Windows-Berechtigungen reparieren

von Brian Vecci Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen...
Michael Buckbee
2 minute gelesen
Letzte aktualisierung 1. November 2021

von Brian Vecci

Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen zu tun. „Fehlerhaft“ kann natürlich mehreres bedeuten, denn NTFS-Berechtigungen können unterschiedliche Fehler aufweisen.

Berechtigungen, die an sich korrekt funktionieren – die also die vorgesehene Authentifizierungsfunktion erfüllen –, können dennoch fehlerhaft sein, weil sie keine angemessene Autorisierung bieten. Wenn ein Ordner beispielsweise für die Gruppe Jeder zugänglich ist, werden dessen Berechtigungen wahrscheinlich als fehlerhaft eingestuft. Doch in diesem Beitrag soll es nicht um Autorisierungsfehler gehen. Vielmehr möchte ich über Ordnerzugriffsrechte in Windows sprechen, die nicht korrekt funktionieren – wenn also NTFS-Berechtigungen falsch „vererbt“ werden.

Prinzipiell bestehen drei Vererbungsszenarien für Windows-Ordner. Im ersten Szenario erbt der Ordner einfach alle Berechtigungen des übergeordneten Ordners – und weist somit die gleiche ACL auf wie der übergeordnete Ordner. Im zweiten Szenario erbt der Ordner zwar alle Einträge des übergeordneten Ordners, es werden ihm jedoch noch zusätzliche Berechtigungen zugewiesen. Varonis nennt diese Ordner „unique“ (eindeutig). Änderungen der Berechtigungen des übergeordneten Ordners[1] werden in beiden Fällen auch auf den untergeordneten Ordner angewendet. Im dritten Szenario wird die Vererbung unterbrochen oder deaktiviert. Microsoft (und Varonis) nennen diese Ordner „protected“ (geschützt). Geschützte Ordner erben die Berechtigungen des übergeordneten Ordners nicht. Genauso wenig ändert sich ihre ACL, wenn die Berechtigungen des übergeordneten Ordners geändert werden. Die meisten Windows-Administrations-Tools bieten keine Übersicht über die Ordner, bei denen die Vererbungsfunktion deaktiviert wurde oder für die eigene Berechtigungen gelten. Deshalb wissen Organisationen oft gar nicht, dass zu viele Nutzer auf ihre Daten zugreifen können.

Manchmal kann die Vererbung von Berechtigungen aber Fehler aufweisen – was die Situation zusätzlich verkompliziert. Entweder wurden die Berechtigungen nicht korrekt auf den untergeordneten Ordner übertragen (ein Zugriffssteuerungseintrag fehlt also in der ACL) oder es werden Berechtigungen vererbt, die nicht für den übergeordneten Ordner gelten (es besteht also ein zusätzlicher Zugriffssteuerungseintrag in der ACL). Das Ergebnis ist chaotisch: Die IT-Abteilung denkt, dass der Zugriff auf Ordner eingeschränkt bzw. möglich ist, doch in Wahrheit ist das Gegenteil der Fall. Ist das Chaos erst einmal ausgebrochen, kann der Übeltäter nur gefunden werden, indem jede einzelne ACL des betroffenen Hierarchiezweigs analysiert wird.

Fehlerhafte ACLs können auf unterschiedliche Weise entstehen. Einige automatisierte Kopierprogramme sind dafür bekannt, unerwartete Ergebnisse zu erzeugen. Selbst geschriebene Skripte können ebenfalls Probleme verursachen. Außerdem kann es zu Inkonsistenzen kommen, wenn ein Nutzer eine Datei oder einen Ordner von einem Ordner auf einem Datenträger in einen anderen Ordner mit anderen Berechtigungen auf demselben Datenträger verschiebt. Denn wird eine Datei oder ein Ordner innerhalb eines Laufwerks verschoben, wird das Objekt in der Dateizuordnungstabelle einfach umbenannt. Die Berechtigungen werden nicht verändert. Wird eine Datei oder ein Ordner jedoch zwischen zwei Laufwerken verschoben, werden die Berechtigungen des neuen übergeordneten Ordners vererbt.

Glücklicherweise steht uns nun die erforderliche Technologie zur Verfügung, um diese Probleme zu finden und zu beheben. Varonis DatAdvantage erstellt eine vollständige Übersicht über die Windows-Berechtigungen sowie die Nutzer und Gruppen aus Active Directory und generiert im Handumdrehen einen Bericht mit allen Ordnern, die eine fehlerhafte ACL oder inkonsistente Berechtigungen aufweisen. Zudem bietet DatAdvantage die Möglichkeit, Änderungen per Commit an den Server zu übertragen (und diese sogar zu planen oder zurückzusetzen), so dass Administratoren die Probleme direkt aus der Anwendung heraus lösen können. So können an sich fehlerhafte Berechtigungen repariert werden. Jetzt bleibt nur noch zu klären, wie Berechtigungen gelöst werden können, die zwar fehlerfrei funktionieren, jedoch zu vielen Nutzern Zugang zu Dateien verschaffen. Bleiben Sie dran.


[1] (außer die Einstellungen wurden so gesetzt, dass Berechtigungen nicht auf untergeordnete Ordner übertragen werden)

 

 

The post Windows-Berechtigungen reparieren appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

ist-diese-sid-schon-vergeben? varonis-threat-labs-entdeckt-injektionsangriff-mit-synthetischen-sids
Ist diese SID schon vergeben? Varonis Threat Labs entdeckt Injektionsangriff mit synthetischen SIDs
Eine Technik, bei der Bedrohungsakteure mit bereits bestehenden hohen Berechtigungen synthetische SIDs in eine ACL einfügen, um so Backdoors und versteckte Berechtigungen zu schaffen.
freigabeberechtigungen
Freigabeberechtigungen
von David Gibson Manche Organisationen verwenden statt den NTFS-Berechtigungen die Windows-Freigabeberechtigungen für die Dateifreigabe. Dieser Ansatz entspricht zwar nicht den Empfehlungen von Microsoft, weist aber einen entscheidenden Vorteil auf: Freigabeberechtigungen...
für-eine-maximale-investitionsrendite:-arbeiten-nach-dem-prinzip-der-notwendigsten-berechtigung
Für eine maximale Investitionsrendite: Arbeiten nach dem Prinzip der notwendigsten Berechtigung
Berechtigungen zu verwalten kann sehr teuer werden. Bei einem Unternehmen mit 1.000 Mitarbeitern kann der Aufwand, der aus der Bearbeitung von Berechtigungsanforderungen entsteht, bei bis zu 180.000 US-Dollar pro Jahr...
big-data-management-auf-nas-systemen-leicht-gemacht
Big-Data-Management auf NAS-Systemen leicht gemacht
von Brian Vecci Sie haben Daten? Sie haben eine Menge davon? Die meisten Organisationen mit NAS-Systemen haben Schwierigkeiten damit, Berechtigungen zu verwalten, Nutzungsmuster zu erkennen, Data Owner ausfindig zu machen...