NTFS – Dateisystem, Berechtigungen und Sicherheit
Das New Technology File System (NTFS) ist das aktuelle Dateisystem von Windows. Wir zeigen Grundlagen zu NTFS und die Verbesserung der Datensicherheit mit OGiTiX unimate als Tool für NTFS-Berechtigungen.
Dateisysteme organisieren als ein Ablagesystem Funktionen wie Schreiben, Lesen, Speichern, Suchen, Löschen und weitere Änderungen von Dateien und Ordnern auf einem Speichermedium. Verschiedene Betriebssysteme wie Windows, Linux oder Mac nutzen verschiedene Dateisysteme, die allerdings aufgrund der Praktikabilität miteinander kompatibel sind. Vor der Nutzung eines Datenträgers muss diesem bei der Formatierung ein Dateisystem zugewiesen werden, da sonst die Verwendung nicht möglich wäre.
Neben Funktionen wie löschen und speichern sind in modernen Dateisystemen wie NTFS auch Funktionen der Zugriffsberechtigung ein wichtiger und praktischer Begleiter für die Sicherheit im Unternehmen. Im Folgenden finden Sie eine kleine Einführung zum aktuellen Windows-Dateisystem NTFS und wie Sie mit IAM von OGiTiX NTFS-Berechtigungen holistisch und einfach orchestrieren können.
Windows NTFS Bedeutung für die Sicherheit und Berechtigungen
Dateisysteme sind wie eine Verwaltung und Ablageorganisation von Informationen bzw. Dateien auf einem Volume, also der Festplatte, Partition oder externen Datenträgern. Dateien finden in Dateisystemen durch Metadaten wie den Dateinamen und den Speicherort (Dateipfad) eine Einordnung.
Dabei unterstützen Dateisysteme CRUD-Funktionen persistenter Speicher auf organisatorischer Basis, indem beispielsweise Nutzern das Ausführen von Funktionen auf Dateien gewährt wird. Zu diesen CRUD-Funktionen der Datensätze gehören:
- Anlegen (Create)
- Lesen (Read)
- Aktualisieren (Update)
- Löschen (Delete)
NTFS-Dateiberechtigungen umfassen die CRUD-Funktionen, doch sind noch vielseitiger, wie wir im Abschnitt NTFS-Berechtigungen und IAM erläutern werden.
Was ist NTFS?
NTFS bedeutet New Technology File System und ist das primäre Dateisystem, welches aktuell unter den Betriebssystemen Windows und Windows Server als Standards verwendet wird.
Das Dateisystem NTFS versteht sich als Nachfolger des FAT-Dateisystems und gilt bei allen Betriebssystemen von Windows als Standard, der auch mit anderen Betriebssystemen kompatibel ist.
Microsoft nennt verschiedene Vorteile und Funktionen von NTFS, die das Dateisystem auszeichnen. So seien beispielsweise Security Descriptor, Datenverschlüsselung (Encryption), Festplattenkontingente und Metadaten mit Cluster Shared Volumes (CSV) nutzbar. Dadurch könnten mehrere Netzknoten (nodes) permanent auf erreichbare Datenträger bzw. Volumes simultan zugreifen.
Verbesserte Zuverlässigkeit
Mit der “Self-Healing” Funktion kann NTFS manche Fehler selbst erkennen und beheben, während das Volume online und funktionsfähig bleibt. Nach einem Absturz stellt NTFS die Daten eigenständig mit LogFiles wieder her. Cluster werden von fehlerhaften Sektoren in neue umgesiedelt. Bei umfassenderen “Corruption issues” und komplizierten Problemen wird die Funktion “Chkdsk” (Check Disk) verwendet.
Verbesserte Sicherheit
Das NTFS-Dateiformat unterstützt durch die auf Access Control List (ACL) basierende Sicherheit verschiedene Berechtigungen für spezifische Benutzer und Gruppen. Die Provisionierung (Vergabe von Zugriffsrechten) erfolgt für den Zugriff auf Ordner und Dateien.
NTFS unterstützt zudem die Laufwerksverschlüsselung mit BitLocker. BitLocker erhöht die Datensicherheit, indem Daten auf dem Laufwerk verschlüsselt werden und somit vor digitalen oder physischen Eingriffen geschützt sind. Die Verwendung von BitLocker oder ähnlichen Verschlüsselungs-Apps wird von Datenschutzbeauftragten auch für das Homeoffice empfohlen, um relevante Daten zu schützen.
Unterstützung für große Volumes und Dateien
Während in FAT die zu verarbeitende Dateigröße auf 4 GB beschränkt war, ist die maximale Dateigröße bei NTFS 8 Petabyte (PB) (1 Petabyte = 1000^5 bytes). Mit dem Dateisystem FAT/FAT32 war es nicht möglich, die ISO einer DVD (Image-Datensicherung) zu erstellen. Mit NTFS können dagegen große und aufwendige Grafikdateien – wie beispielsweise animierte Filme – gerendert werden. Im Alltag sind derartige Datenmengen beispielsweise in Server-Zentren zu finden.
