Tags: Rechteverwaltung, Dateisystem, NTFS
Zu den Bordmitteln von Windows gehören icacls und takeown, mit denen man Dateiberechtigungen ändern oder bestimmte User als Besitzer von Ordnern festlegen kann. Das kostenlose Reset file permissions ist eine grafische Shell für diese CLI-Tools und vereinfacht ihre Nutzung.
Dateien und Ordner auf einem NTFS-Laufwerk erben bekanntlich die Berechtigungen von übergeordneten Verzeichnissen. Dieser Mechanismus lässt sich entweder außer Kraft setzen, indem man die Vererbung deaktiviert, oder übersteuern, indem man explizit Rechte zu bestimmten Benutzern zuweist.
Direkte Rechtezuweisung als Sicherheitsproblem
Die direkte Vergabe von Berechtigungen für bestimmte Dateien an einzelne Benutzer ist keine gute Praxis, weil man auf diese Weise schnell die Übersicht verliert und daraus Sicherheitsprobleme erwachsen können.
Um einen derartigen Wildwuchs zu beseitigen, kann man die Berechtigungen auf Dateien und Ordner global zurücksetzen. Auf diese Weise gehen alle direkt zugewiesenen Rechte verloren. Bevor man sich an das Aufräumen macht, ist es sinnvoll, sich anzeigen zu lassen, wer welche Rechte auf welche Dateien hat.
Aktuelle Berechtigungen analysieren
Für diese Aufgabe gibt es mehrere kostenlose Tools. Dazu zählen etwa das schon in die Jahre gekommene DumpSec oder der komfortablere NTFS Permissions Reporter. Unter den kommerziellen Werkzeugen eignet sich dafür der FolderSecurityView der Firma G-Tac.
Um nur herauszufinden, welche Dateien und Ordner über Berechtigungen verfügen, die nicht vererbt wurden, kann man auch zu PowerShell greifen. Folgender Befehl übergibt die von Get-ChildItem ermittelten Dateinamen an eine Schleife, in der Get-Acl herausfindet, welche davon einen nicht vererbten ACL-Eintrag enthalten:
Get-ChildItem | %{ $_.Name; (Get-Acl -Path $_ |
select -ExpandProperty Access |
% { if($_.IsInherited -eq $false){$_} } )
}
Möchte man nun alle nicht vererbten Berechtigungen zurücksetzen, dann kann man dies über icacls.exe und dem Schalter /reset tun. Das Tool nimmt eine Reihe weiterer Parameter, so dass man erst die Hilfe studieren muss, wenn man nicht regelmäßig damit arbeitet.
Aufruf von icalcs über Shell zusammenstellen
Hier kommt die kostenlose GUI von Elias Bachaalany ins Spiel, die dem Admin die Auseinandersetzung mit der Kommandozeile vereinfacht. Es handelt sich dabei um eine Shell für icacls, die nach Auswahl der vorhandenen Optionen die Befehlszeile für das Dienstprogramm von Windows zusammenstellt.
Bevor man diese über die Schaltfläche Go abschickt, kann man sie bei Bedarf noch nachbearbeiten. Das empfiehlt sich etwa dann, wenn man nicht alle Dateien in einem Ordner zurücksetzen möchte. Die GUI erlaubt nämlich nur die Auswahl von Verzeichnissen, so dass man in diesem Fall die Dateimaske anpassen muss. Standardmäßig besteht sie nur aus dem Wildcard '*'.
Neben dem Reset unterstützt das Tool auch das Sichern der vorhandenen Berechtigungen, so dass man diese im Notfall wiederherstellen kann. Auch der Restore lässt sich über die GUI anstoßen.
Befehl im Kontextmenü des Explorer
Besonders praktisch ist die Möglichkeit, den Befehl zum Zurücksetzen der Berechtigungen in das Kontextmenü von Dateien und Ordnern im Explorer aufzunehmen. Dieser lässt sich jederzeit wieder entfernen. Unschön an der Realisierung dieses Menüeintrags ist indes, dass er sich bei jeder Datei findet, unabhängig davon, ob es dort überhaupt Abweichungen von den vererbten Rechten gibt.
Besitz an Dateien übernehmen
Neben icacls kann die GUI zudem takeown aufrufen, um den Besitzer von Dateien zu ändern. Auch hier setzt es standardmäßig einen '*' für alle Dateien in einem Verzeichnisbaum, so dass man das Muster bei Bedarf anpassen muss.
Das Übertragen des Besitzes erfordert, dass dem künftigen Eigentümer dieses Recht erst eingeräumt werden muss, bevor er es wahrnehmen kann. Dies lässt sich über dieses Tool jedoch nicht erledigen.
Dateiattribute entfernen
Schließlich kann man damit noch die Dateiattribute System und Versteckt entfernen. Dabei handelt es sich aber nur um einen simplen Aufruf von attrib -h -s, wofür man in der Regel keine Shell benötigt.
Verfügbarkeit
Das Tool Reset file permissions ändert Dateiberechtigungen nur auf dem lokalen Rechner bzw. File-Server. Es kann von der Website des Autors heruntergeladen werden. Das Passwort zum Entpacken der ZIP-Datei lautet lallouslab. Eine Installation des Programms ist nicht erforderlich.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- FolderSecurityViewer 2.0: Reports für Verzeichnis- und Freigaberechte, Owner und User-Berechtigungen
- Test: Verzeichnis- und Freigabe-Berechtigungen analysieren mit dem (kostenlosen) FolderSecurityViewer
- NTFS-Rechte anzeigen, zuweisen und entfernen mit dem PowerShell-Modul NTFSSecurity
- BAYOOSOFT Berechtigungsaudit: Vollständige Analyse aller Zugriffsrechte auf Dateien und Verzeichnisse
Weitere Links
2 Kommentare
Das Tool wird von Trend Micro als Trojaner erkannt. Wahrscheinlich wegen der hinterlegten Klassen zum Rechte ändern, allerdings sollte der Hersteller ggf. in erwägung ziehen, sein Tool bei Virenherstellern einzusenden und testen zu lassen.
Das Tool ist Schrott und scheitert bei 80% der Dateien weil angeblich kein Handler erkannt wird.