M 4.53 Restriktive Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse unter Windows NT

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

In Windows NT wird zwischen den Zugriffsberechtigungen auf Freigabeebene und den Zugriffsberechtigungen auf Datei- und Verzeichnisebene, die im folgenden auch NTFS-Berechtigungen genannt werden, unterschieden. Die Zugriffsberechtigungen auf Freigabeebene (Shares) werden in M 2.94 Freigabe von Verzeichnissen unter Windows NT betrachtet.

Zugriffsberechtigungen auf Datei- und Verzeichnisebene stehen im Gegensatz zu den Freigabeberechtigungen (Share-Berechtigungen) nur auf Datenträgern mit dem Dateisystem NTFS zur Verfügung. Sie werden in der Regel vom Ersteller oder Besitzer eines Objektes (Verzeichnis oder Datei) vergeben. Auf Servern erfolgt dies meistens durch den Administrator. Die Festlegung von NTFS-Berechtigungen erfolgt unter Windows NT 4.0 typischerweise mittels des Windows NT Explorers oder über das Desktopsymbol "Arbeitsplatz". Im Kontextmenü des entsprechenden Verzeichnisses bzw. der entsprechenden Datei ist der Menüpunkt "Eigenschaften"/"Sicherheit" auszuwählen. Dadurch gelangt man zu folgender Zugriffskontrolliste:

Die entsprechende Zugriffskontrolliste findet sich unter Windows NT 3.51 im Datei-Manager unter "Sicherheit"/"Berechtigungen". In diese Zugriffskontrolliste können bestehende Benutzergruppen und Benutzer aufgenommen und hier können jeder Benutzergruppe und jedem Benutzer Berechtigungen zugewiesen und entzogen werden. Auch ist es möglich, Benutzergruppen und Benutzer aus der Zugriffskontrolliste zu entfernen. Durch Aktivieren der Option "Berechtigungen für existierende Dateien ersetzen" können die für das Verzeichnis festgesetzten Berechtigungen auf alle Dateien dieses Verzeichnisses übertragen werden. Wird die Option "Berechtigungen für Unterverzeichnisse ersetzen" gewählt, werden die eingestellten Berechtigungen zudem auf alle Unterverzeichnisse übertragen. Auf diese Weise lassen sich leicht einheitliche Rechtestrukturen realisieren.

NTFS-Berechtigungen werden zunächst beim lokalen Zugriff wirksam. Müssen z. B. mehrere Benutzer an einem Computer arbeiten, so ist es möglich, durch Vergabe entsprechender Datei- und Verzeichnisberechtigungen sicherzustellen, daß jeder Benutzer nur Zugriff auf seine Daten hat.

Auch beim Zugriff über das Netz werden NTFS-Berechtigungen wirksam. Voraussetzung für den Netzzugriff ist aber, daß das Verzeichnis, auf das zugegriffen werden soll oder in dem sich das gewünschte Unterverzeichnis oder die gewünschte Datei befindet, zuvor freigegeben und mit einer entsprechenden Freigabeberechtigung versehen wurde (s. M 2.94 Freigabe von Verzeichnissen unter Windows NT). Im Zusammenspiel zwischen Freigabeberechtigung und NTFS-Berechtigung ist zu beachten, daß die jeweils restriktivere Berechtigung maßgebend ist. NTFS-Berechtigungen lassen sich feiner abstufen als Freigabeberechtigungen. Es ist insbesondere möglich, für jedes Unterverzeichnis und für jede Datei gesonderte NTFS-Berechtigungen zu vergeben. Von daher ist es auch möglich, Freigaben mit der Freigabeberechtigung "Vollzugriff" für die Gruppe der Benutzer bzw. Domänen-Benutzer zu versehen und die effektiven Zugriffsrechte über die NTFS-Berechtigungen zu vergeben.

Die NTFS-Berechtigungen werden unterschieden in spezifische (auch individuelle) Berechtigungen und vordefinierte Standardberechtigungen, die Kombinationen der spezifischen Zugriffsberechtigungen darstellen.

Es gibt folgende individuellen Berechtigungen:

R Lesen
W Schreiben
X Ausführen
D Löschen
P Berechtigungen ändern
O Besitz übernehmen

Aus diesen Einzelberechtigungen sind unter Windows NT vorgegebene Standardberechtigungen kombiniert worden:

Der Besitzer einer Datei bzw. eines Verzeichnisses hat in jedem Fall das Recht, Berechtigungen für die Datei bzw. das Verzeichnis zu vergeben und zu entziehen. Jeder, der ein Verzeichnis oder eine Datei erstellt, wird automatisch Besitzer dieser Ressource. Der Besitz an einem Verzeichnis bzw. an einer Datei kann durch "Besitz übernehmen" (P) an andere Benutzer übertragen werden. Der Besitz an einem Verzeichnis oder einer Datei geht allerdings erst durch die Besitzübernahme durch den Empfänger auf diesen über. Es ist im Gegensatz zu anderen Betriebssystemen nicht möglich, Dateien und Verzeichnisse zu verschenken. Unabhängig von den Eintragungen in der Zugriffskontrolliste können Administratoren in jedem Fall den Besitz an Dateien und Verzeichnissen übernehmen.

Hinweis: Benutzer sollten möglichst nie die Berechtigung " Vollzugriff " vergeben, sondern höchstens die Berechtigung " Ändern ", damit ihnen nicht der Besitz entzogen werden kann und sie immer die Hoheit über die Rechtevergabe behalten.

Alle Benutzer müssen darauf aufmerksam gemacht werden, regelmäßig mit dem Dateimanager oder dem Explorer zu überprüfen, ob sie noch Besitzer ihrer Verzeichnisse und Dateien sind. Dies ist der einzige Weg, mit dem Benutzer erkennen könne, ob von Ihnen gesetzte Zugriffsrechte umgangen worden sind.

Die in den folgenden Abschnitten genannten Maßnahmen gelten hauptsächlich für Dateien und Verzeichnisse, für die der Administrator zuständig ist, das heißt für solche, die entweder für alle Benutzer von Bedeutung sind oder die Administrationszwecken dienen. Es reicht nicht aus, die Rechte eines Programms zu überprüfen, es muß auch die Rechtevergabe aller Programme überprüft werden, die von diesem Programm aus aufgerufen werden (insbesondere zur Vermeidung Trojanischer Pferde).

Die Attribute aller Systemdateien sollten möglichst so gesetzt sein, daß nur der Systemadministrator Zugriff darauf hat. Verzeichnisse dürfen nur die notwendigen Privilegien für die Benutzer zur Verfügung stellen.

Verzeichnisse des Betriebssystems und der Anwendungsprogramme

Die Dateien und Verzeichnisse des Betriebssystems selbst müssen gegen unzulässige Zugriffe hinreichend geschützt werden. Die standardmäßig vorgesehenen Zugriffsrechte sollten unmittelbar nach der Installation des Systems auf schärfere Formen der Zugriffskontrolle auf die betreffenden Dateien und Verzeichnisse (das Windows-Verzeichnis, %SystemRoot% , z. B. \WINNT , das Windows-Systemverzeichnis %SystemRoot%\SYSTEM32 und eventuelle weitere Programmverzeichnisse, z.B. \MsOffice und \Programme , und alle Unterverzeichnisse) eingestellt werden.

Dabei ist jedoch zu beachten, daß manche Programme, insbesondere 16-Bit Programme aber auch z. B. MS Winword 7.0, im Windows-Verzeichnis und/oder im Programmverzeichnis Initialisierungs- und Konfigurationsdateien anlegen. Sollen solche Programme genutzt werden, so kann es erforderlich werden, den Benutzern das Zugriffsrecht "Ändern" auf die betreffenden Verzeichnisse und Dateien zu geben.

Nur Administratoren dürfen auf diese Dateien und Verzeichnisse schreibenden Zugriff haben. Für alle anderen Benutzer ist der Zugriff so einzuschränken, daß sie dort nur lesenden und ausführenden Zugriff (RX) haben:

Ggf. kann der Zugriff auf ausführbare Dateien (.EXE-, COM- und BAT-Dateien) noch weiter eingeschränkt werden, so daß nur ausführender Zugriff (X) auf diese Dateien möglich ist. In ähnlicher Weise sind die für den Systemstart kritischen Dateien \BOOT.INI , \NTDETECT.COM , \NTLDR , \AUTOEXEC.BAT und \CONFIG.SYS gegen unbefugte Veränderung durch unprivilegierte Benutzer zu schützen.

Dabei sollte allerdings - am besten in einer Testumgebung - überprüft werden, ob alle Anwendungsprogramme bei dieser restriktiven Einstellung noch lauffähig sind, oder ob einzelne Zugriffskontrollen doch um weitere Zugriffsmöglichkeiten ergänzt werden müssen, um beispielsweise die Abspeicherung temporärer Dateien oder von Konfigurationsinformationen in einem Programmverzeichnis zu erlauben. Generell sollte jedoch der Zugriff auf die Programmdateien selbst (.EXE-Dateien) und auf dynamische Bibliotheken (.DLL-Dateien) für die Gruppe "Jeder" auf lesenden Zugriff beschränkt werden, zumal diese Maßnahme auch einen gewissen Schutz gegen die Verbreitung von Viren bietet.

Temporäre Dateien

Temporäre Dateien, die von verschiedenen Anwendungsprogramme zum Auslagern und Zwischenspeichern von Daten verwendet werden, werden unter Windows NT im Verzeichnis %TEMP% (in der Regel C:\TEMP ) abgelegt. Alle Anwender benötigen für dieses Verzeichnis auch das Recht, hier Dateien abzulegen, doch muß gleichzeitig verhindert werden, daß Benutzer auf temporäre Dateien anderer Benutzer Zugriff erhalten. Die Zugriffsrechte für das Verzeichnis sollten daher auf folgenden Wert geändert werden:

Registrierung

Die Registrierung von Windows NT befindet sich im Unterverzeichnis CONFIG des Windows-Systemverzeichnisses %SystemRoot%\SYSTEM32 , d. h. im allgemeinen im Verzeichnis C:\WINNT\SYSTEM32\CONFIG . Auf dieses Verzeichnis muß der Anwender Zugriff haben, da die Registrierung automatisch durch Einstellungen des Benutzers in Anwendungsprogrammen geändert wird. Kann der Benutzer nicht auf dieses Verzeichnis zugreifen, führt das zu Systemfehlern oder zu einem Absturz des Systems. Die auf dieses Verzeichnis gesetzten Standardrechte, die möglichst nicht verändert werden sollten, sind unter Version 3.51:

Ab Version 4.0 sind die Standardrechte:

Die Gruppe "Jeder" sollte allerdings durch die Gruppe "Benutzer" ersetzt werden. Nur wenn Gäste auf dieses Verzeichnis Zugriff haben, muß die Gruppe "Jeder" das Recht "Anzeigen" haben.

Bei der Installation legt Windows NT das Verzeichnis %SystemRoot%\REPAIR an, um dort Konfigurationsinformationen abzuspeichern, die für eine ggf. notwendige Reparatur einer bestehenden Installation benötigt werden. Diese Dateien werden mit Hilfe des Dienstprogramms RDISK aktualisiert (siehe auch M 6.42 Erstellung von Rettungsdisketten für Windows NT). Da da mit Hilfe dieser Dateien und entsprechender Schadsoftware Sicherheitsfunktionalitäten von Windows NT außer Kraft gesetz werden können, sollten die Rechte auf das Verzeichnis mit allen darin befindlichen Dateien wie folgt gesetzt werden:

Profile

Zum Abspeichern der Daten, die die Benutzeroberfläche und Einträge im Menü START ab der Version 4.0 beschreiben, legt Windows NT für jeden Benutzer vom System ein eigenes Profilverzeichnis im Unterverzeichnis Profiles des Windows-Verzeichnisses %SystemRoot% (in der Regel C:\WINNT\PROFILE ) an. Unter der Version 3.51 werden Profile in Unterverzeichnissen des Systemverzeichnisses %SystemRoot%\SYSTEM32\CONFIG bzw. in für die einzelnen Benutzer explizit angegebenen Verzeichnissen abgespeichert.

Auf diese Verzeichnisse muß der Benutzer vollen Zugriff haben, sofern er seine Benutzeroberfläche selbst verändern können soll. Dies ist jedoch nicht immer gewünscht (vgl. M 4.51 Benutzerprofile zur Einschränkung der Nutzungsmöglichkeiten von Windows NT ). Beim ersten Anmelden des Benutzers wird sein Benutzerprofil automatisch vom System erzeugt. Die Standard-Zugriffsrechte für das Verzeichnis sehen wie folgt aus:

Neben dem Profilverzeichnis für den einzelnen Benutzer gibt es noch ein Verzeichnis für alle Benutzer (All Users) und ein Verzeichnis als Vorlage für neue Benutzer (Default User). Schreibenden Zugriff auf diese Verzeichnisse sollte nur Systemverwalter haben. Die Zugriffsrechte solllten wie folgt gesetzt werden:

Diese Einstellungen sollten nur verändert werden, wenn man dem Anwender das Recht nehmen möchte, seine Benutzeroberfläche zu verändern.

Benutzer-Verzeichnisse

Die Verzeichnisse für die Daten der einzelnen Benutzer sollten in der Regel so geschützt werden, daß nur die betreffenden Benutzer auf ihre Dateien zugreifen können. Andere Benutzer, auch Administratoren benötigen in der Regel keinen Zugriff auf die Daten eines Benutzers, es sei denn, daß dieser selbst explizit zusätzliche Zugriffsrechte vergibt. Damit ist in den meisten Fällen die folgende Voreinstellung für die Zugriffsrechte auf Benutzerverzeichnisse ausreichend:

Benutzer, die einzelne Dateien oder Verzeichnisse anderen Benutzern zugänglich machen wollen, sollten hierfür Verzeichnisse außerhalb ihres Basisverzeichnisses einrichten. Ebenso sollten für Projektgruppen, die gemeinsam an bestimmten Dateien arbeiten, spezielle Verzeichnisse eingerichtet werden. Die Zugriffsrechte auf solche Verzeichnisse sollten auch wiederum explizit auf die Benutzer in diesen Gruppen beschränkt werden.

Sperren der Zugriffsrechte für Gäste

Bei den oben beschriebenen Zugriffskontrollisten ist davon ausgegangen worden, daß keine Benutzer der Gruppe " Gäste " zugelassen sind. Deswegen ist die Gruppe " Benutzer " zu ersetzen. Mit dieser Maßnahme wird Gästen effektiv jede Möglichkeit zur Arbeit mit dem System und zum Zugriff auf Daten entzogen. Da dies jedoch unter Umständen dazu führen kann, daß bestimmte Anwendungssoftware nicht mehr korrekt läuft, sollte eine derartige Änderung zuerst an einem Testsystem vorgenommen und hinsichtlich ihrer Auswirkungen überprüft werden, ehe sie allgemein umgesetzt wird.

Ergänzende Kontrollfragen:

• Wird die Attributvergabe bei Systemdateien und der Registrierung regelmäßig überprüft?
• Werden die Einstellungen der Benutzerprofile regelmäßig überprüft?
• Gibt es Listen, anhand derer diese Überprüfungen durchgeführt werden?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.