Eine typische Herausforderung in der IT ist der Austausch von Daten. Es gibt unzählige Möglichkeiten, die ihre Vor- und Nachteile haben. Heutzutage hat es sich durchgesetzt, große Datenmengen über Freigaben im Netzwerk auszutauschen. Die einfache Nutzung überzeugt viele Anwender. Werden diese dann noch über DFS veröffentlicht, hat man alle Freigaben zentral an einer Stelle im Netzwerk. Jedoch gibt es einige Fallstricke, auf die man achten sollte. Es kommt nicht selten vor, dass die Standardwerte genutzt werden, welche allerdings zu viele Rechte einräumen. Aber fangen wir mit den Basics an.
Graue Theorie
Zugriff auf Ordner und Dateien auf einem Windows-System mit NTFS-Dateisystem, wird durch den Security Descriptor (SD) gesteuert. Dieser enthält zwei Zugriffslisten (ACL = Access Control List). Die System Access Control List (SACL) dient der Zugriffsüberwachung (Auditing). Eine SACL enthält sogenannte Access Control Entries (ACEs) die festlegen, welche erfolgreichen und/oder erfolglosen Zugriffe bei welchen Benutzern oder Gruppen überwacht werden sollen.
Ähnlich verhält es sich mit der Discretionary Access Control List (DACL). DACL besitzt ebenfalls ACEs und identifiziert Benutzer und Gruppen, die diesem Objekt zugeordnet sind und gibt den entsprechenden Zugriff frei. Ist kein Eintrag vorhanden, wird der Zugriff verweigert. Berechtigungen werden automatisch in die unteren Dateiebenen übertragen, so dass nicht jeder Ordner einzeln verwaltet werden muss. Diese Funktion nennt man Vererbung. Diese ist, mit kleinen Ausnahme im Root und bei Systemverzeichnissen, standardmäßig aktiv.
NTFS ist ein Sicherheitsmerkmal, dass zu konfigurieren ist. Standardmäßig darf die lokale Gruppe Benutzer auf Daten zugreifen. Aber Achtung! Die lokale Gruppe enthält auch das Sicherheitsprinzipal Authentifizierte Benutzer. Jeder User der sich in irgendeiner Form authentifiziert hat, kann auf die Ressourcen zugreifen. In der lokalen Gruppe befindet sich bei Workstations und Servern, die Mitglied einer Active Directory-Domäne sind, zudem noch die globale Active Directory-Gruppe Domänen-Benutzer. In aller Regel können die meisten Benutzer dieser Domäne auf diese Daten zugreifen.
Eine weitere Hürde ist aber noch zu überwinden. Bevor Anwender über das Netzwerk auf einen Ordner zugreifen können, muss dieser freigegeben, “geshared” werden. Eine Freigabe enthält ebenfalls ACEs. Diese steuern allein nur den Zugriff über das Share. Bei lokalem Zugriff, also über den lokalen Datenträger des Servers selbst, finden die Freigabeberechtigungen keine Anwendung. Die Zugriffsrechte der Freigabe dürfen sich von denen der DACL unterscheiden. Jedoch müssen die Anwender(-gruppen) in beiden ACLs auftauchen, respektive den DACL von NTFS und SMB. SMB ist hierbei das Netzwerkdateisystem, über den die Daten ausgetauscht werden. Eine Erweiterung von SMB ist CIFS. SMB besitzt keine SACL.
