Jump to content
Sign in to follow this  
Der Newbie

Warum hat Standartmässig jeder Ordner die Sicherheitsberechtigung JEDER

Recommended Posts

Hallo Leute,

 

ich beschäftige mich mit Freigaben und Sicherheitsberechtigung und habe hier im Forum gelernt, was der Unterschied ist:

 

die Netzfreigabe lässt Dich ins Museum (Ordner) oder auch nicht

 

aber je nach Freigabe kann ich dann in die einzelnen Räume (Dateien oder Unterordner) betreten oder auch nicht.

 

 

Das klang mir logisch und auch die Überwachung in den Sicherheitsrichtlinien (NTFS als Museumswächter, der sich notiert, wer was macht) haben für mich dann noch einen Sinn ergeben.

 

Jetzt stelle ich aber fest, das Wk2 ja standardmässig jedes Laufwerk freigibt mit $Admin

 

das ist ja noch soweit logisch, denn ich habe ja meine Sicherheitsrichtlinien die ich verteilen kann.

 

Ich habe jetzt aber ebenfalls festgestellt, das alle Ordner auf allen Laufwerken standardmässig die Sicherheit JEDER vererbt bekommt.

 

das ist ja ****sinn, müsste es nicht umgekehrt sein, da nur ein Admin auf alles Zugriff hat und ich explizit die Freigaben für einzelne User vergeben müsste?

 

Für was habe ich denn Benutzer mit unterschiedlichem Recht angelegt wenn doch jeder auf alles zugreifen kann (ausser auf die eigenen Dateien eines anderen users).

 

da hab ich irgendwann einen user, der auf laufwerk c geht und halt mal ntoskernel.exe löscht.....das kann nicht sein.

 

hab ich da irgendwo einen Installationsfehler gemacht, oder habe ich einen kapitlalen Sicherheitsrichtlinienbock geschossen?

 

Ist das bei euch auch so???

 

Ich habe allerdings angst, auf dem root laufwerk die Sicherheit jeder zu löschen und nur noch den admin und mich und den einen user anzulegen, nicht das dann das system keinen zugriff mehr hat und ich mich ausgeschliesse...

 

kann das passieren? Muss aus dem AD SYSTEM und die anderen auch immer aktiviert sein? dann stehen da ja dann 10 Berechtigungen drin, die jedesmal abgearbeitet wrden müssen.

 

gruss newbie

Share this post


Link to post

Hallo,

 

also grundsätzlich ist das mal so, dass es Systemfreigaben gibt. c$, d$ usw.

 

Das $-Zeichen besagt ja schon mal, dass diese Freigaben versteckt sind. Weiterhin haben auf diese SYSTEMFREIGABEN eh nur Administratoren und das System zugriff. Das ist auch wichtig. Also SYS-Freigaben verbiegen ist gefährlich. Win braucht diese, um z.B. Replikationen durchführen zu können. Damit muss man leben. Damit lebt man auch.

 

Weshalb standardmäßig alles andere auf JEDER/VOLLZUGRIFF steht, ist auch logisch.

 

Stell Dir mal vor du erstellst einen Ordner und windows würde standardmäßig sagen. Admin/Vollzugriff. Dann wärst Du, also der Ersteller des Ordners, weil Du meinetwegen nur ein Benutzer bist der ******. Hast zwar einen Ordner erstellt, aber kannst ned drauf zugreifen.

 

Grundsatz JEDER/VOLLZUGRIFF: Du erstellst einen Ordner. Jeder hätte drauf Zugriff. Aber, Du kannst entscheiden, ob das so ist. Kannst ja jederzeit sagen, nur Du hast Vollzugriff. Damit kommt kein anderer mehr auf den Ordner. Auch nicht ein Admin. Allerdings hat der das Recht, sich selbstständig wieder die Rechte darauf zu geben. Das ist halt der Ausnahmefall. Ein anderer Benutzer könnte das nicht nur Admins.

 

Zu Freigabeberechtigung: MS Philosophie ist halt, dass wenn Du eine Freigabe erzeugst, jeder Vollzugriff erhält. Da sich das im Laufe der Versionen von MS nicht geändert hat, weiß man das und muss halt von vornherein handeln und den Zugriff begrenzen.

 

Gruß

Roland

Share this post


Link to post
Original geschrieben von Der Newbie

 

Ich habe jetzt aber ebenfalls festgestellt, das alle Ordner auf allen Laufwerken standardmässig die Sicherheit JEDER vererbt bekommt.

Dies ist nur bei W2k so, bei XP oder W2k3 sind die von Anfang an vergebenen Berechtigungen besser gesetzt.

 

W2k:

JEDER

 

XP und W2k3:

Administratoren

Hauptbenutzer

Benutzer

System

Share this post


Link to post
Dies ist nur bei W2k so, bei XP oder W2k3 sind die von Anfang an vergebenen Berechtigungen besser gesetzt.

 

W2k:

JEDER

 

XP und W2k3:

Administratoren

Hauptbenutzer

Benutzer

System

Niet. Kann aber erst später genauer antworten. Soviel: es werden Berechtigungen bei der Installation für standard-installierte Ordner über Sicherheitsvorlagen vergeben. Bei neuangelegten Partitionen/Ordnern sieht das lockerer aus.

