NTFS Berechtigungen: Windows Berechtigungen richtig verwalten!

NTFS Berechtigungen haben den Zweck, den Zugriff auf Verzeichnisse in Windows-Umgebungen zu steuern. Obwohl jeder Admin weiß, wie man NTFS Rechte zuweist, ist die korrekte und einheitliche Verwaltung bei großen Benutzerzahlen keine leichte Sache. In unserem Ratgeber erfahren Sie, wie man die 5 häufigsten Fehler bei NTFS Berechtigungen vermeidet. Außerdem erklären wir Best Practices für NTFS Rechte auf Ihrem Fileserver!

NTFS Berechtigungen setzen – so geht’s!

Über NTFS Berechtigungen können sowohl einzelne Benutzer als auch Gruppen auf einem Verzeichnis berechtigt werden. Anders als bei Freigabeberechtigungen, bei denen lediglich die Berechtigungsstufen Lesen, Ändern und Vollzugriff möglich sind, lassen sich die Zugriffe bei NTFS-Berechtigungen deutlich granularer einstellen. Wer NTFS Rechte einstellen möchte, öffnet dazu per Rechtsklick auf einen Ordner bzw. eine Datei das Menü Eigenschaften. In der Registerkarte Sicherheit lassen sich dann die Berechtigungen einstellen.

NTFS Berechtigungsstufen, die hier zur Verfügung stehen, sind:

  • Ordnerinhalt anzeigen: Der Benutzer darf sehen, welche Verzeichnisse und Dateien sich im Ordner befinden.

  • Lesen: Der Benutzer darf nicht nur sehen, welche Verzeichnisse und Dateien sich in einem Ordner befinden, sondern er darf auch die Inhalte einsehen.

  • Lesen & Ausführen: Der Benutzer darf den Inhalt von Dateien in dem Ordner inklusive Skripte anzeigen und Programme ausführen.

  • Schreiben: Der Benutzer darf Dateien und Unterverzeichnisse hinzufügen und auch in eine Datei hineinschreiben.

  • Ändern: Der Benutzer darf sehen, lesen, ausführen und schreiben.

  • Vollzugriff: Der Benutzer darf den Inhalt von Dateien und Verzeichnissen ändern. Darüber hinaus darf er aber auch Systemeinstellungen (z.B. Berechtigungen oder Besitz des Ordners) verändern.

  • Spezielle Berechtigungen: Über die erweiterten Sicherheitseinstellungen können auch spezielle Rechte wie Attribute lesen, Dateien erstellen oder Unterordner und -dateien löschen zugewiesen werden.

Um Windows Berechtigungen erfolgreich zu verwalten, ist es wichtig, den Zusammenhang zwischen NTFS und Freigabeberechtigungen zu verstehen. Hier die Kurzversion: Freigabe- und NTFS-Rechte können in Kombination verwendet werden. Beim Dateizugriff hat in diesem Fall die niedrigere Berechtigungsstufe Priorität. Ist etwa als Freigabeberechtigung Ändern und bei NTFS Lesen eingestellt, hat der Benutzer nur Leserechte.

Selbstverständlich greifen Freigabeberechtigungen nur beim Zugriff über das Netzwerk. Aufgrund dieser Einschränkung und da NTFS-Rechte mehr Abstufungen bieten, ist es gängige Praxis, Freigaberechte auf einem hohen Level zu belassen (Vollzugriff für Admins, Ändern für normale User) und die effektiven Rechte mittels NTFS zu steuern. So vermeiden Sie Konflikte und können Rechte viel genauer an Ihren Bedarf anpassen.

Die 5 häufigsten Fehler beim NTFS Berechtigungen setzen

1

Benutzer direkt berechtigen

Der häufigste Fehler, der beim NTFS Berechtigungen setzen begangen wird, ist es, Benutzerobjekte auf einem Verzeichnis direkt zu berechtigen, anstatt den Zugang über Gruppenmitgliedschaften zu steuern. Der direkte Weg spart zwar kurzfristig Zeit, rächt sich aber wenn es später darum geht, Berechtigungen zu ändern oder zu entfernen.