 |
Die Konfiguration von NTFS und SMB ist ausschlaggebend für eine Freigabe. Hier treten die meisten Fehler auf, da manchen der Zusammenhang nicht klar ist. Wichtig ist folgende Regelung. Die Rechte die ein Anwender auf Share (SMB)-Ebene erhält, kann er auf Datei (NTFS)-Ebene anwenden. Besitzt er mehr NTFS- als SMB-Rechte, kann er maximal die SMB-Rechte nutzen. Greift er allerdings lokal, nicht über das Netzwerk, auf dieselben Daten zu, gelten die SMB-Rechte nicht, da man nicht über SMB auf die Daten zugreift. In diesem Fall gelten die NTFS-Rechte. An folgendem Beispiel wird das etwas verständlicher. Ein Benutzer möchte in die Bibliothek (Ordner). Sie hat geöffnet (=geshared). An der Tür (=SMB-Share) zur Bibliothek steht der Türsteher. Er nimmt dem Benutzer die Stifte ab, läßt ihm aber seine Lesebrille. Übersetzt bedeutet das, der Benutzer hat Leserechte, darf jedoch nicht schreiben. In der Bibliothek kann nun ein Schild (NTFS) stehen, auf dem ausdrücklich das Schreiben erlaubt ist. Nur bringt das dem Anwender nichts, da er die Stifte an der Tür hat abgeben müssen. Es geht aber auch anders herum. Darf der Benutzer seine Stifte mit in die Bibliothek nehmen, kann er sie aber nur benutzen, wenn das die Bibliothek auch erlaubt. Zumindest hat er seine Stifte dabei. Wenn es eine Stelle in der Bibliothek gibt, wo er sie benutzen darf, kann er das dann auch tun.
Tipp |
Bunte Praxis
Soll nun also eine Freigabe erstellt werden, wird zu allererst die NTFS-DACL eingerichtet. Hierzu drückt man im Windows Explorer mit der rechten Maustaste auf den gewünschten Ordner und ruft die Eigenschaften auf. Im Reiter Sicherheit sieht man die aktuellen Rechte.
Um die Rechte einzuschränken, muss man die Vererbung unterbrechen. Dazu auf den Button Erweitert, anschließend auf Berechtigungen ändern klicken. Um die Vererbung an dieser Stelle zu unterbrechen, entfernt man den Haken Vererbbare Berechtigungen des übergeordneten Objektes einschließen und wählt, ob man die bestehenden Rechte kopieren oder die ACL leeren möchte. Ab diesem Ordner gelten dann alle neu gesetzten Berechtigungen, diese werden wiederum nach unten vererbt.
Power User-Tipp 2: Die Vererbung ist ebenso über die Erweiterte Sicherheitseinstellungen zu steuern. Jedem ACE lässt sich der Wirkungsbereich (Übernehmen für:) der Berechtigung einstellen, bspw. Nur diesen Ordner, was in dem Fall die Vererbung auch unterbricht. Standardmäßig werden die Rechte auf alle Objekte innerhalb des Ordners gesetzt und entspricht dem Wirkungsbereich Diesen Ordner, Unterordner und Dateien.
Power User-Tipp 3: Man berechtigt nach Möglichkeit immer Benutzergruppen, nie einzelne Benutzer. Viele Einträge blähen die ACL auf und können bei intensiven Einsatz die Performance senken. Außerdem wird die Verwaltung bei vielen Einträge zu unübersichtlich. Es gilt folgende Empfehlung: Benutzer werden in globalen Gruppen (bsp. nach Abteilungen) organisieren, diese globalen Gruppen werden in (domänen) lokale Gruppen aufgenommen (verschachteln) und die (domänen) lokalen Gruppen auf die Ordner (oder andere Ressourcen) berechtigt. Dieses Konstrukt ist als AGLP bekannt: A[ccounts] => G[lobal Group] => L[ocal Group] => P[ermissions].
Power User-Tipp 4: Die wichtigsten Zugriffe wurden in Rollen (Lesen, Schreiben, etc.) aufgeteilt. Man sollte von diesen möglichst nicht abweichen und spezielle Konfigurationen tunlichst vermeiden, um die Verwaltbarkeit zu gewährleisten.
Power User-Tipp 5: Hat man versehentlich zu viele Rechte entfernt und sich dabei selbst ausgesperrt, kann man durch das Setzen eines Besitzers, die DACL übergehen. Besitzer haben immer die höchsten Privilegien. Den Besitz kann man in den Eigenschaften des Ordners unter Sicherheit => Erweitere Sicherheitseinstellungen => Reiter Besitzer übernehmen.
