- Taylor Gibb
@taybgibb
- Aktualisiert am 28. Oktober 2019, 8:49 Uhr EDT
Haben Sie jemals versucht, alle Berechtigungen in Windows zu verstehen? Es gibt Freigabeberechtigungen, NTFS-Berechtigungen, Zugriffssteuerungslisten und vieles mehr. Hier ist, wie sie alle zusammenarbeiten.
Die Sicherheitskennung
Die Windows-Betriebssysteme verwenden SIDs, um alle Sicherheitsprinzipien darzustellen. SIDs sind einfach Zeichenfolgen variabler Länge aus alphanumerischen Zeichen, die Rechner, Benutzer und Gruppen repräsentieren. SIDs werden jedes Mal zu ACLs (Access Control Lists) hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter den Kulissen werden SIDs genauso gespeichert wie alle anderen Datenobjekte, nämlich binär. Wenn Sie jedoch eine SID in Windows sehen, wird sie in einer besser lesbaren Syntax angezeigt. Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen und das Benutzerkonto dann gelöscht wird, dann wird es als SID in der ACL angezeigt. Werfen wir also einen Blick auf das typische Format, in dem SIDs in Windows angezeigt werden.
Die Notation, die Sie sehen werden, hat eine bestimmte Syntax, unten sind die verschiedenen Teile einer SID in dieser Notation.
- Ein ‚S‘-Präfix
- Strukturrevisionsnummer
- Ein 48-Bit-Identifizierungsautoritätswert
- Eine variable Anzahl von 32-Bit-Subautoritäts- oder relativen Identifizierungswerten (RID)
Anhand meiner SID in der folgenden Abbildung werden wir die verschiedenen Abschnitte zum besseren Verständnis aufschlüsseln.
Die SID-Struktur:
‚S‘ – Der erste Bestandteil einer SID ist immer ein ‚S‘. Dieses wird allen SIDs vorangestellt und dient dazu, Windows mitzuteilen, dass es sich bei dem Folgenden um eine SID handelt.
‚1‘ – Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation, die bei einer Änderung der SID-Spezifikation die Abwärtskompatibilität gewährleistet. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Revision.
‚5‘ – Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Hier wird definiert, in welchem Bereich die SID erzeugt wurde. Mögliche Werte für diesen Abschnitt der SID können sein:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21‘ – Die vierte Komponente ist die Sub-Autorität 1, der Wert ’21‘ wird im vierten Feld verwendet, um anzugeben, dass die folgenden Unterberechtigungen den lokalen Rechner oder die Domäne identifizieren.
‚1206375286-251249764-2214032401‘ – Dies sind die Unterberechtigungen 2, 3 bzw. 4. In unserem Beispiel wird dies verwendet, um den lokalen Rechner zu identifizieren, könnte aber auch der Bezeichner für eine Domäne sein.
‚1000‘ – Unterberechtigung 5 ist die letzte Komponente in unserer SID und wird als RID (Relative Identifier) bezeichnet, die RID ist relativ zu jedem Sicherheitsprinzipal, bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft geliefert werden, eine RID von 1000 oder höher haben.
Sicherheitsprinzipale
Ein Sicherheitsprinzipal ist alles, was mit einer SID versehen ist, dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipale können lokal sein oder im Domänenkontext stehen. Lokale Sicherheitsprinzipale werden über das Snap-In Lokale Benutzer und Gruppen in der Computerverwaltung verwaltet. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computer-Verknüpfung im Startmenü und wählen Sie Verwalten.
Um einen neuen Benutzer-Sicherheitsprinzipal hinzuzufügen, können Sie zum Ordner Benutzer gehen und mit der rechten Maustaste klicken und neuen Benutzer wählen.
Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte „Mitglied von“ zu einer Sicherheitsgruppe hinzufügen.
Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Ordner „Gruppen“ auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf die weiße Fläche und wählen Sie „Neue Gruppe“.
