10
Fileserver - Freigabe - AD Auth. + 2. Kennwort
kurze Frage:
wir nutzen einen Filserver mit Ordnerfreigaben, welche über die AD entsprechende Zugriffsberechtigungen gesteuert werden. (User "xy" hat für Ordner "ab" Zugriff)
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> Ordner öffnen
Nun wurde die Idee in den Raum geworfen, ob man neben der AD Zugriffssteuerung noch zusätzlich ein Kennwort bei Ordnerzugriff auf dem gemappten Laufwerk über Windows Server (2012R2) einpflegen kann.
Somit hätte man auf Ordnerebene quasi sowas wie eine 2 Faktor Authentifizierung (User aus AD + 2. Kennwort)
Dies betrifft nur einen speziellen Unternehmensordner, welcher dann auch bei einem gekaperten Userkonto vor Zugriff gesperrt ist, da 2. separates Kennwort für Zugriff nötig wäre.
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> 2. Kennwort wird abgefragt (festgelegtes Kennwort für Zugriff) -> Ordner öffnen
Ggfs. wird das festgelegte Kennwort kontinuierlich gewechselt (alle 2 Wochen z. B..
Vielen Dank für eure Unterstützung!
MfG Sebastian
wir nutzen einen Filserver mit Ordnerfreigaben, welche über die AD entsprechende Zugriffsberechtigungen gesteuert werden. (User "xy" hat für Ordner "ab" Zugriff)
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> Ordner öffnen
Nun wurde die Idee in den Raum geworfen, ob man neben der AD Zugriffssteuerung noch zusätzlich ein Kennwort bei Ordnerzugriff auf dem gemappten Laufwerk über Windows Server (2012R2) einpflegen kann.
Somit hätte man auf Ordnerebene quasi sowas wie eine 2 Faktor Authentifizierung (User aus AD + 2. Kennwort)
Dies betrifft nur einen speziellen Unternehmensordner, welcher dann auch bei einem gekaperten Userkonto vor Zugriff gesperrt ist, da 2. separates Kennwort für Zugriff nötig wäre.
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> 2. Kennwort wird abgefragt (festgelegtes Kennwort für Zugriff) -> Ordner öffnen
Ggfs. wird das festgelegte Kennwort kontinuierlich gewechselt (alle 2 Wochen z. B..
Vielen Dank für eure Unterstützung!
MfG Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3378669561
Url: https://administrator.de/contentid/3378669561
Printed on: April 26, 2024 at 10:04 o'clock
10 Comments
Latest comment
Hi.
Die Idee ist nur für ein bestimmtes Szenario sinnvoll:
Wenn jemand seine Sitzung ungesperrt lässt oder seine Zugriffstoken (NTLM-Hash) erbeutet wurden. dann bringt das etwas. Allerdings könnte dann ein Angreifer mit ein wenig Knowhow auch das weitere Kennwort mitschneiden (Software-Keylogger).
Ich fände es sinnvoller, dafür zu sorgen,
Fazit: mach lieber 2FA.
Die Idee ist nur für ein bestimmtes Szenario sinnvoll:
Wenn jemand seine Sitzung ungesperrt lässt oder seine Zugriffstoken (NTLM-Hash) erbeutet wurden. dann bringt das etwas. Allerdings könnte dann ein Angreifer mit ein wenig Knowhow auch das weitere Kennwort mitschneiden (Software-Keylogger).
Ich fände es sinnvoller, dafür zu sorgen,
- dass die Nutzersitzung selbst über 2FA geschützt ist und (das erreicht man z.B. über SmartCard-Authentifizierung)
- dass bei Entfernung vom Arbeitsplatz automatisch gesperrt wird (ist die SmartCard auch die Karte, die man für Türenzutritt benutzt, erschlägt man gleich zwei Fliegen mit einer Klappe - steht der MA auf und geht auf den Flur, braucht er seine SmartCard, um zurück vom Klo zum Arbeitsplatz zu kommen, also nimmt er sie mit. Zieht er sie ab, wird der Bildschirm automatisch gesperrt).
Fazit: mach lieber 2FA.
Hallo "DerWoWusste",
der Plan wäre auch, dass wenn der Fall eintrifft und ungewollter Zugriff auf den Fileserver entsteht, dieser Ordner ebenso vor Zugriff gesperrt wäre.
MfG
der Plan wäre auch, dass wenn der Fall eintrifft und ungewollter Zugriff auf den Fileserver entsteht, dieser Ordner ebenso vor Zugriff gesperrt wäre.
MfG
Dann musst Du mit Ordner-/Dateiverschlüsselung arbeiten.
EFS beispielsweise regelt das ohne zusätzliches Kennwort. Hat der Angreifer Vollzugriff auf den Fileserver, so hat er noch längst nicht Zugriff auf die EFS-verschlüsselten Ordner.
EFS beispielsweise regelt das ohne zusätzliches Kennwort. Hat der Angreifer Vollzugriff auf den Fileserver, so hat er noch längst nicht Zugriff auf die EFS-verschlüsselten Ordner.
Moin
Du bist nicht der Erste, der auf die Idee kommt, so etwas realisieren zu wollen.
Mit Windows Boardmitteln geht das nicht. Das scheitert schon daran, dass der Zugriff auf einen Server mit unterschiedlichen Benutzernamen nicht möglich ist.
