• Ratgeber
• Arbeiten unter XP ohne Adminrechte
• Erweiterte Dateifreigabe und NTFS Rechte
• Sichere Passwörter

Erweiterte Dateifreigabe und NTFS Rechte

Vorwort

Wussten Sie schon, dass jeder aus dem Internet auf Ihre freigegebenen Ordner problemlos zugreifen kann (sogar mit Schreibrechten)? Das ist zumindest dann der Fall, wenn Sie die einfache Dateifreigabe von Windows XP verwenden, welche in der Regel standardmäßig aktiviert ist und Ordner freigegeben sind. Diese Art der Dateifreigabe erlaubt nämlich jedem, der Zugriff auf Ihren PC in der Netzwerkumgebung hat (auch vom Internet aus), in diesen Ordnern zu lesen und schreiben. Da kann es schnell passieren, dass Sie plötzlich Trojanerdateien oder gar keine Dateien mehr im entsprechenden Ordner vorfinden. Router und Firewalls können, aber müssen nicht, davor schützen; vor allem nicht vor Angreifern im lokalen Netz. Da aber nicht jeder PC Besitzer beides zur Verfügung hat und es auch generell aus Gründen der Sicherheit eine gute Idee ist, eine sicherere Art der Dateifreigabe zu verwenden, wollen wir Ihnen in diesem Guide zeigen, wie man die erweiterte Dateifreigabe aktiviert und diese so konfiguriert, dass zukünftig nur noch vorkonfigurierte Benutzernamen und Passwort Zugriff erhalten. Die Anleitung ist hauptsächlich für Windows XP Professional, bei Abweichungen in der Homeversion werden wir Sie im Guide darauf hinweisen.

Einfache Dateifreigabe deaktivieren

Öffnen Sie den Windows Explorer und klicken im Menü Extras auf den Punkt Ordneroptionen. Wechseln Sie im neuen Menü (siehe Bild) zum Reiter Ansicht. Dort müssen Sie den Haken bei "einfache Dateifreigabe verwenden (empfohlen)" entfernen. Bestätigen Sie die Änderungen mit OK. Bei Windows XP Home müssen Sie eventuell erst im abgesicherten Modus booten, um diese Änderungen vornehmen zu können.

Benutzer und Passwörter einrichten

Möchte jemand auf Ihre Ordner zugreifen können, welche mit der normalen Dateifreigabe freigegeben wurden, so muss er sich beim ersten Zugriff mit einem Benutzernamen und Passwort anmelden. Dieser Benutzername und das dazugehörige Passwort müssen auf Ihrem PC bereits gespeichert sein.
Nehmen wir an, Sie erlauben jemanden auf einen Ordner zuzugreifen, wenn er sich mit Benutzername "Benutzer1" und dem dazu gehörigen Passwort bei Ihnen anmeldet. Dafür müssen Sie auf Ihrem PC den Benutzer Benutzer1 inkl. Passwort und eingeschränktem Kontotyp anlegen. Soll derjenige, der auf Ihren Ordner zugreift, nicht jedesmal nach Benutzername und Passwort gefragt werden, dann muss er den gleichen Namen inkl. gleichem Passwort auf dem PC speichern, mit dem er auf Ihren Netzwerkordner zugreifen will. Sie sollten einen extra Benutzer anlegen und nicht Ihren Benutzer dafür verwenden, mit dem Sie unter XP normalerweise arbeiten. Wie man Benutzer unter XP einrichtet, wird im Sicherheitsratgeber Arbeiten unter XP ohne Adminrechte erklärt. Für diesen und den folgenden Schritten sind Administratorrechte notwendig.
Benutzer des Dateimanager Programms Total Commander müssen nicht auf den Benutzer mit Adminrechten umloggen, sondern können stattdessen den Total Commander mit Adminrechten ausführen. Dadurch sind administrative Aufgaben wie Netzwerkfreigaben direkt über den Total Commander möglich.

