Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Unter Windows NT werden verschiedene Ebenen der Zugriffskontrolle auf Ressourcen unterschieden. Es gibt Zugriffsberechtigungen auf Freigabeebene und auf Verzeichnis- und Dateiebene (sog. NTFS-Berechtigungen). Die Zugriffsberechtigungen auf Verzeichnis- und Dateiebene stehen nur auf Datenträgern mit NTFS-Dateisystem zur Verfügung und werden ausführlich in M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT behandelt.
Die Freigabe von Verzeichnissen auf Servern ist notwendig, um Benutzern den Zugriff über das Netz auf diese Ressourcen zu ermöglichen. Ohne die Einrichtung einer entsprechenden Freigabe ist ein Netzzugriff auf ein Verzeichnis nicht möglich. Dies gilt selbst dann, wenn entsprechende NTFS-Berechtigungen vergeben wurden.
Es ist auf allen Rechnern unter dem Betriebssystem Windows NT, d. h. sowohl auf Domänencontrollern als auch auf Servern und Workstations (Clients) möglich, Verzeichnisse freizugeben. Üblicherweise sollten Verzeichnisse aber nur auf Domänencontrollern und Servern freigegeben werden. Verzeichnisfreigaben bzw. die Freigabe einzelner Laufwerke auf Workstations (Clients) erfolgen im Rahmen der Peer-to-Peer-Funktionalität (siehe M 5.37 Einschränkung der Peer-to-Peer-Funktionalität bei Nutzung von WfW, Windows 95 oder Windows NT in einem servergestützten Netz) und sollten die absolute Ausnahme bleiben, da dies zu unüberschaubaren Rechtestrukturen und ggf. sogar zum Unterlaufen der allgemeinen Sicherheitsvorgaben führen kann.
Ein Verzeichnis kann unter dem Betriebssystem Windows NT u. a. mit dem "Windows NT Explorer" über das Desktop-Symbol "Arbeitsplatz" oder mit dem Kommando "NET SHARE" freigegeben werden. Die Freigabe eines Verzeichnisses bezeichnet man auch als Einrichtung eines Shares. Im Windows NT Explorer oder im Desktop-Symbol "Arbeitsplatz" erfolgt die Freigabe eines Verzeichnisses über die Karte "Freigabe". Sie ist über den Menüpunkt "Eigenschaften" des Kontextmenüs erreichbar. Die Freigabe wird eingerichtet, indem die Option "Freigegeben als" angeklickt wird. Danach kann ein Freigabename mit einer maximalen Länge von 12 Zeichen eingegeben werden. Standardmäßig vergibt Windows NT den Namen des Verzeichnisses als Freigabenamen. Zur Erleichterung der Administration kann in dem Feld "Kommentar" eine kurze, prägnante Beschreibung zu der Freigabe eingegeben werden. Unter der Option "Benutzerbegrenzung" kann angegeben werden, wieviele Benutzer gleichzeitig auf die Freigabe zugreifen dürfen. Die standardmäßige Einstellung ist "Maximum erlaubt", d. h. die Anzahl ist nicht limitiert, und sollte beibehalten werden. Zur Lizenzkontrolle ist dieses Merkmal nur bedingt geeignet, da nur die Anzahl von Clients gezählt wird, die sich mit der Freigabe verbunden haben. Den Benutzern, die über das Netz auf diese Freigabe zugreifen sollen, muß eine entsprechende Freigabeberechtigung erteilt werden. Dies erfolgt über die Zugriffskontrolliste, die nach Wahl des Feldes "Berechtigungen" durch das System geöffnet wird. Das Symbol des freigegebenen Verzeichnisses wird im "Windows NT Explorer" oder im Desktopsymbol "Arbeitsplatz" mit einer Hand unterlegt, um anzuzeigen, daß es freigegeben wurde.
