|
zurück
NTFS Zugriffsberechtigungen
In diesem Artikel wird versucht dem Leser die NTFS Zugriffsberechtigungen näher zu bringen.
Teil 1: Eigenschaften von Ressourcen
Teil 2: Zugriffsverwaltung
Teil 3: Freigaben & Zugriffsberechtigungen über die Konsole
Teil 4: Zugriffsrechte für Netzwerkfreigaben
1.1 Eigenschaften von Ressourcen
Allgemein jeder Teil eines Computersystems oder Netzwerkes, z. B. ein Laufwerk, ein Drucker oder Speicher, der einem derzeit ausgeführten Programm oder einem Prozess zugewiesen werden kann wird als Ressource bezeichnet.
Diesen Ressourcen kann man Rechte zuweisen.
Bezogen auf die Kontenverwaltung spricht man von den Zugriffsberechtigungen, genauer den NTFS-Zugriffsberechtigungen.
1.2 Zugriffsberechtigungen
Die Zugriffsberechtigungen regeln, wer sich auf Dateien, Ordner oder Geräte (z.B. Drucker) zugreifen darf. Während die in Windows 9x benutzten Dateisysteme FAT und FAT32 keinerlei Mechanismen für einen Zugriffsschutz vorsehen, ist dies beim NTFS-Dateisystem anders. Hier wird für jede Datei und Ordner festgehalten, wer dieses Objekt angelegt hat (d.h. wer diese besitzt). Der Besitzer kann immer auf seine Dateien, Ordner und Geräte zugreifen. Darüber hinaus lässt sich festlegen, wer sonst noch auf die Objekte Zugriff hat. dies geht so weit, dass man angeben kann, ob jemand z.B. die Datei nur lesen, lesen und ändern oder auch ausführen darf. Es gibt eine ganze Reihe von Berechtigungskategorien, dies sich unter dem NTFS-Dateisystem zuweisen lassen.
Die Zugriffsberechtigungen werden auch als Access Control List (ACL), deutsch Zugangskontrollliste bezeichnet. Dabei werden die ACLs unter Microsoft Windows als Discretionary Access Control (Benutzerbestimmbare Zugriffskontrolle) eingesetzt. D.h. die Zugriffsrechte sind immer einen Benutzer zugeordnet im Vergleich zu den Mandatory Access Control, welche allgemeine Zugriffsregeln auf Ressourcen ermöglichen, doch diese sind erst seit Windows Vista Bestandteil der Microsoft Windows Reihe.
2.1 Zugriffsverwaltung [Übersicht]
Um Zugriffsberechtigungen auf Dateien oder Ordner anzusehen oder zu ändern, benötigt man Zugriff auf die betreffenden Sicherheitsattribute. Diese stehen einem bei Windows XP Professional über die Datei- und Ordnereigenschaften zur Verfügung.
Abb. 1.0: Registerkarte Sicherheit
Falls man einen Ordner oder eine Datei mit der rechten Maustaste anklickt und im Kontextmenü den Befehl Eigenschaften wählt, öffnet Windows XP das Eigenschaftenfenster des Objekts. In diesem Eigenschaftenfenster steht die Registerkarte Sicherheit zur Verfügung (Abbildung 1.0).
Im oberen Feld sieht man die unter Windows definierten Gruppen und Benutzer. In der Regel wird nur die Gruppe der Administratoren als Gruppe aufgeführt (diese enthält alle Benutzer, die mit Konten vom Typ Computeradministrator angelegt wurden). Neben den von einem angelegten Benutzer sind noch die Benutzer NETZWERK und SYSTEM aufgeführt, die von Windows verwaltet werden. Dabei werden Gruppen mit zwei Köpfen und Benutzer nur mit einem Kopf gekennzeichnet. Über die Optionen der Registerkarte sowie die Schaltflächen kann man die Berechtigungen und den Besitz anpassen.
2.2 Benutzer hinzufügen/entfernen
Möchte man Benutzer aus der Liste der Zugriffsberechtigungen herausnehmen, markiert man diese in der Liste Gruppen- oder Benutzernamen und klicken auf die Schaltfläche Entfernen (Abbildung 1.1, oben links).