Flexible Allokation von Daten
Die Neuzuteilung von Daten im Fall von limitierten Speicherplatz erfolgt mit NTFS durch:
- Komprimierung,
- Zuteilung von Speicherplatz der selben oder anderer Festplatten,
- Montage von Volumes in Dateien oder
- Verwendung von Quotas für Tracking und Kontrolle der Speicherplatzverwendung durch individuelle User.
NTFS-Berechtigungen und IAM
Das NTFS Dateisystem bietet eine Vielzahl von Möglichkeiten, mit denen Sie Berechtigungen an Benutzer und Rollen vergeben können.
Was sind NTFS-Berechtigungen?
NTFS-Berechtigungen sind Ordner und Dateiberechtigungen, welche im Dateisystem NTFS provisioniert werden. Dazu gehören Standardberechtigungen und sogenannte Spezielle Berechtigungen. Vergabe und Management der Speziellen Berechtigungen erfordern bestimmte Voraussetzungen wie Adminrechte, sowie Kenntnisse zu Rollen im System. Die NTFS-Berechtigungen können prinzipiell in der Microsoft Windows Oberfläche provisioniert werden. In NTFS-Dateien kommt die Security Descriptor Definition Language zur Verwendung, um die Access Control List (ACL) zu definieren. Diese ist allerdings nicht für Basis-Provisionierungen oder die Provisionierung von NTFS-Berechtigungen über Funktionen mit sprechenden Namen mit OGiTiX unimate notwendig.
Zu den NTFS-Basisberechtigungen gehören:
- Vollzugriff
- Ändern
- Lesen und Ausführen
- Ordnerinhalt auflisten
- Lesen
- Schreiben
- Spezielle Berechtigungen
Neben den verständlichen Standardberechtigungen werden unter “Spezielle Berechtigungen” eine Reihe von Berechtigungen zusammengefasst.
- Ordner durchlaufen/Datei ausführen
- Ordner auflisten/Daten lesen
- Attribute lesen
- Erweiterte Attribute lesen
- Erstellen von Datei-/Schreibdaten
- Erstellen von Ordnern/Anfügen von Daten
- Schreiben von Attributen
- Schreiben erweiterter Attribute
- Löschen
- Leseberechtigungen
IAM Governance – Vergabe von NTFS-Berechtigungen
Im Prinzip ist es möglich, die Berechtigungen für Ordner für einzelne User und entsprechende Rollen im Unternehmen über NTFS-Berechtigungen zu provisionieren. Dabei handelt es sich allerdings um einen schwer zu greifenden administrativen Aufwand. Zwar erleichtern Funktionen bei NTFS wie das “Vererben” der Berechtigungen von einem Ordner auf darin befindliche oder in Zukunft zu erstellende Dateien, doch ist diese manuelle Provisionierung ab bestimmten Unternehmensgrößen nicht praktikabel und mit Risiken und Fehlern behaftet.
NTFS und IAM Best Practice
Ein IAM-Tool für die Provisionierung von Zugriffsrechten und das Auslesen der NTFS Rechte bietet die praktische und übersichtliche Anwendung im für hohe Anforderungen an den Datenschutz bzw. Compliance und mittelständische Unternehmen. Vorteile der automatisierten Provisionierung von Zugriffsrechten der NTFS-Berechtigungen sind dabei:
- Re-Certification: NTFS-Berechtigungen auslesen.
- NTFS-Berechtigungen abstimmen und vergeben.
- NTFS, Active Directory (AD) und andere Berechtigungen einheitlich verwalten.
- Orchestrierung der Rechte und RBAC.
- Erhöhte Datensicherheit.
- Einsparpotenzial durch Automatisierung der Abläufe.
NTFS-Berechtigungen mit OGiTiX unimate
Das Ziel bei der Orchestrierung von Berechtigungen in Unternehmen und anderen Einrichtungen sollte es immer sein, einheitliche und automatisierte Vorgänge für die Maximierung der Sicherheit und die Optimierung von Arbeitsabläufen zu schaffen. Mit hohen Standards und offenen Systemen sind zukünftige Anpassungen und Erweiterungen in ganzheitlichen Prozess gefasst.
NTFS-Berechtigungen werden im Einklang mit der IAM-Governance vom OGiTiX unimate Project Team Access Rights Manager von Verantwortlichen in Teams orchestriert und bei Bedarf – beispielsweise für den Nachweis der Zugriffsrechte für Zertifizierungen – analysiert und dokumentiert.
Dabei werden alle über Schnittstellen angeschlossenen Datenbanken und Apps bei der Analyse des Status quo und der Provisionierung berücksichtigt. Die Best Practice der Vergabe folgt so dem Principle of Least Privilege (PoLP), Need-to-know-Prinzip und ist ein Teil der Lifecycle-Prozesse wie Joiner, Leaver und Mover Abläufe sowie der Roll Based Access Control (RBAC).
Gern beraten wir Sie persönlich über die individuellen Vorteile von OGiTiX IAM in Ihrem Unternehmensszenario, dem zu erwartenden ROI bei der Implementierung der Lösung und Hinweise für den Erfolg mit IAM in Ihrem Unternehmen.