Sicherheitshandbuch - Windows NT - Dateisystemberechtigungen

(Autor: G.Hoffmann)

Themenüberblick: Hintergrundinformationen, Werkzeuge und Standardkonfigurationen

1. Werkzeuge zum Verwalten von Dateisystemberechtigungen
2. Elementare Privilegien
3. Zusammengefasste Berechtigungen
4. Standard Dateisystemberechtigungen

Hintergrundinformationen, Werkzeuge und Standardkonfigurationen

Werkzeuge zum Verwalten von Dateisystemberechtigungen

Windows NT 5.0

Die Dateisystemberechtigungen können über das Kontextmenü des Laufwerks, Verzeichnisses oder der Datei in den Eigenschaften (Properties) verwaltet werden.

Die Dialogbox der Laufwerks-, Verzeichnis- oder Dateieigenschaften besitzt neben der allgemeinen Ansicht (General) auch die Ansicht für die Dateisystemberechtigungen (Security).

Mehr Einstellungsmöglichkeiten bietet der Dialog, der über den Advanced Button des oben abgebildeten Dialogs aufgerufen werden kann.

Um die einzelnen elementaren Privilegien anzuzeigen, ist eine detailliertere Ansicht über den Button Edit/View des oben dargestellten Dialogs zu erreichen.

Elementare Privilegien

Die elementaren Privilegien können im Vergleich zu UNIX- oder Novell-Berechtigungen nicht nur erlaubt, sondern auch explizit verboten werden. Die grössere Gewichtung hat das Deny Privileg. Deny darf also nicht mit einem nicht gesetzten Allow Privileg verwechselt werden.

1. Allow: Erlaubnis für eine bestimmte Aktion im NTFS-Dateisystem
2. nicht gesetzt: keine Erlaubnis, aber auch kein Verbot für eine bestimmte Aktion im NTFS-Dateisystem
3. Deny: Verbot für eine bestimmte Aktion im NTFS-Dateisystem

Folgende elementare Operationen können erlaubt, nicht erlaubt oder verboten werden:

• Traverse Folder / Execute File: ...
• List Folder / Read Data: Anzeigen eines Verzeichnisinhalts oder Lesen einer Datei
• Read Attributes: Lesen von Datei- und Verzeichnisattributen
• Read Extended Attributes: Lesen der erweiterten Verzeichnisattribute
• Create Files / Append Data: Anlegen neuer Dateien oder beschreiben existierender Dateien
• Write Attributes: Setzen von Datei- und Verzeichnis- und Dateiattributen
• Write Extended Attributes: Setzen der erweiterten Verzeichnis- und Dateiattribute
• Delete Subfolders and Files: Löschen eines Verzeichnisinhalts (Unterverzeichnisse und Dateien)
• Delete: ...
• Read Permissions: Lesen von Verzeichnis- oder Dateiberechtigungen
• Change Permissions: Setzen von Verzeichnis- oder Dateiberechtigungen
• Take Ownership: Ändern des Besitzers eines Verzeichnisses oder einer Datei

Zusammengefasste Berechtigungen

Einige elementare Operationen sind folgendermassen zusammengefasst:

• Full Control: beinhaltet alle oben aufgeführten Operationen
• Modify: beinhaltet alle bis auf Delete Subfoldres and Files, Change Permission und Take Ownership
• Read + Execute: beinhaltet Traverse Folder / Execute File, List Folder / Read Data, Read Attributes, Read Extended Attributes, Delete, Read Permissions
• List Folder Contents (nur bei Verzeichnissen): beinhaltet Traverse Folder / Execute File, List Folder / Read Data, Read Attributes, Read Extended Attributes, Read Permissions
• Read: beinhaltet List Folder / Read Data, Read Attributes, Read Extended Attributes, Delete, Read Permissions
• Write: beinhaltet Create Files / Append Data, Write Attributes, Write Extended Attributes, Delete

Standard Dateisystemberechtigungen

An dieser Stelle soll gezeigt werden, wie wichtige Bereiche des Dateisystems nach einer Neuinstallation konfiguriert sind.

Windows NT 5.0

C:\

• Gruppe Everyone: Fullcontroll (Jeder hat vollen Zugriff!)

C:\Documents and Settings

"erbt" Fullcontrol für die Gruppe Everyone von C:\

C:\Program Files

• Gruppe Administrators: Fullcontroll
• Gruppe SYSTEM: Fullcontroll
• Gruppe Power Users: Modify, Read + Execute, List Folder Contents, Read, Write
• Gruppe Users: Read + Execute, List Folder Contents, Read

C:\WINNT

• Gruppe Administrators: Fullcontroll
• Gruppe SYSTEM: Fullcontroll
• Gruppe Power Users: Modify, Read + Execute, List Folder Contents, Read, Write
• Gruppe Users: Read + Execute, List Folder Contents, Read
• CREATOR OWNER: keine Berechtigung
• Gruppe Everyone: keine Berechtigung

C:\WINNT\SYSTEM32\CONFIG (SAM Datenbankdateien)

• Gruppe Administrators: Fullcontroll
• Gruppe SYSTEM: Fullcontroll
• Gruppe Power Users: List Folder Contents
• Gruppe Users: List Folder Contents
• CREATOR OWNER: keine Berechtigung

Die Standardeinstellungen unter Windows 2000 und XP sind schon restriktiver als noch unter Windows NT4.0.
Unter Windows 2000 dürfen Mitglieder der Gruppe Users nicht mehr das Verzeichnis Program Files und WINNT beschreiben. Allerdings kann dies u.U. auch zu Problemen mit diversen Anwendungen kommen, die in diese Verzeichnisse schreiben wollen.

Nicht optimal ist die Rechtevergabe für das Wurzelverzeichnis C:\, da hier jeder (Evereyone) den vollen Zugriff (Fullcontroll) auf alle Verzeichnisse (die oben genannten ausgenommen) und Dateien.

Viren haben hier die Chance, sich zu verbreiten und können auch in die Profile, die standardmässig auf dem Systemlaufwerk (NT4.0: C:\WINNT\Profiles, Windows2000/XP: C:\Documents and Settings) zu finden. Handelt es sich um ein Roaming Profile, kann der Virus dann u.U. vom Benutzer durch Anmeldung an verschiedenen PCs noch weiter verbreitet werden.
Mitglieder der Gruppe Power Users dürfen bereits in die Verzeichnisse Program Files und WINNT beschreiben. Hier ist die Gefahr groß, dass sich ein Virus ungehindert im System ausbreiten kann.
Mitglieder der Gruppe Administrators haben auf alle Verzeichnisse und Dateien den vollen Zugriff. Deshalb sollte diese Gruppe nicht für nicht-administrative Kennungen nicht verwendet werden.

Letzte Änderung: 13. Maerz 2012, Historie