«

»

Dateien und Verzeichnisse bearbeiten – trotz eingeschränkter Berechtigungen?!

Ist es Ihnen auch schon passiert, dass Sie eine Datei verändert vorgefunden haben, obwohl diese in einen Verzeichnis liegt, auf das nur Sie Zugriff haben?

Einzig und allein schuld ist das „Windows Bypass Traverse Checking User Right“ (Das Auslassen der durchsuchenden Überprüfung).

Diese GPO/ Lokale Richtlinien-Einstellung erlaubt es Usern, auf eine Datei oder ein Verzeichnis über die direkte Pfadangabe zuzugreifen, auch wenn das Browsen zu diesem Verzeichnis durch den Explorer nicht möglich ist.

Beispiel:

  • Auf die Verzeichnisse „E:\Daten002“, „\01“, „\02“ haben nur System und Administratoren Zugriff
  • In dem Unterverzeichnis „\02“ liegt eine Datei „Test.txt“
  • Diese Datei oder das Verzeichnis „\02“ hat explizite Berechtigungen für „User1“.

In der Standardeinstellung von Windows Servern hat „User1“ die Möglichkeit, diese Datei direkt über die Pfadangabe zu öffnen, indem er z.B. in Notepad oder dem Explorer unter Öffnen „E:\Daten002\01\02\test.txt“ eingibt.

Windows

Gerade in restriktiven Umgebungen ist diese Standardeinstellung (Benutzer und Jeder sind in der Default-Einstellung) ein Sicherheitsrisiko. Z.B. könnte jemand die Rechte an einer Datei erweitern, weil er der „Besitzer“ dieser Datei ist. Ersteller/ Besitzer haben faktisch Vollzugriff auf ihre Objekte, wenn es nicht explizit verhindert wurde, und können die ACL manipulieren.

(Link zum Artikel für die Optimale Konfiguration einer Share Berechtigung.
http://www.fileserver-tools.com/2012/06/das-leidige-problem-mit-dem-besitzer-eines-verzeichnisses-optimale-share-berechtigungen/)

Was sich nun wie eine Sicherheitslücke liest, könnte natürlich auch von Vorteil sein, wenn eine gewisse „Eigenverwaltung“ durch die User gewünscht ist.

Unsere Empfehlung ist ganz klar: Für sensible Bereiche ist die Anpassung der GPO/ Lokalen Richtlinie sinnvoll!

Die Anpassung erfolgt über eine GPO oder lokale Sicherheitsrichtlinie. Der Pfad:

„Computerkonfiguration/Windowseinstellungen/Sicherheitseinstellungen/Zuweisen von Benutzerrechten/Auslassen der durchsuchenden Überprüfung“

(\Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment)

Windows

Windows

In der Richtlinie müssen die Einträge entfernt/ hinzugefügt werden (z.B. „Jeder“ und „Benutzer“ entfernen und durch andere Gruppen ersetzen). Durch das Entfernen von „Jeder“ und „Benutzer“ ist der direkte Zugriff unterbunden!

Allerdings muss man genau auf Nebeneffekte prüfen. Wenn z.B. auf dem Server gleichzeitig ein IIS läuft, bei dem die User authentifiziert zugreifen (nicht anonym), wäre dann auch der Zugriff nicht möglich. Man müsste in diesen Fällen also auch für die entsprechenden Listberechtigungen sorgen. Achten Sie auf die saubere Trennung von Server und Services!

Weitere Details zur Funktionsweise finden Sie unter:

http://technet.microsoft.com/en-us/library/dn221950.aspx

 

Die Standardwerte sind:

 

Server type or GPO Default value
Default Domain Policy Not Defined
Default Domain Controller Policy AdministratorsAuthenticated UsersEveryoneLocal Service

Network Service

Pre-Windows 2000 Compatible Access

 Stand-Alone Server Default Settings AdministratorsBackup OperatorsUsersEveryone

Local Service

Network Service

 Domain Controller Effective Default Settings AdministratorsAuthenticated UsersEveryoneLocal Service

Network Service

Pre-Windows 2000 Compatible Access

 Member Server Effective Default Settings AdministratorsBackup OperatorsUsersEveryone

Local Service

Network Service

 Client Computer Effective Default Settings AdministratorsBackup OperatorsUsersEveryone

Local Service

Network Service

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 3 + 0

Wordpress SEO Plugin by SEOPressor