defenders
Goto Top

7-Zip auf TS richtig absichern - Zugriff auf Netzwerk

Hallo,
wir nutzen seit Jahren Windows TS in unseren Vereinen und als Packprogramm hat sich 7-Zip immer als sehr hilfreich erwiesen.
Leider musste ich nun feststellen, dass es eine große Sicherheitslücke bei 7-Zip gibt, denn im Explorer des Packprogrammes werden sämtliche Restriktionen bzgl. des Netzwerkzugriffes ignoriert wenn ich als normaler Benutzer angemeldet bin.
In der Adresszeile kann ich mit der richtigen Pfadangabe durch den gesamten Terminalserver navigieren als hätte ich Adminrechte!?!
Kann mir Jemand einen Tipp geben, wie ich das unterbinden kann? Da die Software 7-Zip bei allen Mitgliedern ein festes Werkzeug geworden ist, würde ich nur ungern auf das Tool verzichten.

Danke, VG Thomas

Content-ID: 672360

Url: https://administrator.de/forum/7-zip-auf-ts-richtig-absichern-zugriff-auf-netzwerk-672360.html

Ausgedruckt am: 10.04.2025 um 00:04 Uhr

DerWoWusste
DerWoWusste 06.04.2025 um 13:15:33 Uhr
Goto Top
Moin.

Klingt zunächst unmöglich, was du da schilderst. Welche Version von 7zip soll denn dieses Kunststück ermöglichen?
Gib ein Beispiel für einen Pfad an.
Gib ebenso die Ausgabe von
icacls Pfad
an.
radiogugu
radiogugu 06.04.2025 um 13:26:38 Uhr
Goto Top
Mahlzeit.

Habe das gerade auch noch einmal mit der aktuellsten Version versucht nachzustellen und Ordner auf dem RDS zu löschen.

Wurde, erwartungsgemäß, brav nach Admin-Zugangsdaten gefragt.

Also hier wären deutlich mehr Details interessant.

Welche RDS Server Version?
Welche 7-Zip Version?
Welche Mitgliedschaft in lokalen Gruppen sind beim angemeldeten Benutzer vorhanden?

Gruß
Marc
Defenders
Defenders 06.04.2025 aktualisiert um 13:55:37 Uhr
Goto Top
Hallo,
ich habe heute nochmal die aktuelle Version (7-Zip 24.09) getestet... keine Änderung!

Im Explorer:
\\terminal01\c$ (Der Zugriff auf die Ressource wurde gesperrt!)

Im 7-Zip:
\\terminal01\c$ (Zugriff auf das gesamte Laufwerk C:\)

C:\Users\Admin>icacls c:\
c:\ NT-AUTORITÄT\SYSTEM: (OI)(CI)(F)
VORDEFINIERT\Administratoren: (OI)(CI)(F)
VORDEFINIERT\Benutzer: (OI)(CI)(RX)
VORDEFINIERT\Benutzer: (CI)(AD)
VORDEFINIERT\Benutzer: (CI)(IO)(WD)
ERSTELLER-BESITZER: (OI)(CI)(IO)(F)

Danke, VG Thomas
Spirit-of-Eli
Spirit-of-Eli 06.04.2025 um 13:55:41 Uhr
Goto Top
Ja Zugriff lesend. Aber keine änderungs rechte. Works AS designed by Windows.
radiogugu
radiogugu 06.04.2025 um 14:01:26 Uhr
Goto Top
Der Trick klappt auch mit Excel oder Word 😁

Aber eben nur bis du etwas ändern möchtest.

Gruß
Marc
DivideByZero
DivideByZero 06.04.2025 um 14:34:44 Uhr
Goto Top
Moin,

das ganze ist "umgekehrt" - der Explorer blendet entgegen der tatsächlichen Rechte einfach etwas aus, alle anderen Programme - sofern sie dies nicht manuell nachbilden - zeigen anhand der Rechte an, was der User lesen darf.

Lösung ist daher nicht, 7zip einzuschränken, sondern die Rechte auf Laufwerk C: so zu setzen, wie Du sie im Ergebnis haben möchtest.

Gruß

DivideByZero
Defenders
Defenders 06.04.2025 um 18:31:50 Uhr
Goto Top
Was genau müsste ich nun für Laufwerk C:\ ändern, damit auch im 7-Zip nichts mehr angezeigt wird?
Den Benutzern die Leserechte entziehen?

Gruß, Thomas
DerWoWusste
DerWoWusste 06.04.2025 um 21:15:52 Uhr
Goto Top
Die Sichtweise über c$ hat keine Auswirkungen. Wozu also verbieten, wenn lediglich das Selbe sichtbar ist, wie direkt unter c: im Explorer?

Erst wenn Ordner zugänglich wären, die sie im Explorer nicht erreichen könnten, müsstest du etwas tun, aber z.B. c$\users\andererNutzer wird auch in 7zip nicht aufgehen.
nEmEsIs
nEmEsIs 07.04.2025 um 08:11:04 Uhr
Goto Top
Hi

Gib mal im Explorer C:\ ein
Wird dir dann C auch angezeigt ?

Wenn du den "Benutzern" das Leserecht auf C entziehst solltest du ein funktionierendes Backup haben ...

Was soll den "der böse User" über 7 zip in C:\ sehen können was ihn nix angeht ?
Unter C:\Users\irgendeinandererBenutzer soll kein Zugriff möglich sein.
Auf C:\Programme \ Programfiles \ Programfiles (x86) liegen die Dateien der installierten Programme
Unter Programdata globale Konfiguration
Unter Windows die Betriebssystem Dateien.
Und dort kommt man auch nicht überall als normaler User hin.
Man kann halt viele Dateien lesend öffnen aber das hat keinen Auswirkung auf die Sicherheit.

Nenn doch mal einen Ort wo du diesbzgl Sorgen hast.

Mit freundlichen Grüßen Nemesis
anteNope
anteNope 07.04.2025 aktualisiert um 10:15:36 Uhr
Goto Top
Zitat von @Spirit-of-Eli:
Ja Zugriff lesend. Aber keine änderungs rechte. Works AS designed by Windows.

Und genau so ist es. Warum genau möchte man den Benutzern Zugriff auf Laufwerk c:\ verweigern? Wenn da etwas liegt, was die nicht sehen sollen, ist wohl eher irgendwas falsch gelaufen 😅

Den Quatsch hatten die auch bei den Biblio-PCs in der Uni gemacht. Ist keine wirkliche Hürde auf C:\ zu gelangen führt aber meist dazu, dass irgend etwas nicht korrekt funktioniert.