+49 30 3642803 0 | info@permsecure.com​

Windows File Shares einrichten – Best Practice

permSECURE - Windows File Shares

Um Daten in Unternehmen auszutauschen, werden immer wieder verschiedene File Shares durch die IT erstellt und für die Anwender veröffentlicht.

In dem folgenden Artikel erklären wir die Anlage von File Shares, geben Hinweise welche Besonderheiten zu beachten sind und geben verschiedene Tipps bei der Verwaltung der Dateifreigaben.

Inhalt

Ausgangssituation

Auf einem neuen Volume soll ein neues File Share angelegt werden, welches für verschiedene Benutzer verwendet werden soll. Dafür legen wir uns einen Ordner „Share“ im Stammverzeichnis des neuen Volumens an.

permSECURE - Angelegter Ordner als File Share
Neu angelegter Ordner, der als File Share verwendet werden soll

Im NTFS Dateisystem werden die NTFS Berechtigungen des Volumes auf den neu angelegten Ordner vererbt. Zu diesem Zeitpunkt ist der Ordner noch nicht freigegeben und hat demzufolge noch keine Freigabeberechtigungen.

permSECURE - Initiale NTFS Berechtigungen
Initiale NTFS Berechtigungen des freizugebenden Ordners

MERKE: Die initialen NTFS Berechtigungen sollten vor der Freigabe des Ordners angepasst und nicht im Ausgangszustand belassen werden. Zudem ist es dringend empfohlen, die Vererbung auf dem freizugebenden Ordner zu unterbrechen (besonders wenn der Ordner später in einem DFS-Namespace veröffentlicht werden soll).

permSECURE - Shouting Man

Laden Sie unser Whitepaper herunter!

Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.

Anpassung der NTFS Berechtigungen

Bevor der Ordner nun freigegeben und in einem DFS-Namespace verlinkt wird, sollten die NTFS Berechtigungen bereinigt werden. Dazu unterbricht man die Vererbung und stellt sicher, dass das BUILT-IN Objekt „ERSTELLER-BESITZER“ entfernt wird. Zusätzlich sollte man beachten, dass die Berechtigung für das Objekt „Benutzer“ nicht auf alle Ordner, Unterordner und Dateien greift. Dadurch wird erreicht, dass die Anwender vorerst nur das neue File Share aufrufen können und nicht ungewollt Berechtigungen auf verschiedenen Unterordner erhalten. Weiterhin sollte man statt des „Benutzer“-Objektes die Gruppe der „Authentifizierten Benutzer“ verwenden.

permSECURE - Freizugebener Ordner
Freizugebender Ordner mit angepassten NTFS Berechtigungen

Hat man die NTFS Berechtigungen angepasst und korrigiert, kann der Ordner freigegeben und das File Share erstellt werden.

File Shares erstellen und Freigabeberechtigungen einrichten

Auf Windows Servern kann man die File Shares auf verschiedene Wege anlegen. In der Regel nutzen die meisten Administratoren die Erstellung der File Shares direkt über den Windows Explorer.

Erstellung über den Windows Explorer

Um die Freigabe über den Windows Explorer zu erstellen, gehen Sie in die Einstellungen des Ordners.

permSECURE - Aufruf Erweiterter Freigabeeinstellungen
Aufruf der Erweiterten Freigabeeinstellungen

Setzen Sie ein Häkchen bei „Diesen Ordner freigeben“ und vergeben Sie einen Freigabenamen.

MERKE: Aus Sicherheitsgründen sollte am Ende des Freigabenamens ein „$“ Zeichen angehangen werden. Dadurch wird die Freigabe versteckt angelegt und ist nicht einfach für jeden Anwender sichtbar.

permSECURE - Freigabe & Benennung File Share
Freigabe und Benennung des File Shares

Anschließend müssen noch die Freigabeberechtigungen vergeben werden.
Es ist empfohlen für Administratoren die Berechtigung „Vollzugriff“ und für Anwender die Berechtigung „Ändern“ auf Freigabeebene zu vergeben. Auf jeden Fall sollte vermieden werden in den Freigabeberechtigungen das Standardobjekt „Jeder“ zu berechtigen!

permSECURE - Empfohlene Freigabeberechtigungen
Empfohlene Freigabeberechtigungen

Soll sichergestellt werden, dass die Anwender anschließend im File Share nur die Ordner und Unterordner sehen, auf denen sie Berechtigungen haben, muss das Feature „Zugriffsbasierte Aufzählung“ ( ABE – Access-based enumeration) aktiviert werden. Die Option zur Aktivierung von ABE finden Sie im Server Manager („Datei- und Speicherdienste“ – „Freigaben“).

permSECURE - Aktivierung ABE
Aktivierung von ABE über den Server Manager

Suchen Sie eine professionelle Beratung?

Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!

permSECURE - Shouting Woman

Erstellung über die PowerShell

Um die Freigabe über die PowerShell zu erstellen, muss der Ordner bereits vorhanden sein. Ebenfalls sollten die NTFS Berechtigungen initial angepasst werden (siehe „Erstellung über den Windows Explorer“).

Starten Sie anschließend eine PowerShell-Sitzung und setzen Sie den folgenden Befehl ab:

New-SmbShare -Name „Share$“ -Path „E:\Share“ -FullAccess „AD\Domänen-Admins“ -ChangeAccess „NT-AUTORITÄT\Authentifizierte Benutzer“ -FolderEnumerationMode AccessBased

permSECURE - Anlage File Share über PowerShell
Anlage des File Shares über die PowerShell

Dadurch wurde der zuvor angelegte Ordner freigegeben, die Freigabeberechtigungen wurden vergeben und die Einstellung für ABE wurde ebenfalls aktiviert.

Über die PowerShell gibt es noch weitere Einstellungsmöglichkeiten. So ist es möglich die Freigabe in einem Volume eines Failover-Clusters ausfallsicher zu machen. Dazu hängen Sie einfach an den obigen Befehl den Schalter „-ContinuouslyAvailable $true“ (beachten Sie bitte, dass dieser Schalter nur auf einem Clustervolume funktioniert). Ein weiterer nützlicher Schalter ist „-EncryptData $true“, welcher die SMB-Verschlüsselung aktiviert.

Besonders wenn man mehrere File Shares anlegen muss, empfiehlt sich der Weg über die PowerShell.

Tipps für die Anlage von File Shares

Wenn Sie File Shares anlegen, sollten Sie folgende Hinweise beachten, um Sicherheitslücken zu vermeiden:

  • Verwenden Sie kurze Namen für die Freigabe
  • Legen Sie die Freigabe versteckt an, indem Sie an den Namen ein „$“-Zeichen anhängen
  • Nutzen Sie keinesfalls das „Jeder“-Objekt in den Freigabeberechtigungen
  • Aktivieren Sie die „Zugriffsbasierte Aufzählung“, um nicht berechtigte Ordner für Anwender auszublenden
  • Nutzen Sie zur Erstellung mehrere File Shares die PowerShell um den Zeitaufwand gering zu halten

Über den Autor:

Christoph Schulze
Christoph Schulze ist Senior Consultant bei der Firma permSECURE. Bereits seit 2011 konzeptioniert und begleitet er File Server Projekte und unterstützt Kunden dabei ihre Berechtigungskonzepte zu optimieren.