Blog - Artikel

Access Based Enumeration mit dem Parks Authorization Manager

von (Kommentare: 0)

Mit Hilfe von Verzeichnis- und Dateiberechtigungen lässt sich der Zugriff auf geschützte Ressourcen gut kontrollieren. In manchen Fällen ist das aber nicht ausreichend. So kann der Name eines Verzeichnisses schon zu viele unerwünschte Informationen geben, ohne dass ein Zugriff auf die Dateien im Verzeichnis notwendig ist. Mit Hilfe der ab Windows 2003 unterstützten berechtigungsgenauen Anzeige von Verzeichnissen und Dateien (Access Based Enumeration) wird dieses Problem gelöst. Ein Benutzer kann also nur die Verzeichnisse sehen, auf die er auch Zugriff hat. Alle anderen Verzeichnisse sind für ihn nicht sichtbar.

Beispiel:
Ein Benutzer greift über eine Freigabe auf sein Abteilungsverzeichnis zu und sieht dort das Unterverzeichnis "Kündigung Müller". Auch wenn er nicht auf die Dateien des Verzeichnisses zugreifen kann, genügt die Informationen aus dem Verzeichnisnamen bereits, um Gerüchte in die Welt zu setzen. Wäre die berechtigungsgenaue Anzeige aktiviert gewesen, hätte er das Verzeichnis gar nicht erst gesehen.

Mit dem Parks Authorization Manager (PAM) ab Version 2011.II kann die entsprechende Freigabeeigenschaft leicht verwaltet werden. In diesem Blogbeitrag beschreibe ich ein einfaches Beispiel, das die Funktion erläutert.

Vorarbeiten

Wir legen drei Organisationseinheiten 'Apfel', 'Birne' und 'Kirsche' in der Kategorie 'Allgemein' an, z.B. im PAM-Beispielunternehmen 'Acme Inc.'. Zusätzlich benötigen wir einen AD-Testbenutzer, der ausschließlich Mitglied der Gruppe „Domänen-Benutzer“ ist.

Konfiguration der berechtigungsgenauen Anzeige von Verzeichnissen

Abbildung 1: Neues Stammverzeichnis anlegen

Zunächst legen wir ein PAM-Stammverzeichnis an (Abbildung 1). Es repräsentiert ein Verzeichnis auf der Festplatte, in dem später die Unterverzeichnisse für die einzelnen Organisationseinheiten angelegt werden, die PAM dann mit getrennten Zugriffsrechten versieht.

Hinweis:
Das Verzeichnis sollte der Einfachheit halber noch nicht auf der Festplatte existieren.

Abbildung 2: Neue Verzeichnisvorlage anlegen

Beim Speichern des Stammverzeichnisses erstellt PAM den angegebenen Ordner, richtet die Berechtigungen ein, erstellt eine Freigabe und aktiviert die berechtigungsgenaue Anzeige von Unterverzeichnissen und Dateien.

Jetzt benötigen wir noch eine Verzeichnisvorlage, die die gewünschte Verzeichnisstruktur und die zu erzeugenden Berechtigungen für die Organisationseinheit enthält (Abbildung 2).

Abbildung 3: Berechtigungen im Organisationsverzeichnis

Für jedes Organisationsverzeichnis werden Active Directory-Gruppen mit Lese- und Schreibrechten im Verzeichnis erstellt.

Abbildung 3 zeigt die Gruppeneinstellungen mit Schreibrechten, der Platzhalten "$(OrgUnit)" im Namen wird durch den Namen der Organisationseinheit ersetzt.

 

Abbildung 4: Erstellen eines Organisationsverzeichnisses

Nun legen wir mit PAM drei Organisationsverzeichnisse an (für die neuen Organisationseinheiten „Apfel“, „Birne“ und „Kirsche“, Abbildung 4).

Dazu wählen wir jeweils eine der vorher definierten Organisationseinheiten, das Stammverzeichnis und die passende Verzeichnisvorlage.

 

Abbildung 5: Von PAM erstellte Organisationsverzeichnisse

PAM hat jetzt drei neue Unterverzeichnisse auf der Festplatte angelegt, die neuen Berechtigungsgruppen im Active Directory erzeugt und in die ACLs der Verzeichnisse eingetragen (Abbildung 5).

Im Active Directory stehen jetzt sechs neue Gruppen zur Verfügung, die an Benutzer vergeben werden können (Tabelle 1).

 

Tabelle 1
Name der Gruppe Beschreibung
Apfel_R Leserecht im Verzeichnis „Apfel“
Apfel_W Schreibrecht im Verzeichnis „Apfel“
Birne_R Leserecht im Verzeichnis „Birne“
Birne_W Schreibrecht im Verzeichnis „Birne“
Kirsche_R Leserecht im Verzeichnis „Kirsche“
Kirsche_W Schreibrecht im Verzeichnis „Kirsche“

Tabelle 1: Von PAM erstellte AD-Gruppen und Berechtigungen

Abbildung 6: AD-Gruppen mit Berechtigungen im Organisationsverzeichnis

Für jedes der neu angelegten Organisationsverzeichnisse stehen jetzt zwei Gruppen zur Verfügung, die an Benutzer vergeben werden können (Abbildung 6).

 

 

 

Test der Konfiguration

Abbildung 7: Zugriff per Freigabe auf das von PAM erstellte Stammverzeichnis

Melden wir uns nun als Testbenutzer an und greifen über die Freigabe auf das von PAM erstellte Verzeichnis zu (Abbildung 7).

Obwohl auf der Server-Festplatte drei Unterverzeichnisse vorhanden sind (Abbildung 5), werden sie nicht angezeigt, da wir keine Berechtigungen für sie besitzen. Ein Verzeichnis wird nur angezeigt, wenn wir mindestens Leserechte haben.

Abbildung 8: Vergabe eines Zugriffsrechts an den Testbenutzer

Wäre die berechtigungsgenaue Anzeige nicht aktiv, könnten wir alle Verzeichnisse sehen, bekämen aber beim Zugriff darauf eine Fehlermeldung (Zugriff verweigert).

Jetzt melden wir uns wieder als Domänen-Administrator an und vergeben eine der neuen Gruppen an den Testbenutzer (Abbildung 8).

 

Abbildung 9: Zugriff mit Berechtigung auf das von PAM erstellte Stammverzeichnis

Wenn wir uns jetzt wieder als Testbenutzer anmelden und über die Freigabe auf das Stammverzeichnis zugreifen, können wir das Unterverzeichnis „Birne“ sehen und auf das Verzeichnis zugreifen.

 

 

 

Fazit

Die berechtigungsgenaue Anzeige von Verzeichnissen und Dateien ist eine nützliche Funktion, um das Need-to-Know-Prinzip im Dateisystem durchzusetzen und so die Sicherheit zu verbessern. Sie sollte grundsätzlich für alle Abteilungs- und Projektstammverzeichnisse aktiviert sein. Mit dem Parks Authorization Manager (PAM) können die dazu benötigten Einstellungen einfach und sicher verwaltet werden.

Zurück