Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren

Windows-Berechtigungen reparieren

von Brian Vecci Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen...
Michael Buckbee
2 minute gelesen
Veröffentlicht 10. April 2012
Letzte aktualisierung 1. November 2021

von Brian Vecci

Wenn Sie Windows-Systemadministrator oder in Ihrer Organisation in das Sicherheits- oder -Berechtigungs-Management involviert sind, hatten Sie es das ein oder andere Mal garantiert schon mit fehlerhaften Windows-Berechtigungen zu tun. „Fehlerhaft“ kann natürlich mehreres bedeuten, denn NTFS-Berechtigungen können unterschiedliche Fehler aufweisen.

Berechtigungen, die an sich korrekt funktionieren – die also die vorgesehene Authentifizierungsfunktion erfüllen –, können dennoch fehlerhaft sein, weil sie keine angemessene Autorisierung bieten. Wenn ein Ordner beispielsweise für die Gruppe Jeder zugänglich ist, werden dessen Berechtigungen wahrscheinlich als fehlerhaft eingestuft. Doch in diesem Beitrag soll es nicht um Autorisierungsfehler gehen. Vielmehr möchte ich über Ordnerzugriffsrechte in Windows sprechen, die nicht korrekt funktionieren – wenn also NTFS-Berechtigungen falsch „vererbt“ werden.

Prinzipiell bestehen drei Vererbungsszenarien für Windows-Ordner. Im ersten Szenario erbt der Ordner einfach alle Berechtigungen des übergeordneten Ordners – und weist somit die gleiche ACL auf wie der übergeordnete Ordner. Im zweiten Szenario erbt der Ordner zwar alle Einträge des übergeordneten Ordners, es werden ihm jedoch noch zusätzliche Berechtigungen zugewiesen. Varonis nennt diese Ordner „unique“ (eindeutig). Änderungen der Berechtigungen des übergeordneten Ordners[1] werden in beiden Fällen auch auf den untergeordneten Ordner angewendet. Im dritten Szenario wird die Vererbung unterbrochen oder deaktiviert. Microsoft (und Varonis) nennen diese Ordner „protected“ (geschützt). Geschützte Ordner erben die Berechtigungen des übergeordneten Ordners nicht. Genauso wenig ändert sich ihre ACL, wenn die Berechtigungen des übergeordneten Ordners geändert werden. Die meisten Windows-Administrations-Tools bieten keine Übersicht über die Ordner, bei denen die Vererbungsfunktion deaktiviert wurde oder für die eigene Berechtigungen gelten. Deshalb wissen Organisationen oft gar nicht, dass zu viele Nutzer auf ihre Daten zugreifen können.

Manchmal kann die Vererbung von Berechtigungen aber Fehler aufweisen – was die Situation zusätzlich verkompliziert. Entweder wurden die Berechtigungen nicht korrekt auf den untergeordneten Ordner übertragen (ein Zugriffssteuerungseintrag fehlt also in der ACL) oder es werden Berechtigungen vererbt, die nicht für den übergeordneten Ordner gelten (es besteht also ein zusätzlicher Zugriffssteuerungseintrag in der ACL). Das Ergebnis ist chaotisch: Die IT-Abteilung denkt, dass der Zugriff auf Ordner eingeschränkt bzw. möglich ist, doch in Wahrheit ist das Gegenteil der Fall. Ist das Chaos erst einmal ausgebrochen, kann der Übeltäter nur gefunden werden, indem jede einzelne ACL des betroffenen Hierarchiezweigs analysiert wird.

Fehlerhafte ACLs können auf unterschiedliche Weise entstehen. Einige automatisierte Kopierprogramme sind dafür bekannt, unerwartete Ergebnisse zu erzeugen. Selbst geschriebene Skripte können ebenfalls Probleme verursachen. Außerdem kann es zu Inkonsistenzen kommen, wenn ein Nutzer eine Datei oder einen Ordner von einem Ordner auf einem Datenträger in einen anderen Ordner mit anderen Berechtigungen auf demselben Datenträger verschiebt. Denn wird eine Datei oder ein Ordner innerhalb eines Laufwerks verschoben, wird das Objekt in der Dateizuordnungstabelle einfach umbenannt. Die Berechtigungen werden nicht verändert. Wird eine Datei oder ein Ordner jedoch zwischen zwei Laufwerken verschoben, werden die Berechtigungen des neuen übergeordneten Ordners vererbt.

Glücklicherweise steht uns nun die erforderliche Technologie zur Verfügung, um diese Probleme zu finden und zu beheben. Varonis DatAdvantage erstellt eine vollständige Übersicht über die Windows-Berechtigungen sowie die Nutzer und Gruppen aus Active Directory und generiert im Handumdrehen einen Bericht mit allen Ordnern, die eine fehlerhafte ACL oder inkonsistente Berechtigungen aufweisen. Zudem bietet DatAdvantage die Möglichkeit, Änderungen per Commit an den Server zu übertragen (und diese sogar zu planen oder zurückzusetzen), so dass Administratoren die Probleme direkt aus der Anwendung heraus lösen können. So können an sich fehlerhafte Berechtigungen repariert werden. Jetzt bleibt nur noch zu klären, wie Berechtigungen gelöst werden können, die zwar fehlerfrei funktionieren, jedoch zu vielen Nutzern Zugang zu Dateien verschaffen. Bleiben Sie dran.


[1] (außer die Einstellungen wurden so gesetzt, dass Berechtigungen nicht auf untergeordnete Ordner übertragen werden)

 

 

The post Windows-Berechtigungen reparieren appeared first on Varonis Deutsch.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testen Sie Varonis gratis.
Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen
Keep reading
hinter-dem-varonis-rebranding
Hinter dem Varonis-Rebranding
Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
cybersecurity-trends-2024:-was-sie-wissen-müssen
Cybersecurity-Trends 2024: Was Sie wissen müssen
Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
das-war-2023 – so-wird-2024
Das war 2023 – so wird 2024
Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?