Was allerdings geht ist es, mit z.B. Veracrypt einen verschlüsselten Container zu erzeugen. Dazu legt man in dem Verzeichnis noch eine Batchdatei ab, die den Container als Laufwerk mounted.
gruß
Du bist nicht der Erste, der auf die Idee kommt, so etwas realisieren zu wollen.
Mit Windows Boardmitteln geht das nicht. Das scheitert schon daran, dass der Zugriff auf einen Server mit unterschiedlichen Benutzernamen nicht möglich ist.
Was allerdings geht ist es, mit z.B. Veracrypt einen verschlüsselten Container zu erzeugen. Dazu legt man in dem Verzeichnis noch eine Batchdatei ab, die den Container als Laufwerk mounted.
gruß
Das scheitert schon daran, dass der Zugriff auf einen Server mit unterschiedlichen Benutzernamen nicht möglich ist.
Was, "das"? EFS? Das geht mit mehreren Nutzern auf dem selben Ordner.Oder meinst Du Zugriff von Rechner A auf Rechner B einmal als Nutzer x und einmal als Nutzer y? Das will er ja nicht.
Zitat von @DerWoWusste:
Oder meinst Du Zugriff von Rechner A auf Rechner B einmal als Nutzer x und einmal als Nutzer y? Das will er ja nicht.
Doch.. Genau das will er... (kann aber auch sein, dass es heute zu warm ist und ich die Frage nicht richtig verstehe??!!!)Oder meinst Du Zugriff von Rechner A auf Rechner B einmal als Nutzer x und einmal als Nutzer y? Das will er ja nicht.
Zitat von @Spyro0203:
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> Ordner öffnen (...)
ob man neben der AD Zugriffssteuerung noch zusätzlich ein Kennwort bei Ordnerzugriff auf dem gemappten Laufwerk (...) einpflegen kann. (...)
Dies betrifft nur einen speziellen Unternehmensordner (...)
-> gemapptes Laufwerk, Unterordner mit div. Berechtigungen für Zugriff -> User über AD authentifiziert für Zugriff -> Ordner öffnen (...)
ob man neben der AD Zugriffssteuerung noch zusätzlich ein Kennwort bei Ordnerzugriff auf dem gemappten Laufwerk (...) einpflegen kann. (...)
Dies betrifft nur einen speziellen Unternehmensordner (...)
Ich habe keine Ahnung, wie da mit EFS gehen soll. Entweder habe ich mit dem Benutzerkonto transparenten Zugriff auf den Ordner und/oder die Dateien , weil ich mit meinen EFS-Zertifikat die Datei entschlüsseln kann. Oder mir fehlt dieser "Schlüssel" und ich kann es nicht. Wenn aber jemand das berechtigte Benutzerkonto "kapert", dann kann er ja einfach so auf die Datei zugreifen. Ohne Kennwortabfrage. Einfach so...
Ich habe ihm ja gesagt, er soll lieber seinen Login mit 2FA schützen. Und dann kam von ihm, dass er auch die Daten auf dem Server selbst schützen will, deshalb EFS.
Hallo zusammen,
danke für die zahlreichen Antworten.
Um es nochmals kurz Verständlich zu machen. Ich möchte einen Ordner auf dem Fileserver mit einem Kennwort versehen, so dass dieser nur über eine zusätzliche Kennworteingabe zugänglich ist.
Der Ordner ist sichtbar für Mitarbeiter, welche in den Sicherheitseinstellungen des Ordners hinterlegt sind.
Der Zugriff erfolgt 1. über die AD Authentifizierung und 2. über ein zusätzliches Kennwort.
Dies soll davor schützen, dass wenn der Account "gekapert" wurde die Daten nicht zur Verfügung stehen.
Schade, dass Windows Server die scheinbar von Haus aus nicht kann. Hat jemand eine Software zu empfehlen?
MfG
danke für die zahlreichen Antworten.
Um es nochmals kurz Verständlich zu machen. Ich möchte einen Ordner auf dem Fileserver mit einem Kennwort versehen, so dass dieser nur über eine zusätzliche Kennworteingabe zugänglich ist.
Der Ordner ist sichtbar für Mitarbeiter, welche in den Sicherheitseinstellungen des Ordners hinterlegt sind.
Der Zugriff erfolgt 1. über die AD Authentifizierung und 2. über ein zusätzliches Kennwort.
Dies soll davor schützen, dass wenn der Account "gekapert" wurde die Daten nicht zur Verfügung stehen.
Schade, dass Windows Server die scheinbar von Haus aus nicht kann. Hat jemand eine Software zu empfehlen?
MfG
Es hat einen Grund, warum solche Software nur selten bis gar nicht eingesetzt wird. Ich habe versucht, es dir zu erläutern und dir einen besseren Weg genannt.
Du kannst dir Folderguard ansehen. Ich rate davon ab.
Du kannst dir Folderguard ansehen. Ich rate davon ab.
Zitat von @DerWoWusste:
Es hat einen Grund, warum solche Software nur selten bis gar nicht eingesetzt wird. Ich habe versucht, es dir zu erläutern und dir einen besseren Weg genannt.
Du kannst dir Folderguard ansehen. Ich rate davon ab.
Es hat einen Grund, warum solche Software nur selten bis gar nicht eingesetzt wird. Ich habe versucht, es dir zu erläutern und dir einen besseren Weg genannt.
Du kannst dir Folderguard ansehen. Ich rate davon ab.
Hallo "DerWoWusste",
ich danke dir für deine Unterstützung.
MfG