Das Recht, Verzeichnisse freizugeben sowie die Freigabeberechtigungen zu verwalten, haben nur Mitglieder der Gruppen "Administratoren" und "Server-Operatoren" auf Domänencontrollern bzw. Mitglieder der Gruppen "Administratoren" und "Hauptbenutzer" auf Windows NT-Workstations und Mitgliedsservern.
Unter Windows NT gibt es folgende Freigabeberechtigungen: "Kein Zugriff", "Lesen", "Ändern" und "Vollzugriff". Die Aktionen, die die einzelnen Freigabeberechtigungen ermöglichen, ergeben sich aus folgender Tabelle:
Freigaben können nur für Verzeichnisse, nicht aber für Dateien definiert werden. Freigabeberechtigungen gelten nur für Zugriffe über das Netz, d. h. sie haben keine Bedeutung für Benutzer, die lokal an dem Rechner arbeiten dürfen, auf dem ein Verzeichnis freigegeben wurde. Außerdem gelten Freigabeberechtigungen nur in einheitlicher Form für alle Dateien und Unterverzeichnisse eines freigegebenen Verzeichnisses. Zwar ist es möglich, innerhalb eines freigegebenen Verzeichnisses auch ein Unterverzeichnis freizugeben und dabei auch abweichende Freigabeberechtigungen einzustellen, dies ist dann jedoch eine neue Freigabe mit folgenden Konsequenzen: Verbindet sich der Benutzer mit dem freigegebenen Verzeichnis, so gelten für ihn die dort festgelegten Freigabeberechtigungen für alle Dateien und Unterverzeichnisse. Daran ändert sich auch nichts, wenn ein Unterverzeichnis gesondert freigegeben wurde. Verbindet sich der Benutzer hingegen direkt mit dem Unterverzeichnis, so gelten die dort eingerichteten Freigabeberechtigungen.
Beispiel: Gegeben sei folgende Verzeichnisstruktur: D:\ABTEILUNG\REFERAT. Eine Freigabe auf das Verzeichnis ABTEILUNG mit Berechtigung "Vollzugriff" und eine weitere Freigabe auf das Unterverzeichnis REFERAT mit Berechtigung "Lesen" werden eingerichtet. Verbindet sich der Benutzer mit dem Verzeichnis D:\ABTEILUNG, so kann er sowohl Dateien in diesem Verzeichnis, als auch Dateien im Unterverzeichnis D:\ABTEILUNG\REFERAT u. a. lesen, schreiben und löschen. Verbindet sich der Benutzer hingegen direkt mit dem Verzeichnis D:\ABTEILUNG\REFERAT, so kann er die in diesem Verzeichnis stehenden Verzeichnisse nur lesen. Sofern wie im vorstehenden Beispiel Restriktionen auf ein Unterverzeichnis gewünscht werden, kann dies nicht durch Freigabeberechtigungen sondern nur über die sog. NTFS-Berechtigungen erreicht werden (siehe M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT).
Wird ein Verzeichnis freigegeben, das sich auf einem NTFS-Datenträger befindet, gelten neben der Freigabeberechtigung auch die NTFS-Berechtigungen auf dieses Verzeichnis und die enthaltenen Dateien und Unterverzeichnisse. Dabei gilt die jeweils restriktivere Berechtigung. Besitzt ein Benutzer beispielsweise die Freigabeberechtigung "Lesen" für das freigegebene Verzeichnis, andererseits aber nur die NTFS-Berechtigung "Anzeigen" für dieses Verzeichnis, so ist sein Zugriffsrecht auf "Anzeigen" beschränkt. Über die NTFS-Berechtigung ist es daher möglich, Zugriffsrechte individuell auch auf Dateien und Unterverzeichnisse zu vergeben (näheres siehe M 4.53).
Freigabeberechtigungen durch Gruppenzugehörigkeiten sind kumulativ, d. h. ist ein Benutzer Mitglied in verschiedenen Gruppen, denen unterschiedliche Freigabeberechtigungen auf ein Verzeichnis eingeräumt wurden, so gilt für diesen Benutzer die weitestgehende Berechtigung. Von dieser Regel gibt es allerdings eine Ausnahme: Die Freigabeberechtigung "Kein Zugriff" dominiert alle anderen Freigabeberechtigungen.