Ja, es kostet Zeit und Aufwand die nötigen globalen Benutzergruppen und lokalen Berechtigungsgruppen anzulegen, um Microsofts AGDLP-Prinzip umzusetzen, welches die Grundlage für rollenbasierte Berechtigungsvergabe in Windows-Systemen bildet. Aber das ist immernoch einfacher, als händisch tausende von Berechtigungen zu managen. Um den Zugang zu einem Verzeichnis anzupassen genügt so eine Änderung an einer Gruppe anstatt dutzende Anpassungen für alle Nutzer.

Neben dem langfristig höheren Aufwand haben direkte Berechtigungen ein weiteres Problem: fehlende Transparenz. Während Gruppenmitgliedschaften in den Eigenschaften eines Benutzerkontos aufscheinen, werden direkte Rechte hier nicht angezeigt. Diese sind nur in den Einstellungen des jeweiligen Verzeichnisses zu sehen. Und mal ehrlich: Wer kontrolliert schon einzelne Ordner auf einem Fileserver mit hunderten Verzeichnissen?

Wird ein direkt berechtigter Benutzer gelöscht, bleibt zudem eine sogenannte verwaiste SID zurück (erkennbar an den berüchtigten Einträgen in der Form Unbekanntes Konto (S-123-12345-12345)). Das Problem ist, dass Windows zwar das Benutzerkonto samt Gruppenmitgliedschaften entfernt, nicht aber die Access Control Entries in der ACL.

2

Organisationsgruppen als Berechtigungsgruppen verwenden

Gerade bei Abteilungslaufwerken werden häufig Benutzergruppen direkt berechtigt, anstatt den Zugriff über die Mitgliedschaft in einer eigenen Berechtigungsgruppe zu steuern. Besser ist es jedoch, Organisationsgruppen nur zu nutzen, um Benutzer mit der gleichen Geschäftsrolle zusammenzufassen. Also Konten, die Zugriff zu den gleichen Ressourcen benötigen.

Um anschließend allen Benutzern einer Gruppe bestimmte Berechtigungen zu geben, muss die Organisationsgruppe Mitglied der gewünschten Lese- oder Schreibgruppe für das Verzeichnis werden.

Anderenfalls droht hier das gleiche Problem wie bei direkt berechtigten Benutzerkonten: Verminderte Transparenz und das Risiko von verwaisten Einträgen, wenn jemand die Struktur ändern oder einen Benutzer löschen sollte.

3

Berechtigungsgruppen mehrfach verwenden

Selbst in Organisationen, die NTFS Berechtigungen wie empfohlen nur über Berechtigungsgruppen setzen, kann ein weiteres häufiges Problem entstehen: Das Wiederverwenden einer Berechtigungsgruppe, um zusätzliche Rechte zu vergeben. Aus Gründen der Bequemlichkeit sind viele Admins versucht, lieber eine bestehende Gruppe anzupassen, als eine neue Gruppe anzulegen. Gerade, wenn es um kleine Änderungen geht.

Auch hier leidet die Transparenz, da Benutzer in der Gruppe nun mehr Rechte haben, als der Gruppenname anzeigt. Das macht das Auslesen von Active Directory Berechtigungen anhand von Gruppenmitgliedschaften erheblich schwerer. Fügen Admins später neue User zu der jeweiligen Gruppe hinzu, erhalten diese mehr Berechtigungen als vorgesehen, was zu Privilege Creep führt und das Risiko von Datendiebstahl durch Mitarbeiter steigert.

4

Konventionen nicht einhalten

Eine Gemeinsamkeit, die sich in den häufigsten NTFS Fehlern abzeichnet: Weichen Admins von vorgesehenen Arbeitsabläufen ab, egal ob es dabei um Namenskonventionen oder die Nutzung von Gruppen geht, führt das schnell zu Chaos . Die Einhaltung von NTFS Best Practices erfordert ein hohes Maß an organisationsweiter Disziplin. Die unterschiedlichen Administratoren müssen alle nach dem gleichen Standard und mit den gleichen Namenskonventionen arbeiten, da es sonst zu Verwechslungen und anderen strukturellen Problemen kommen kann.

5

Listrechte nicht oder falsch setzen

Es kann vorkommen, dass ein Benutzer Zugriff auf ein Unterverzeichnis erhält, über den Windows Explorer jedoch nicht dorthin navigieren kann. Das liegt daran, dass die Berechtigung auf einen Ordner nicht automatisch bedeutet, dass User auch übergeordnete Verzeichnisse anzeigen dürfen. Um ans Ziel zu gelangen, müssten Benutzer also den genauen Pfad in die Adresszeile des Windows Explorer eingeben. Da normale Anwender jedoch durchs System navigieren, indem sie von Ordner zu Ordner klicken, sollten Admins sicherstellen, dass ihr Ziel auch über die grafische Oberfläche erreichbar ist.

Dazu müssen Benutzer Listrechte (Ordnerinhalt anzeigen) für alle darüberliegenden Verzeichnisse erhalten. Am besten wird dies durch spezielle Berechtigungsgruppen (Listgruppen) realisiert, die mit den eigentlichen Berechtigungsgruppen verschachtelt werden. So erhält ein Benutzer über die Mitgliedschaft in einer Schreib- oder Lesegruppe automatisch auch alle notwendigen Listberechtigungen.

Achtung: Bei diesem Vorgehen ist es wichtig, auf das Einschränken der Vererbung zu achten, damit Benutzer nur Listrechte für Verzeichnisse erhalten, die tatsächlich auf dem Pfad zum Ziel liegen. Wer Benutzern automatisch die Berechtigung Ordnerinhalt anzeigen für alle darüberliegenden Ordner erteilt, erlaubt ihnen andernfalls den gesamten Fileserver durchzuklicken. Damit Ihnen dieser Fehler nicht passiert, informiert unser gratis Whitepaper Sie über die Best Practices zur Verwaltung von Berechtigungen in Microsoft-Umgebungen!

Weitere Best Practices rund um die sichere Verwaltung von Windows-Umgebungen finden Sie in unserem Beitrag zum Thema Active Directory Sicherheit.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Best Practices im Umgang mit NTFS Berechtigungen

Anhand der häufigsten NTFS Fehler hätten wir damit geklärt, was man in Bezug auf NTFS Rechte vermeiden sollte. Aber wie verwaltet man NTFS Berechtigungen nun richtig? Auch hier gibt es einige Punkte zu beachten. In unserer Übersicht haben wir die wichtigsten Tipps und Empfehlungen gesammelt, um NTFS Berechtigungen sicher und effizient zu steuern.

Einheitliche Policies

Um Übersicht und Nachvollziehbarkeit zu gewährleisten, ist ein einheitliches Vorgehen bei Gruppenbezeichnungen, Ordner-Strukturen und Berechtigungsstufen entscheidend. Gerade in größeren IT-Teams ist das nicht immer einfach. Damit auch ein Team aus mehreren Admins immer nach dem gleichen Muster arbeitet, hilft es, Standards für das eigene Netzwerk in einer schriftlichen Richtlinie zu dokumentieren. So können sich Administratoren bei Fragen an einem Referenzdokument orientieren.

Immer Berechtigungsgruppen verwenden

Für das ordnungsgemäße NTFS Berechtigungen setzen sollten stets entsprechende Berechtigungsgruppen verwendet werden. Das direkte Setzen von NTFS Berechtigungen für Benutzerobjekte sollte vermieden werden. Wird der Benutzer zu einem späteren Zeitpunkt nämlich aus dem Active Directory gelöscht, so bleibt ein verwaister Eintrag im Verzeichnis zurück.

Root frei halten

Können Benutzer neue Ordner im Root-Verzeichnis anlegen (also der obersten Ebene des Dateisystems), ist die übersichtliche Ordner-Struktur schnell Geschichte. Deshalb dürfen nur Admins Root bearbeiten oder neue Objekte anlegen, alle anderen Benutzer arbeiten in tieferen Ebenen des Dateisystems.

