dimaqw
Goto Top

Kennwort bei der Netzwerkfreigabe wird "gespeichert"

Es geht um eine Netzwerkfreigabe eines Ordners am NAS. Wenn man sich mit dieser Freigabe verbindet kommt die Benutzer-Passwort-Abfrage. Wenn man dann Windows Explorer beendet und den Ordner in dieser Freigabe später wieder aufruft wird kein Benutzer/Passwort mehr abgefragt. Vor ein paar Tagen wurde bei einem unseren Kunde so die ganze NAS-Freigabe von dem Trojaner verschlüsselt. Ein Tag davor haben wir die Sicherung am NAS überprüft und bei der Verbindung den Benutzername und Passwort eingegeben. Deswegen ist dem Trojaner am nächsten Tag es gelungen, ohne Benutzername/Passwort alles am NAS zu verschlüsseln.

Beim Neustart des Computers kommt die Benutzer-Passwort-Abfrage wieder..

Kennt jemand das Problem schon? Wie kann man das vermeiden, dass Passwort für die Netzwerkfreigabe "gespeichert/gecacht" wird.

Ich bedanke mich im Voraus für die Antworten!

Content-ID: 368234

Url: https://administrator.de/contentid/368234

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

Pjordorf
Pjordorf 15.03.2018 um 17:01:42 Uhr
Goto Top
Hallo,

Zitat von @dimaqw:
Wenn man sich mit dieser Freigabe verbindet kommt die Benutzer-Passwort-Abfrage.
Aber nur wenn man dies gezielt will.

Wenn man dann Windows Explorer beendet und den Ordner in dieser Freigabe später wieder aufruft wird kein Benutzer/Passwort mehr abgefragt.
Weil ja die Freigabe noch in nutzung ist bzw. im Explorer noch als geöffnet / in Benutzung gilt. Warum soll der Explorer daher nochmals fragen?

Vor ein paar Tagen wurde bei einem unseren Kunde so die ganze NAS-Freigabe von dem Trojaner verschlüsselt.
Das kann passieren.

Ein Tag davor haben wir die Sicherung am NAS überprüft und bei der Verbindung den Benutzername und Passwort eingegeben. Deswegen ist dem Trojaner am nächsten Tag es gelungen
Dann habt ihr ein falsches Sicherungskonzept.

ohne Benutzername/Passwort alles am NAS zu verschlüsseln.
Und wenn das gespeichert ist, nutzt es nichts.

Beim Neustart des Computers kommt die Benutzer-Passwort-Abfrage wieder..
Klar, weil ihr ja Daten vom NAS haben wollt oder dort Speichern wollt.

Kennt jemand das Problem schon? Wie kann man das vermeiden, dass Passwort für die Netzwerkfreigabe "gespeichert/gecacht" wird.
Einstellungen im Benutzerkontext (Win 7 Anmeldeinformationsverwaltung) ändern.

Und überdenkt euer Sicherungskonzept. Und auch wie und von wo der Bösewicht herkam...

Gruß,
Peter
chgorges
chgorges 15.03.2018 um 21:45:06 Uhr
Goto Top
dimaqw
dimaqw 16.03.2018 um 14:07:33 Uhr
Goto Top
Erstmal vielen Dank für die Antwort!

Dann habt ihr ein falsches Sicherungskonzept.
Welches Konzept kann man als sicheres Konzept nehmen?


Und wenn das gespeichert ist, nutzt es nichts.
Wir speichern das Passwort nicht. Wir melden uns am NAS an, ohne Passwort zu speichern.


Mir ist schon klar, dass solange Windows die Verbindung offen hält, dass man ohne Passwort rankommt. Die Frage wie lange hält Windows die Verbindungen offen und nach welchen Kriterien. Kann man die Zeiten verkürzen oder zwangsläufig die Verbindung mit der Freigabe beenden? Ich habe schon mit dem Befehl: net use \\Freigabe /delete probiert. Und das funktioniert nicht immer. Manchmal kommt bei der neuen Verbindung die Anmeldemaske, aber am meisten hat man die offene Verbindung weiter..
dimaqw
dimaqw 16.03.2018 um 14:08:52 Uhr
Goto Top
Danke für die Antwort!

Wenn ich das Passwort beim Verbinden nicht speichere, was kann im Windows Tresor abgelegt werden? Oder verstehe ich etwas nicht..
Pedant
Pedant 16.03.2018 um 17:51:13 Uhr
Goto Top
Hallo dimaqw,

Zitat von @dimaqw:
Ich habe schon mit dem Befehl: net use \\Freigabe /delete probiert und das funktioniert nicht immer.
der Befehlt heißt net use \\Server\Freigabe /delete
Du solltest nach dem Ausführen noch einmal net use ausführen, um zu sehen, ob zu diesem Server keine Verbindung mehr besteht, also nicht zu der Freigabe, deren Verbindung Du gerade gelöscht hast und auch zu keiner anderen Freigabe des Servers und auch nicht zu \\Server\IPC$, wobei Letzteres für das NAS wahrscheinlich nicht existiert.
Die Verbindungen händisch zu trennen, ist allerdings für den Arbeitsalltag nicht sonderlich tauglich. Die Braven vergessen es und die Ungezogenen lassen es generell.
Auf Deine eigentliche Frage, kann ich Dir leider keine Antwort geben, also wie man dafür sogen könnte, dass bei Schließen des Explorerfensters, das Kennwort vergessen wird.

Zitat von @dimaqw:
Welches Konzept kann man als sicheres Konzept nehmen?
Du meinst ein Konzept, dass möglichst sicher ist und dennoch die Arbeit mit der IT zulässt?
Darauf lässt sich wohl keine pauschale Antwort geben, die für alle Arbeitssituationen passt.
Es ist immer ein Abwägen zwischen Komfort und Schutz.
Das gängig Konzept wäre vermutlich die Schreibrechte generell auf das Allernötigste zu Beschränken
und den Schreibzugriff auf Backups möglichst gar nicht zuzulassen.

Gruß Frank
Pjordorf
Pjordorf 16.03.2018 um 22:20:07 Uhr
Goto Top
Hallo,

Zitat von @dimaqw:
Welches Konzept kann man als sicheres Konzept nehmen?
Eins wo nur die Sicherung und bei bedarf ein Admin dran kommen kann. Der Admin sollte normalerweise auch nicht an die Daten kommen, sondern nur wenn er Hürden nimmt und wenn Bedarf ist. Eigener Benutzer, eigener Prozess, ausgelagert usw. Dann ist zwar immer noch euer Tagesmodell verseucht bzw. verschlüsselt, aber die Sicherung ist sauber...

Wir speichern das Passwort nicht. Wir melden uns am NAS an, ohne Passwort zu speichern.
Es muss aber irgendwo gespeichert sein, oder es gibt keins für die Freigabe. Auch ein Windows kann sich nicht ein Passwort aus den Hut zaubern. Irgendjemand hat es irgendwo eingegeben ... Du kannst ja auf Freigaben per Namen, IP usw. zugreifen. Und der Tresor wäre der erste Anlaufpunkt, dann GPOs, Batchdateien usw. Ansonsten mal mit Wireshark mitschnüffeln wenn ein Laifwerk erstmalig geöffnet wird wird vom System ohne das es zu einer Paswortabfrage kommt...

Kann man die Zeiten verkürzen oder zwangsläufig die Verbindung mit der Freigabe beenden?
Glaube ich nicht. Du solltest mal schauen wann evtl. dein System ein Rotes X auf die Verbindungen setzt...

Und das funktioniert nicht immer.
Was genau funktioniert nicht immer? Wenn eine Freigabe genutzt wird funktioniert ein net use LWBuchstabe: /delete immer, und wenn es ein Fehler gibt ist es nicht verbunden oder vorhanden...

Manchmal kommt bei der neuen Verbindung die Anmeldemaske, aber am meisten hat man die offene Verbindung weiter..
Bitte genauer erklären wann was passiert. Und wie sind die Aufrufe - Per Name - Per FQDN - Per IP?

Gruß,
Peter
Pedant
Pedant 17.03.2018 um 13:41:43 Uhr
Goto Top
Hallo,

Zitat von @Pjordorf:
Wir speichern das Passwort nicht. Wir melden uns am NAS an, ohne Passwort zu speichern.
Es muss aber irgendwo gespeichert sein, oder es gibt keins für die Freigabe. Auch ein Windows kann sich nicht ein Passwort aus den Hut zaubern. Irgendjemand hat es irgendwo eingegeben ...
Das Passwort wird vom User eingegeben, aber die Option die Anmeldedaten speichern zu lassen wird nicht genutzt.

Generell geht um dieses, etwas undurchsichtige Verhalten von Windows:
Bsp.: Nutzung von \\Server\Freigabe ohne die Zuordung eines Laufwerkbuchstabens.

Beim ersten Zugriff auf eine Netzwerkfreigabe wird zunächst versucht mit den lokalen Anmeldeinformationen, des aktuellen Benutzers die Authentifizierung abzuhandeln.
Wenn das scheitert, wird die Eingabe von Benutzername und Kennwort eingefordert.
Dort gibt es den Haken "Anmeldedaten speichern".
Wird der Haken gesetzt, so werden die Anmeldeinformationen dauerhaft gespeichert und ein Zugriff ist künftig ohne manuelle Anmeldung möglich.

1. Mit gesetzem Haken:
  • Die Anmeldeinformationen bleiben dauerhaft gespeichet.
  • In der Systemsteuerung -> Alle Systemsteuerungselemente -> Anmeldeinformationsverwaltung -> Windows-Anmeldeinformationen wird kein Eintrag erzeut.
  • In der Auflistung von net use taucht kein Eintrag für \\Server\Freigabe auf.
  • Durch die Eingabe von rundll32.exe keymgr.dll, KRShowKeyMgr wird die erzeugte Speicherung sichtbar und kann dort wieder entfernt werden.

2. Ohne gesetzem Haken:
  • Die Anmeldeinformationen bleiben temporär gespeichet.
  • In der Systemsteuerung -> Alle Systemsteuerungselemente -> Anmeldeinformationsverwaltung -> Windows-Anmeldeinformationen wird kein Eintrag erzeut.
  • In der Anzeige, die durch die Eingabe von rundll32.exe keymgr.dll, KRShowKeyMgr erscheint, findet man keinen Eintrag für diese Verbindung.
  • In der Auflistung von net use taucht ein Eintrag für \\Server\Freigabe auf. Mit net use \\Server\Freigabe /delete kann der Eintrag entfernt werden.


dimaqw geht es um die Variante 2, also ohne Haken.

Um die temporäre Speicherung zu löschen, kann man den Rechner neu starten, sich lokal vom eigenen Rechner abmelden oder mit
net use \\Server\Freigabe /delete die Verbindung trennen.
Er sucht allerdings nach einer Möglichkeit die temporäre Speicherung zu unterbinden.
Dazu ist mir keine Möglichkeit bekannt, aber möglicherweise ist das hier relevant:
http://www.its05.de/computerwissen-computerhilfe/pc-windows/netzwerk-wi ...
Vielleicht löst ein autodisconnect mit 1 Minute timeout das Problem.
Ausprobiert habe ich es nicht.


Wo Windows die temporären Anmeldinformationen speichert weiß ich nicht, also ob Registry oder RAM oder wo auch immer.


Das von ihm beschriebene Problem, dass "net use ... /delete" nicht immer etwas nutzen würde, kann ich nicht nachvollziehen.

Entweder ist in der Auflistung von net use ein weiterer Eintrag für den Server vorhanden, der ebenfalls gelöscht werden muss oder es wurde doch einmal der Haken gesetzt und der Eintrag muss in rundll32.exe keymgr.dll, KRShowKeyMgr entfernt werden.

Eine Fehlerquelle besteht noch:
Wenn man "net use ... /delete" ausführt, aber während dessen noch eine Verbindung zum Server offen ist, beispielsweise ein Explorerfenster oder eine geöffnete Datei, dann werden die temporären Anmeldeinformationen nicht verworfen.
In dem Fall wird der Eintrag auch "erfolgreich" gelöscht, aber die Freigabe kann weiterhin genutzt werden, ohne sich erneut anmelden zu müssen, auch wenn man dann alle zugehörigen Fenster mal geschlossen hatte.


Zitat von @Pedant
...auch nicht zu \\Server\IPC$, wobei Letzteres für das NAS wahrscheinlich nicht existiert.
Das muss ich revidieren. Auch bei einem Linux-NAS kann unter Windows eine Verbindung per \\Server\IPC$ bestehen.

Gruß Frank
dimaqw
dimaqw 21.03.2018 um 14:44:21 Uhr
Goto Top
Hallo und vielen Dank für die ausführliche Antwort!

Zitat von @Pedant:

Hallo,

Zitat von @Pjordorf:
Wir speichern das Passwort nicht. Wir melden uns am NAS an, ohne Passwort zu speichern.
Es muss aber irgendwo gespeichert sein, oder es gibt keins für die Freigabe. Auch ein Windows kann sich nicht ein Passwort aus den Hut zaubern. Irgendjemand hat es irgendwo eingegeben ...
Das Passwort wird vom User eingegeben, aber die Option die Anmeldedaten speichern zu lassen wird nicht genutzt.

dimaqw geht es um die Variante 2, also ohne Haken.

ganz genau!

Das von ihm beschriebene Problem, dass "net use ... /delete" nicht immer etwas nutzen würde, kann ich nicht nachvollziehen.

Entweder ist in der Auflistung von net use ein weiterer Eintrag für den Server vorhanden, der ebenfalls gelöscht werden muss oder es wurde doch einmal der Haken gesetzt und der Eintrag muss in rundll32.exe keymgr.dll, KRShowKeyMgr entfernt werden.

Eine Fehlerquelle besteht noch:
Wenn man "net use ... /delete" ausführt, aber während dessen noch eine Verbindung zum Server offen ist, beispielsweise ein Explorerfenster oder eine geöffnete Datei, dann werden die temporären Anmeldeinformationen nicht verworfen.
In dem Fall wird der Eintrag auch "erfolgreich" gelöscht, aber die Freigabe kann weiterhin genutzt werden, ohne sich erneut anmelden zu müssen, auch wenn man dann alle zugehörigen Fenster mal geschlossen hatte.

Ich habe eben nochmal probiert, NAS mit Explorer anzusprechen. Meine Vorgehensweise:
1. im Explorer \\nas-ip-adresse eingeben
es kommt die Anmeldemaske
Benutzer und PW eingeben (ohne Option "Benutzerdaten speichern" zu nutzen)
man hat nun Zugriff auf die Dateien am NAS
2. cmd > net use
hier sehe ich meine angebundene Freigabe (\\nas-ip-adresse\backup)
3. Windows Explorer schließen
4. cmd > net use \\nas-ip-adresse\backup /delete
Meldung -> \\nas-ip-adresse\backup wurde erfolgreich gelöscht!
net use nochmal ausführen -> meine Freigabe ist wirklich weg
5. Windows Explorer öffnen und \\nas-ip-adresse eingeben
man hat weiter Zugriff auf alle Dateien!
wenn man net use ausführt -> es gibt keine Verbindung zu meiner Freigabe
in rundll32.exe keymgr.dll, KRShowKeyMgr gibt es auch keine Einträge zum NAS
6. nun probiere ich im Explorer statt \\nas-ip-adresse \\nas-name einzugeben
nun kommt die erwartete Anmeldemaske
probiert man nun im Explorer wieder \\nas-ip-adresse einzugeben da kommt auch die Anmeldemaske, die ich eigentlich
nach der Trennung der Freigabe mit "net use" erwarte.

