von David Gibson
In meinem letzten Blog-Beitrag Freigabeberechtigungen habe ich einen Post über offene Freigaben angekündigt. Offene Freigaben sind kurz gesagt Ordner, auf die alle (oder fast alle) Nutzer eines Netzwerks Zugriff haben. In der Windows-Welt sind dies Ordner, die über CIFS im Netzwerk freigegeben wurden und so genannten globalen Zugriffsgruppen wie „Jeder“, „Domänenbenutzer“ oder „Authentifizierte Benutzer“ zugänglich sind.
Damit ein Ordner von einer globalen Zugriffsgruppe verwendet werden kann, müssen seine NTFS-Berechtigungen den Zugriff durch die Gruppe erlauben. Außerdem muss der Ordner freigegeben sein oder sich in der Hierarchie einer Freigabe befinden, die den Zugriff durch die globale Gruppe vorsieht. Soll beispielsweise ein Ordner für die Gruppe „Jeder“ zugänglich (bzw. offen) sein, muss dieser Gruppe auf dessen Zugriffssteuerungs-Liste (Access Control List, ACL) eine Zugriffsebene zugewiesen sein. Darüber hinaus müssen der Ordner und/oder ein übergeordneter Ordner freigegeben sein, so dass die Gruppe „Jeder“ über Zugriffsrechte irgendeiner Art verfügt. (Wie Freigabeberechtigungen funktionieren, erfahren Sie im Blog-Beitrag Freigabeberechtigungen).
Offene Freigaben können durch viele Kombinationen entstehen. So könnte die Gruppe „Jeder“ über NTFS-Berechtigungen verfügen, während der Gruppe „Domänenbenutzer“ oder „Authentifizierte Benutzer“ Freigabeberechtigungen zugewiesen sind. Die Gruppe „Authentifizierte Benutzer“ könnte auch ein untergeordnetes Element einer anderen Gruppe sein, die wiederum über NTFS- oder Freigabeberechtigungen verfügt usw. Das Ergebnis ist jedoch dasselbe: Nahezu jeder Nutzer innerhalb der Organisation kann auf die Daten in diesem Ordner zugreifen – und das ist in den allermeisten Fällen schlecht. Einfach gesagt:
Offene Freigaben = schlecht
Leider findet man auf den Servern und NAS-Systemen von Organisationen in der Regel viele offene Freigaben – und häufig enthalten nicht wenige davon vertrauliche Daten. Mit den nativen Windows-Tools ist das Aufspüren dieser Freigaben jedoch schwierig – und deren Reparatur sogar noch schwieriger. Sind die Probleme dann behoben, ist es nahezu unmöglich, sicherstellen, dass die Zugriffsrechte für die Ordner auch künftig eingeschränkt bleiben und keine neuen, unsicheren Ordner erstellt werden.
Die gute Nachricht: Jetzt gibt es eine Metadaten-Framework-Technologie, die es ermöglicht, offene Freigaben zu identifizieren und zu reparieren, diese nach Risiko, Inhalt und Aktivität zu priorisieren und sicherzustellen, dass der Zugriff allen Nutzern gewährt wird, die diesen wirklich benötigen. Sollten anschließend erneut Berechtigungen für globale Gruppen vergeben oder neue offene Freigaben erstellt werden, erkennt das Metadaten-Framework dies automatisch.
The post Offene Freigaben appeared first on Varonis Deutsch.