Vollzugriff vermeiden

Es versteht sich eigentlich von selbst, aber normale Nutzer sollten unter keinen Umständen die Berechtigungsstufe Vollzugriff erhalten. Die Ändern-Berechtigung erlaubt bereits das Anlegen, Bearbeiten und Löschen von Dateien. Alles, was Vollzugriff darüber hinaus bietet, ist die Möglichkeit Systemeinstellungen zu ändern, was ein normaler User ohnehin nicht tun sollte.

IT-Administrator liest NTFS Rechte an einem Laptop aus.
NTFS Berechtigungen Best Practices: So verwalten Sie Windows Rechte sicher und effizient! Adobe Stock, (c) greenbutterfly

Listrechte über Verschachtelung zuweisen

Ein Benutzer, der auf einem Ordner berechtigt ist (z.B. mit der Berechtigung Lesen & Ausführen), benötigt zusätzlich zur eigentlichen Berechtigung auf allen übergeordneten Ordnern die Berechtigung Ordnerinhalt anzeigen, um bis zum eigentlichen Ordner navigieren zu können. Im Optimalfall werden die notwendigen Gruppen ineinander verschachtelt, sodass jeder Benutzer automatisch die NTFS-Berechtigungen zum Browsen erhält, wenn er die entsprechende Berechtigung auf dem untergeordneten Ordner erhält.

Wenige Ebenen verwenden

Explizite NTFS Berechtigungen sollten nur auf den obersten Ebenen des Verzeichnisbaums vergeben werden, z.B. bis zur zweiten oder dritten Ebene. Alle darunterliegenden Ebenen werden nur passiv durch die Vererbung von Berechtigungen gesteuert.

Das Problem bei aktiver Berechtigungsvergabe auf tiefen Ebenen: Mit jeder weiteren Ebene wächst die Zahl an notwendigen Berechtigungs- und Listgruppen exponential. Das sorgt nicht nur für Verwaltungsaufwand: In Windows-Systemen gibt es ein Limit, wie viele Gruppenmitgliedschaften die SID eines Benutzers haben kann (ca. 1.000). Wird diese Zahl überstiegen, schneidet das System Einträge ab und Benutzer erhalten nicht alle Rechte.

Vererbung nicht aufbrechen

Bei Windows-Berechtigungen gibt es die Möglichkeit, auf jeder Ordnerebene die Vererbung von NTFS-Berechtigungen „aufzubrechen“. Das bedeutet, dass der übliche Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen) durchbrochen wird und gänzlich neue NTFS Berechtigungen gesetzt werden können. Dies trägt dazu bei, dass das Auslesen der NTFS Berechtigungen erschwert wird – die Berechtigungssituation wird schnell unüberschaubar.

Access Based Enumeration aktivieren

Seit Windows 2003 R2 gibt es mit der Access Based Enumeration (ABE) die Möglichkeit, für den Benutzer alle Ordner auszublenden, auf die er aufgrund der NTFS-Berechtigungen keinen Zugriff hat. Das Aktivieren dieser Einstellung trägt wesentlich zur Übersichtlichkeit für die Benutzer bei, da der Benutzer nicht aus zig oder Hunderten Verzeichnissen diejenigen auswählen muss, auf die er Zugriff hat.

Least Privilege einhalten

Das Least Privilege Prinzip sieht vor, dass jeder Benutzer nur die Berechtigungen erhält, die zur Erfüllung seiner Aufgaben zwingend erforderlich sind. Das Eliminieren überflüssiger Rechte verhindert, dass Angreifer diese missbrauchen nachdem nach sie Zugang zu einem Konto erlangen und ist ein wichtiger Grundsatz moderner Sicherheitskonzepte wie Zero Trust. Die sparsame Vergabe von Berechtigungen ist ebenso ein wichtiger Teil von Standards wie ISO 27001, dem IT Grundschutz oder dem NIST Cybersecurity Framework.

Gratis Webinar

Hinter den Kulissen von Teams & OneDrive: Das geheime Leben geteilter Daten

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.