Freigabeberechtigungen und NTFS-Berechtigungen
In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen, zum einen die Freigabeberechtigungen und zum anderen die NTFS-Berechtigungen, auch Sicherheitsberechtigungen genannt. Beachten Sie, dass bei der Freigabe eines Ordners standardmäßig die Gruppe „Jeder“ die Leseberechtigung erhält. Wenn dies der Fall ist, ist es wichtig, daran zu denken, dass immer die restriktivste Berechtigung gilt. Wenn z. B. die Freigabeberechtigung auf „Jeder“ = „Lesen“ eingestellt ist (was die Standardeinstellung ist), aber die NTFS-Berechtigung den Benutzern erlaubt, Änderungen an der Datei vorzunehmen, hat die Freigabeberechtigung Vorrang und die Benutzer können keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, kontrolliert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen wollen, vergleicht die LSASS die SID, die Sie der ACL (Zugriffskontrollliste) hinzugefügt haben, und wenn die SID in der ACL enthalten ist, entscheidet sie, ob sie den Zugriff erlaubt oder verweigert. Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede. Sehen wir uns also an, wann wir was verwenden sollten.
Freigabeberechtigungen:
- Sie gelten nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, zum Beispiel über Terminaldienste.
- Sie gelten für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie eine detailliertere Art von Einschränkungsschema bereitstellen möchten, sollten Sie zusätzlich zu den gemeinsamen Berechtigungen die NTFS-Berechtigung verwenden
- Wenn Sie FAT- oder FAT32-formatierte Datenträger haben, ist dies die einzige Form der Einschränkung, die Ihnen zur Verfügung steht, da NTFS-Berechtigungen für diese Dateisysteme nicht verfügbar sind.
NTFS-Berechtigungen:
- Die einzige Einschränkung bei NTFS-Berechtigungen ist, dass sie nur auf einem Volume gesetzt werden können, das mit dem NTFS-Dateisystem formatiert ist
- Denken Sie daran, dass NTFS kumulativ ist, d.h. dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der dem Benutzer zugewiesenen Berechtigungen und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.
Die neuen Freigabeberechtigungen
Windows 7 brachte eine neue „einfache“ Freigabetechnik mit. Die Optionen änderten sich von Lesen, Ändern und Vollzugriff zu. Lesen und Lesen/Schreiben. Die Idee war Teil der ganzen Home-Group-Mentalität und macht es einfach, einen Ordner für nicht computererfahrene Personen freizugeben. Dies geschieht über das Kontextmenü und die Freigabe für die Stammgruppe ist einfach.
Wenn Sie einen Ordner für jemanden freigeben möchten, der nicht in der Stammgruppe ist, können Sie immer die Option „Bestimmte Personen…“ wählen. Dadurch würde ein „ausführlicheres“ Dialogfeld angezeigt. Hier können Sie einen bestimmten Benutzer oder eine Gruppe angeben.
Wie bereits erwähnt, gibt es nur zwei Berechtigungen, die zusammen ein Alles-oder-Nichts-Schutzschema für Ihre Ordner und Dateien bieten.
- Die Leseberechtigung ist die Option „Anschauen, nicht anfassen“. Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
- Lesen/Schreiben ist die Option „alles tun“. Die Empfänger können eine Datei öffnen, ändern oder löschen.
The Old School Way
Der alte Freigabe-Dialog hatte mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias freizugeben, er erlaubte uns, die Anzahl der gleichzeitigen Verbindungen zu begrenzen und die Zwischenspeicherung zu konfigurieren. Keine dieser Funktionen ist in Windows 7 verloren gegangen, sondern ist unter einer Option namens „Erweiterte Freigabe“ versteckt. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und zu seinen Eigenschaften gehen, finden Sie diese „Erweiterte Freigabe“-Einstellungen unter der Registerkarte „Freigabe“.
Wenn Sie auf die Schaltfläche „Erweiterte Freigabe“ klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, die Sie von früheren Windows-Versionen kennen.
Wenn Sie auf die Schaltfläche „Berechtigungen“ klicken, werden Ihnen die 3 Einstellungen angezeigt, die wir alle kennen.
- Mit der Leseberechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Sie erlaubt jedoch keine Änderungen.
- Die Berechtigung „Ändern“ erlaubt Ihnen alles, was die Berechtigung „Lesen“ erlaubt, außerdem können Sie Dateien und Unterverzeichnisse hinzufügen, Unterordner löschen und Daten in den Dateien ändern.
