Listrechte und Access Based Enumeration –
Ein ideales Team

Vorgehensweise, bevor es ABE gab

Berechtigungen benötigt man auf dem Fileserver, damit man steuern kann, welche Benutzer Zugriff auf welche Daten erhalten sollen. Um den Zugriff granular zu regeln, gibt es bei Microsoft unterschiedliche Stufen des Zugriffs: Ordnerinhalt auflisten, Lesen und Ausführen, Ändern und so weiter.

Bis Windows Server 2008 musste man grundsätzlich sehr darauf achten, wie und vor allem wo man eine Ordnerstruktur anlegt. Hatte man Berechtigungen auf einem Ordner, so konnte man alle Unterordner dieses Ordners sehen, auch wenn man keine Berechtigungen darauf hat. Das bewirkt, dass zwar man den Inhalt des Ordners auf dem Fileserver nicht sehen kann, die Existenz des Ordners jedoch sehr wohl. In vielen Fällen kann das bereits unerwünscht sein, weil der Ordnername vertrauliche Informationen preisgibt (man denke beispielsweise an einen Ordner „Werk_Hamburg_Restrukturierung“, der schon ohne Kenntnis des genauen Inhalts Unruhe auslösen könnte). Man hat also dementsprechend Ordner in tieferen Ebenen „versteckt“, um sie vor den Blicken nicht berechtigter Benutzer zu schützen. Das führt natürlich zwangsweise zu tief verschachtelten und unübersichtlichen Strukturen.

Vorteile der ABE

Abhilfe schafft hierbei die sogenannte ABE (Access Based Enumeration). Einfach ausgedrückt werden bei ABE alle Verzeichnisse, auf denen der Benutzer keine Berechtigungen hat aus der Verzeichnisliste ausgeblendet. Um die ABE nutzen zu können, muss sie explizit aktiviert werden. Wie die Aktivierung auf Windows Server 2016 funktioniert, beschreibt der folgende Artikel: https://theitbros.com/config-access-based-enumeration-windows-server-2016/. Für NetApp existiert diese Funktion ebenfalls – hier erfolgt die Aktivierung über die ONTAP Command Line (siehe https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A6676E82-2E89-48C8-A014-369C58854113.html). Wenn man die Vorteile der ABE beschreibt, sollte man auch auf einen potentiellen Nachteil hinweisen: die Performance der Zugriffe kann mitunter stark unter der ABE leiden. Dieser Artikel beschreibt sehr detailliert die technischen Umstände hinter diesem Phänomen: https://blogs.technet.microsoft.com/askds/2016/09/01/access-based-enumeration-abe-concepts-part-1-of-2/

ABE und Listrechte

Die optimale Nutzung entfaltet die ABE bei korrekt gesetzten Listberechtigungen. Nachdem bei NTFS Berechtigungen (zum Beispiel „Ändern“-Berechtigungen) auf einem Ordner der Ebene 2 nicht automatisch dazu führen, dass der Benutzer durch die darüberliegende Ebene „browsen“ kann, müssen auf Ebene 1 explizit Listberechtigungen gesetzt werden. Am Besten erledigt man dies mit einer eigens dafür konzipierten Listgruppe. Die untergeordnete Berechtigungsgruppe für die Ebene 2 muss dann Mitglied der Listgruppe der Ebene 1 werden. Will man Berechtigungen auf tieferen Ebenen setzen, so verhält es sich analog: es gibt dann eine Listgruppe für Ebene 1 und Ebene 2, die Berechtigungsgruppe auf der dritten Ebene ist dann Mitglied der Listgruppen für Ebene 1 und Ebene 2. Die nebenstehende Grafik verdeutlicht den Ansatz.

Hinweis: Wichtig ist dabei, dass die Listgruppen so berechtigt werden, dass die Listberechtigung nicht auf untergeordnete Ordner und Dateien vererbt wird (Einschränkung der sogenannten „Propagation“) – denn das würde zwangsweise dazu führen, dass der Benutzer alle Ordner auf dem Fileserver durchsuchen könnte, da die Berechtigung der Listgruppe auf der Ebene 1 bis auf die letzten Ordner und Dateien weitervererbt wird.

Resultat

Durch entsprechend gesetzte Listgruppen in Kombination mit der eingeschalteten ABE erreicht man, dass der Benutzer genau nur die Pfade am Fileserver durchsuchen kann, hinter denen letztendlich Ordner stehen, auf dem der Benutzer berechtigt ist. Durch die Verschachtelung der Listgruppen mit den übrigen Berechtigungsgruppen ist die Zuweisung einer Ordnerberechtigung dann auch entsprechend einfach, denn es muss nur der Benutzer in die gewünschte Berechtigungsgruppe aufgenommen werden. Die zum Durchsuchen der übergeordneten Ordner benötigten Listrechte erhält der Benutzer „automatisch“ über die indirekte Mitgliedschaft in allen benötigten, übergeordneten Listgruppen.

Fazit

Obwohl die ABE nunmehr schon gute 10 Jahre zur Verfügung steht, gibt es nach wie vor viele Unternehmen, die ABE nicht einsetzen, obwohl sie für die Strukturierung des Fileservers viele Vorteile bringt. Zugegebenermaßen bereitet die beschriebene Vorgehensweise viel manuellen Aufwand bei der Strukturierung der Berechtigungen. Wenn viele Ordner berechtigt werden müssen, und diese in der zweiten oder dritten Ebene liegen, müssen mitunter hunderte oder tausende Gruppen verwaltet werden.

Unsere Software tenfold kann Sie hierbei wesentlich unterstützen, da alle manuellen Tätigkeiten wegfallen und stattdessen Ordner automatisch nach konfigurierbaren Regeln mit Best Practice-konformen Gruppen berechtigt werden. Hierbei werden auch Listgruppen automatisch erstellt und verwaltet. Details zum Fileserver-Berechtigungsmanagement mit tenfold finden Sie unter: https://www.tenfold-security.com/fileserver-berechtigungen

Kontakt aufnehmen:

By |2018-07-17T17:29:23+00:0016 / 07 / 2018|BLOG|

About the Author:

Michael Ugrinovich
Michael Ugrinovich ist Senior Manager Products & Services beim Software Hersteller tenfold. Mit seinem hochgradigen technischen Know-How setzt der diplomierte IT-Experte ununterbrochen neue Maßstäbe beim Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Er war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt. // Michael Ugrinovich is Senior Products & Services Manager at the software company tenfold. With his extensive technical knowledge, the certified IT expert has continued to set new standards in the fields of user and permissions management, as well as identity and access management. He was strongly involved in the development of the standard software product tenfold.