NTFS-Berechtigungen (New Technology File System) bestimmen, in wie weit Nutzer auf Dateien und Ordner zugreifen können. Sie wirken sich also direkt darauf aus, ob Nutzer unerbeten auf Dateien zugreifen können. Durch übermäßige Vergabe von Berechtigungen (ob versehentlich oder willentlich) können Nutzer unbefugt auf wichtige Organisationsdateien zugreifen, was sogar zu einem Datenleck führen könnte. Wenn Sie diese Best Practices zu den NTFS-Dateiberechtigungen befolgen, können Sie Schwachstellen aufgrund inkonsistenter oder übermäßiger Berechtigungen vermeiden.
Beschränken Sie die den Nutzern zugewiesenen Berechtigungen auf das absolut notwendige – in anderen Worten, vergeben Sie nur die nötigen Berechtigungen, damit Nutzer ihre Rollen erfüllen können. Achten Sie bei sensiblen Dateien darauf, dass nur Administratoren darauf zugreifen können, und dass sie nicht öffentlich zugänglich sind.
Beschränken Sie die Berechtigungen von Domänennutzern im Root-Ordner. Gewähren Sie Teams und Einzelpersonen feinkörnig Berechtigungen im Verlauf der Ordnerstruktur.
Erstellen SIe Gruppen je nach Organisationsrolle, und weisen Sie dann diesen Gruppen Berechtigungen zu anstatt einzelnen Nutzern. Außerdem können Sie Nutzer zu diesen Gruppen hinzufügen bzw. daraus entfernen, um ganz einfach Berechtigungen zuzuteilen oder zu widerrufen.
Legen Sie regelmäßige Abstände fest, in denen eine Prüfung der Nutzerberechtigungen erfolgen soll.
Lassen Sie die Vererbung vom Root-Ordner zu allen untergeordneten Ordnern strömen. Behalten Sie inkonsistente Berechtigungen im Blick, welche die Vererbung umgehen, und korrigieren Sie sie.
Halten Sie ein wachsames Auge auf alle Änderungen an Berechtigungen und System-Zugriffssteuerungsliste (SACL, von System Access-Control List) für wichtige Dateien. Halten Sie Ausschau nach unerwünschten Aktionen von unbefugten Personen.
Prüfen Sie, auf welche Dateien offen zugegriffen werden kann, und legen Sie die richtigen Berechtigungen fest, um nur autorisierte Dateiaktivitäten zuzulassen. Verhindern Sie Missbrauch von Nutzerberechtigungen, indem Sie den offenen Zugriff auf Dateien und Ordner unterbinden.
Suchen Sie nach Dateien, die ehemaligen Mitarbeitern gehören, um darauf zuzugreifen. Widerrufen Sie den Zugriff auf verwaiste Dateien, und entfernen Sie Nutzerkonten aus den jeweiligen Sicherheitsgruppen. So können böswillige Nutzer nicht auf Netzwerkressourcen zugreifen.
Planen Sie für Situationen vor, die ungewöhnliche Berechtigungen erfordern. Legen Sie Richtlinien dafür fest, wenn die standardmäßig vergebenen Berechtigungen den Anforderungen von Nutzern und Rollen nicht gerecht werden.
Erstellen Sie eine separate Gruppe für Administratoren, um die Berechtigungen besser überblicken zu können. Geben Sie nur dieser Gruppe den vollständigen Zugriff zur Verwaltung von Datei- und Ordnerberechtigungen.