 

grizzly999

Share this post


Link to post
Original geschrieben von Der Newbie

Jetzt stelle ich aber fest, das Wk2 ja standardmässig jedes Laufwerk freigibt mit $Admin

 

wenn dass so bei dir ist, dann hast du wahrscheinlich auf jedem Laufwerk ein Win-OS installiert? Und ausserdem eine neue Art der Freigaben entdeckt.

Die administrative Freigabe heisst nämlich ADMIN$ . Ist gleichzusetzen mit dem Inhalt der lokalen Variable %SYSTEMROOT% und bezeichnet in beiden Fällen i.d.R. das eigentliche Systemverzeichnis, sprich: c:\winnt oder c:\windows.

Wie grizzly99 schon sagte, kommen auf administrative Freigaben (c$, d$ usw., ADMIN$, IPC$, SPOOL$, PRINT$ usw.) eh nur Mitglieder der (Domänen-)Admingruppe und das System. Ausserdem lassen sich deren (Freigabe-)Rechte auch nicht ändern. Versuch mal, die Rechte für die Freigabe C$ zu ändern, das System wird das abblocken. Sind eben essentielle Notwendigkeiten, damit das ganze auch funzt.

Beim Erstellen von Freigaben vergibt Windows, wie du bereits bemerkt hast, immer das Recht "Jeder - Vollzugriff". Das ist auch erstmal kein Problem. Der Remote-User kommt also über den langen Leitungsweg zu deinem "Museum" (Ordner). Und hier musst du als Museumswächter deines PC anpacken. Wichtig sind dabei die lokalen Sicherheiten für die Ordner. Ein User, der vor deiner Tür steht, bringt einiges an Informationen mit (Username, Gruppenzugehörigkeiten usw.), die du dir zu nutze machst. Du musst einfach dafür sorgen, dass nur die richtigen lokalen (!) Rechte für die Ordner gesetzt werden. User/Gruppen sollte dabei nie das Recht Vollzugriff im lokalen Umfeld bekommen. Vollzugriff für die Netzfreigabe ist unschädlich. Vollzugriff für lokale, freigegebene Ordner, kann tödlich sein. Lokaler Vollzugriff beeinhaltet nämlich die Rechte "Besitz übernehmen" und "Berechtigungen ändern". Lässt du deinen Ordner mit der lokalen Sicherheit "Jeder - Vollzugriff", könnte ein böser Bub den Besitz bestimmter Dateien/Ordner übernehmen, die Berechtigungen auf sich ändern und das war's dann für den Rest :(

Fazit: Lokale Sicherheit maximal mit "Ändern" berechtigen. Freigaben können (!) als Vollzugriff defininiert werden, wenn dem nix entgegensteht. Ansonsten schon per Freigabe soviel wie möglich einschränken. Das Recht "Vollzugriff", egal ob Lokal oder Netz sollte nur an den Admin bzw. das System vergeben werden. (Ausnahmen für bestimmte Dienste z.B. Replikationsoperatoren, Sicherungsoperatoren usw. könnten da ein bissel abweichen)

 

Hilft das alles nicht weiter, dann auf Novell umschwenken. Hier ist defacto erst mal alles verboten und der Admin muss explizit notwendiges aufmachen.

 

Thomas

Share this post


Link to post

Oh....thanks erstmal für die Antworten!

 

@Wildi:

 

Natürlich nicht, aber sinnvoll wäre ja das nur

Admin und Ersteller von hause aus zugriff haben.

 

habe einen server und 8 Partitionen mit hunderten von ordnern, ich kann doch nicht hingegehen und händisch alles sicherheitsregeln zurücksetzen (Vererbung von C: oder D: oder E: usw) abstellen, zurücksetzen und neu setzen...

 

 

diese admin$ Freigabe ist ja nicht tragisch.

 

Die Frage ist jetzt, wie kann ich das ändern, das jeder neu erstellete Ordner so endet? Ich habe gedacht durch die Mitgliedschaft in den OU´s kann ich das steuern, doch das macht ja keinen sinn, wenn defaultmässig JEDER drin steht...

 

wenn ich ein profil anlege, kann ich ja auch sagen exclusiver zugriff... gibt es so ne einstellung auch für default? Vielleicht gibt es ja ne "Ordnervorlage" die ich einfach nur ändern brauch.

 

@grizzly...danke, ich warte ergebens....ich glaub du weisst, was ich suche...

 

@himbidas:

 

thanks, lese den artikel gerade.

 

ja, die netzwerkfreigaben scheren mich ja nicht (Museum ist offen)

aber nur solange, wie die Sicherheit gewährleistet ist mit den ACL´s.

 

Naja, wenn ich mit windows schon nicht klar komme, wie soll denn das erst mit linux oder novell werden?

 

thanks newbie

Share this post


Link to post

Hi,

Bei Microsoft wird momentan überlegt, ob bereits ab der nächsten Windowsserverversion oder erst in der übernächsten man sich von dem bisherigen Zugriffsmodell DAC (Discretionary Access) verabschiedet. Die Zukunft, bereits in 2003 für Developer implementiert, liegt in "Role-based Access Control" (RBAC).

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/maintain/security/athmanwp.asp

 

Ab dann soll das ganze Berechtigungskonzept erheblich vereinfacht sein und für jedermann ohne Probleme verständlich.

 

cu

blub

 

(BTW: der nächste IT-Boom wird kommen)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...