Avatar von Christoph Schulze

Ändern Berechtigungen-Berechtigungsendpunkte in NTFS schützen durch „Ändern Plus“

In Microsoft Windows Netzwerken können Berechtigungen auf dem File Server entweder über Freigabeberechtigungen oder NTFS Berechtigungen vergeben werden. Auch eine Kombination beider Berechtigungsarten ist möglich. Allerdings werden überwiegend NTFS Berechtigungen genutzt, da sich die Zugriffe damit granularer steuern lassen.

Als Berechtigungsstufen für Anwender vergibt man in der Regel entweder die Berechtigungsstufe „Lesen und Ausführen“ oder „Ändern“. Dadurch wird sichergestellt, dass der Anwender auf dem gewünschten Verzeichnis die Daten nur lesend oder aber schreibend zur Verfügung gestellt bekommt.

Die klassische Berechtigung „Ändern“ bringt allerdings ein Problem mit sich.
In diesem Artikel gehen wir genau auf dieses Problem ein und bieten eine Lösung, um die Berechtigungsendpunkte zukünftig abzusichern.

Die Problematik mit der „Ändern“ Berechtigung

In der Regel gibt die IT auf dem File Server eine gewissen Grundstruktur vor. Gehen wir vom gängigen Fall einer Abteilungsstruktur aus: Es gibt meist für jede Abteilung ein eigenes Verzeichnis, auf das die Mitarbeiter der Abteilung meist eine „Ändern“ Berechtigung auf dem Abteilungsordner bekommen. In diesem Fall ist das Abteilungsverzeichnis also der Berechtigungsendpunkt (das Verzeichnis, auf dem die Berechtigung schlussendlich wirkt).

Berechtigungsendpunkt mit einer „Ändern“ Berechtigung

Schaut man sich die erweiterten Berechtigungen an, aus denen sich die „Ändern“ Berechtigung zusammensetzt, wird sehr schnell die Problematik erkennbar.

„Ändern“ Berechtigung im Detail

Dabei wird sichtbar, dass die Berechtigung dazu führt, dass der Anwender in der Lage ist das Verzeichnis zu löschen („Löschen“ beinhaltet darüber hinaus auch noch das „Verschieben“ oder „Umbenennen“ des Ordners).

Das bedeutet also, dass der Anwender den von der IT vorgegebenen Berechtigungsendpunkt „kaputt machen“ kann. Er kann das Verzeichnis also verschieben, umbenennen oder löschen.

Dies stellt für Administratoren immer wieder ein Problem dar. Häufig verschwinden Ordner und müssen mühselig in tieferen Ordnerstrukturen gesucht oder aus dem Backup zurückgeholt werden, da Anwender diese aus Versehen oder bewusst verschieben oder löschen.

„Ändern Plus“ als Alternative zur „Ändern“ Berechtigung

Um die Berechtigungsendpunkte zu schützen und abzusichern sollte man nicht die vorgegebene „Ändern“ Berechtigung benutzen. Stattdessen sollte man mit einer modifizierten „Ändern“ Berechtigung, dem „Ändern Plus“ arbeiten.

„Ändern Plus“ Berechtigung im Detail

Schaut man sich die erweiterten Berechtigungen einer „Ändern Plus“ Berechtigung an, ist ersichtlich, dass hier nicht das „Löschen“ Flag gesetzt ist. Im Gegenteil wird beim „Ändern Plus“ das Flag „Unterordner und Dateien löschen“ vergeben.

Dadurch stellt der Administrator sicher, dass sein vorgegebener Berechtigungsendpunkt nicht mehr durch den Anwender beschädigt werden kann. Innerhalb des Abteilungsverzeichnisses ist der Benutzer allerdings weiterhin in der Lage Ordner und Dateien zu erstellen, zu modifizieren oder aber auch zu löschen, umzubenennen und zu verschieben. Der Hauptordner (in unserem Beispiel das Abteilungsverzeichnis) kann selbst nicht mehr gelöscht, verschoben oder umbenannt werden.

Fazit und Empfehlung

Um die Berechtigungsendpunkte abzusichern, wird empfohlen die vergebenen „Ändern“ Berechtigungen im Dateisystem durch die verbesserte „Ändern Plus“ Berechtigung zu ersetzen.

Mit unserer permSUITE und dem darin enthaltenen permWRITER können Administratoren die vorhandenen Berechtigungen dahingehend optimieren. Mit unserem permWRITER können die Berechtigungen über die Berechtigungsstufe „Ändern Plus“ vergeben werden.

Anschließend empfehlen wir die optimierten und bereinigten Berechtigungen mit einer Softwarelösung für den dauerhaften Einsatz konsistent und valide zu halten. Auch unser Österreichischer Partner tenfold ist mit seiner gleichnamigen Identity- und Access Managementlösung „tenfold“ in der Lage „Ändern Plus“ Berechtigungen zu vergeben und die Berechtigungsendpunkte damit zu schützen.

Die vorherige Bereinigung der Fileshares mit der permSUITE und der anschließenden Anbindung an tenfold sorgt für eine dauerhaft sicher gestaltete Ordnerstruktur.

Avatar von Christoph Schulze

Über den Autor

Ähnliche Artikel

  • Windows File Shares einrichten – Best Practice

    Windows File Shares einrichten – Best Practice

    Um Daten in Unternehmen auszutauschen, werden immer wieder verschiedene File Shares durch die IT erstellt und für die Anwender veröffentlicht. In dem folgenden Artikel erklären wir die Anlage von File Shares, geben Hinweise welche Besonderheiten zu beachten sind und geben verschiedene Tipps bei der…

    Zum Artikel

    Avatar von Christoph Schulze
  • Freigabeberechtigungen vs. NTFS-Berechtigungen – Unterschiede im Überblick

    Freigabeberechtigungen vs. NTFS-Berechtigungen – Unterschiede im Überblick

    Möchte man in einem Unternehmen lokale Ressourcen, wie Dateien und Ordner, gemeinsam nutzen, müssen die Zugriffsberechtigungen effizient und einfach gesteuert werden können. Zum Schutz vor unbefugten Zugriffen auf die Unternehmensdaten hat man zwei Möglichkeiten die Berechtigungen zu verwalten: Freigabeberechtigungen und NTFS Berechtigungen. Beide sind…

    Zum Artikel

    Avatar von Christoph Schulze