Das kann ich leider nicht nachvollziehen..
chgorges
chgorges 21.03.2018 aktualisiert um 14:50:40 Uhr
Goto Top
Zitat von @dimaqw:
Das kann ich leider nicht nachvollziehen..

Wieso nicht? Das ist völlig logisch, da das Passwort auch ohne das Setzen des Haken für deine aktuelle Windows-Sitzung zwischengespeichert wird. Erst wenn du dich ab-/anmeldest oder den PC neustartest, wird der Zwischenspeicher geleert. It's not a Bug, it's a Feature.

Wie gesagt, schalt den Windows-Tresor ab.
dimaqw
dimaqw 21.03.2018 um 16:24:03 Uhr
Goto Top
Zitat von @chgorges:

Zitat von @dimaqw:
Das kann ich leider nicht nachvollziehen..

Wieso nicht? Das ist völlig logisch, da das Passwort auch ohne das Setzen des Haken für deine aktuelle Windows-Sitzung zwischengespeichert wird.

Weil ich mit dem Befehl "net use \\nas-ip-adresse\backup /delete" die Verbindung mit der Freigabe trenne. Deswegen dachte ich, dass die "zwischengespeicherte" Daten nicht mehr da sein sollen. Oder ich verstehe die Logik dieses Befehls nicht..
Pedant
Pedant 21.03.2018 um 17:23:44 Uhr
Goto Top
Hallo dimaqw,

etwas merkwürdig ist das schon.

Zitat von @dimaqw:
1. im Explorer \\nas-ip-adresse eingeben
es kommt die Anmeldemaske
Benutzer und PW eingeben (ohne Option "Benutzerdaten speichern" zu nutzen)
man hat nun Zugriff auf die Dateien am NAS
2. cmd > net use
hier sehe ich meine angebundene Freigabe (\\nas-ip-adresse\backup)

Entweder ist Dein Bericht hier unvollständig oder fehlerhaft.
Wenn Du in 1. nur \\nas-ip-adresse eingegeben hast und nicht \\nas-ip-adresse\backup,
dann sollte in 2. nicht \\nas-ip-adresse\backup gelistet sein, da Du Dich am NAS und nicht an dessen Freigabe angemeldet hast.
In dem Fall sollte dann \\nas-ip-adresse\IPC$ gelistet sein und nicht \\nas-ip-adresse\backup.

Anmerkung:
Anmeldeinformationen gelten immer für einen kompletten Server und nicht einzeln für jede seiner Freigaben.
Konkret bedeutet das:
Hast Du Dich an einem Server oder einer seiner Freigaben angemeldet, so kannst Du auf alle Freigaben des Servers zugreifen (entsprechende Rechte vorausgesetzt) ohne das Du Dich erneut anmelden musst und umgekehrt kannst Du Dich nicht an einem Server als User1 für Freigabe1 anmelden und parallel als User2 für Freigabe2, auch wenn die Rechte entsprechend zugeteilt sind.
Vor der Anmeldung als User2 musst Du alle Verbindungen zu diesem Server trennen, bevor Du Dich als User1 anmelden kannst.

Probe:
net use \\nas\Freigabe1 /u:User1
=> erfolgreich
net use \\nas\Freigabe2 /u:User2
=> Fehlermeldung

Das erklärt aber noch nicht Deine Beobachtung in 5.