Nun folgt noch das SMB-Share. Der Reiter Freigabe in den Verzeichniseigenschaften, bietet eine vereinfachte Methode. Ich empfehle jedoch die Erweiterte Freigabe… zu verwenden.
Im neuen Fenster ist der Haken Diesen Ordner freigeben zu setzen, gibt den Namen des Shares ein und beschränkt bei Bedarf die Anzahl gleichzeitiger Zugriffe. Auf Windows Client-Systemen sind maximal 20 gleichzeitige Zugriffe möglich, auf Windows Server-Systemen sind diese unbeschränkt. Wird hinter dem Namen ein Dollarzeichen ($) gesetzt, handelt es sich um eine versteckte Freigabe. Wer nun denkt das Share damit zusätzlich abzusichern, der gibt sich einer trügerischen Sicherheit hin. Im Windows Explorer wird die Freigabe zwar ausgeblendet, andere SMB-Clients zeigen sie dennoch an.
Über Berechtigungen werden die SMB-Rechte gesetzt. Standardmäßig darf jeder mit Leserechten zugreifen. Das ist in den meisten Fällen nicht ausreichend. Idealerweise nutzt man die gleichen Gruppen wie auf NTFS-Ebene. Da man aber über NTFS zusätzliche Einschränkungen vornehmen kann, bietet es sich an, die SMB-Rechte nicht zu komplex zu setzen. In der Praxis hat sich die Konfiguration, ähnlich der im Abbild, durchgesetzt. Alle authentifizierten Benutzer haben Ändern-Rechte, die Administratoren, und hier kann man auch eigene Admin-Gruppen nehmen, erhalten Vollzugriff.
Offlinezugriff
Die Funktion Zwischenspeichern geht einher mit der Offline-Verfügbarkeit von Daten in einem Share, Stichwort CSC. Wird das Zwischenspeichern aktiviert, können die Daten auf einem Client zwischengespeichert werden. Das bietet die Möglichkeit, auf diese Daten auch außerhalb des Netzwerkes zuzugreifen. Gleichwohl lässt sich diese Funktion hierüber explizit abschalten. Per Default ist die Offline-Funktion aktiviert.
Anonymer Zugriff
Anforderungen können ergeben, dass bestimmte Dienste oder Applikationen auf ein Share zuzugreifen müssen und sich dabei nicht authentifizieren können. Ein anderer Fall wäre, wenn eine zentrale Freigabe eingerichtet werden muss, auf die wirklich jeder zugreifen soll. Dann kommen schnell Probleme auf, denn von Haus aus, ist der anonyme Zugriff unterbunden. Das sollte auch so bleiben, um die Sicherheit des Servers und Netzwerks nicht zu gefährden! Nur weiß jeder Administrator, dass Entscheidungen gegen klare Empfehlungen getroffen werden. Für den Fall sei hier die Lösung.
In den GPOs müssen folgende Einstellungen gesetzt werden.
Im Zweig Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen:
“Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben” => deaktiviert
“Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben” => deaktiviert
Im Zweig Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Zuweisen von Benutzerrechten:
“Auf diesen Computer von Netzwerk zugreifen” => “ANONYMOUS-ANMELDUNG” hinzufügen
Auf dem Share und NTFS muss zudem das Sicherheitsprinzipal “ANONYMOUS-ANMELDUNG” berechtigt werden.
Zugriffsbasierte Auflistung
Mit Windows Server 2003 noch als zusätzlich installierbares Add-on, ist die Access-based Enumeration (ABE) – also die zugriffsbasierte Auflistung – Bestandteil der Serverrolle Dateidienste. Wird sie für eine Freigabe aktiviert, sieht der Benutzer nur Ordner und Dateien, für die er Zugriffsrechte besitzt. Alle anderen werden im Windows Explorer ausgeblendet. Aktiviert wird ABE über die Freigabe- und Speicherverwaltung.
ABE hat sich als Feature der Serverrolle “Dateiserver” etabliert. Zu diesem Thema befasst sich folgender Artikel im Detail.
0 Kommentare