NTFS-Rechte zurücksetzen und Besitzer ändern mit kostenloser GUI

    Dynamic Access ControlZu den Bordmitteln von Windows gehören icacls und takeown, mit denen man Datei­berechti­gungen ändern oder bestimmte User als Besitzer von Ordnern festlegen kann. Das kostenlose Reset file permissions ist eine grafische Shell für diese CLI-Tools und vereinfacht ihre Nutzung.

    Dateien und Ordner auf einem NTFS-Laufwerk erben bekanntlich die Berechtigungen von übergeordneten Verzeichnissen. Dieser Mechanismus lässt sich entweder außer Kraft setzen, indem man die Vererbung deaktiviert, oder übersteuern, indem man explizit Rechte zu bestimmten Benutzern zuweist.

    Direkte Rechtezuweisung als Sicherheitsproblem

    Die direkte Vergabe von Berechtigungen für bestimmte Dateien an einzelne Benutzer ist keine gute Praxis, weil man auf diese Weise schnell die Übersicht verliert und daraus Sicherheits­probleme erwachsen können.

    Um einen derartigen Wildwuchs zu beseitigen, kann man die Berechtigungen auf Dateien und Ordner global zurücksetzen. Auf diese Weise gehen alle direkt zugewiesenen Rechte verloren. Bevor man sich an das Aufräumen macht, ist es sinnvoll, sich anzeigen zu lassen, wer welche Rechte auf welche Dateien hat.

    Aktuelle Berechtigungen analysieren

    Für diese Aufgabe gibt es mehrere kostenlose Tools. Dazu zählen etwa das schon in die Jahre gekommene DumpSec oder der komfortablere NTFS Permissions Reporter. Unter den kommerziellen Werk­zeugen eignet sich dafür der FolderSecurityView der Firma G-Tac.

    Um nur herauszufinden, welche Dateien und Ordner über Berechtigungen verfügen, die nicht vererbt wurden, kann man auch zu PowerShell greifen. Folgender Befehl übergibt die von Get-ChildItem ermittelten Dateinamen an eine Schleife, in der Get-Acl herausfindet, welche davon einen nicht vererbten ACL-Eintrag enthalten:

    Get-ChildItem | %{ $_.Name; (Get-Acl -Path $_ |
    select -ExpandProperty Access |
    % { if($_.IsInherited -eq $false){$_} } )
    }

    Möchte man nun alle nicht vererbten Berechtigungen zurücksetzen, dann kann man dies über icacls.exe und dem Schalter /reset tun. Das Tool nimmt eine Reihe weiterer Parameter, so dass man erst die Hilfe studieren muss, wenn man nicht regelmäßig damit arbeitet.

    Aufruf von icalcs über Shell zusammenstellen

    Hier kommt die kostenlose GUI von Elias Bachaalany ins Spiel, die dem Admin die Auseinander­setzung mit der Kommando­zeile vereinfacht. Es handelt sich dabei um eine Shell für icacls, die nach Auswahl der vorhandenen Optionen die Befehlszeile für das Dienstprogramm von Windows zusammenstellt.

    Nach dem Auswählen eines Ordners muss man ggf. die Maske für die Dateinamen anpassen.

    Bevor man diese über die Schaltfläche Go abschickt, kann man sie bei Bedarf noch nachbearbeiten. Das empfiehlt sich etwa dann, wenn man nicht alle Dateien in einem Ordner zurücksetzen möchte. Die GUI erlaubt nämlich nur die Auswahl von Verzeichnissen, so dass man in diesem Fall die Dateimaske anpassen muss. Standardmäßig besteht sie nur aus dem Wildcard '*'.

    Unter Advanced finden sich die Befehle für das Sichern der Berechtigungen und die Erweiterung des Explorer-Menüs.

    Neben dem Reset unterstützt das Tool auch das Sichern der vorhandenen Berechtigungen, so dass man diese im Notfall wiederherstellen kann. Auch der Restore lässt sich über die GUI anstoßen.

    Befehl im Kontextmenü des Explorer

    Besonders praktisch ist die Möglichkeit, den Befehl zum Zurücksetzen der Berechtigungen in das Kontextmenü von Dateien und Ordnern im Explorer aufzunehmen. Dieser lässt sich jederzeit wieder entfernen. Unschön an der Realisierung dieses Menüeintrags ist indes, dass er sich bei jeder Datei findet, unabhängig davon, ob es dort überhaupt Abweichungen von den vererbten Rechten gibt.

    Befehl zum Zurücksetzen der Berechtigungen im Kontextmenü des Explorer

    Besitz an Dateien übernehmen

    Neben icacls kann die GUI zudem takeown aufrufen, um den Besitzer von Dateien zu ändern. Auch hier setzt es standardmäßig einen '*' für alle Dateien in einem Verzeichnisbaum, so dass man das Muster bei Bedarf anpassen muss.

    Das Übertragen des Besitzes erfordert, dass dem künftigen Eigentümer dieses Recht erst eingeräumt werden muss, bevor er es wahr­nehmen kann. Dies lässt sich über dieses Tool jedoch nicht erledigen.

    Dateiattribute entfernen

    Schließlich kann man damit noch die Dateiattribute System und Versteckt entfernen. Dabei handelt es sich aber nur um einen simplen Aufruf von attrib -h -s, wofür man in der Regel keine Shell benötigt.

    Verfügbarkeit

    Das Tool Reset file permissions ändert Datei­berechtigungen nur auf dem lokalen Rechner bzw. File-Server. Es kann von der Website des Autors heruntergeladen werden. Das Passwort zum Entpacken der ZIP-Datei lautet lallouslab. Eine Installation des Programms ist nicht erforderlich.

    1 Kommentar

    Bild von User237
    User237 sagt:
    27. November 2017 - 12:59

    Das Tool wird von Trend Micro als Trojaner erkannt. Wahrscheinlich wegen der hinterlegten Klassen zum Rechte ändern, allerdings sollte der Hersteller ggf. in erwägung ziehen, sein Tool bei Virenherstellern einzusenden und testen zu lassen.