Die meisten erfahrenen Administratoren sind mit der Tatsache vertraut, dass die Berechtigungen des New Technology File System (NTFS) für jede Datei, jeden Ordner, jeden Registrierungsschlüssel, jeden Drucker und jedes Active Directory-Objekt verfügbar sind. Erstmals mit Windows NT eingeführt, um das Dateisystem File Allocation Table (FAT) zu ersetzen, hat NTFS im Laufe der Jahre mehrere Änderungen erfahren. Windows 2000, Windows Server 2003 und Windows XP verwenden die aktuelle Version, NTFS v5.
Wenn es um das alte NTFS (von Windows NT) und das aktuelle NTFS geht, gibt es viele Ähnlichkeiten und ein paar Unterschiede. Schauen wir uns das mal genauer an.
Standard- vs. erweiterte Berechtigungen
Sie können NTFS-Berechtigungen auf Zulassen oder Verweigern setzen. Hier ein Blick auf die Standardberechtigungen im alten NTFS:
- Volle Kontrolle: Benutzer können Dateien sowie die zugehörigen Eigenschaften und Verzeichnisse ändern, hinzufügen, verschieben und löschen. Darüber hinaus können Benutzer die Berechtigungseinstellungen für alle Dateien und Unterverzeichnisse ändern.
- Ändern: Benutzer können Dateien und Dateieigenschaften anzeigen und ändern, einschließlich des Löschens und Hinzufügens von Dateien zu einem Verzeichnis oder Dateieigenschaften zu einer Datei.
- Lesen & Ausführen: Benutzer können ausführbare Dateien, einschließlich Skripts, ausführen.
- Lesen: Benutzer können Dateien und Dateieigenschaften anzeigen.
- Schreiben: Benutzer können in eine Datei schreiben.
Microsoft hat diese Berechtigungen später um die folgenden erweitert:
- Ordner durchsuchen/Datei ausführen: Benutzer können durch Ordner navigieren, um andere Dateien oder Ordner zu erreichen, auch wenn sie keine Berechtigungen für die durchsuchten Dateien oder Ordner haben. Die Berechtigung „Ordner durchsuchen“ wird nur wirksam, wenn die Gruppe oder der Benutzer nicht über das Benutzerrecht „Durchsuchungsprüfung umgehen“ im Gruppenrichtlinien-Snap-In verfügt. (Standardmäßig verfügt die Gruppe „Jeder“ über das Benutzerrecht „Überprüfungsüberbrückung umgehen“.)
- Ordner auflisten/Daten lesen: Benutzer können eine Liste der Inhalte und Datendateien eines Ordners anzeigen.
- Attribute lesen: Benutzer können die Attribute einer Datei oder eines Ordners anzeigen, z. B. schreibgeschützt und versteckt. (NTFS definiert diese Attribute.)
- Erweiterte Attribute lesen: Benutzer können die erweiterten Attribute einer Datei oder eines Ordners anzeigen. (Definiert von Programmen, erweiterte Attribute können variieren.)
- Dateien erstellen/Daten schreiben: Mit der Berechtigung „Dateien erstellen“ können Benutzer Dateien innerhalb eines Ordners erstellen. (Diese Berechtigung gilt nur für Ordner.) Die Berechtigung Daten schreiben erlaubt es Benutzern, Änderungen an der Datei vorzunehmen und vorhandenen Inhalt zu überschreiben. (Diese Berechtigung gilt nur für Dateien.)
- Ordner erstellen/Daten anhängen: Mit der Berechtigung „Ordner erstellen“ können Benutzer Ordner innerhalb eines Ordners erstellen. (Diese Berechtigung gilt nur für Ordner.) Mit der Berechtigung „Daten anhängen“ können Benutzer Änderungen am Ende der Datei vornehmen, aber sie können vorhandene Daten nicht ändern, löschen oder überschreiben. (Dies gilt nur für Dateien.)
- Attribute schreiben: Benutzer können die Attribute einer Datei oder eines Ordners ändern, z. B. schreibgeschützt oder versteckt. (NTFS definiert diese Attribute.)
- Erweiterte Attribute schreiben: Benutzer können die erweiterten Attribute einer Datei oder eines Ordners ändern.
- Löschen: Benutzer können die Datei oder den Ordner löschen. (Wenn Benutzer nicht über die Berechtigung „Löschen“ für eine Datei oder einen Ordner verfügen, können sie die Datei oder den Ordner dennoch löschen, wenn sie über die Berechtigung „Unterordner und Dateien löschen“ für den übergeordneten Ordner verfügen.)
- Leseberechtigungen: Benutzer haben Leserechte für die Datei oder den Ordner, z. B. Vollzugriff, Lesen und Schreiben.
- Änderungsberechtigungen: Benutzer haben Änderungsberechtigungen für die Datei oder den Ordner, z. B. Vollzugriff, Lesen und Schreiben.
- Besitz übernehmen: Benutzer können das Eigentum an der Datei oder dem Ordner übernehmen. Der Eigentümer einer Datei oder eines Ordners kann immer die Berechtigungen für die Datei oder den Ordner ändern, unabhängig von den bestehenden Berechtigungen, die die Datei oder den Ordner schützen.
Was ist der große Unterschied?
Der große Unterschied zwischen dem alten NTFS und dem neuen NTFS ist die Festlegung des Vorrangs von geerbten und expliziten Berechtigungen. Während man annehmen könnte, dass die Berechtigung „Verweigern“ Vorrang vor allen anderen Berechtigungen hat, ist das nicht immer der Fall.
Hierarchie der Berechtigungen:
- Explizites Verweigern
- Explizites Zulassen
- Vererbtes Verweigern
- Vererbtes Zulassen
Wenn ein Benutzer auf eine Datei, einen Ordner, einen Registrierungsschlüssel, einen Drucker und ein Active Directory-Objekt zugreift, überprüft das System die Berechtigungen von oben nach unten. Wenn eine der vier Bedingungen erfüllt ist, wird der Zugriff entweder gewährt oder verweigert. Auf diese Weise können Sie die Vererbung von Berechtigungen für ein Objekt festlegen und eine genaue Kontrolle über Ausnahmen von Ihrer allgemeinen Berechtigungsrichtlinie behalten.
Abschließende Überlegungen
NTFS-Berechtigungen bieten ein hohes Maß an Kontrolle, wenn es um die Ressourcen auf Ihren Systemen geht. Wenn Sie Probleme damit haben, dass Benutzer nicht auf benötigte Daten oder Objekte in Ihrer Active Directory-Struktur zugreifen können, sehen Sie sich die Hierarchie für diese Berechtigungen an, und Sie werden das Problem finden.
Haben Sie eine Kolumne verpasst?
Sehen Sie sich das Security Solutions Archive an, und lesen Sie die letzten Ausgaben der Kolumne von Mike Mullins.
Sorgen Sie sich um Sicherheitsfragen? Wer ist das nicht? Melden Sie sich automatisch für unseren kostenlosen Security Solutions Newsletter an, der jeden Freitag erscheint, und erhalten Sie praktische Ratschläge für die Sicherung Ihrer Systeme.
Mike Mullins war als Assistenz-Netzwerkadministrator und Netzwerksicherheitsadministrator für den US-Geheimdienst und die Defense Information Systems Agency tätig. Derzeit ist er Betriebsleiter des Southern Theater Network Operations and SecurityCenter.