Access Based Enumeration und Listrechte: Best Practice
Mit Access Based Enumeration (ABE) ist es möglich, Dateien und Ordner vor Mitarbeitern zu verbergen, die keinen Zugriff auf diese Objekte haben. Das Verstecken von Verzeichnissen mit ABE erleichtert die Navigation auf dem Fileserver, da Benutzer nur Ordner sehen, die sie auch öffnen können. Zudem verhindert Access Based Enumeration die Verbreitung von Gerüchten, wenn Mitarbeiter über den Inhalt von Ordnern mit sprechenden Namen wie “Werk_Hamburg_Restrukturierung” spekulieren. In diesem Beitrag sehen wir uns an, wie Admins Access Based Enumeration in unterschiedlichen Windows Versionen aktivieren können und was bei der Einrichtung von ABE zu beachten ist.
Access Based Enumeration – was ist das?
In jedem Unternehmen gibt es unterschiedliche Daten, auf die unterschiedliche Mitarbeiter Zugriff benötigen – abhängig von ihrer Geschäftsrolle. Da diese Daten meist auf einem zentralen Fileserver gelagert sind, müssen Admins durch die Vergabe von NTFS-Berechtigungen und Freigabeberechtigungen sicherstellen, dass jeder Benutzer nur auf die für ihn vorgesehenen Verzeichnisse zugreifen kann. IT-Zugriffsrechte auf ein Minimum zu beschränken, wie es das Least Privilege Prinzip vorsieht, zählt zu den Best Practices der Informationssicherheit und hilft dabei, Cyberangriffen sowie Datendiebstahl durch Mitarbeiter vorzubeugen.
Bei der Beschränkung des Zugriffs in Windows Namespaces stoßen Admins jedoch auf ein weiteres Problem: Standardmäßig können Benutzer auch Verzeichnisse sehen, die sie gar nicht öffnen können. Das kann die Existenz sensibler Ordner offenlegen, die Navigation zum richtigen Verzeichnis erschweren und zu einer Flut an Support-E-Mails führen, wenn User von einem Irrtum ausgehen. Access Based Enumeration löst all diese Probleme, indem Benutzer nur noch Objekte sehen, mit denen sie auch interagieren können.
Warum Access Based Enumeration?
Bis Windows Server 2008 musste der Admin extrem darauf achten, wie und vor allem WO er eine Ordnerstruktur anlegte. Hatte ein Mitarbeiter nämlich Berechtigungen auf Ordner XY, dann konnte er automatisch auch alle Unterordner dieses Ordners sehen. Selbst dann, wenn er auf diesen Unterordnern nicht berechtigt war. Das führte zu mehreren Problemen:
In vielen Fällen gibt bereits der Ordnername vertrauliche Informationen preis (siehe „Werk_Hamburg_Restrukturierung“).
Viele Mitarbeiter glauben in solchen Fällen, dass ein Fehler vorliegt und bombardieren den Admin mit Nachrichten wie “Warum sehe ich nicht, was in diesem Ordner ist?!”
Sackgassen und gesperrte Verzeichnisse machen die Navigation auf dem Fileserver unnötig kompliziert.
Um diese Probleme zu umgehen, mussten Admins Umwege finden, um bestimmte Objekte vor nicht berechtigten Augen zu verstecken. Diese Notwendigkeit führte häufig zu der Praxis, diese Objekte in tiefere Ebenen des Servers zu verschieben. Mit dem Ergebnis, dass sich am Ende natürlich niemand mehr auskannte. Dank Access Based Enumeration ist dies nicht mehr notwendig.
Access Based Enumeration aktivieren
Die Access based Enumeration (dt. zugriffsbasierte Aufzählung) wurde mit Windows Server 2003 R2 eingeführt. Da ABE nicht standardmäßig aktiv ist, müssen Admins das Feature erst aktivieren, um von den Vorteilen zu profitieren. ABE existiert neben Windows Fileservern auch in anderen Dateisystemen wie NetApp, wo sie über die ONTAP Command Line eingeschaltet werden kann.