Zitat von @dimaqw:
3. Windows Explorer schließen

Bist Du Dir sicher, dass das die einzige geöffnete Verbindung war, also nirgends noch ein anderer Ordner und/oder eine Datei des Nas geöffnet ist, weder vom Benutzer noch vom System (Backup-Dienst im Hintergrund oder was auch immer)?
Starte auch mal vor weiteren Tests den Rechner neu.

Zitat von @dimaqw:
4. cmd > net use \\nas-ip-adresse\backup /delete
Meldung -> \\nas-ip-adresse\backup wurde erfolgreich gelöscht!
net use nochmal ausführen -> meine Freigabe ist wirklich weg

Sind wirklich alle Einträge zu \\nas-ip-adresse und zu \\nas-name weg?

Versuch auch mal net use * /delete /y
Das löscht alle Verbindungen zu allen Ressourcen, auch die, die Du eventuell behalten möchtest.
Mit /y geschieht es ohne Rückfrage.

Zitat von @dimaqw:
6. nun probiere ich im Explorer statt \\nas-ip-adresse \\nas-name einzugeben
nun kommt die erwartete Anmeldemaske
probiert man nun im Explorer wieder \\nas-ip-adresse einzugeben da kommt auch die Anmeldemaske, die ich eigentlich
nach der Trennung der Freigabe mit "net use" erwarte.

Nur damit es nachvollziehbar ist:
Hast Du bei 6. die erste Anmeldemaske ausgefüllt oder einfach geschlossen?

Ist das Verhalten auch umgekehrt so, also wenn Du 1. - 6. erneut ausführst, aber im Ablauf \\nas-ip-adresse und \\nas-name vertauschst?

Weitere Fragen:
Ist das bei anderen Rechner mit dem Nas auch so?
Ist das bei diesem Rechner aber anderem Server auch so?
Was für ein Nas ist es eigentlich?

Gruß Frank
dimaqw
dimaqw 25.04.2018 um 09:06:38 Uhr
Goto Top
Sorry, für eine verspätete Antwort.


Nach mehreren Versuchen mit "net use" habe ich nun festgestellt, dass wenn man sogar kein Fenster von Windows Explorer offen hat, dauert es immer mit der Trennung unterschiedlich lange. Manchmal wird die Freigabe sofort getrennt. Manchmal kann ich noch nach 5 Sekunden die Freigabe wieder zugreifen (ohne Passwort, da sie Session vermutlich noch offen ist). Wenn man aber mindestens halbe Minute wartet, dann wird die Freigabe 100% getrennt. Das habe ich schon bei mehreren Server festgestellt. Na ja, schön ist das nicht, aber man kann damit leben.

Ich bedanke mich an alle für die Mithilfe! Besonders danke ich Pedant, da er mein Problem sehr gut verstanden hat ;)
Pedant
Pedant 25.04.2018 um 09:40:01 Uhr
Goto Top
Hallo dimaqw,


Zitat von @dimaqw:
...Pedant, da er mein Problem sehr gut verstanden hat
...aber Deine Lösung habe ich nicht verstanden.

Zitat von @dimaqw:
Wenn man aber mindestens halbe Minute wartet, dann wird die Freigabe 100% getrennt.
Wann, worauf und womit warten?

Meinst Du das so:
1. alle Datei- und Ordnerzugriffe beenden
2. bis 30 zählen
3. net use \\nas-ip-adresse\backup /delete
4. ab jetzt wird wieder zur Anmeldung aufgefordert.

Gruß Frank
dimaqw
dimaqw 03.05.2018 um 13:56:21 Uhr
Goto Top
Andersrum:
1. alle Datei- und Ordnerzugriffe beenden
2. net use \\nas-ip-adresse\backup /delete
3. mit Windows Explorer die Freigabe öffnen
-> es kommt keine Anmeldemaske und ich kann alle Dateien sehen
4. ich schließe Windows Explorer
5. in 20-30 Sekunden probiert man wieder die Freigabe zu öffnen
-> nun kommt die Anmeldemaske


Aber wie gesagt, das ist nicht immer so..