Access-based Enumeration (ABE)
Inhaltsanzeige von Fileserver-Freigaben auf Unterordner mit Zugriffsberechtigungen eingrenzen
Normalerweise »sehen« Benutzer in der Auflistung der in der Freigabe eines Fileservers vorhandenen Unterordner auch solche, für die sie gar keine Berechtigung besitzen. Access-based Enumeration (ABE) ändert das grundlegend: Hiermit können Administratoren von Windows Server 2003 Service-Pack 1 für Netzwerkbenutzer die Sichtbarkeit von Unterordnern automatisch auf solche eingrenzen, auf die jeweiligen Benutzer auch tatsächlich Zugriff haben.
Viele Administratoren kennen das: So mancher Benutzer begibt sich an seinem Arbeitsplatz-PC auf Erkundungstour im LAN und wüsste nur allzu gerne, was das Unternehmensnetz Spannendes bereithält. Ein Blick auf die Ordnerfreigaben von Windows-basierten Fileservern offenbart dabei Interessantes: So listet beispielsweise die Netzwerkumgebung alle in der Ordnerfreigabe des Fileservers befindlichen Unterordner auf. Zwar kann sich der Benutzer nur in solche Unterordner hineinklicken, für die er auch über entsprechende Zugriffsberechtigungen verfügt, sodass kein Sicherheitsrisiko besteht. Gleichwohl reicht bereits die Auflistung einer Reihe von Unterordnern des Fileservers, auf die kein Zugriff besteht, dazu aus, um den »Tatendrang« von neugierigen Benutzern zu wecken.
Diesem Standardverhalten von Windows-basierten Fileservern schiebt die Access-based Enumeration (kurz ABE) ab Windows Server 2003 Service-Pack 1 einen Riegel vor. Ist die ABE-Funktion auf einem Fileserver aktiviert, »sehen« alle Benutzer nur noch solche, Unterordner einer Ordnerfreigabe, auf die sie auch über Berechtigungen verfügen. Unterordner hingegen, auf die mangels Berechtigungen gar kein Zugriff möglich ist, werden Benutzern bei aktiviertem ABE in der Netzwerkumgebung nicht mehr angezeigt.
Die ABE-Filterung hat nur minimale Auswirkungen auf die Performance des Fileservers – insbesondere für freigegebene Ordner, in denen sich nur einige tausend Dateien befinden. Microsoft-internen Messungen zufolge nimmt ABE selbst bei sehr großen Dateistrukturen lediglich zwei bis drei Prozent der Prozessorzyklen in Anspruch. Zur flexiblen Handhabung ist die ABE-Funktion global für den gesamten Fileserver oder aber für jede seiner Ordnerfreigaben selektiv aktivierbar.
Funktionsweise
Anhand eines kleinen Beispiels lässt sich der Effekt der Access-based Enumeration leicht verdeutlichen:
| • | Zunächst muss auf einem lokalen Datenträger des Fileservers ein Ordner erstellt und freigegeben werden. Über die erweiterten Sicherheitseinstellungen dieses Ordners (Registerkarte Sicherheit im Windows-Explorer) ist die Rechteverbreitung von übergeordneten Objekte für die Gruppe Benutzer zu entfernen. Vielmehr sollen authentifizierte Benutzer lediglich Berechtigungen für den Inhalt des freigegebenen Ordners besitzen, nicht aber für die darin enthaltenen Unterordner. |
| • | Falls keine Beispiel-User (etwa Benutzer-A und Benutzer-B) existieren, sind diese im Active Directory anzulegen. |
| • | Anschließend werden in dem freigegebenen Ordner des Fileservers zwei Unterordner (beispielsweise Daten-A und Daten-B) erstellt. |
| • | Benutzer-A sind nun Berechtigungen für den Ordner Daten-A zu erteilen. Analog bekommt Benutzer-B den Zugriff auf Daten-B erteilt. |
Ohne Access-based Enumeration können Benutzer-A und Benutzer-B jetzt den Inhalt des auf dem Fileserver freigegebenen Ordners – sprich: die Ordner Daten-A und Daten-B – in ihrer Netzwerkumgebung »sehen«. Benutzer-A zum Beispiel erhält dann zwar beim Versuch, den Inhalt des Unterordners Daten-B einzusehen, eine Fehlermeldung, doch ungeachtet der fehlenden Berechtigungen taucht dieser Unterordner in seiner Netzwerkumgebung auf. Genauso verhält es sich mit dem Benutzer-B und dem Unterordner Daten-B.