- Die „Vollkontrolle“ ist die „Alleskönner“-Berechtigung unter den klassischen Berechtigungen, da sie Ihnen erlaubt, alle vorherigen Berechtigungen auszuführen. Zusätzlich gibt es Ihnen die erweiterte NTFS-Berechtigung, die nur für NTFS-Ordner gilt
NTFS-Berechtigungen
NTFS-Berechtigungen ermöglichen eine sehr granulare Kontrolle über Ihre Dateien und Ordner. Allerdings kann die Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung sowohl für jede einzelne Datei als auch für jeden einzelnen Ordner festlegen. Um NTFS-Berechtigungen für eine Datei festzulegen, klicken Sie mit der rechten Maustaste auf die Datei und gehen Sie zu den Dateieigenschaften, wo Sie auf die Registerkarte „Sicherheit“ wechseln müssen.
Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche „Bearbeiten“.
Wie Sie vielleicht sehen, gibt es eine ganze Reihe von NTFS-Berechtigungen, also schlüsseln wir sie auf. Zunächst sehen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.
- Die volle Kontrolle erlaubt Ihnen, die Datei zu lesen, zu schreiben, zu modifizieren, auszuführen, Attribute und Berechtigungen zu ändern und den Besitz der Datei zu übernehmen.
- Ändern ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
- Lesen & Ausführen ermöglicht das Anzeigen der Dateidaten, Attribute, Eigentümer und Berechtigungen und das Ausführen der Datei, wenn es sich um ein Programm handelt.
- Lesen ermöglicht das Öffnen der Datei, das Anzeigen der Attribute, des Besitzers und der Berechtigungen.
- Schreiben ermöglicht das Schreiben von Daten in die Datei, das Anhängen an die Datei und das Lesen oder Ändern der Attribute.
NTFS-Zugriffsrechte für Ordner haben leicht unterschiedliche Optionen, also sehen wir sie uns an.
- Volle Kontrolle erlaubt Ihnen, Dateien im Ordner zu lesen, zu schreiben, zu modifizieren und auszuführen, Attribute und Zugriffsrechte zu ändern und den Besitzer des Ordners oder der Dateien darin zu übernehmen.
- Ändern ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner und das Ändern von Attributen des Ordners oder der Dateien darin.
- Lesen & Ausführen ermöglicht das Anzeigen des Ordnerinhalts und das Anzeigen von Daten, Attributen, Eigentümern und Berechtigungen für Dateien im Ordner sowie das Ausführen von Dateien im Ordner.
- Ordnerinhalt auflisten ermöglicht das Anzeigen des Ordnerinhalts und das Anzeigen von Daten, Attributen, Eigentümern und Berechtigungen für Dateien im Ordner.
- Lesen ermöglicht es Ihnen, die Daten, Attribute, den Eigentümer und die Berechtigungen der Datei anzuzeigen.
- Schreiben ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und ihre Attribute zu lesen oder zu ändern.
In der Dokumentation von Microsoft heißt es auch, dass Sie mit „Ordnerinhalt auflisten“ Dateien innerhalb des Ordners ausführen können, aber dazu müssen Sie noch „Lesen & Ausführen“ aktivieren. Es ist eine sehr verwirrend dokumentierte Berechtigung.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass Benutzernamen und Gruppen eine alphanumerische Zeichenfolge darstellen, die als SID (Security Identifier) bezeichnet wird, und dass Freigabe- und NTFS-Berechtigungen an diese SIDs gebunden sind. Freigabeberechtigungen werden von LSSAS nur beim Zugriff über das Netzwerk geprüft, während NTFS-Berechtigungen nur auf den lokalen Rechnern gültig sind. Ich hoffe, Sie haben nun ein gutes Verständnis dafür, wie die Datei- und Ordnersicherheit in Windows 7 implementiert ist. Wenn Sie Fragen haben, können Sie diese gerne in den Kommentaren stellen.
Taylor Gibb ist ein professioneller Softwareentwickler mit fast einem Jahrzehnt Erfahrung. Er war zwei Jahre lang Microsoft Regional Director in Südafrika und wurde mehrfach als Microsoft MVP (Most Valued Professional) ausgezeichnet. Derzeit arbeitet er in der Abteilung R&D bei Derivco International.Vollständigen Lebenslauf lesen “