10
7-Zip auf TS richtig absichern - Zugriff auf Netzwerk
Hallo,
wir nutzen seit Jahren Windows TS in unseren Vereinen und als Packprogramm hat sich 7-Zip immer als sehr hilfreich erwiesen.
Leider musste ich nun feststellen, dass es eine große Sicherheitslücke bei 7-Zip gibt, denn im Explorer des Packprogrammes werden sämtliche Restriktionen bzgl. des Netzwerkzugriffes ignoriert wenn ich als normaler Benutzer angemeldet bin.
In der Adresszeile kann ich mit der richtigen Pfadangabe durch den gesamten Terminalserver navigieren als hätte ich Adminrechte!?!
Kann mir Jemand einen Tipp geben, wie ich das unterbinden kann? Da die Software 7-Zip bei allen Mitgliedern ein festes Werkzeug geworden ist, würde ich nur ungern auf das Tool verzichten.
Danke, VG Thomas
wir nutzen seit Jahren Windows TS in unseren Vereinen und als Packprogramm hat sich 7-Zip immer als sehr hilfreich erwiesen.
Leider musste ich nun feststellen, dass es eine große Sicherheitslücke bei 7-Zip gibt, denn im Explorer des Packprogrammes werden sämtliche Restriktionen bzgl. des Netzwerkzugriffes ignoriert wenn ich als normaler Benutzer angemeldet bin.
In der Adresszeile kann ich mit der richtigen Pfadangabe durch den gesamten Terminalserver navigieren als hätte ich Adminrechte!?!
Kann mir Jemand einen Tipp geben, wie ich das unterbinden kann? Da die Software 7-Zip bei allen Mitgliedern ein festes Werkzeug geworden ist, würde ich nur ungern auf das Tool verzichten.
Danke, VG Thomas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672360
Url: https://administrator.de/forum/7-zip-auf-ts-richtig-absichern-zugriff-auf-netzwerk-672360.html
Ausgedruckt am: 10.04.2025 um 00:04 Uhr
10 Kommentare
Neuester Kommentar
Moin.
Klingt zunächst unmöglich, was du da schilderst. Welche Version von 7zip soll denn dieses Kunststück ermöglichen?
Gib ein Beispiel für einen Pfad an.
Gib ebenso die Ausgabe von
icacls Pfad
an.
Klingt zunächst unmöglich, was du da schilderst. Welche Version von 7zip soll denn dieses Kunststück ermöglichen?
Gib ein Beispiel für einen Pfad an.
Gib ebenso die Ausgabe von
icacls Pfad
an.
1
Mahlzeit.
Habe das gerade auch noch einmal mit der aktuellsten Version versucht nachzustellen und Ordner auf dem RDS zu löschen.
Wurde, erwartungsgemäß, brav nach Admin-Zugangsdaten gefragt.
Also hier wären deutlich mehr Details interessant.
Welche RDS Server Version?
Welche 7-Zip Version?
Welche Mitgliedschaft in lokalen Gruppen sind beim angemeldeten Benutzer vorhanden?
Gruß
Marc
Habe das gerade auch noch einmal mit der aktuellsten Version versucht nachzustellen und Ordner auf dem RDS zu löschen.
Wurde, erwartungsgemäß, brav nach Admin-Zugangsdaten gefragt.
Also hier wären deutlich mehr Details interessant.
Welche RDS Server Version?
Welche 7-Zip Version?
Welche Mitgliedschaft in lokalen Gruppen sind beim angemeldeten Benutzer vorhanden?
Gruß
Marc
1
Hallo,
ich habe heute nochmal die aktuelle Version (7-Zip 24.09) getestet... keine Änderung!
Im Explorer:
\\terminal01\c$ (Der Zugriff auf die Ressource wurde gesperrt!)
Im 7-Zip:
\\terminal01\c$ (Zugriff auf das gesamte Laufwerk C:\)
C:\Users\Admin>icacls c:\
c:\ NT-AUTORITÄT\SYSTEM: (OI)(CI)(F)
VORDEFINIERT\Administratoren: (OI)(CI)(F)
VORDEFINIERT\Benutzer: (OI)(CI)(RX)
VORDEFINIERT\Benutzer: (CI)(AD)
VORDEFINIERT\Benutzer: (CI)(IO)(WD)
ERSTELLER-BESITZER: (OI)(CI)(IO)(F)
Danke, VG Thomas
ich habe heute nochmal die aktuelle Version (7-Zip 24.09) getestet... keine Änderung!
Im Explorer:
\\terminal01\c$ (Der Zugriff auf die Ressource wurde gesperrt!)
Im 7-Zip:
\\terminal01\c$ (Zugriff auf das gesamte Laufwerk C:\)
C:\Users\Admin>icacls c:\
c:\ NT-AUTORITÄT\SYSTEM: (OI)(CI)(F)
VORDEFINIERT\Administratoren: (OI)(CI)(F)
VORDEFINIERT\Benutzer: (OI)(CI)(RX)
VORDEFINIERT\Benutzer: (CI)(AD)
VORDEFINIERT\Benutzer: (CI)(IO)(WD)
ERSTELLER-BESITZER: (OI)(CI)(IO)(F)
Danke, VG Thomas
Ja Zugriff lesend. Aber keine änderungs rechte. Works AS designed by Windows.
1
Der Trick klappt auch mit Excel oder Word 😁
Aber eben nur bis du etwas ändern möchtest.
Gruß
Marc
Aber eben nur bis du etwas ändern möchtest.
Gruß
Marc
1
Moin,
das ganze ist "umgekehrt" - der Explorer blendet entgegen der tatsächlichen Rechte einfach etwas aus, alle anderen Programme - sofern sie dies nicht manuell nachbilden - zeigen anhand der Rechte an, was der User lesen darf.
Lösung ist daher nicht, 7zip einzuschränken, sondern die Rechte auf Laufwerk C: so zu setzen, wie Du sie im Ergebnis haben möchtest.
Gruß
DivideByZero
das ganze ist "umgekehrt" - der Explorer blendet entgegen der tatsächlichen Rechte einfach etwas aus, alle anderen Programme - sofern sie dies nicht manuell nachbilden - zeigen anhand der Rechte an, was der User lesen darf.
Lösung ist daher nicht, 7zip einzuschränken, sondern die Rechte auf Laufwerk C: so zu setzen, wie Du sie im Ergebnis haben möchtest.
Gruß
DivideByZero
1
Was genau müsste ich nun für Laufwerk C:\ ändern, damit auch im 7-Zip nichts mehr angezeigt wird?
Den Benutzern die Leserechte entziehen?
Gruß, Thomas
Den Benutzern die Leserechte entziehen?
Gruß, Thomas
Die Sichtweise über c$ hat keine Auswirkungen. Wozu also verbieten, wenn lediglich das Selbe sichtbar ist, wie direkt unter c: im Explorer?
Erst wenn Ordner zugänglich wären, die sie im Explorer nicht erreichen könnten, müsstest du etwas tun, aber z.B. c$\users\andererNutzer wird auch in 7zip nicht aufgehen.
Erst wenn Ordner zugänglich wären, die sie im Explorer nicht erreichen könnten, müsstest du etwas tun, aber z.B. c$\users\andererNutzer wird auch in 7zip nicht aufgehen.
1
Hi
Gib mal im Explorer C:\ ein
Wird dir dann C auch angezeigt ?
Wenn du den "Benutzern" das Leserecht auf C entziehst solltest du ein funktionierendes Backup haben ...
Was soll den "der böse User" über 7 zip in C:\ sehen können was ihn nix angeht ?
Unter C:\Users\irgendeinandererBenutzer soll kein Zugriff möglich sein.
Auf C:\Programme \ Programfiles \ Programfiles (x86) liegen die Dateien der installierten Programme
Unter Programdata globale Konfiguration
Unter Windows die Betriebssystem Dateien.
Und dort kommt man auch nicht überall als normaler User hin.
Man kann halt viele Dateien lesend öffnen aber das hat keinen Auswirkung auf die Sicherheit.
Nenn doch mal einen Ort wo du diesbzgl Sorgen hast.
Mit freundlichen Grüßen Nemesis
Gib mal im Explorer C:\ ein
Wird dir dann C auch angezeigt ?
Wenn du den "Benutzern" das Leserecht auf C entziehst solltest du ein funktionierendes Backup haben ...
Was soll den "der böse User" über 7 zip in C:\ sehen können was ihn nix angeht ?
Unter C:\Users\irgendeinandererBenutzer soll kein Zugriff möglich sein.
Auf C:\Programme \ Programfiles \ Programfiles (x86) liegen die Dateien der installierten Programme
Unter Programdata globale Konfiguration
Unter Windows die Betriebssystem Dateien.
Und dort kommt man auch nicht überall als normaler User hin.
Man kann halt viele Dateien lesend öffnen aber das hat keinen Auswirkung auf die Sicherheit.
Nenn doch mal einen Ort wo du diesbzgl Sorgen hast.
Mit freundlichen Grüßen Nemesis
1
Zitat von @Spirit-of-Eli:
Ja Zugriff lesend. Aber keine änderungs rechte. Works AS designed by Windows.
Ja Zugriff lesend. Aber keine änderungs rechte. Works AS designed by Windows.
Und genau so ist es. Warum genau möchte man den Benutzern Zugriff auf Laufwerk c:\ verweigern? Wenn da etwas liegt, was die nicht sehen sollen, ist wohl eher irgendwas falsch gelaufen 😅
Den Quatsch hatten die auch bei den Biblio-PCs in der Uni gemacht. Ist keine wirkliche Hürde auf C:\ zu gelangen führt aber meist dazu, dass irgend etwas nicht korrekt funktioniert.
1