Abb. 1.1: Hinzufügen von Gruppen und Benutzern
Windows XP nimmt die Gruppe der Benutzer- und Gastkonten nicht in die Liste der Zugriffsberechtigungen auf. Zudem ist es manchmal einfacher, wenn einer kompletten Benutzergruppe (z.B. der Gruppe der Benutzer oder der Gruppe der Administratoren) bestimmte Rechte zugewiesen bzw. entzogen werden. Möchte man zusätzliche Benutzer aus der Gruppe Benutzer oder Gruppe (z.B. Benutzer) in die Liste der Zugriffsberechtigungen aufnehmen, so klickt man auf der Registerkarte Sicherheit auf die Schaltfläche Hinzufügen. Windows öffnet dann das Dialogfeld Benutzer oder Gruppen wählen (Abbildung 1.1, oben rechts). Dann kann man direkt den Gruppen- oder Benutzernamen in der Form >>>Maschine\Name<<< im Textfeld eingeben. Für die Maschine mit dem Netzwerknamen Daniel würde der Benutzer Baier also als >>>Daniel\Baier<<< im Textfeld eingetragen. Bei Bedarf kann man auf die Schaltfläche Namen überprüfen klicken, um die Eingabe der Konten verifizieren zu lassen. Dann ergänzt Windows ggf. auch den Maschinennamen, wenn man nur den Gruppen- oder Benutzernamen eingetragen hat. wird kein Name gefunden, erhält man einen Fehlerdialog, in dem die fehlerhafte Schreibweise angezeigt wird und sich korrigieren lässt.
Kennt man die Schreibweise nicht, klickt man im Dialogfeld auf die Schaltfläche Erweitert. Dort erscheint die in Abbildung 1.1, unten, gezeigte Darstellung. Um die Liste der Gruppen- und Benutzernamen auf der lokalen Maschine zu ermitteln, klickt man auf die Schaltfläche Jetzt suchen. Anschließend kann man Gruppen- oder Benutzernamen direkt in der Liste per Mausklick auswählen und über die OK-Schaltfläche bestätigen.
Die Schaltfläche Objekttypen erlaubt einem noch die Eingrenzung der Suche nach Objekten wie Benutzer oder Gruppen, braucht in der Regel nicht angewählt werden. Sobald man das Dialogfeld über die OK-Schaltfläche bestätigt, wird das Dialogfeld geschlossen und das Objekt in de Gruppen- oder Benutzerliste der Registerkarte Sicherheit übernommen.
2.3 Berechtigungen für Benutzer und Gruppen festlegen
Nun kann man für die vorher markierte Datei oder den Ordner festlegen, wer alles darauf zugreifen darf und welche Berechtigungen er dabei haben soll.
Hierzu klickt man im oberen Feld (Abbildung 1.0) auf den Benutzer- oder Gruppennamen. Im unteren Feld zeigt Windows das gewählte Objekt und die aktuellen Berechtigungen in Form von zwei Spalten mit Kontrollkästchen an (Abbildung 1.2).
Durch das Anklicken der Kontrollkästchen kann man festlegen, welche Benutzungsberechtigungen das jeweilige Konto für diese Datei hat. Eine Markierung im Kontrollkästchen Zulassen erteilt dem jeweiligen Benutzer bzw. der Gruppe die Berechtigungen, die angegebene Aktion auszuführen. Eine Markierung in der Zeile Lesen in der Spalte Zulassen erlaubt dem betreffenden Benutzer oder allen Mitgliedern der gewählten Gruppe, die Datei oder den Ordnerinhalt zu lesen. Setzt man die Markierung auf das Kontrollkästchen Verweigern, wird das betreffende Recht entsprechend entzogen.
Abb. 1.2: Festlegen der Berechtigungen für das gewählte Objekt
Administratoren und der Besitzer einer Datei oder eines Ordners haben Vollzugriff darauf, d.h. diese dürfen lesen, schreiben, ändern und löschen (ist in Abbildung 1.2 der Fall). Bei anderen Benutzern kann das Zugriffsrecht zwischen Vollzugriff und kompletter Zugriffssperre eingestellt werden. Markiert man das Kontrollkästchen Vollzugriff in einer der Spalten, werden die darunter liegenden Kontrollkästchen ebenfalls markiert (da Vollzugriff auch Lesen, Schreiben, Ändern und Ausführen erlaubt). Man kann aber beispielsweise einem Benutzer in der Spalte Zulassen das Lesen erlauben, während man das Schreiben über die Spalte Verweigern entzieht.
2.4 Erweiterte Berechtigungen anpassen
In der untersten Zeile der Registerkarte Sicherheit findet man zwei Kontrollkästchen der Zeile Spezielle Berechtigungen mit grauer Markierung. Man muss auf die Schaltfläche Erweitert klicken, um diese Berechtigungen setzen. Windows XP öffnet dann das in Abbildung 1.3 (links) gezeigte Eigenschaftenfenster mit mehreren Registerkarten. Auf der Registerkarte Berechtigungen werden einem alle Gruppen und Benutzer aufgelistet, die Zugriff auf das Objekt haben.
Um einen Zugriff komplett zu entfernen, markiert man den Eintrag und klickt auf die Schaltfläche Löschen. Dann wird im markierten NTFS-Objekt (Ordner, Dateien) der betreffende Name gelöscht. Windows findet bei Zugriffen von diesem Konto auf das Objekt des Dateisystems den Konten- oder Gruppennamen nicht mehr und weist den Zugriff ab.
Möchte man eine neue Gruppe oder einen neuen Benutzer mit aufnehmen, klickt man auf die Schaltfläche Hinzufügen. Dann wird der Dialog aus Abbildung 1.1, oben rechts, gezeigt und man kann einen Benutzernamen wählen. Anschließend gelangt man zu dem in Abbildung 1.1, rechts, gezeigtem Dialogfeld, in dem man die Zugriffsrechte setzen kann.
Zum anpassen bestehender Einträge von Zugriffsrechten, markiert man den Eintrag und klick auf die Schaltfläche Bearbeiten (Abbildung 1.3). Auch dann erscheint das Dialogfeld aus Abbildung 1.3, rechts, auf dessen Registerkarte Objekt man die Zugriffsberechtigungen einstellen kann. Über die Schaltfläche Ändern lässt sich ein anderer Benutzer- Gruppennamen wählen.
Abb. 1.3: Berechtigungseinträge für einen Benutzer verwalten
Die Registerkarte Objekt (Abbildung 1.3) besitzt dabei wesentlich detaillierter Einstellungsmöglichkeiten für Berechtigungen als die Registerkarte Sicherheit (Abbildung 1.1). Sobald man das Dialogfeld und das Eigenschaftsfenster über die OK-Schaltfläche schließt, werden die Einstellungen für das Objekt übernommen.
2.5 Effektive Berechtigungen kontrollieren
Beim zuweisen von Zugriffsrechten kann es dazu kommen, dass ein Benutzer sowohl Mitglied der Gruppe der Administratoren ist (die Vollzugriff besitzt), als auch dass dem Konto individuelle Rechte zugewiesen wurden. Daher bietet Windows auf der Registerkarte Effektive Berechtigungen des Dialogfelds Erweiterte Sicherheitseinstellungen
eine Zusammenstellung aller gesetzten effektiven Berechtigungen (Abbildung 1.4). Über die Schaltfläche Auswählen kann man dabei verschiedene Gruppen- und Benutzernamen wählen, um die Berechtigungen anzeigen zu lassen.
Abb. 1.4: Kontrolle der effektiven Berechtigungen
2.6 Den Besitz eines Objekts übernehmen
Der Benutzer, der einen Ordner oder eine Datei erstellt, ist auch der Besitzer des Objekts. Der Besitzer erhält den Vollzugriff. Wenn nun ein Besitzer nicht mehr verfügbar ist, müsste sich ein anderer Benutzer zum Zugriff an dessen Konto anmelden. Existiert das Konto nicht mehr, aber die Dateien in Eigene Dateien sind erhalten geblieben, dann wird die Sache schon schwieriger. Bei Windows XP wäre es die einfachste Möglichkeit, die Dateien in den Ordner Gemeinsame Dokumente zu verschieben.
