Bundesamt für Sicherheit in der Informationstechnik

G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten ab Windows Server 2003

Das Verschieben und Kopieren von Objekten oder ganzer Teilbäume aus oder in Verzeichnisse umfasst mehrere zum Teil versteckte Vorgänge, welche die bewegten Datenobjekte und Verzeichnisstrukturen unbrauchbar machen können. Die Gefährdung geht weniger von einzelnen Benutzern als von Administratoren aus, da sie zum Teil große oder systemkritische Datenbestände bewegen müssen.

Die klassische Gefahr, die oft bei Migrationsszenarien anzutreffen ist, stellt das Verschieben von Objekten des Dateisystems über Medien- oder Systemgrenzen hinweg dar. Vor dem Entfernen der Daten von ihrem Ursprungsort findet keine Kontrolle dieser Daten am Zielort statt. Die von der Verschiebung betroffenen Daten sind gegebenenfalls verloren.

Weniger offensichtlich ist das Verhalten der Meta-Informationen von Objekten, wie Zugriffsberechtigungen oder andere Attribute, die für mehrere Objekte gleichzeitig gelten. Oft sind komplexe Berechtigungsstrukturen mit automatischen Vererbungsmechanismen in der Verzeichnisstruktur aktiv, die an Ursprungs- und Zielort unterschiedlich wirken. Bei Microsoft Windows bewirkt beispielsweise das Verschieben einer Datei die Mitnahme der vorhandenen Dateiberechtigungen zum Zielort, das Kopieren hingegen setzt die Dateiberechtigungen neu gemäß den Vorgaben am Zielort. Voraussetzung ist immer, dass Berechtigungen und andere Meta-Informationen am Zielort überhaupt korrekt interpretiert werden können. Sonst könnten gewachsene Berechtigungsstrukturen auf einen Schlag verloren gehen.

In Bezug auf die Wirkung von Kopier- und Verschiebemechanismen können Unterschiede bei einzelnen Komponenten auftreten, in Windows Server 2003 beispielsweise zwischen dem Dateisystem, den Komponentendiensten, den Internet Information Services (IIS) und dem Active Directory. Unkenntnis der Mechanismen hinter den Bedienkonzepten und mangelnde Sorgfalt können schnell zu Datenverlust und zur Fehlkonfiguration des Systems führen.

Unerwartete Effekte beim Kopieren und Verschieben sind nicht zuletzt auf darunterliegende Systemkomponenten zurückzuführen, die zur Speicherung und Erzeugung von Objekten und Verzeichnissen verwendet werden. Beispiele aus Windows Server 2003 sind Distributed File System (DFS), Active Directory oder das Encrypting File System (EFS). So enthalten die Lese- und Schreibprozesse beim Kopieren/Verschieben im EFS Schritte zur Zwischenspeicherung und Kryptographie, greifen auf Zertifikatsdienste zurück und speichern öffentliche Schlüssel als Meta-Information ab. Unbedarftes Kopieren und Verschieben von Dateien und Verzeichnisbäumen kann schnell dazu führen, dass die Daten nicht mehr verfügbar oder nicht vollständig sind oder deren Vertraulichkeit nicht mehr gewährleistet ist.

Speziell beim Dateisystem NTFS können unerwartete Effekte durch Alternate Data Streams (ADS) in Dateien auftreten. ADS sind unsichtbare Bereiche innerhalb einer Datei, in denen Windows Server 2003 Zusatzinformationen wie Zoneninformationen oder Piktogramme abspeichern kann.

Die Kommandozeile und der Windows Explorer weisen ein unterschiedliches Verhalten im Umgang mit ADS auf. Durch Verschiebe- und Kopiervorgänge können ADS versehentlich oder missbräuchlich verändert werden, verloren gehen oder ungewollt mit Inhalt gefüllt werden. Besteht kein ausreichender Schutz durch geeignete Dateiberechtigungen, können ADS zu sehr gefährlichen Angriffspunkten werden.

Beispiel:

Auf einem Domänencontroller wird unter Verwendung des Windows-Befehls xcopy der Inhalt vom Systemlaufwerk auf eine andere Festplattenpartition kopiert. Der Befehl wird mit bestimmten Parametern aufgerufen, mit denen auch der SysVol-Ordner kopiert wird. Nach dem Kopiervorgang werden die Daten auf dem Systemlaufwerk nicht mehr benötigt und rekursiv gelöscht (zum Beispiel mit rd /s). Danach sind jedoch alle Informationen, die normalerweise über den SysVol-Ordner repliziert werden, auf diesem Domänencontroller nicht mehr verfügbar (z. B. Gruppenrichtlinienobjekte, Anmeldeskripte). Die Ursache liegt in der Struktur der SysVol-Ordner, welche Verbindungspunkte (Junction-Points) zu DFS-Freigaben enthalten, die mit File Replication Service (FRS) repliziert werden. Xcopy sichert in diesem Fall nicht den gesamten Inhalt, sondern nur die Verbindungspunkte. Der spätere rekursive Löschvorgang erreicht über die kopierten Verbindungspunkte die originalen DFS-Freigaben und löscht Teile von deren Inhalt, sofern die Berechtigungen dies zulassen. Unter Umständen wird die Löschung noch auf andere Domänencontroller repliziert und somit der gesamte Domänenbetrieb gestört. Das Problem kann nur durch eine Wiederherstellung des kompletten Systemstatus aus der Datensicherung beseitigt werden.

Stand: 13. EL Stand 2013