Zum Inhalt springen

Wie die WIndows ACL funktioniert


Empfohlene Beiträge

Geschrieben

Hiho,

ich habe mir diese Woche einen Vortrag bei der it-sa365 angesehen und wollte etwas gelerntes mit euch teilen - etwas von dem ich denke, dass es die Wenigsten wissen, aber es doch interessant ist. Dabei geht es um die Access Control List, also einfach gesagt die Zugriffsrechte von Benutzern und Gruppen auf Dateien und Ordner.

Ich fange - wie in dem Vortrag auch - mit einem Bild an:

grafik.png.deae1054f615a737a4cc42d775918073.png

Wenn ihr das seht, was würdet ihr sagen? Hat "Guest" Zugriff auf die Datei oder nicht? Würdet ihr eure Meinung ändern wenn ihr das hier dazu seht?:

grafik.png.854a5aa52a9dcec1e8ae34c7d1d641b4.png

Die Antwort: Ja, Guest hat Zugriff auf die Datei.

 

Warum?

Wenn man diese Konstellation mit der Vererbung nachbaut bekommt man witzigerweise (in meinem Fall zumindest) von Windows eine Meldung in der explizit gesagt wird dass Deny immer 'stärker' ist als das Allow. Ich würde behaupten die meisten Admins würden das behaupten. Liest man sich allerding ein wenig ein, findet man folgenden Satz in den Docs von Microsoft:

Zitat

The system parses ACEs (Access Control Entries) in order, from first to last, until access is either granted or denied. Thus, ordering of ACEs is important. "Deny permissions" should be placed before "allow permissions."

https://docs.microsoft.com/en-us/archive/msdn-magazine/2008/november/access-control-understanding-windows-file-and-registry-permissions

Kurzum: Die Berechtigungen werden - nur in den Advanced Security Settings sichtbar - von oben nach unten durchgearbeitet, der erste gefundene Eintrag für den Benutzer zählt. In diesem Beispiel, welches ich nachgebaut habe ist aber automatisch mein "Allow" genau wie hier auch an den Anfang gerutscht - wie also die Reihenfolge ändern? Schließlich gibt es keine Pfeile oder so.

Jetzt bin ich hier auch kein Experte. Soweit ich gesehen habe braucht man hier die Powershell, muss den sogenannten SDDL für den Ordner rausfinden, die Reihenfolge der Berechtigungen in diesem SDDL verändern und schlussendlich auf den Ordner anwenden.

Das war es eigentlich... jetzt würde mich interessieren: Wusstet ihr das oder ist es euch gleichgültig weil - so vermute ich - sowieso kaum einer mit Deny arbeitet? :)

Geschrieben

@Chief Wiggum die Datei erbt das Deny von \Outside und das Allow von \Outside\inside. geht auch mit vererbten und expliziten Rechten auf der Datei

image.png.378ca9b5bd3f37d98c56c67df3839e28.png

vor 38 Minuten schrieb Tician:

Wusstet ihr das

Nö, ich hätte tatsächlich getippt das Gast darf, aber hätte es auf die Vererbung geschoben (Das Allow ist näher an der Datei)

vor 40 Minuten schrieb Tician:

kaum einer mit Deny arbeitet?

Da müsste ich auch erstmal suchen ob ich irgendwo ein Deny benutze

Geschrieben
Am 9.10.2020 um 16:31 schrieb Tician:

Wusstet ihr das

Nope, ich bin - wie auch die Meldung suggeriert - davon ausgegangen, dass ein "Deny" immer sticht.

Also wenn ich das jetzt richtig verstanden habe kommt es auf die Reihenfolge an, in der die Rechte gesetzt werden?

Es zieht nicht das Recht das "näher" am jeweilgen Objekt ist sondern das Recht, dass zuletzt gesetzt wurde weil das "oben" steht? Soweit richtig verstanden? Ist denn die Reihenfolge in der die Berechtigungen abgearbeitet werden wenigstens die Selbe wie in der ACL angezeigt, oder geht sicher rausfinden nur über den SDDL?

Ich werd das morgen mal nachbauen, da mich einerseits die Frage der Reihenfolge interessiert als auch die Frage nach "näher dran"/"weiter weg". Und vor allem, was zeigen die effektiven Berehtigungen in den unterscheidlichen Fällen an.

AFAIK habe ich keine "Deny"-Rechte gesetzt (und das auch nicht vor) aber das Thema ist heikel genug da noch ein bisschen rumzuspielen...

Geschrieben

Ich weiß ehrlich gesagt nicht wie Windows selbst die Reihenfolde der Rechte setzt (ob der Vererbung nach oder der Reihenfolge nach wie ich die Berechtigungen erstelle), hätte ja sogar erwartet dass 'Deny' auch hier immer oben steht, dann würde die Meldung zum stechenden Deny auch Sinn machen.

Die Reihenfolge in der ersweiterten ACL-Ansicht zeigt dieselbe Reihenfolge wie die SDDL an.

@Maniska Wäre natürlich super wenn du deine weiteren Erkenntnisse teilen könntest - außerdem würde mich interessieren wie ich einen SDDL setzen kann, das habe ich (ohne den SDDL in eine eigene Datei zu packen) noch nicht gefunden^^

Den SDDL für einen Ordner rausfinden kann man in der Admin-Powershell mit

get-acl {Dateipfad} | Format-List -Property PSPath, Sddl

 

Geschrieben

Also, so wie sich das für mich darstellt, zieht wohl wirklich das Recht, das näher am Objekt liegt. Dieses wird in der ACL zu oberst dargestellt und greift dann wohl auch direkt. Zumindest wenn ich den User direkt berechtige schaut das Ganze so aus:

Ordner Reihenfolge Unterordner Reihenfolge Was steht in der ACL oben Effektiver Zugriff?
allow 1 deny 2 deny deny
deny 1 allow 2 allow allow
allow 2 deny 1 deny deny
deny 2 allow 1 allow allow

Wie sich das mit Gruppenzugehörigkeiten verhält schau ich mal noch weiter, vor allem ob es da noch Auswirkungen gib wie "je nachdem wie verschachtelt" oder so Späße.

Für mich aber auf jeden Fall ein Grund mehr auf keine Fall "deny" zu verwenden sondern immer entweder "allow" oder "nichts".

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...