Dann besitzt jeder volles Zugriffsrecht. Man kann sich aber als Administrator anmelden und den Besitz der Datei übernehmen.
Dies ist einer der vielen Besonderheiten des Benutzerkontos Administrator.
Das einzige Benutzerkonto mit noch mehr Rechten ist das Benutzerkonto SYSTEM, welches auch unter den Namen Local System oder NT AUTHORITY\SYSTEM bekannt ist.
Ein Benutzerkonto mit Administratoren Rechten kann durch folgende einfache Befehlsfolge sich die höchsten Rechte geben:
C\:>at 15:51 /INTERACTIVE cmd.exe
Dabei sollte man natürlich die Zeit entsprechend seinen Bedürfnissen anpassen.
Mit diesem hat man uneingeschränkten Zugriff auf ein Microsoft Windows System.
Hierzu wählt man die Registerkarte Sicherheit und klickt auf die Schaltfläche Erweitert (Abbildung 1.2).
Auf der Registerkarte Besitzer werden der aktuelle Besitzer und die Gruppe der Administratoren sowie das Konto Administrator gezeigt (Abbildung 1.5). Klickt man auf die Gruppe oder den Benutzer Administrator und schließt die Registerkarte über die OK-Schaltfläche, um den Besitz für die Gruppe der Administratorenkonten oder für das aktuelle Administratorenkonto zu übernehmen.
Abb. 1.5: Besitzübernahme von Dateien oder Ordner
Das Eigenschaftenfenster Erweiterte Sicherheitseinstellungen besitzt auch noch die Registerkarte Überwachung, auf der man die Überwachung auf Zugriffe überwachen kann. Dann zeichnet Windows XP Professional die erfolgreichen und abgelehnten Zugriffsversuche auf das Objekt in den Ereignisprotokollen auf.
3.0 Freigaben & Zugriffsberechtigungen über die Konsole [Übersicht]
Der Befehl net share verwaltet freigegebene Ressourcen. Bei Verwendung ohne Parameter zeigt net share Informationen zu allen auf dem lokalen Computer freigegebenen Ressourcen an. Um die Berechtigungen dafür oder für andere Ordner/Dateien zu setzen dient der Befehl Xcacls. Dieser muss jedoch als extra Komponente von der Windows XP-Installations-CD installiert werden. Man findet die exe-Datei Archiv SUPPORT.CAB der CD. Die Hilfedatei SUPPORT.CHM enthält eine Beschreibung des Tools. Man sollte der Angabe, dass das Toll nur für die Professional-Version von Windows XP geschaffen ist, keinen Glauben schenken.
Standardmäßig ist aber bei jeder Windows XP Professional der Befehl Cacls in der Konsole dabei. Man kann also auch ohne zusätzliche Installationsaufwand auf die Berechtigungen der einzelnen Ordner und Dateien zugreifen. Cacls besitzt im Vergleich zu Xcacls weniger Optionen.
Abb. 1.6: Anzeigen der Cacls-Optionen im Konsolenfenster
Wenn man die Eingabeaufforderung geöffnet hat, kann man Cacls /? eine Hilfeseite mit den verfügbaren Optionen des Befehls abrufen (Abbildung 1.6). Mit Cacls xxxx erhält man beispielsweise eine Auflösung der Sicherheitseinstellungen für ein Objekt xxxx , wobei xxxx für den Namen einer Datei oder Ordner steht. Bei langen Dateinamen, die Leerzeichen enthalten, muss man diese in Anführungszeichen stellen.
Der Vorteil von Cacls ist, dass obwohl die Registerkarte Sicherheit nicht unter Windows XP Home vorhanden ist, man dennoch die Zugriffsrechte setzen kann, da diese Möglichkeit vom Dateisystem gegeben wird und nicht vom Betriebssystem ist dies auch nicht weiter verwunderlich.
4.0 Erweiterte Netzwerkfreigabe nutzen [Übersicht]
Wenn man einen Ordner oder ein Laufwerk mit der rechten Maustaste anklickt und im Kontextmenü den Befehl Freigabe und Sicherheit wählt, gelangt man zur Registerkarte Freigabe. Auf dieser Registerkarte kann man das markierte Objekt als Ressource im Netzwerk freigeben. Standardmäßig zeigt auch die Windows XP Professional Version nur die vereinfachte Netzwerkfreigabe. In der Gruppe Netzwerkfreigabe und Üsicherheit kann man nur das Kontrollkästchen Diesen Ordner im Netzwerkfreigeben wählen und den Freigabenamen vorgeben.
Abb. 1.7: Erweiterte Netzwerkfreigabe und Sicherheit
Diese vereinfachte Netzwerkfreigabe lässt sich aber abschalten, indem man im Ordnerfenster im Menü Extras den Befehl Ordneroptionen wählt. Danach muss man auf der Registerkarte Ansicht die Markierung des Kontrollkästchens Einfache Dateifreigabe verwenden (empfohlen) löschen. Ab diesen Moment stehen einem auch unter Windows XP Professional die aus Windows 2000 bekannten Freigabeoptionen zur Verfügung (Abbildung 1.7). Auf der Registerkarte Freigabe kann man einen Freigabenamen eintragen, die Zahl der Benutzer für gleichzeitige Zugriffe vorgeben oder Berechtigungen zum Zugriff setzen. Die Registerkarte Sicherheit erlaubt Zugriffsberechtigungen für das Objekt zu vergeben.
4.1 Zugriffsrechte für Netzwerkfreigaben
In Windows XP Professional lassen sich Netzwerkfreigaben über eine Hintertür sehr komfortabel verwalten.
Hierzu wählt man im Startmenü den Befehl Ausführen und gibt im gleichnamigen Dialogfeld den Befehl shrpubw.exe ein. Beim Schließen des Dialogfeldes startet ein Assistent, über dessen Dialogfeld Freigabe erstellen man den Freigabeordner komfortabel angeben kann (Abbildung 1.8, links oben). Im Folgedialog (Abbildung 1.8, links unten) lassen sich die Zugriffsberechtigungen für Benutzer und Administrator vorgeben. Die Optionen Freigabe- und Ordnerberechtigungen anpassen erlaubt die Zugriffe die Zugriffe für einzelne Benutzer über die Registerkarte Freigabeberechtigungen (Abbildung 1.8, rechts) vorzugeben.
Abb. 1.8: Assistent zur Vergabe von Freigaben von Ordnern mit Zugriffsrechten
Eine weitere Möglichkeit zur Verwaltung von Freigaben und zur Überwachung welcher Client gerade auf eine bestimmte Freigabe zugreift.
Hierzu öffnet man einfach die Computerverwaltung über Start und wählt dort den Button für Ausführen (Alternativ über Windowstaste + R) und gibt dort dann compmgmt.msc ein.
Anschließend wählt man den Reiter Freigegebene Ordner. In diesem Fenster kann man einfach Freigaben erstellen, löschen, umbenennen usw.
Möchte man die offenen Sitzungen einsehen so ist der Sitzungen zu öffnen:
Eine weiter sehr komfortable Möglichkeit zur Administration von Freigaben ist der Share Manager. Doch der Aufruf ist etwas Aufwendiger, wenn man diesen jedes Mal abtippen muss, daher empfiehlt sich ein kleines Batch-Script oder eine Verknüpfung:
Nach bestätigen mit OK erscheint die Maske zur Verwaltung der Freigaben:
Bei weiteren Fragen, Kritik oder Anregungen zum Artikel stehe ich natürlich jederzeit zur Verfügung.
Einfach eine E-Mail an duddits-[at]-remoteshell-security.com. Ich versuche diese dann so schnell als möglich zu beantworten.
Nach oben
|
News
Dokumente