M 4.149 Datei- und Freigabeberechtigungen unter Windows 2000/XP
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Das Dateisystem von Windows 2000/XP ist die Weiterentwicklung des Windows NT Dateisystems. Die Mechanismen zur Zugriffssteuerung unterscheiden sich dabei kaum. Die folgende Tabelle gibt einen Überblick der möglichen Zugriffsrechte auf Dateien. Diese erlauben unter Windows 2000/XP eine wesentlich detailliertere Konfiguration, als dies unter Windows NT möglich ist.
Zugriffsrechte für Ordner | Zugriffsrechte für Dateien |
---|---|
Ordner durchsuchen | Datei ausführen |
Ordner auflisten | Daten lesen |
Attribute lesen | Attribute lesen |
Erweiterte Attribute lesen | Erweiterte Attribute lesen |
Dateien erstellen | Daten schreiben |
Ordner erstellen | Daten anhängen |
Attribute schreiben | Attribute schreiben |
Erweiterte Attribute schreiben | Erweiterte Attribute schreiben |
Unterordner und Dateien löschen | |
Löschen | Löschen |
Berechtigungen lesen | Berechtigungen lesen |
Berechtigungen ändern | Berechtigungen ändern |
Besitzrechte übernehmen | Besitzrechte übernehmen |
Tabelle: Überblick der Zugriffsrechte für Ordner und Dateien
Die Zugriffrechte können dabei auf Dateien oder Ordner angewandt werden. Im Rahmen der Rechtevererbung ist es möglich, dass Rechte eines Ordners an Dateien und/oder Unterordner weitergereicht werden, so dass eine einfache Möglichkeit besteht, die Zugriffsberechtigungen in einem ganzen Teildateibaum durch die Änderung an einer Stelle zu wechseln. Das Weiterreichen, d. h. das Vererben, an die Objekte in einem Verzeichnis kann gezielt durch folgende sieben Einstellungen kontrolliert werden, die angeben, auf welche Objekte die Zugriffsrechte angewandt bzw. vererbt werden sollen:
- Nur diesen Ordner
- Diesen Ordner, Unterordner und Dateien
- Diesen Ordner, Unterordner
- Diesen Ordner, Dateien
- Nur Unterordner und Dateien
- Nur Unterordner
- Nur Dateien
Durch die Option Berechtigungen nur für Objekte und/oder Container in diesem Container übernehmen kann zudem erreicht werden, dass die Rechte nicht rekursiv in den jeweiligen Unterbaum weitervererbt werden, sondern nur auf die Objekte im aktuellen Verzeichnis.

Abbildung: Berechtigungseintrag für Lokaler Datenträger (C:)
Zur Steuerung der Rechteübernahme auf Objekte beim Einsatz des Vererbungsmechanismus stehen zwei weitere Optionen zur Verfügung:
- Das Übernehmen vererbter Rechte kann für Objekte mit der Option Vererbbare übergeordnete Berechtigungen übernehmen erlaubt oder blockiert werden.
- Das Übernehmen vererbter Rechte durch Objekte im Unterbaum kann mit der Option Berechtigungen in allen untergeordneten Objekten zurücksetzen und die Verarbeitung vererbbarer Berechtigungen aktivieren erzwungen werden.
- Stehen die beiden Rechte in Konflikt miteinander, so wird die erzwungene Übernahme der vererbten Rechte durchgesetzt.

