Normales Thema Windows - Sicherheit (Gelesen: 6.403 mal)
jmk
YaBB Moderator
*****
Offline


Beiträge: 2.741
Standort: Hennef
Windows - Sicherheit
14.03.04 um 02:06:44
Beitrag drucken Beitrag drucken  
  

Zum Seitenanfang
ICQ ICQ  
IP gespeichert
 
jmk
YaBB Moderator
*****
Offline


Beiträge: 2.741
Standort: Hennef
Re: Windows - Sicherheit
Antwort #1 - 14.03.04 um 02:07:56
Beitrag drucken Beitrag drucken  

Benutzerverwaltung und Berechtigungen unter WindowsNT und dessen Nachfolgern

Betroffene Systeme:
  • WindowsNT
  • Windows2000
  • WindowsXP Professional

Wer ein kleines Netzwerk mit WindowsNT, Windows2000 oder WindowsXP einrichten möchte, der kommt nicht drum herum zuerst das Sicherheitskonzept der Redmonder zu durchschauen. Aber solange man keine Domänen betrachtet ist das ganze halb so wild. Da wir in unserem Netz jedoch keine Domän verwenden, lasse ich diese jetzt mal links liegen.

Windows verwendet Benutzer und Gruppen um unterschiedliche Berechtigungen zu vergeben. Dabei kann man einen Benutzer auch Account nennen. Die wichtigsten Eigenschafen eines Account sind:
     -Name
     -Passwort
     -Benutzergruppe(n)
     -aktiviert/deaktiviert
     -gesperrt/nicht gesperrt

Der Name dient dazu um dem System bei der Anmeldung mitzuteilen, wer am PC arbeitet. Das System ist dadurch in der Lage zu entscheiden, wann es wem, welche Berechtigungen zur Verfügung stellt

Das Passwort dient dem Schutz vor Missbrauch

Benutzergruppen erleichtern die Administration. Denn sie ermöglichen es durch eine einzige Aktion die Berechtigungen aller Accounts einer Benutzergruppe zu verändern. Des weiteren können bei der Erstellung eines neuen Accounts direkt Berechtigungen übernommen werden und müssen nicht jedes Mal neu erstellt werden. Das heisst natürlich nicht, dass man die Berechtigungen eines einzelnen Benutzers einer Gruppe nicht noch weiter verändern kann.
Die wichtigsten Benutzergruppen sind:
Administratoren: Ohne, dass sie sich selber einschränken, können sie tuen und lassen was sie wollen.
Benutzer: Sie können Anwendungen ausführen jedoch ncht installieren. Auch sonst können sie keine Veränderungen am System vornehmen.
Gäste: Ihre Rechte sind noch weiter eingeschränkt.
Eine Übersicht aller üblichen NT-Authoritäten findet sich hier:
http://support.microsoft.com/default.aspx?scid=kb;de;243330&Product=WWin2000Ger

Ein deaktivierter Account verhält sich wie wenn er nicht existieren würde.

Ein Account kann optional zB gesperrt werden, wenn das Passwort zu oft falsch eingegeben wurde.

Accounts verwalten kann man sehr bequem mit der Computerverwaltung. Man erreicht sie so:
Klick auf "Start | Einstellungen | Systemsteuerung | Verwaltung | Computerverwaltung | Lokale Benutzer und Gruppen"

Berechtigungen für Gruppen und Benutzer lassen sich mit unterschiedlichen Werkzeugen für unterschiedliche Zwecke anpassen.
1. In den Eigenschaften einer Datei, eines Ordners oder eines Datenträgers für Zugriffsberechtigungen UND Freigabeberechtigungen
2. Über die Computerverwaltung für Freigabeberechtigungen
3. Über die Lokale Sicherheitsrichtlinie für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.
4. Über einen Registryeditor für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.
5. Mit Poledit den Gruppenrichtlinien oder anderen Werkzeugen für alle Berechtigungen die nichts mit den zuvor genannten Berechtigungen zu tun haben.

zu 1.: Ist ein Datenträger mit dem NTFS formatiert, dann können Zugriffsberechtigungen für einen Ordner, eine Datei oder den gesamten Datenträger mit einem Rechtsklick auf das Objekt, Eigenschaften | Sicherheitseinstellungen gewählt werden. Was für Berechtigungen man vergeben kann sieht man sich am besten einmal selber an. Mit einem Klick auf "Erweitert..." bekommt man noch mehr mögliche Berechtigungen.
Standardmässig ist das Häckchen Verbbare übergeordnete Berechtigungen übernehmen gesetzt. Beim erstellen eines Ordners oder einer Datei bekommt dieser/diese die Berechtigungen des übergeorneten Ordners. Ist das Häckchen gesetzt, dann übernimmt diese(r) Ordner/Datei auch später die Berechtigungen des übergeordneten Ordners, wenn die Berechtigungen für diesen verändert wurden. Deaktiviert man das Häckchen wird man zunächst gefragt ob man alle Einstellungen entfernen möchte. Zu empfehlen ist jedoch die Auswahl der Option kopieren, wodurch die übergeordneten Berechtigungen ein letztes mal übernommen werden. Diese kann man dann seinen Bedürfnissen anpassen.
Im Reiter "Erweiterte..." kann man das Entfernen des Häckchens auch für alle Unterordner rückgängig machen. Und zwar mit der sich selbst erklärenden Option "Berechtigungen in allen Untergeordneten Objekten zurücksetzen und die Verbreitung vererbbarer Berechtigungen aktivieren".
Natürlich kann man auch weitere Regeln für untergeordnete Objekte definieren ohne die Vererbung zu deaktivieren. Die Vererbung sollte man immer dann deaktivieren, wenn es möglich sein könnte, dass später einmal für übergeordnete Ordner Berechtigungen vergeben werden, die auf gar keinen Fall für den untergrordneten Ordner gelten dürfen.
Die Deaktivierung hilft nicht gegen Freigaben für übergeordnete Ordner! Dieses Szenario ist jedoch äusserst unwahrscheinlich, da man nur dann Probleme bekommt, wenn ein Account nur lokal auf ein Objekt zugreifen darf jedoch nicht über das Netz.
Unter "Erweiterte... | Besitzer" wird einem des weiteren eine Option geboten den Besitz für eine Datei zu übernehmen, falls man sich einmal ausgesperrt haben sollte. Dafür benötigt man jedoch Admin-Rechte und man darf diese Option natürlich nicht vorher ausgeschlossen haben. Letzteres geht über die lokale Sicherheitsrichtlinie.
  

Zum Seitenanfang
ICQ ICQ  
IP gespeichert
 
jmk
YaBB Moderator
*****
Offline


Beiträge: 2.741
Standort: Hennef
Re: Windows - Sicherheit
Antwort #2 - 14.03.04 um 02:11:51
Beitrag drucken Beitrag drucken  




Die Freigabeberechtigungen lassen sich ähnlich wie die Zugriffsberechtigungen aufrufen:
Rechtsklick auf das gewünschte Objekt Freigabe | Berechtigungen.
Sie funktionieren genauso wie die Zugriffsberechtigungen, gelten aber nur für die entsprechende Freigabe.

zu 2.: Die Computerverwaltung bietet unter "Freigegebene Ordner" ein Werkzeug zur Verwaltung von Freigaben und - wie ich finde besonders praktisch - eine Anzeige der aktuell auf den Computer zugreifenden Clients und Benutzer, sowie eine Anzeige der zur Zeit angefragten Dateien. Das ganze lässt sich natürlich auch in der Ereignisanzeige aufzeichnen.




zu 3.,4.,5.: Die lokale Sicherheitsrichtlinie findet man wie die Computerverwaltung unter Verwaltung. Die Gruppenrichtlinien kann man als MMC Snap-in starten oder über Start | Ausführen... | gpedit.msc. Poledit muss man gesondert installieren. Und für die Registryeditoren gibt es jeweils eine kurze Anleitung zB auf Windowspage.net. Alle diese Tools verändern irgendwelche Registrierungswerte. Öffnet man eines dieser Tools so findet man meist ellenlange aber dafür selbsterklärende Optionen. Hier sollte nur der ambitionierte User Veränderungen vornehmen. Aber alle anderen dürfen zumindest mal gucken. Smiley
Link zu Poledit: FAQ | ADM-Vorlagen, Poledit, Gruppenrichtlinieneditor



Zum Schluss muss noch gesagt werden, dass alle diese Sicherheitsmechanismen nacheinander abgefragt werden. Will also z.B. Jemand aus dem Netzwerk auf den Computer zugreifen, dann wird zuerst in der Registrierung geguckt ob das überhaupt erlaubt ist. Danach wird überprüft ob der Account auf Freigaben zugreifen darf. Darf er dies tun, so wird zum Schluss auch noch überprüft welche Zugriffsberechtigungen er für die Inhalte dieser Freigabe besitzt. Nur wenn er alle Berechtigungen besitzt, wird seine Aktion Erfolg haben.


Zurück zum Index
  

Zum Seitenanfang
ICQ ICQ  
IP gespeichert
 
 
  « Übersicht ‹ Forum Nach oben