Je nachdem, welche Version von Windows Server Ihre Organisation verwendet, gibt es mehrere Möglichkeiten um ABE über Adminkonsolen bzw. die Kommandozeile zu aktivieren.
- Server Manager Konsole
In Windows Server 2012 und neueren Versionen kann ABE über die Serverrolle Datei-/Speicherdienste aktiviert werden. Sie finden die Einstellung per Rechtsklick auf die gewünschte Freigabe unter Eigenschaften -> Einstellungen -> Zugriffsbasierte Aufzählung aktivieren.
- PowerShell
Wenn das SMBShare-Modul installiert ist, lässt sich Access Based Enumeration mit dem Cmdlet Set-SmbShare aktiveren. Dazu setzen Sie den Parameter -FolderEnumerationMode auf AccessBased. Der vollständige Befehl hätte also die Form Set-SmbShare -Name “Beispielfreigabe” -FolderEnumerationMode AccessBased.
- Gruppenrichtlinienobjekt
Access Based Enumeration kann auch über ein GPO aktiviert werden. Die Einstellung findet sich unter Computerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Netzwerkfreigaben.
ABE in DFS
Seit Windows 2008 R2 funktioniert die zugriffsbasierte Aufzählung auch im Distributed File System (DFS). Da sie auch hier standardmäßig nicht aktiv ist, muss sie mithilfe der DFS-Verwaltung aktiviert werden. Hier finden Sie weiterführende Informationen zur Aktivierung von ABE für einen DFS-Namespace. Auch hier gibt es mehrere Möglichkeiten, um ABE in einem DFS-Namespace zu aktivieren:
DFS-Verwaltung: Sie können ABE über die Server Manager Konsole aktivieren. Die Einstellung liegt unter Tools -> DFS-Verwaltung. Klicken Sie mit der rechten Maustaste auf den gewünschten Namespace und wählen Sie Eigenschaften -> Erweitert -> Zugriffsbasierte Aufzählung aktivieren.
Befehlszeile: Öffnen Sie die Befehlszeile auf einem Server, auf dem der Rollendienst Verteiltes Dateisystem bzw. DSF Tools installiert sind. Anschließend geben Sie den Befehl “dfsutil property abe enable \\ NamespaceRoot” ein.
PowerShell: Anstatt der Eingabeaufforderung kann ABE in DFS Namespaces auch mittels des PowerShell Cmdlets Set-DfsnRoot aktiviert werden. Dazu setzen Sie den –EnableAccessBasedEnumeration Parameter auf $true, etwa durch die Eingabe von Set-DfsnRoot -Path “NamespaceRoot” -EnableAccessBasedEnumeration $True.
Beeinflusst ABE die Performance?
Die Access based Enumeration greift bei der Anzeige von Informationen aus Freigaben ein. Um herauszufinden, welche Objekte versteckt werden sollen, muss Windows nämlich die Access Control List jedes Ordners und jeder Datei in einem Verzeichnis auslesen und mit den Berechtigungen des Benutzers abgleichen.
Bei der Einführung 2003 erforderte dieser Vorgang eine nicht unerhebliche Prozessorleistung, die die Performance herabsetzte und folglich Mehrkosten verursachte. Über die technischen Hintergründe dieses Phänomens informiert Sie dieser Artikel.
Verringerte Performance durch ABE ist heute kein großes Thema mehr. Microsoft gibt derzeit selbst für sehr große Umgebungen einen Mehrbedarf von max. zwei bis drei Prozent der Prozessorleistung an. Gar keine Performance-Unterschiede zeigen sich bei Freigaben, in denen es insgesamt nicht mehr als 15.000 Dateien gibt.
