+49 30 3642803 0 | info@permsecure.com​

Freigabeberechtigungen vs. NTFS-Berechtigungen – Unterschiede im Überblick

permSECURE - Access

Möchte man in einem Unternehmen lokale Ressourcen, wie Dateien und Ordner, gemeinsam nutzen, müssen die Zugriffsberechtigungen effizient und einfach gesteuert werden können. Zum Schutz vor unbefugten Zugriffen auf die Unternehmensdaten hat man zwei Möglichkeiten die Berechtigungen zu verwalten: Freigabeberechtigungen und NTFS Berechtigungen. Beide sind für den Datenschutz gedacht, können getrennt voneinander eingesetzt werden, verhalten sich allerdings unterschiedlich. 

In dem folgenden Artikel gehen wir auf die Unterschiede zwischen Freigabe- und NTFS Berechtigungen ein, erklären wie diese funktionieren und geben einen Überblick zu den aktuellen NTFS Best Practices auf Fileservern.

Inhalt

Was sind NTFS Berechtigungen?

NTFS steht für „New Technology File System“ und ist ein proprietäres Dateisystem der Firma Microsoft, welches mit Windows NT eingeführt wurde und auch auf heutigen Windows Client- und Server-Versionen zum Einsatz kommt. 

Die NTFS Berechtigungen steuern den lokalen Zugriff auf Ordnerstrukturen und deren Dateien. Würde ein Anwender direkt lokal auf einem Fileserver auf seine Daten zugreifen, hätten die Freigabeberechtigungen keine Bewandtnis. Dann würden nur die NTFS Berechtigungen greifen, da der Zugriff lokal und nicht über eine Netzwerkfreigabe erfolgt. 

Die einzelnen NTFS Berechtigungen für einen Ordner oder eine Datei werden in der sogenannten „Zugriffsliste“ (ACL – „access control list“) zusammengefasst und bilden darin jeweils einen „Zugriffslisteneintrag“ oder Berechtigungseintrag (ACE – „access control entry“) ab. Somit gibt es für jeden Ordner und jede Datei eine eigene Zugriffsliste, die die Berechtigungseinträge enthält.

permSECURE - Shouting Man

Laden Sie unser Whitepaper herunter!

Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.

Welche NTFS Berechtigungsstufen gibt es?

Im NTFS Dateisystem gibt es sechs vorgegebene Basisberechtigungen, die sich aus unterschiedlichen „erweiterten Berechtigungen“ zusammensetzen. Die folgenden NTFS Berechtigungsstufen sind die Basisberechtigungen und bauen jeweils aufeinander auf:

  • Ordnerinhalt anzeigen: Der Anwender darf sich den Inhalt des Ordners auflisten lassen und somit sehen, welche Ordner und Dateien sich darin befinden.
  • Lesen: Der Anwender darf zusätzlich den Inhalt von Ordnern und Dateien lesen.
  • Lesen & Ausführen: Der Anwender kann zusätzlich noch ausführbare Dateien und Programme ausführen.
  • Schreiben: Der Anwender darf zusätzlich Dateien und Unterordner erstellen und Inhalt in Daten modifizieren.
  • Ändern: Der Anwender darf zusätzlich Dateien und Ordner löschen.
  • Vollzugriff: Der Anwender darf zusätzlich Systemeinstellungen (z.B. Anpassung der Berechtigungen, Anpassung der Vererbung, Anpassen des Besitzers …) ändern.
permSECURE - Berechtigungsstufen
Übersicht der NTFS Berechtigungsstufen
permSECURE - Berechtigungsstufen Win
Übersicht der NTFS Berechtigungsstufen im Windows Explorer

Mit NTFS Berechtigungen können die Zugriffe für Benutzer oder Gruppen detaillierter und granularer vergeben werden als es mit Freigabeberechtigungen möglich ist. Dadurch sind Administratoren theoretisch in der Lage verschiedene spezielle Berechtigungen zu ermöglichen.

Was sind Freigabeberechtigungen?

Mit Freigabeberechtigungen werden Zugriffe auf Dateien und Ordner über ein Netzwerk gesteuert. Sollen Anwender also auf einen im Netzwerk für mehrere Benutzer freigegebenen Ordner und dessen Inhalte zugreifen, muss für diesen Ordner eine Freigabeberechtigung (file share permission) für diese Benutzer vergeben werden. Diese greift allerdings NUR beim Zugriff über das Netzwerk, NICHT bei einem lokalen Zugriff auf diesen Ordner.

Welche Berechtigungsstufen gibt es für Freigaben?

Auf Freigaben sind die möglichen Berechtigungen, die man vergeben kann, auf ein Minimum beschränkt. Es können auch keine erweiterten Berechtigungen oder Einstellungen vergeben werden. Folgende Berechtigungsstufen gibt es für Freigaben:

  • Lesen: Der Anwender darf den Ordnerinhalt auflisten und anzeigen, sowie den Inhalt von Daten lesen.
  • Ändern: Der Anwender darf zusätzlich Dateien und Unterordner erstellen und löschen, sowie Inhalte in Daten modifizieren.
  • Vollzugriff: Der Anwender darf zusätzlich Systemeinstellungen (z.B. Anpassung der Berechtigungen, Anpassung der Vererbung, Anpassen des Besitzers …) ändern.

Suchen Sie eine professionelle Beratung?

Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!

permSECURE - Shouting Woman

Der Nachteil von Freigabeberechtigungen

In der Regel ist die ausschließliche Nutzung von Freigabeberechtigungen nicht flexibel genug und sollte vermieden werden. Um die Berechtigungen innerhalb einer Hierarchie ausschließlich mit Freigabeberechtigungen zu steuern, müssten ineinander verschachtelte Freigaben (nested shares) mit jeweils eigenen Freigabeberechtigungen erstellt werden. Das erhöht die Komplexität auf dem Fileserver um ein Vielfaches – für Anwender und Administratoren. Eine transparente Auswertung, wer auf welchen Ordner zugreifen darf, ist so nahezu unmöglich und nur mit erheblichen Aufwand generierbar.

Das Zusammenspiel von Freigabe- und NTFS Berechtigungen

Die vergebene Freigabeberechtigung für einen Anwender steuert nur den Zugriff über die Netzwerkfreigabe in den darunterliegenden Ordnerstrukturen. Auf den Ordnerstrukturen unterhalb einer Netzwerkfreigabe sollten die Berechtigungen durch NTFS Berechtigungen ergänzt werden. Beim Zugriff auf die Ordnerstrukturen über das Netzwerk sollte immer eine Kombination aus Freigabe- und NTFS Berechtigungen genutzt werden. 

Um Anwendern nicht ungewollt unzureichende oder zu umfangreiche Berechtigungen zu erteilen, muss man sich darüber im Klaren sein, welche der Berechtigungen den Vorrang haben.

MERKE: Bei der gleichzeitigen Verwendung von Freigabe- und NTFS Berechtigungen, kommt immer die restriktivste Berechtigung zur Anwendung!

Beispiel für die gemeinsame Verwendung von Freigabe- und NTFS Berechtigungen

Für den Netzwerkzugriff auf einen Ordner gilt immer die restriktivere Berechtigung. Anhand einiger grafischer Beispiele wollen wir die Logik hinter der Kombination aus Freigabe- und NTFS Berechtigungen veranschaulichen.

Beispiel A:

Vergibt man bei der Freigabeberechtigung „Ändern“ und bei der NTFS Berechtigung „Lesen & Ausführen“, ist der Anwender in der Lage die im Ordner enthaltenen Daten zu lesen und auszuführen. Obwohl man beim Zugriff über das Netzwerk die Berechtigungsstufe „Ändern“ erhält, wird dieser durch die NTFS Berechtigung auf „Lesen & Ausführen“ eingeschränkt.

permSECURE - NTFS Beispiel A
Kombination von Freigabe- und NTFS Berechtigung - Beispiel A

Beispiel B:

Vergibt man bei der Freigabeberechtigung „Lesen“ und bei der NTFS Berechtigung „Vollzugriff“, ist der Anwender in der Lage die im Ordner enthaltenen Daten zu lesen. Da die restriktivere Berechtigung zur Anwendung kommt, findet der Vollzugriff für einen lokalen Zugriff, beim Zugriff über das Netzwerk keine Anwendung.

permSECURE - NTFS Beispiel B
Kombination von Freigabe- und NTFS Berechtigung - Beispiel B

Best Practice – Kombination von Freigabe- und NTFS Berechtigungen

Aufgrund der eingeschränkten Möglichkeiten bei der ausschließlichen Nutzung von Freigabeberechtigungen wird empfohlen, diese mit weiteren NTFS Berechtigungen zu ergänzen. Dadurch erhöht man die Sicherheit auf dem Fileserver und ist gleichzeitig deutlich flexibler bei der Vergabe von Berechtigungen. 

Demzufolge ist es ratsam seine Ordner im Netzwerk mit Freigabeberechtigungen verfügbar zu machen und innerhalb der Ordnerhierarchie die weiteren Anforderungen und Zugriffe über NTFS Berechtigungen sicherzustellen.

MERKE: Vergeben Sie in den Freigabeberechtigungen für Administratoren die Berechtigungsstufe „Vollzugriff“, sowie für „Authentifizierte Benutzer“ die Berechtigungsstufe „Ändern“!

Auf diese Weise ist sichergestellt, dass die notwendigen Ordner im Netzwerk verfügbar sind, die Berechtigungen innerhalb der Hierarchie aber viel granularer durch NTFS Berechtigungen gesteuert werden können.

Über den Autor:

Christoph Schulze
Christoph Schulze ist Senior Consultant bei der Firma permSECURE. Bereits seit 2011 konzeptioniert und begleitet er File Server Projekte und unterstützt Kunden dabei ihre Berechtigungskonzepte zu optimieren.