NTFS Berechtigungen ermöglichen eine Berechtigungsstruktur der lokalen Ordner und Dateien. Sie finden dann Anwendung, wenn sich ein Benutzer lokal bzw. interaktiv am lokalen Computer anmeldet.
Freigabeberechtigungen ermöglichen den Zugriff auf Ressourcen im Netzwerk, beispielsweise über eine Netzlaufwerksverbindung. Sie finden dann Anwendung wenn ein Benutzer über das Netzwerk auf einen Ordner zugreift, welcher sich nicht auf seinem lokalen Rechner befindet. Allerdings spielen auch hier NTFS Berechtigungen eine Rolle.
NTFS Berechtigungen
Microsoft NTFS ist ein von Microsoft entwickeltes Dateisystem. Das Filesystem NTFS unterstützt u.a.:
- Berechtigungsstrukturen
- Dateiverschlüsselung mit EFS
- Komprimierung
- Erstellen von Kontingenten
- u.v.m
NTFS Berechtigungseinstellungen können grafisch oder per Befehlszeile konfiguriert werden. Die grafische Oberfläche erreicht man, indem man mit der rechten Maustaste auf den Ordner oder die Datei klickt und Eigenschaften wählt. Hier findet man den Reiter Sicherheit.
Das Befehlszeilentool für die Bearbeitung von NTFS Berechtigungen ist icacls.
Die am meist genutzten NTFS Berechtigungen sind:
- Lesen
- Schreiben
- Lesen, Ausführen
- Schreiben
- Ordnerinhalt anzeigen
- Vollzugriff
Ändern und Schreiben unterscheidet sich insofern, dass bei Ändern auch Dateien gelöscht werden dürfen. Schreiben beinhaltet das Recht Dateien zu überschreiben und neue Dateien zu erstellen. Lesen und Lesen, Ausführen unterscheidet sich darin, dass bei Lesen, Ausführen nicht nur Dateien gelesen werden können, sondern auch ausführbare Dateien wie *.exe Dateien ausgeführt werden können. Bei Vollzugriff können Dateien und Ordner gelöscht, erstellt und verändert werden und die Berechtigungsstruktur des Ordners kann verändert werden. Ändern dagegen erlaubt es nicht die Berechtigungsstruktur zu verändern. Ordnerinhalt anzeigen listet den Ordner auf, die Unterverzeichnisse und Dateien werden sichtbar, können aber nicht geöffnet werden
Ein Beispiel: Max hat auf den Ordner Daten das Recht Lesen. Max ist Mitglied der lokalen Gruppe Marketing. Die Gruppe Marketing hat auf den Ordner Daten das Recht Ändern. Welches Recht hat Max auf den Ordner Daten? Das Ergebnis: Ändern. Warum?
Berechtigungsstrukturen sind kumulativ. Alle Rechte werden addiert und das höchste Recht gilt. Ändern ist ein höheres Recht als Lesen.
Freigabe-Berechtigungen
Zum Unterschied zu NTFS Berechtigungen greifen Freigabe-Berechtigungen erst dann, wenn ein Ordner im Netzwerk für andere Benutzer freigegeben wird, damit diese auf den Ordner zugreifen können.
Die Benutzer können dann, indem Sie die Windows Taste + R drücken über den Pfad \\computername\freigabename auf den Ordner zugreifen.
Beispiel:
Weiters können Sie einen freigegeben Ordner eines anderen Benutzers oder Servers als Netzlaufwerk im Windows Explorer einbinden. Freigabeberechtigungen können grafisch oder in der Befehlszeile konfiguriert werden.
Es stehen 3 Freigabe-Berechtigungen zur Verfügung:
- Vollzugriff
- Ändern
- Lesen
Die Standard-Freigabe-Berechtigung beim Erstellen einer Freigabe ist: Gruppe Jeder – Lesen. Jeder ist wörtlich gemeint – Jeder.
Wenn Mark auf den Ordner Daten über das Netzwerk zugreift und seine Freigabeberechtigung ist Lesen und seine NTFS Berechtigung ist Ändern was ist dann seine effektive Berechtigung?
Effektive Berechtigung – Zusammenspiel von Freigabe- und NTFS Berechtigungen
Die Regel lautet:
Höchstes effektives Recht aller NTFS Berechtigungen + Höchstes effektives Recht aller Freigabeberechtigungen
Die restriktivere Berechtigung aller effektiven Berechtigungen gilt
Beispiel 1
Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.
NTFS Berechtigungen:
- Gruppe Marketing: Ändern
- Gruppe Alle: Schreiben
- Benutzer Mark: Lesen
Freigabe Berechtigungen:
- Gruppe Jeder: Vollzugriff
- Mark: Ändern
Erklärung: Höchstes NTFS Recht Mark: Ändern, Höchstes Freigaberecht: Vollzugriff. Das niedrigere Recht gilt: Ändern
Beispiel 2
Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.
NTFS Berechtigungen:
- Gruppe Marketing: Schreiben
- Gruppe Alle: Schreiben
- Benutzer Mark: Lesen
Freigabe Berechtigungen:
- Gruppe Marketing: Lesen
- Gruppe Alle: Lesen
- Benutzer Mark: Ändern
- Mark: Schreiben
Beispiel 3
Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.
NTFS Berechtigungen:
- Gruppe Marketing: Ändern
- Gruppe Alle: Schreiben
- Benutzer Mark: Vollzugriff Verweigert
Freigabe Berechtigungen:
- Gruppe Jeder: Vollzugriff
- Mark: Verweigert
Das Verweigert Recht wurde explizit gesetzt. Ein Recht Verweigert hat i.R. immer Vorrang vor einem Erlauben. Die anderen Berechtigungen ändern daran nichts.
Noch ein Tipp zu Freigabeberechtigungen:
Da die Standardberechtigung Jeder – Lesen ist, kann es zu Problemen beim Zugriff kommen. Denn alle Benutzer, welche sich auf die Freigabe verbinden können maximal Lesen, denn es ist nicht relevant welche NTFS Berechtigungen “dahinter” konfiguriert sind. Das niedrigste Recht der beiden gilt, also Lesen. Das ist besonders ungünstig für Administratoren.
Daher empfiehlt Microsoft beim Erstellen einer Freigabe darauf zu achten, das Recht Jeder Vollzugriff zu vergeben. “Dahinter” kann dann mit NTFS Berechtigungen der Zugriff angepasst werden.
Effektive Berechtigungen anzeigen
Die effektiven Berechtigungen können in den Eigenschaften der Datei oder des Ordners unter Sicherheit – Erweitert – Effektiver Zugriff angezeigt werden.
Categories: Cyber Security, Windows 10, Windows Server
My name is Patrick Gruenauer. From Austria.
SID-500.COM 
3 replies »