Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003

Das Verschieben und Kopieren von Objekten oder ganzer Teilbäume aus oder in Verzeichnisse umfasst mehrere zum Teil versteckte Vorgänge, welche die bewegten Datenobjekte und Verzeichnisstrukturen unbrauchbar machen können. Die Gefährdung geht weniger vom einzelnen Benutzer aus, sondern eher von Administratoren, da sie zum Teil große oder systemkritische Datenbestände bewegen müssen.

Die klassische Gefahr, die oft bei Migrationsszenarien anzutreffen ist, stellt das Verschieben von Objekten des Dateisystems über Medien- oder Systemgrenzen hinweg dar. Vor dem Entfernen der Daten von ihrem Ursprungsort findet keine Kontrolle dieser Daten am Zielort statt. Die von der Verschiebung betroffenen Daten sind gegebenenfalls verloren.

Weniger offensichtlich ist das Verhalten der Meta-Informationen von Objekten, z. B. Zugriffsberechtigungen oder andere Attribute, die für mehrere Objekte gleichzeitig gelten. Oft sind komplexe Berechtigungsstrukturen mit automatischen Vererbungsmechanismen über die Verzeichnisstruktur gestülpt, die an Ursprungs- und Zielort unterschiedlich wirken. Beim Transfer von Dateien unterscheidet Microsoft Windows beispielsweise zwischen Kopieren und Verschieben einer Datei. Verschieben bewirkt die Mitnahme der vorhandenen Dateiberechtigungen zum Zielort, das Kopieren hingegen setzt die Dateiberechtigungen neu gemäß den Vorgaben am Zielort. Voraussetzung ist immer, dass Berechtigungen und andere Meta-Informationen am Zielort überhaupt korrekt interpretiert werden können. Sonst könnten gewachsene Berechtigungsstrukturen auf einen Schlag verloren gehen.

In Bezug auf die Wirkung von Kopier- und Verschiebemechanismen können Unterschiede bei einzelnen Komponenten auftreten, in Windows Server 2003 beispielsweise zwischen dem Dateisystem, den Komponentendiensten, den Internet Information Services (IIS) und dem Active Directory. Unkenntnis der Mechanismen hinter den Bedienkonzepten und mangelnde Sorgfalt können schnell zu Datenverlust und zur Fehlkonfiguration des Systems führen.

Unerwartete Effekte beim Kopieren und Verschieben sind nicht zuletzt auf darunterliegende Systemkomponenten zurückzuführen, die zur Speicherung und Erzeugung von Objekten und Verzeichnissen verwendet werden. Beispiele aus Windows Server 2003 sind Distributed File System (DFS), Active Directory oder das Encrypting File System (EFS). Beispielsweise beinhalten die Lese- und Schreibprozesse beim Kopieren/Verschieben im EFS Schritte zur Zwischenspeicherung und Kryptografie, greifen auf Zertifikatsdienste zurück und speichern öffentliche Schlüssel als Meta-Information ab. Unbedarftes Kopieren und Verschieben von Dateien und Verzeichnisbäumen kann schnell dazu führen, dass die Daten nicht mehr verfügbar oder nicht vollständig sind bzw. deren Vertraulichkeit nicht mehr gewährleistet ist.

Speziell beim Dateisystem NTFS können unerwartete Effekte durch Alternate Data Streams (ADS) in Dateien auftreten. ADS sind unsichtbare Bereiche innerhalb einer Datei, in denen Windows Server 2003 Zusatzinformationen abspeichern kann, z. B. Zoneninformationen oder Piktogramme. Die

Kommandozeile und der Windows Explorer weisen ein unterschiedliches Verhalten im Umgang mit ADS auf. Durch Verschiebe- und Kopiervorgänge können ADS versehentlich oder missbräuchlich verändert werden, verloren gehen oder ungewollt mit Inhalt gefüllt werden. Besteht kein ausreichender Schutz durch geeignete Dateiberechtigungen, dann können ADS zu einem potentiell sehr gefährlichen Angriffspunkt werden.

Beispiel:

Auf einem Domänencontroller wird unter Verwendung des Windows-Befehls xcopy der Inhalt vom Systemlaufwerk auf eine andere Festplattenpartition kopiert. Der Befehl wird mit bestimmten Parametern aufgerufen, welche auch das Kopieren der SysVol-Ordner bewirken. Nach dem Kopiervorgang wird die Sicherung nicht mehr benötigt und rekursiv gelöscht (z. B. mit rd /s). Danach sind jedoch alle Informationen, die normalerweise über den SysVol-Ordner repliziert werden, auf diesem Domänencontroller nicht mehr verfügbar (z. B. Gruppenrichtlinienobjekte, Anmeldeskripte). Die Ursache liegt in der Struktur der SysVol-Ordner, welche Verbindungspunkte (Junction-Points) zu DFS-Freigaben enthalten, die mit File Replication Service (FRS) erläutern repliziert werden. Xcopy sichert in diesem Falle nicht den gesamten Inhalt, sondern nur die Verbindungspunkte. Der spätere rekursive Löschvorgang erreicht über die kopierten Verbindungspunkte die originalen DFS-Freigaben und löscht Teile von deren Inhalt, sofern die Berechtigungen dies zulassen. Unter Umständen wird die Löschung noch auf andere Domänencontroller repliziert und somit der gesamte Domänenbetrieb gestört. Das Problem kann nun nur noch durch eine Wiederherstellung des kompletten Systemstatus aus der Datensicherung beseitigt werden.

Auf einem Domänencontroller wird unter Verwendung des Windows-Befehls xcopy der Inhalt vom Systemlaufwerk auf eine andere Festplattenpartition kopiert. Der Befehl wird mit bestimmten Parametern aufgerufen, welche auch das Kopieren der SysVol-Ordner bewirken. Nach dem Kopiervorgang wird die Sicherung nicht mehr benötigt und rekursiv gelöscht (z. B. mit rd /s). Danach sind jedoch alle Informationen, die normalerweise über den SysVol-Ordner repliziert werden, auf diesem Domänencontroller nicht mehr verfügbar (z. B. Gruppenrichtlinienobjekte, Anmeldeskripte). Die Ursache liegt in der Struktur der SysVol-Ordner, welche Verbindungspunkte (Junction-Points) zu DFS-Freigaben enthalten, die mit File Replication Service (FRS) erläutern repliziert werden. Xcopy sichert in diesem Falle nicht den gesamten Inhalt, sondern nur die Verbindungspunkte. Der spätere rekursive Löschvorgang erreicht über die kopierten Verbindungspunkte die originalen DFS-Freigaben und löscht Teile von deren Inhalt, sofern die Berechtigungen dies zulassen. Unter Umständen wird die Löschung noch auf andere Domänencontroller repliziert und somit der gesamte Domänenbetrieb gestört. Das Problem kann nun nur noch durch eine Wiederherstellung des kompletten Systemstatus aus der Datensicherung beseitigt werden.