Beispiel: Gegeben sei die Freigabe D:\ERGEBNISSE. Benutzer Meyer ist Mitglied der Gruppe A und der Gruppe B. Die Gruppe A erhält die Berechtigung "Lesen", die Gruppe B die Berechtigung "Vollzugriff" auf die o. g. Freigabe. In diesem Fall ist für den Benutzer Meyer die Freigabeberechtigung "Vollzugriff" maßgebend. Nimmt man den Benutzer Meyer noch in der Gruppe C auf, für die auf die Freigabe D:\ERGEBNISSE die Freigabeberechtigung "Kein Zugriff" vergeben wurde, so ist es dem Benutzer Meyer verwehrt, Zugriff über das Netz auf dieses Verzeichnis zu nehmen. Ist dies nicht gewünscht, kann der Administrator nur überprüfen, welchen Gruppen auf die Ressource die Freigabeberechtigung "Kein Zugriff" erteilt wurde und in welcher dieser Gruppen der betroffene Benutzer Mitglied ist. Der Benutzer ist dann aus der entsprechenden Gruppe zu entfernen.
Weiterhin ist zu beachten, daß Windows NT grundsätzlich die Wurzelverzeichnisse aller Platten sowie das Windows-Verzeichnis %SystemRoot% (in der Regel C:\WINNT) für administrative Zugriffe freigibt. Die Zugriffsrechte auf diese speziellen Freigaben sind nicht veränderbar und auf die Benutzergruppe "Administratoren" eingeschränkt. Diese Freigaben sind nicht direkt sichtbar, da sie Freigabenamen der Form "Plattenname$", also z. B. "C$" bzw. den Namen "ADMIN$" haben.
Dadurch besteht die Gefahr, daß
Falls diese Eigenschaft zur Erleichterung der Workstation-Betreuung gewünscht ist, ist zu überlegen, ob ein Administrator für alle von ihm betreuten Workstations dasselbe Administrator-Paßwort verwenden soll. Dies läßt sich zwar leichter merken, führt aber dazu, daß ein Angreifer auf alle Workstations zugreifen kann, wenn er dieses eine Paßwort herausgefunden hat.
Falls diese Zugriffsmöglichkeiten nicht gewünscht sind, z. B. weil der Administrator nicht auf lokale Benutzerdaten zugreifen können soll, sollte über den Benutzer-Manager, unter Richtlinien - Benutzerrechte das Recht "Zugriff auf diesen Computer vom Netz" für Administratoren gesperrt werden.
Windows NT vergibt bei jeder Freigabe standardmäßig die Freigabeberechtigung "Vollzugriff" für die Gruppe "Jeder". Dies ist insbesondere für Verzeichnisse, die sich auf Datenträgern ohne NTFS-Dateisystem befinden, nicht akzeptabel, da es hier außer den Freigabeberechtigungen keine andere Möglichkeit der Vergabe von Rechten und damit der Zugriffskontrolle gibt. Die Gruppe "Jeder" muß daher aus der Zugriffskontrolliste entfernt und durch die Gruppen und ggf. einzelnen Benutzer ersetzt werden, die auf das freigegebene Verzeichnis Zugriff nehmen sollen. Dabei sind dann auch entsprechende Freigabeberechtigungen zu vergeben.
Auch bei Verzeichnissen, die sich auf NTFS-Datenträgern befinden, sollte im Falle der Freigabe die Gruppe "Jeder" aus der Zugriffskontrolliste entfernt werden. Denkbar ist hier aber die Aufnahme der Gruppe "Benutzer" mit der Vergabe der Zugriffsberechtigung "Vollzugriff". Die individuelle Vergabe von Zugriffsberechtigungen auf das Verzeichnis bzw. auf enthaltene Dateien und Unterverzeichnisse erfolgt dann auf der Ebene der NTFS-Berechtigungen (siehe M 4.53).
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .