abteilung ein eigenes Verzeichnis, auf das die Mitarbeiter der Abteilung meist eine „Ändern“ Berechtigung auf dem Abteilungsordner bekommen. In diesem Fall ist das Abteilungsverzeichnis also der Berechtigungsendpunkt (das Verzeichnis, auf dem die Berechtigung schlussendlich wirkt).

permSECURE - Berechtigungsendpunkt mit einer "Ändern" Berechtigung
Berechtigungsendpunkt mit einer "Ändern" Berechtigung

Schaut man sich die erweiterten Berechtigungen an, aus denen sich die „Ändern“ Berechtigung zusammensetzt, wird sehr schnell die Problematik erkennbar.

permSECURE - "Ändern" Berechtigung im Detail
"Ändern" Berechtigung im Detail

Dabei wird sichtbar, dass die Berechtigung dazu führt, dass der Anwender in der Lage ist das Verzeichnis zu löschen („Löschen“ beinhaltet darüber hinaus auch noch das „Verschieben“ oder „Umbenennen“ des Ordners).

Das bedeutet also, dass der Anwender den von der IT vorgegebenen Berechtigungsendpunkt „kaputt machen“ kann. Er kann das Verzeichnis also verschieben, umbenennen oder löschen.

Dies stellt für Administratoren immer wieder ein Problem dar. Häufig verschwinden Ordner und müssen mühselig in tieferen Ordnerstrukturen gesucht oder aus dem Backup zurückgeholt werden, da Anwender diese aus Versehen oder bewusst verschieben oder löschen.

permSECURE - Shouting Man

Laden Sie unser Whitepaper herunter!

Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.

"Ändern Plus“ als Alternative zur "Ändern“ Berechtigung

Um die Berechtigungsendpunkte zu schützen und abzusichern sollte man nicht die vorgegebene „Ändern“ Berechtigung benutzen. Stattdessen sollte man mit einer modifizierten „Ändern“ Berechtigung, dem „Ändern Plus“ arbeiten.

permSECURE - "Ändern Plus" Berechtigung im Detail
"Ändern Plus" Berechtigung im Detail

Schaut man sich die erweiterten Berechtigungen einer „Ändern Plus“ Berechtigung an, ist ersichtlich, dass hier nicht das „Löschen“ Flag gesetzt ist. Im Gegenteil wird beim „Ändern Plus“ das Flag „Unterordner und Dateien löschen“ vergeben.

Dadurch stellt der Administrator sicher, dass sein vorgegebener Berechtigungsendpunkt nicht mehr durch den Anwender beschädigt werden kann. Innerhalb des Abteilungsverzeichnisses ist der Benutzer allerdings weiterhin in der Lage Ordner und Dateien zu erstellen, zu modifizieren oder aber auch zu löschen, umzubenennen und zu verschieben. Der Hauptordner (in unserem Beispiel das Abteilungsverzeichnis) kann selbst nicht mehr gelöscht, verschoben oder umbenannt werden.

Suchen Sie eine professionelle Beratung?

Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!

permSECURE - Shouting Woman

Fazit und Empfehlung

Um die Berechtigungsendpunkte abzusichern, wird empfohlen die vergebenen „Ändern“ Berechtigungen im Dateisystem durch die verbesserte „Ändern Plus“ Berechtigung zu ersetzen.

Mit unserer permSUITE und dem darin enthaltenen permWRITER können Administratoren die vorhandenen Berechtigungen dahingehend optimieren. Mit unserem permWRITER können die Berechtigungen über die Berechtigungsstufe „Ändern Plus“ vergeben werden.

Anschließend empfehlen wir die optimierten und bereinigten Berechtigungen mit einer Softwarelösung für den dauerhaften Einsatz konsistent und valide zu halten. Auch unser Österreichischer Partner tenfold ist mit seiner gleichnamigen Identity- und Access Managementlösung „tenfold“ in der Lage „Ändern Plus“ Berechtigungen zu vergeben und die Berechtigungsendpunkte damit zu schützen.

Die vorherige Bereinigung der Fileshares mit der permSUITE und der anschließenden Anbindung an tenfold sorgt für eine dauerhaft sicher gestaltete Ordnerstruktur.

Über den Autor:

Christoph Schulze
Christoph Schulze ist Senior Consultant bei der Firma permSECURE. Bereits seit 2011 konzeptioniert und begleitet er File Server Projekte und unterstützt Kunden dabei ihre Berechtigungskonzepte zu optimieren.