Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Terminologie der Zugriffssteuerung 69
Beziehung zwischen Zugriffssteuerungsstrukturen
Bevor wir das Thema Zugriffssteuerungsstrukturen verlassen und zur weiteren Terminologie
im Bereich der Objektsicherheit übergehen, ist es sinnvoll, uns noch einmal im Überblick
anzusehen, welche Beziehungen zwischen den Strukturen bestehen. Abbildung 3.7 zeigt
diese Beziehungen.
Eine Sicherheitsbeschreibung enthält zwei Zeiger auf SIDs, die Besitzer- und Gruppen-
SIDs. Außerdem enthält sie Zeiger auf zwei ACLs. In der Praxis ist es nicht ungewöhnlich,
wenn einer oder mehrere dieser Zeiger Nullzeiger sind (nur aus Nullen besteht). In diesem
Fall fehlen dem Objekt die entsprechenden Strukturen. Das sehen wir uns weiter unten genauer
an. Am häufigsten hat die SACL einen Nullzeiger, weil viele Objekte keine SACL
haben. Falls einer der anderen Zeiger ein Nullzeiger ist, können interessante Bugs auftreten.
Zum Beispiel können sogar integrierte Tools spektakulär fehlschlagen, falls der DACL-
Zeiger ein Nullzeiger ist.
Beachten Sie in Abbildung 3.7 außerdem, dass zwar nur ein ACE in jeder ACL aufgeführt
ist, aber zusätzliche ACEs hinzugefügt werden können. In diesem Fall wird die ACL länger.
Vererbung
ACLs können von übergeordneten Objekten an untergeordnete Objekte vererbt werden.
Zum Beispiel kann ein Verzeichnis eine ACL enthalten, die auf das Verzeichnis angewendet
wird, aber zusätzlich auf Dateien und Unterverzeichnisse. Heutzutage sollten wir allerdings
genauer sagen: Die ACEs werden vererbt, nicht die ACL.
Vor Windows 2000 wurde tatsächlich die ACL vererbt. Die Steuerungsflags der Sicherheitsbeschreibung,
zum Beispiel SE_DACL_AUTO_INHERIT_REQ (in einer SDDL-Zeichenfolge oft als
AR aufgeführt), sind ein Überbleibsel aus dieser Zeit. Seit Windows 2000 werden die *AUTO_
INHERIT_REQ-Flags aber de facto ignoriert. Genauso wird das AI-Flag (SE_DACL_AUTO_INHERI-
TED) praktisch ignoriert. Stattdessen werden jetzt die Vererbungsflags in den einzelnen ACEs
verwendet, was die Flexibilität bei der Vererbung gewaltig steigert, die Sache für den Systemadministrator
aber auch deutlich komplizierter macht.
Die Vererbungsflags wurden weiter oben in Tabelle 3.2 aufgelistet. Dies sind die Flags, die
Sie kennen müssen, um eine SDDL-Zeichenfolge auszuwerten oder um Software zu schreiben,
die das für Sie erledigt. Falls Sie ausschließlich in der GUI arbeiten, sehen Sie die Vererbungsflags
wie in Abbildung 3.8.
In Abbildung 3.8 sehen Sie ein Verzeichnis, das sowohl geerbte als auch nichtgeerbte ACEs
hat. Die Spalte Geerbt von zeigt an, woher sie stammen. Die Spalte Übernehmen für gibt an,
wie sie weitervererbt werden. Der erste ACE (für System) gilt offensichtlich nur für Ordner.
Es gibt einen Vollzugriff-ACE für System, der auch weitervererbt wird. Diese Redundanz
kommt in ACLs recht häufig vor.
Außerdem sehen Sie zwei Kontrollkästchen unten in Abbildung 3.8. Sie sind praktisch dynamische
Darstellungen der ACL-Flags aus Tabelle 3.1. Vererbbare Berechtigungen des übergeordneten
Objektes einschließen bewirkt, dass alle vererbbaren Berechtigungen an dieses
Objekt weitergegeben werden. Falls dieses Kontrollkästchen deaktiviert ist, entspricht das
einem gesetzten P-Flag in der Sicherheitsbeschreibung. Das zweite Kontrollkästchen, Bestehende
vererbbare Berechtigungen aller untergeordneten Objekte durch vererbbare Berechtigungen
dieses Objektes ersetzen, steht nicht für irgendein Flag. Es bewirkt, dass Berechtigungen
erneut vererbt werden. Manche Tools interpretieren das AI-Flag aus Tabelle 3.1 in