Wie die WIndows ACL funktioniert

[Tician]

Hiho,

ich habe mir diese Woche einen Vortrag bei der it-sa365 angesehen und wollte etwas gelerntes mit euch teilen - etwas von dem ich denke, dass es die Wenigsten wissen, aber es doch interessant ist. Dabei geht es um die Access Control List, also einfach gesagt die Zugriffsrechte von Benutzern und Gruppen auf Dateien und Ordner.

Ich fange - wie in dem Vortrag auch - mit einem Bild an:

Wenn ihr das seht, was würdet ihr sagen? Hat "Guest" Zugriff auf die Datei oder nicht? Würdet ihr eure Meinung ändern wenn ihr das hier dazu seht?:

Die Antwort: Ja, Guest hat Zugriff auf die Datei.

 

Warum?

Wenn man diese Konstellation mit der Vererbung nachbaut bekommt man witzigerweise (in meinem Fall zumindest) von Windows eine Meldung in der explizit gesagt wird dass Deny immer 'stärker' ist als das Allow. Ich würde behaupten die meisten Admins würden das behaupten. Liest man sich allerding ein wenig ein, findet man folgenden Satz in den Docs von Microsoft:

Zitat

The system parses ACEs (Access Control Entries) in order, from first to last, until access is either granted or denied. Thus, ordering of ACEs is important. "Deny permissions" should be placed before "allow permissions."

https://docs.microsoft.com/en-us/archive/msdn-magazine/2008/november/access-control-understanding-windows-file-and-registry-permissions

Kurzum: Die Berechtigungen werden - nur in den Advanced Security Settings sichtbar - von oben nach unten durchgearbeitet, der erste gefundene Eintrag für den Benutzer zählt. In diesem Beispiel, welches ich nachgebaut habe ist aber automatisch mein "Allow" genau wie hier auch an den Anfang gerutscht - wie also die Reihenfolge ändern? Schließlich gibt es keine Pfeile oder so.

Jetzt bin ich hier auch kein Experte. Soweit ich gesehen habe braucht man hier die Powershell, muss den sogenannten SDDL für den Ordner rausfinden, die Reihenfolge der Berechtigungen in diesem SDDL verändern und schlussendlich auf den Ordner anwenden.

Das war es eigentlich... jetzt würde mich interessieren: Wusstet ihr das oder ist es euch gleichgültig weil - so vermute ich - sowieso kaum einer mit Deny arbeitet?

[Thanks-and-Goodbye]

Wie hast du denn für die Datei ein gleichzeitiges Allow all und Deny all hinbekommen?

[_n4p_]

@Chief Wiggum die Datei erbt das Deny von \Outside und das Allow von \Outside\inside. geht auch mit vererbten und expliziten Rechten auf der Datei

vor 38 Minuten schrieb Tician:

Wusstet ihr das

Nö, ich hätte tatsächlich getippt das Gast darf, aber hätte es auf die Vererbung geschoben (Das Allow ist näher an der Datei)

vor 40 Minuten schrieb Tician:

kaum einer mit Deny arbeitet?

Da müsste ich auch erstmal suchen ob ich irgendwo ein Deny benutze

[Thanks-and-Goodbye]

@_n4p_ danke, jetzt hab ich es kapiert. Zeit für Wochenende.

[Maniska]

Am 9.10.2020 um 16:31 schrieb Tician:

Wusstet ihr das

Nope, ich bin - wie auch die Meldung suggeriert - davon ausgegangen, dass ein "Deny" immer sticht.

Also wenn ich das jetzt richtig verstanden habe kommt es auf die Reihenfolge an, in der die Rechte gesetzt werden?

Es zieht nicht das Recht das "näher" am jeweilgen Objekt ist sondern das Recht, dass zuletzt gesetzt wurde weil das "oben" steht? Soweit richtig verstanden? Ist denn die Reihenfolge in der die Berechtigungen abgearbeitet werden wenigstens die Selbe wie in der ACL angezeigt, oder geht sicher rausfinden nur über den SDDL?

Ich werd das morgen mal nachbauen, da mich einerseits die Frage der Reihenfolge interessiert als auch die Frage nach "näher dran"/"weiter weg". Und vor allem, was zeigen die effektiven Berehtigungen in den unterscheidlichen Fällen an.

AFAIK habe ich keine "Deny"-Rechte gesetzt (und das auch nicht vor) aber das Thema ist heikel genug da noch ein bisschen rumzuspielen...

[Tician]

Ich weiß ehrlich gesagt nicht wie Windows selbst die Reihenfolde der Rechte setzt (ob der Vererbung nach oder der Reihenfolge nach wie ich die Berechtigungen erstelle), hätte ja sogar erwartet dass 'Deny' auch hier immer oben steht, dann würde die Meldung zum stechenden Deny auch Sinn machen.

Die Reihenfolge in der ersweiterten ACL-Ansicht zeigt dieselbe Reihenfolge wie die SDDL an.

@Maniska Wäre natürlich super wenn du deine weiteren Erkenntnisse teilen könntest - außerdem würde mich interessieren wie ich einen SDDL setzen kann, das habe ich (ohne den SDDL in eine eigene Datei zu packen) noch nicht gefunden^^

Den SDDL für einen Ordner rausfinden kann man in der Admin-Powershell mit

get-acl {Dateipfad} | Format-List -Property PSPath, Sddl

 

[Maniska]

Also, so wie sich das für mich darstellt, zieht wohl wirklich das Recht, das näher am Objekt liegt. Dieses wird in der ACL zu oberst dargestellt und greift dann wohl auch direkt. Zumindest wenn ich den User direkt berechtige schaut das Ganze so aus:

Ordner	Reihenfolge	Unterordner	Reihenfolge	Was steht in der ACL oben	Effektiver Zugriff?
allow	1	deny	2	deny	deny
deny	1	allow	2	allow	allow
allow	2	deny	1	deny	deny
deny	2	allow	1	allow	allow

Wie sich das mit Gruppenzugehörigkeiten verhält schau ich mal noch weiter, vor allem ob es da noch Auswirkungen gib wie "je nachdem wie verschachtelt" oder so Späße.

Für mich aber auf jeden Fall ein Grund mehr auf keine Fall "deny" zu verwenden sondern immer entweder "allow" oder "nichts".