ABE und Listrechte – Best Practice
Access Based Enumeration erlaubt es, Verzeichnisse auf die ein Benutzer keinen Zugriff hat zu verbergen. Das kann dazu führen, dass ein User eine explizite Berechtigung für ein Unterverzeichnis erhält, aber nicht dorthin navigieren kann, weil ihm der Zugang zu den dazwischenliegenden Ebenen fehlt. Um das zu verhindern, müssen die Listberechtigungen (Ordnerinhalt anzeigen) korrekt gesetzt sein.
Ein Beispiel: NTFS Berechtigungen für “Ändern“ auf einem Ordner der Ebene 2 führen nicht automatisch dazu, dass der Benutzer durch die darüberliegende Ebene „browsen“ kann. Damit er das kann, ist auch auf Ebene 1 eine explizite Listberechtigung notwendig. Über verschachtelte Listgruppen lässt sich die Vergabe automatisieren.
Die einfachste Lösung: Die Berechtigungsgruppe, die dem User Zugriff auf einen Ordner der Ebene 2 gibt ist selbst Mitglied der Listgruppe für das darüberliegende Verzeichnis. Benutzer, die zu der Berechtigungsgruppe hinzugefügt werden, erhalten so automatisch die Berechtigung “Ordnerinhalt anzeigen” für übergeordnete Verzeichnisse.
Auf tieferen Ebenen verhält es sich ähnlich, wobei hier mehrere verschachtelte Listgruppen notwendig sind. Da die Menge an erforderlichen Gruppen schnell ansteigt und Windows nur eine begrenzte Zahl an Gruppenmitgliedschaften pro SID erlaubt, sollten Admins explizite Berechtigungen auf tiefen Ebenen vermeiden.
Die Nutzung verschachtelter Gruppen ähnelt dem AGDLP-Prinzip, Microsofts empfohlener Vorgehensweise für die rollenbasierte Berechtigungsvergabe in Windows-Umgebungen.
Vererbung deaktivieren
Die ACL (Access Control List) besitzt die Eigenschaft der Vererbung. Das bedeutet, dass die gesetzten Zugriffsrechte automatisch auf untergeordnete Dateien oder Ordner weitergegeben werden. Damit ABE wie gewünscht funktioniert, ist es also sehr wichtig, dass Sie diese Vererbung (auch Propagation genannt) bei der Vergabe der Listberechtigungen einschränken.
Tun Sie dies nicht, führt das zwangsweise dazu, dass der Benutzer alle Ordner auf dem Fileserver durchsuchen könnte, da die Berechtigung der Listgruppe auf der Ebene 1 bis auf die letzten Ordner und Dateien weitervererbt wird. Wie Sie die Vererbungs-Funktion deaktivieren, erfahren Sie hier.
Access Based Enumeration erhöht Datensicherheit
Die berechtigungsgesteuerte Auflistung ist ein wichtiges Puzzleteil in Sachen Datenschutz. Natürlich ersetzt sie keine Firewall und keinen Virenscanner, aber sie erhöht die Datensicherheit im Inneren. Als Admin handeln Sie idealerweise nach der Devise “better safe than sorry”. Sie gehen also von der Möglichkeit aus, dass sich vereinzelt Benutzer durch sämtliche freigegebenen Objekte im Unternehmensnetzwerk klicken.
Ein nach seinem Einsatzzweck benannter Ordner (z.B. “Umstruktierung_PM_Herbst_2023”) kann in einem solchen Szenario bereits Unsicherheiten und/oder Begehrlichkeiten wecken, selbst wenn der Benutzer keinen Zugriff auf die Inhalte hat.
Wir sprechen hier also nicht zwangsläufig von Datendiebstahl durch Mitarbeiter. Aber auch Social Engineering oder anders gearteter Informationsmissbrauch kann einem Unternehmen erhebliche Schwierigkeiten bereiten.
Noch mehr Tipps zum Schutz von Daten und Systemen finden Sie in unserem Artikel zum Thema Active Directory Sicherheit.