Sobald die ABE-Funktion des Fileservers für die betreffende Ordnerfreigabe jedoch eingeschaltet wird, ändert sich das Bild. In der Netzwerkumgebung eines Benutzers erscheinen jetzt für den freigegebenen Ordner des Fileservers nur noch solche Unterordner, auf die der jeweilige Benutzer zum Zugriff berechtigt ist. Benutzer-A sieht somit lediglich den Unterordner Daten-A, während in der Netzwerkumgebung von Benutzer-B für die betreffende Ordnerfreigabe des Fileservers nur noch der Unterordner Daten-B aufgeführt ist.
Installation der ABE-Konfigurationstools
ABE lässt sich auf allen Fileservern nutzen, die mit Windows Server 2003 Service-Pack 1 oder höher arbeiten. Die grundlegende ABE-Funktionalität ist dabei schon in Windows Server 2003 Service-Pack 1 eingebaut.
Die zur Aktivierung und Konfiguration von ABE erforderlichen Tools (sowohl grafisch als auch für die Befehlszeile) sind jedoch nicht in Windows Server 2003 Service-Pack 1 selbst enthalten, sondern über das Microsoft Download Center zu beziehen. Dort stehen drei Varianten der ABE-Konfigurationstools für Fileserver mit x86-, x64- oder IA64-Prozessoren bereit.
Die Installation der ABE-Konfigurationstools geht denkbar einfach vonstatten. Durch den Aufruf der MSI-Installationsdatei werden der Installationsassistent gestartet und die zugehörigen Systemdateien auf dem Fileserver installiert. Mit Auswahl der Option Enable Access-based Enumeration on all existing shared folders kann der Installationsassistent ABE auch gleich für alle Ordnerfreigaben des Fileservers einschalten. Standardmäßig ist ABE für jeden freigegebenen Ordner individuell zu aktivieren.
ABE-Verwaltung
Nach ihrer Installation auf dem Fileserver können die ABE-Konfigurationstools zum Einsatz kommen. Das grafische Tool für die Konfiguration der ABE-Funktion ist als Erweiterung für das Dialogfeld Eigenschaften eines freigegebenen Ordners realisiert: Bei der Bearbeitung der Eigenschaften einer Ordnerfreigabe im Windows-Explorer weist das Dialogfeld die Registerkarte Access-based Enumeration auf (ist der betreffende Ordner nicht freigegeben, existiert diese Registerkarte nicht). Wie zuvor bei der Installation der ABE-Konfigurationstools auf dem Fileserver ist es an dieser Stelle ebenfalls möglich, die ABE-Funktion für die betreffende Freigabe oder alle Ordnerfreigaben einzuschalten.
Zusätzlich enthalten die ABE-Konfigurationstools den Befehl ABECMD.EXE. Hierüber können Administratoren die ABE-Funktion direkt über die Befehlszeile konfigurieren – wahlweise für eine einzelne oder alle Ordnerfreigaben des lokalen Fileservers. Zusätzlich zu den Optionen des grafischen Tools gestattet ABECMD die Konfiguration der ABE-Funktion auf Remote-Fileservern. Hierzu steht der Parameter /server bereit.
Zu berücksichtigen ist dabei, dass Access-based Enumeration erst ab Windows Server 2003 Service-Pack 1 zur Verfügung steht. Fileserver, die zwar mit Windows Server 2003, nicht aber mit dem Service-Pack 1 ausgestattet sind, können (ebenso wie mit Windows 2000 Server arbeitende Fileserver) die ABE-Funktion nicht nutzen.
Zusätzliche Informationen
ABE kommt nur dann zum Tragen, wenn Benutzer über das Netzwerk auf den Fileserver zugreifen. Für Administratoren findet zudem keine Filterung durch die Access-based Enumeration statt.
Weitere Informationen zur ABE-Funktion sind im Access-based Enumeration-Whitepaper enthalten. Durch die Installation der ABE-Konfigurationstools wird dieses Dokument automatisch im Ordner C:\Programme\Microsoft Corporation\Windows Server 2003 Access-based Enumeration abgelegt, was ein jederzeitiges Nachschlagen ermöglicht.