Netzwerkfreigaben mit Benutzerauthentifizierung einrichten

Rechtsklicken Sie auf den gewünschten Ordner im Windows Explorer und wählen Sie Freigabe und Sicherheit. Im Reiter Freigabe muss nun die Option "diesen Ordner freigeben" angeklickt werden, um den Knopf Berechtigungen freizuschalten, welchen Sie anschließend klicken müssen. Nun kommt der wichtigste Teil: standardmäßig ist im darauf folgenden Menü "jeder" zum Lesen des Ordners berechtigt. Da Sie aus Sicherheitsgründen aber nur einzelnen Nutzern den Zugriff erlauben wollen, löschen Sie "jeder" (auswählen und auf entfernen klicken) und drücken anschließend auf hinzufügen. Geben Sie im unteren Feld des neuen Menüs Benutzer oder Gruppen wählen Benutzer1 ein (bzw. den von Ihnen für die Freigabe angelegte Benutzername) und bestätigen Sie mit OK. Wie rechts auf dem Bild zu erkennen, können Sie diesem User nun verschiedene Rechte geben oder verweigern.
Bei Leserechten (Lesen) kann der Benutzer Dateien inkl. aller Unterordner in jeder Form lesen (laden, angucken, ausführen etc.), mehr jedoch nicht. Est mit Schreibrechten (Ändern) kann er auch Dateien/Ordner ändern und löschen. Beim Vollzugriff werden alle Rechte der gewählten Spalte gesetzt. Auf dieselbe Weise können Sie einem Benutzer bestimmte oder alle Rechte verweigern. Ist kein Haken bei einem Recht in der linken Spalte gesetzt, erhält der User dieses Recht nicht, es kommt einem verweigerten Recht gleich. Dies gilt für Windows XP Pro. Benutzer der Home Version müssen hingegen ein verstecktes Tool benutzen. Beachten Sie, dass die hier beschriebene Art der Netzwerkfreigabe und Benutzerauthentifizierung nur funktioniert, wenn der angelegte Benutzer auch ein Passwort besitzt.

NTFS Rechte setzen

Auf dieselbe Weise können Sie nach einem Rechtsklick auf den gewünschten Ordner und Auswahl der Option Freigabe und Sicherheit (bzw. Eigenschaften, wenn es sich um eine Datei handelt) im Reiter Sicherheit die NTFS Rechte setzen (nur bei NTFS formatierten Laufwerken möglich). Diese Rechte erlauben es Ihnen als Administrator, bestimmten Usern zu erlauben oder zu verbieten, ausgewählte Ordner und Dateien zu lesen oder zu ändern. Standardmäßig sind die meisten Ordner und Dateien auf C: aus Sicherheitsgründen von Benutzern ohne Administratorrechten nur lesbar. Bedenken Sie bei der Freigabe von Ordnern für das Netzwerk, dass die NTFS Rechte über den Netzwerkfreigaberechten stehen. Besitzt ein User z.B. Leserechte für einen Ordner und Sie haben vergessen, für denselben User die notwendigen NTFS Leserechte zu setzen, wird er keinen Zugriff auf den Ordner erhalten. Sie können natürlich auch ihren Benutzern alle NTS Rechte für eine Partition zuweisen, was den Aufwand bei Netzwerkfreigaben verringert. Dies sollten Sie jedoch nicht beim C: Laufwerk anwenden. In der Home Version fehlt dieser Menüeintrag und muss zuerst per Tool aktiviert werden.

Netzwerkbenutzer aus dem Willkommensmenü entfernen (optional)

Nun haben Sie ihren neuen Benutzer extra angelegt, damit andere sich mit diesem bei Ihrem PC anmelden können. Da der Name jedoch nur für das Netzwerk und nicht lokal benutzt wird, ist es weder notwendig, noch erwünscht, dass er im Willkommensmenü aufgelistet ist. Dies können Sie ändern, indem Sie in der Systemsteuerung in der Verwaltung, Lokale Sicherheitseinstellungen das Menü Lokale Richtlinien aufklappen und das Untermenü Zuweisung von Benutzerrechten öffnen. Suchen Sie im rechten Fenster nach dem Punkt Lokale Anmeldung verweigern, rechtsklicken auf diesen und wählen dann Eigenschaften. Drücken Sie auf den Knopf Benutzer oder Gruppen hinzufügen. Tragen Sie wie bei der Vergabe von NTFS Rechten den entsprechenden Benutzer ein (in unserem Fall also Benutzer1) und bestätigen Sie mit OK. Nun wird der Benutzer nicht mehr in der Auswahl im Willkommensmenü erscheinen und bleibt dennoch weiterhin für Netzwerkfreigaben nutzbar.

(mk)