Abbildung: Zugriffseinstellungen für Program Files
Diese Fülle an unterschiedlichen Dateiberechtigungen im Zusammenspiel mit den unterschiedlichen Vererbungsmechanismen macht die Verwaltung von Zugriffsrechten für den Benutzer unübersichtlich. Im Normalfall empfiehlt sich daher, nur die zusammengesetzten Standardzugriffsrechte zu verwenden:
Ordner | Dateien | entspricht |
---|---|---|
Vollzugriff | Vollzugriff | alle Einzelberechtigungen |
Ändern | Ändern | Lesen, Ausführen ergänzt um Löschen |
Lesen, Ausführen | Lesen, Ausführen | Lesen ergänzt um Datei ausführen |
Ordnerinhalt auflisten | - | |
Lesen | Lesen | Daten lesen, Attribute lesen, erweiterte Attribute lesen, Berechtigungen lesen |
Schreiben | Schreiben | Daten schreiben, Daten anhängen, Attribute schreiben, erweiterte Attribute schreiben |
Tabelle: Standardzugriffsrechte
Im Rahmen der Planung des Windows 2000/XP Einsatzes ist auch das Zugriffskonzept für Dateien und Ordner zu entwerfen, durch das die detaillierten Zugriffsrechte festgelegt werden. Dabei sind die organisatorischen und geschäftlichen Anforderungen zu berücksichtigen. Generell empfiehlt es sich, für die Windows 2000/XP Systemdateien restriktive Rechte zu vergeben.
Als Ausgangskonfiguration für Windows 2000 können folgende Berechtigungsvorgaben genutzt werden, die jedoch auf jeden Fall an die lokalen Gegebenheiten angepasst werden müssen. Die vorgeschlagenen Einstellungen gehen davon aus, dass die Benutzerkennung Hauptbenutzer (Power-User) nicht verwendet wird, da administrative Belange durch Administratoren mit entsprechenden Berechtigungen im Rahmen des Administrationskonzeptes abgedeckt werden. Aus diesem Grund ist die Kennung Hauptbenutzer aus allen Zugriffslisten zu entfernen. Zusätzlich empfiehlt sich im Rahmen des Administrationskonzeptes eine Gewaltenteilung, so dass die administrativen Berechtigungen auf entsprechende Konten aufgeteilt werden. Im Folgenden wird jedoch davon ausgegangen, dass jeweils die Gruppe Administratoren die gesamte administrative Gewalt hat. Die Berechtigungen gelten nur für die angegebenen Verzeichnisse oder Dateien und sind nicht für die Vererbung gedacht.
Verzeichnis | Rechte |
---|---|
Stammverzeichnis der Systempartition | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen |
\WINNT | Administratoren: VollzugriffSYSTEM: VollzugriffERSTELLER-BESITZER: VollzugriffBenutzer: Lesen, Ausführen |
WINNT\REPAIR | Administratoren: Vollzugriff |
WINNT\SYSTEM32\CONFIG | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen |
WINNT\SYSTEM32\SPOOL | Administratoren: VollzugriffSYSTEM: VollzugriffERSTELLER-BESITZER: VollzugriffBenutzer: Lesen |
Tabelle: Berechtigungsvorgaben für Verzeichnisse unterWindows 2000
Verzeichnis / Datei | Rechte |
---|---|
boot.inintldr | Administratoren: VollzugriffSYSTEM: Vollzugriff |
autoexec.batconfig.sys | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen |
TEMP | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Ändern |
PROGRAMME | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen, Ausführen |
Dokumente und Einstellungen | Administratoren: VollzugriffSYSTEM: VollzugriffBenutzer: Lesen |
Tabelle: Berechtigungsvorgaben für Dateien unter Windows 2000
Bei einer Aktualisierung eines Windows NT Rechners auf Windows 2000/XP werden nicht die Windows 2000/XP Standardberechtigungen installiert, sondern es werden die vorhandenen Einstellungen übernommen. Daher muss bei solchen Systemen immer überprüft werden, ob die Berechtigungen konform zum entworfenen Berechtigungskonzept sind.
Auch Windows 2000/XP erlaubt es, Verzeichnisse und die darin enthaltenen Dateien über eine Freigabe für den Netzzugriff zur Verfügung zu stellen. Dabei erfolgt die Zugriffskontrolle zweistufig. Zum einen können Zugriffsberechtigungen auf die Netzfreigabe selbst eingerichtet werden, die bestimmen, wer generell auf die Netzfreigabe zugreifen darf. Zum anderen greifen die oben beschriebenen, auf Dateisystemebene angegebenen Zugriffsrechte auf Dateien und Verzeichnisse. Berechtigungen auf Netzfreigaben können nur über die Rechte
- Vollzugriff,
- Ändern und
- Lesen
gesteuert werden. Eine feinere Kontrolle ist jedoch an dieser Stelle nicht notwendig.

Abbildung: Berechtigungen für Netzfreigabe
Um Datei-, Verzeichnis- und Freigabeberechtigungen festzulegen, sollten folgende Regeln beachtet werden:
- Freigaben durch Arbeitsplatzrechner sind zu vermeiden (siehe auch M 5.37 Einschränken der Peer-to-Peer-Funktionalitäten in einem servergestützten Netz, die analog für Windows 2000/XP gilt).
- Freigaben durch Domänen-Controller sind ebenfalls zu vermeiden, da Domänen-Controller sensitive Daten speichern.
- Freigaben auf Arbeitsplatzrechnern und Domänen-Controllern sind zu begründen und zu dokumentieren und sollten nur nach einer vorherigen Risikoabwägung erfolgen.
- Für alle Freigaben und die dadurch zugreifbaren Daten müssen die Zugriffsberechtigungen so restriktiv wie möglich vergeben werden.
- Das Zugriffskonzept muss dokumentiert sein.
Ergänzende Kontrollfragen:
- Wurde ein bedarfsgerechtes Berechtigungskonzept entworfen?
- Sind die Berechtigungen aller Verzeichnisse und Dateien auf allen aktualisierten Rechnern überprüft worden?
- Sind die eingestellten Datei- und Verzeichnisberechtigungen von freigegebenen Verzeichnissen für den Netzzugriff geeignet?