Junge Frau im Büro, die aufgrund nicht eingeschalteter Access Based Enumeration einen Ordner mit top secret Inhalten sehen konnte und jetzt mit jemandem telefoniert.

Mit Access Based Enumeration (ABE) ist es möglich, Objekte auf lokalen Ressourcen vor jenen Mitarbeitern zu verbergen, die keine Zugriffsrechte auf diesen spezifischen Dateien oder Ordnern besitzen. Warum das wichtig ist? Ganz einfach: Ohne ABE kann Frau Gruber zwar nicht auf den Ordner “Werk_Hamburg_Restrukturierung“ zugreifen, weil sie keine Berechtigung besitzt, sie kann ihn aber trotzdem sehen. Die Folge: Eine brodelnde Gerüchteküche, selbst ohne Kenntnis des genauen Inhalts.

Mit der Access Based Enumeration kann das nicht passieren. Diese Funktion sorgt nämlich dafür, dass Frau Gruber jene Objekte, auf denen sie nicht berechtigt ist, gar nicht erst angezeigt werden. Wir schauen uns an, wie man die ABE einrichtet, und wie sie auf den verschiedenen Windows-Laufwerken funktioniert.

Inhalte (verbergen)

Access Based Enumeration – was ist das?

In jedem Unternehmen gibt es mehrere Arten von Informationen: vertrauliche, geheime und streng geheime. Da sich normalerweise viele Personen den Fileserver teilen, auf dem diese Informationen liegen, gibt es NTFS-Berechtigungen. Dank NTFS oder New Technology File System lassen sich die Zugriffsrechte in Microsoft Windows sehr granular gestalten (z.B. Inhalt anzeigen, Lesen & ausführen, Ändern usw.)

Auf diese Weise wird sichergestellt, dass jeder Mitarbeiter, der über Netzwerk auf den Fileserver zugreift, tatsächlich nur jene Informationen sehen kann, die für seine Augen bestimmt sind. Wie man NTFS Berechtigungen korrekt setzt, erfahren Sie in diesem Artikel.

Warum Access Based Enumeration?

Bis Windows Server 2008 musste der Admin extrem darauf achten, wie und vor allem WO er eine Ordnerstruktur anlegte. Hatte ein Mitarbeiter nämlich Berechtigungen auf Ordner XY, dann konnte er automatisch auch alle Unterordner dieses Ordners sehen. Selbst dann, wenn er auf diesen Unterordnern nicht berechtigt war.

Wir hatten es also mit folgender Situation zu tun: Frau Gruber wusste zwar, dass ein Ordner oder eine Datei existierte, weil das Objekt ihr angezeigt wurde, aber sie konnte nicht auf die Inhalte des Objekts zugreifen. Das ist aus mehreren Gründen unbefriedigend:

  1. In vielen Fällen gibt bereits der Ordnername vertrauliche Informationen preis (siehe „Werk_Hamburg_Restrukturierung“).
  2. Viele Mitarbeiter glauben in solchen Fällen, dass ein Fehler vorliegt und bombardieren den Admin mit Emails à la “Warum sehe ich nicht, was in diesem Ordner ist?!”
  3. Es entstehen zu tief verschachtelte und unübersichtliche Strukturen auf dem Fileserver.

Zu den tief verschachtelten und unübersichtlichen Strukturen kommt es, weil der Admin Umwege finden musste, um bestimmte Objekte vor nicht berechtigten Augen zu verstecken. Diese Notwendigkeit führte häufig zu der Praxis, diese Objekte in tiefere Ebenen des Servers zu verschieben. Mit dem Ergebnis, dass sich am Ende natürlich niemand mehr auskannte. Die Access Based Enumeration löst diese Probleme.

Was ist Access Based Enumeration?

Die Access based Enumeration (ABE oder dt. berechtigungsgesteuerte Auflistung) wurde mit Windows Server 2003 R2 eingeführt. Seit Windows Server 2012 ist ABE als Option in der Verwaltungskonsole des Servermanagers verfügbar. Installieren können Sie das Feature mit der Fileserver-Rolle über den Servermanager. Durch die ABE werden alle Verzeichnisse und Dateien, auf denen der Benutzer keine Berechtigungen hat, automatisch aus der Verzeichnisliste ausgeblendet.

Access Based Enumeration aktivieren

Um die ABE nutzen zu können, muss sie explizit aktiviert werden. Wie die Aktivierung auf Windows Server 2016 funktioniert, beschreibt dieser Artikel. Für NetApp existiert diese Funktion ebenfalls, hier erfolgt die Aktivierung über die ONTAP Command Line. Damit die zugriffsbasierte Aufzählung funktioniert, müssen natürlich auch die NTFS-Berechtigungen entsprechend gesetzt werden. Wie das funktioniert, erfahren Sie in diesem Beitrag.

ABE in DSF

Seit Windows 2008 R2 funktioniert die zugriffsbasierte Auflistung auch in DFS (Distributed File System). Da sie auch hier standardmäßig nicht aktiv ist, muss sie mithilfe der DFS-Verwaltung aktiviert werden. Hier finden Sie weiterführende Informationen zur Aktivierung von ABE für einen DFS-Namespace.

Bürogebäude mit vielen Menschen, die sich Access Based Enumeration einsetzen.

Beeinflusst ABE die Performance?

Die Access based Enumeration greift bei der Anzeige von Informationen aus Freigaben ein. Um herauszufinden, welche Objekte versteckt werden sollen, muss Windows nämlich die Berechtigungen für alle Ordner und Dateien eines Ordners auslesen und gegenüber dem Benutzer auswerten.

Bei der Einführung 2003 erforderte dieser Vorgang eine nicht unerhebliche Prozessorleistung, die die Performance herabsetzte und folglich Mehrkosten verursachte. Über die technischen Hintergründe dieses Phänomens informiert Sie dieser Artikel.

Verringerte Performance durch ABE ist heute kein großes Thema mehr. Microsoft gibt derzeit selbst für sehr große Umgebungen einen Mehrbedarf von max. zwei bis drei Prozent der Prozessorleistung an. Gar keine Performance-Unterschiede zeigen sich bei Freigaben, in denen es insgesamt nicht mehr als 15.000 Dateien gibt.

ABE und Listrechte – Best Practice

Wie wir oben bereits gesehen haben, reicht es nicht aus, die ABE einfach nur zu aktivieren. Damit die Access Based Enumeration optimal funktioniert, müssen die Listberechtigungen (NTFS Berechtigungen) korrekt gesetzt sein.

Ein Beispiel: NTFS Berechtigungen für “Ändern“ auf einem Ordner der Ebene 2 führen nicht automatisch dazu, dass der Benutzer durch die darüberliegende Ebene „browsen“ kann. Damit er das kann, müssen auch auf Ebene 1 explizit entsprechende Listberechtigungen gesetzt werden. Idealerweise verwenden Sie hierfür eine eigens konzipierte Listgruppe.

Die untergeordnete Berechtigungsgruppe für die Ebene 2 muss dann Mitglied der Listgruppe der Ebene 1 werden. Will man Berechtigungen auf tieferen Ebenen setzen, so verhält es sich analog: es gibt dann eine Listgruppe für Ebene 1 und Ebene 2, die Berechtigungsgruppe auf der dritten Ebene ist dann Mitglied der Listgruppen für Ebene 1 und Ebene 2. Die folgende Grafik verdeutlicht diesen Ansatz:

Grafik zum Best Practice bei Access based Enumeration

Vererbung deaktivieren

Die ACL (Access Control List) besitzt die Eigenschaft der Vererbung. Das bedeutet, dass die gesetzten Zugriffsrechte automatisch auf untergeordnete Dateien oder Ordner weitergegeben werden. Damit ABE wie gewünscht funktioniert, ist es also sehr wichtig, dass Sie diese Vererbung (auch Propagation genannt) bei der Vergabe der Listberechtigungen einschränken.

Tun Sie dies nicht, führt das zwangsweise dazu, dass der Benutzer alle Ordner auf dem Fileserver durchsuchen könnte, da die Berechtigung der Listgruppe auf der Ebene 1 bis auf die letzten Ordner und Dateien weitervererbt wird. Wie Sie die Vererbungs-Funktion deaktivieren, erfahren Sie hier.

Access Based Enumeration erhöht Datensicherheit

Die berechtigungsgesteuerte Auflistung ist ein wichtiges Puzzleteil in Sachen Datenschutz. Natürlich ersetzt sie keine Firewall und keinen Virenscanner, aber sie erhöht die Datensicherheit im Inneren. Als Admin handeln Sie idealerweise nach der Devise “better safe than sorry”. Sie gehen also von der Möglichkeit aus, dass sich vereinzelt Benutzer durch sämtliche freigegebenen Objekte im Unternehmensnetzwerk klicken.

Ein nach seinem Einsatzzweck  benannter Ordner (z.B. “Umstruktierung_PM_Herbst_2021”) kann in einem solchen Szenario bereits Unsicherheiten und/oder Begehrlichkeiten wecken, selbst wenn der Benutzer keinen Zugriff auf die Inhalte hat.

Wir sprechen hier also nicht zwangsläufig von Datendiebstahl durch Mitarbeiter.  Aber auch Social Engineering oder anders gearteter Informationsmissbrauch kann einem Unternehmen erhebliche Schwierigkeiten bereiten.

Manueller Aufwand für ABE

Im Idealfall funktioniert die Access Based Enumeration folgendermaßen:

  1. Durch entsprechend gesetzte Listgruppen in Kombination mit der eingeschalteten ABE erreichen Sie, dass der Benutzer ausschließlich jene Pfade am Fileserver durchsuchen kann, hinter denen Ordner stehen, für die er auch wirklich berechtigt ist.
  2. Durch die Verschachtelung der Listgruppen mit den übrigen Berechtigungsgruppen ist die Zuweisung einer Ordnerberechtigung recht unkompliziert, denn Sie müssen den Benutzer lediglich in die gewünschte Berechtigungsgruppe aufnehmen.
  3. Die zum Durchsuchen der übergeordneten Ordner benötigten Listrechte erhält der Benutzer „automatisch“ über die indirekte Mitgliedschaft in allen benötigten, übergeordneten Listgruppen.

Sie sehen: Die Access Based Enumeration funktioniert. ABER: Sie funktioniert nur, solange Sie als Admin sämtliche Einstellungen nach den Best-Practice-Prinzipien vornehmen. Wenn Sie eine Freigabe oder deren Unterordner nicht korrekt konfigurieren oder die Freigabe aus Versehen in den Standardeinstellung belassen, dann wird dem Domänennutzer trotz aktivierter ABE die vollständige Verzeichnisliste ausgespielt.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Abhilfe schaffen durch Berechtigungsmanagement

Ab einer gewissen Anzahl von Mitarbeitern und entsprechend vielen geteilten Objekten am Fileserver steigert sich der manuelle Aufwand für den Admin massiv. Wenn viele Ordner berechtigt werden müssen, und diese zum Teil in der zweiten oder dritten Ebene liegen, müssen mitunter hunderte oder tausende von Gruppen verwaltet werden. Das ist nicht nur sehr viel Arbeit, sondern es birgt natürlich auch ein sehr großes Fehlerpotenzial.

Für Unternehmen ab 100 IT-Usern ist es daher sinnvoll, diesen Prozess zu vereinfachen und eine Software für Berechtigungsmanagement einzusetzen.


Unsere Software tenfold erstellt und verwaltet Listgruppen automatisch und setzt Berechtigungen für Ordner nach konfigurierbaren Regeln mit Best Practice-konformen Gruppen. (Mehr Informationen zum Fileserver-Berechtigungsmanagement mit tenfold.)

Berechtigungen automatisch verwalten

In den meisten Unternehmen, die bisher ohne Berechtigungsmanagement bzw. Identity and Access Management gearbeitet haben, gibt es Mitarbeiter mit veralteten und/oder überflüssigen Berechtigungen. Der Grund dafür ist in vielen Fällen die Praxis des sog. Referenzusers.

tenfold erstellt und verwaltet also nicht nur Listgruppen automatisch, damit die Access Based Enumeration optimal funktioniert, sondern die Software entfernt auch alle überflüssigen Berechtigungen, die im Unternehmen zum Zeitpunkt der Implementierung aktiv sind.

Dies gelingt mithilfe eines sog. Profilsystems, das zu Beginn einmalig definiert werden muss, und anschließend die wichtigsten Standardrechte aufgrund von Abteilungszugehörigkeit und anderen Attributen vollautomatisch und quer durch alle System (Active Directory®, SAP® usw.) zuteilt.

Da wir uns in Sachen IT-Sicherheit natürlich nicht nur auf das initiale Abgleichen von Profilen und effektiven Berechtigungen verlassen, gibt es außerdem die sog. Rezertifizierung. Diese “zwingt” den Data Owner regelmäßig dazu, sämtliche Berechtigungen in seinem Bereich zu überprüfen und diese entweder zu bestätigen oder sie zu entfernen.

Quellen:

http://woshub.com/enable-access-based-enumeration-in-windows-server/

https://www.tecchannel.de/a/access-based-enumeration,461619,2

https://www.privalnetworx.de/access-based-enumeration-abe

https://docs.microsoft.com/de-de/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace