Access-based Enumeration
Freigaben verstecken

Manfred Kohlen,
NetzwerkeSicherheitSicherheitsmanagement

Ohne 2003 Server SP 1 geht nichts

Access-based Enumeration

Windows-Administratoren beklagen oft das Fehlen wichtiger Einstellmöglichkeiten, die bei Betriebssystemen wie Linux und Novell schon lange zum Standard gehören. So ließ sich folgender simple Fall bisher nicht mit Windows abbilden: Ein Anwender soll nur die Daten sehen, auf die er Zugriffsrechte hat. Das ist eine ernst zu nehmende Sicherheitslücke, da oft schon der Datei- oder Ordnername Informationen enthält, die nicht für alle neugierigen Augen bestimmt sind.

Ab Windows Server 2003 plus Service-Pack 1 wird diese Funktionalität zumindest für den Netzwerkzugriff unterstützt. Access-based Enumeration (ABE) ist das Werkzeug, mit dem der Administrator die Sichtbarkeit aller oder einzelner Freigaben auf seinen File-servern entsprechend der NTFS-Rechte für Anwender einschränken kann.

Windows 2003 SP 1 liefert nur die Basis für ABE, das Tool muss gesondert herun-tergeladen und installiert werden. Die Installation ist selbsterklärend. Der Administrator kann ABE entweder sofort oder nachträglich aktivieren. Die ABE-Funktionalität kann natürlich auch nach der Installation sowohl auf Freigabe-Ebene oder global für den gesamten Fileserver geändert werden. Zu be-rücksichtigen ist, dass ABE sich nur beim Netzwerkzugriff über die Freigabe auswirkt. Der Administrator am Fileserver hat trotz ABE stets alle Dateien im Blick. Auf die Performance des Fileservers hat ABE im Test keine messbaren Auswirkungen. Selbst bei sehr großen Dateistrukturen soll ABE laut Microsoft nur einen verschwindend geringen Teil der Prozessorzeit in Anspruch nehmen.

Schneller Funktionstest

Access-based Enumeration

Mit einem einfachen Test lässt sich das Feature auf seine Wirksamkeit prüfen. Zuerst erstellt man auf dem Fileserver einen Ordner, der beispielsweise Testfreigabe heißt, und gibt ihn frei. Für den Ordner wird über das Register Sicherheit die Berechtigungs-Vererbung deaktiviert und der Zugriff für die Gruppe Benutzer nur auf diesen Ordner und nicht die Unterordner festgelegt. In Testfreigabe sind die zwei Unterordner OrdnerA und OrdnerB zu erzeugen. BenutzerA bekommt dann die Zugriffsberechtigung für OrdnerA und BenutzerB das Recht für Ord-nerB.

Auf einem Standard-Windows-Server können beide Anwender alle Ordner sehen, obwohl sie nur auf einen Zugriff haben. Ein unberechtigter Zugriffsversuch von BenutzerA auf OrdnerB führt zu einer Fehlermeldung. Besser wäre es aber, ihm OrdnerB gar nicht erst anzuzeigen.

Freigabe weggezaubert

Access-based Enumeration

Mit ABE ist das schnell erledigt. In den Eigenschaften der Testfreigabe auf der Registerkarte Access-based Enumeration ge-nügt hierfür ein Klick. Ab jetzt sieht BenutzerA nur noch den OrdnerA, OrdnerB ist für ihn unsichtbar. Neben dieser grafischen Konfigurationsmöglichkeit kann der Administrator auch über abecmd.exe mit der Kommandozeile zugreifen. Das funktioniert sogar remote: Hierfür gibt es die Option /server, wo der Servername einzutragen ist.

Insgesamt ist ABE ein sehr empfehlenswertes Tool, um Windows 2003 Server sicherer zu machen. Die konsequente Integration in die Benutzeroberfläche mit der MMC steht bisher aber noch aus.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen