# Access Based Enumeration (ABE) & NTFS Permissions
TL;DR / Management Summary Ein gut strukturierter Fileserver zeigt jedem User nur das an, was er auch öffnen darf. Access Based Enumeration (ABE) blendet Verzeichnisse und Dateien im Explorer aus, auf die der User keine Leserechte hat. Dies reduziert Helpdesk-Tickets (“Was ist das für ein Ordner?”) und erhöht die Sicherheit durch das Prinzip der minimalen Sichtbarkeit. Ein Senior Admin kombiniert ABE mit dem AGDLP-Modell (Artikel 489), um ein wartbares Berechtigungskonzept umzusetzen.
# 1. Einführung & Architektur
Die Logik der Unsichtbarkeit.
# Was ist ABE?
Normalerweise listet der Windows Explorer alle Inhalte eines Ordners auf, unabhängig von den Rechten. ABE schaltet einen Filter zwischen die FindNextFile API und den Client.
- Aktion: Der SMB-Server prüft bei jedem List-Befehl die ACL des Objekts gegen das Token des Users.
- Resultat: Nur Objekte mit mindestens
ReadRechten werden übertragen.
# NTFS vs. Share Permissions
- Share Permissions: Der “äußere Zaun”. Wir setzen hier meist “Everyone: Full Control”.
- NTFS Permissions: Das “Sicherheitsschloss”. Hier erfolgt die feingranulare Steuerung. Die restriktivere Regel gewinnt immer.
# 2. ABE in der Praxis
Einfach aktivieren.
# Aktivierung via GUI
Server Manager -> Dateidienste -> Freigaben -> Rechtsklick auf Share -> Eigenschaften -> Einstellungen.
- Haken setzen bei: basierte Aufzählung aktivieren.
# Aktivierung via PowerShell
Set-SmbShare -Name "Projekte" -FolderEnumerationMode AccessBased# 3. Deep Dive: NTFS Berechtigungen & Vererbung
Das Ende des Berechtigungs-Chaos.
# Vererbung (Inheritance)
Standardmäßig erben alle Dateien die Rechte des Überordners.
- Wichtig: Brechen Sie die Vererbung so selten wie möglich. Wenn Sie sie brechen müssen (z.B. für HR-Ordner), wählen Sie “Vererbte Berechtigungen in explizite Berechtigungen umwandeln”.
# Die ‘Special’ Permissions
- List Folder Contents: Notwendig, damit ABE den Ordner überhaupt anzeigt.
- Traverse Folder: Erlaubt dem User das Durchschreiten eines Ordners, um zu einem Unterordner zu gelangen, auf den er Rechte hat (selbst wenn er auf den Überordner kein Read-Recht hat).
# 4. Day-2 Operations: Berechtigungs-Audit
Wer hat Zugriff auf was?
Verwenden Sie niemals den Explorer für Massen-Prüfungen.
# PowerShell: Get-Acl
# Zeigt die Berechtigungen eines Ordners an
Get-Acl "D:\Shares\Finanzen" | Select-Object -ExpandProperty Access |
Where-Object { $_.IdentityReference -notlike "BUILTIN*" }# 5. Troubleshooting & “War Stories”
Wenn der User blind ist.
# Top 3 Fehlerbilder
-
Symptom: User sieht einen Ordner nicht, obwohl er in der Gruppe ist.
- Ursache: Der User hat sich nach dem Hinzufügen zur Gruppe nicht ab- und angemeldet (Kerberos Token veraltet).
- Lösung:
klist purgeam Client oder Logout/Login.
-
Symptom: Massive Performance-Einbußen beim Öffnen großer Verzeichnisse mit ABE.
- Ursache: Zu viele Einzel-ACLs statt Gruppen-ACLs. Der Server muss für jede Datei tausende Prüfungen machen.
- Lösung: Berechtigungen auf Gruppen aggregieren (AGDLP).
-
Symptom: “Zugriff verweigert” beim Löschen, obwohl Schreibrechte vorhanden sind.
- Ursache: Fehlendes
Delete Subfolders and FilesRecht auf dem Überordner.
- Ursache: Fehlendes
# “War Story”: Der “Geheime” Bonus-Plan
Ein Unternehmen hatte keine ABE aktiv. Ein Mitarbeiter sah einen Ordner Z:\Vorstand\Gehälter_2024. Er konnte ihn zwar nicht öffnen, machte aber einen Screenshot des Pfades und verbreitete das Gerücht über “geheime Boni”.
Lösung: Wir aktivierten ABE. Der Ordner verschwand für alle Nicht-Vorstände vom Bildschirm.
Lehre: Psychologische Sicherheit ist genauso wichtig wie technische Sicherheit. Was der User nicht sieht, macht ihn nicht nervös.
# 6. Monitoring & Reporting
Transparenz für den Auditor.
# NTFS Permission Reporting Tools
Nutzen Sie Tools wie DumpSec (Legacy) oder moderne PowerShell-Skripte (z.B. NTFSSecurity Modul), um vierteljährlich Berichte für die Compliance zu erstellen.
# 7. Fazit & Empfehlung
ABE ist ein Standard-Feature, das auf jeden Enterprise-Fileserver gehört.
- Empfehlung: Nutzen Sie ABE konsequent. Es räumt den Explorer auf und schützt vor neugierigen Blicken.
- Wahl: Setzen Sie bei der Vergabe von Rechten ausschließlich auf Sicherheitsgruppen, niemals auf einzelne User-Accounts.
# Anhang: Cheatsheet
| Aufgabe | Befehl / Tool |
|---|---|
| ABE Status prüfen | `Get-SmbShare -Name “…” |
| ACL exportieren | icacls "D:\Ordner" /save acl_backup.txt /T |
| ACL importieren | icacls "D:\" /restore acl_backup.txt |
| Besitzer ändern | takeown /F "D:\Ordner" /R |