Manueller Aufwand für ABE
Im Idealfall funktioniert die Access Based Enumeration folgendermaßen:
Durch entsprechend gesetzte Listgruppen in Kombination mit der eingeschalteten ABE erreichen Sie, dass der Benutzer ausschließlich jene Pfade am Fileserver durchsuchen kann, hinter denen Ordner stehen, für die er auch wirklich berechtigt ist.
Durch die Verschachtelung der Listgruppen mit den übrigen Berechtigungsgruppen ist die Zuweisung einer Ordnerberechtigung recht unkompliziert, denn Sie müssen den Benutzer lediglich in die gewünschte Berechtigungsgruppe aufnehmen.
Die zum Durchsuchen der übergeordneten Ordner benötigten Listrechte erhält der Benutzer „automatisch“ über die indirekte Mitgliedschaft in allen benötigten, übergeordneten Listgruppen.
Sie sehen: Die Access Based Enumeration funktioniert. ABER: Sie funktioniert nur, solange Sie als Admin sämtliche Einstellungen nach den Best-Practice-Prinzipien vornehmen. Wenn Sie eine Freigabe oder deren Unterordner nicht korrekt konfigurieren oder die Freigabe aus Versehen in den Standardeinstellung belassen, dann wird dem Domänennutzer trotz aktivierter ABE die vollständige Verzeichnisliste ausgespielt.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Abhilfe schaffen durch Berechtigungsmanagement
Ab einer gewissen Anzahl von Mitarbeitern und entsprechend vielen geteilten Objekten am Fileserver steigert sich der manuelle Aufwand für den Admin massiv. Wenn viele Ordner berechtigt werden müssen, und diese zum Teil in der zweiten oder dritten Ebene liegen, müssen mitunter hunderte oder tausende von Gruppen verwaltet werden. Das ist nicht nur sehr viel Arbeit, sondern es birgt natürlich auch ein sehr großes Fehlerpotenzial.
Für Unternehmen ab 100 IT-Usern ist es daher sinnvoll, diesen Prozess zu vereinfachen und eine Software für Berechtigungsmanagement einzusetzen.
Unsere Software tenfold erstellt und verwaltet Listgruppen automatisch und setzt Berechtigungen für Ordner nach konfigurierbaren Regeln mit Best Practice-konformen Gruppen. (Mehr Informationen zum Fileserver-Berechtigungsmanagement mit tenfold.)
Berechtigungen automatisch verwalten
In den meisten Unternehmen, die bisher ohne Berechtigungsmanagement bzw. Identity und Access Management gearbeitet haben, gibt es Mitarbeiter mit veralteten und/oder überflüssigen Berechtigungen. Der Grund dafür ist in vielen Fällen die Praxis des sog. Referenzusers.
tenfold erstellt und verwaltet also nicht nur Listgruppen automatisch, damit die Access Based Enumeration optimal funktioniert, sondern die Software entfernt auch alle überflüssigen Berechtigungen, die im Unternehmen zum Zeitpunkt der Implementierung aktiv sind.
Dies gelingt mithilfe eines sog. Profilsystems, das zu Beginn einmalig definiert werden muss, und anschließend die wichtigsten Standardrechte aufgrund von Abteilungszugehörigkeit und anderen Attributen vollautomatisch und quer durch alle System (Active Directory®, SAP® usw.) zuteilt.
Da wir uns in Sachen IT-Sicherheit natürlich nicht nur auf das initiale Abgleichen von Profilen und effektiven Berechtigungen verlassen, gibt es außerdem die sog. Rezertifizierung. Diese “zwingt” den Data Owner regelmäßig dazu, sämtliche Berechtigungen in seinem Bereich zu überprüfen und diese entweder zu bestätigen oder sie zu entfernen.
Was macht tenfold zur besten IAM Software für mittelständische Organisationen?