NTFS Berechtigung oder Freigabe Berechtigung auf Clients
Moin zusammen,
kann man eigentlich freigegebene Ordner auf einem Windows Server 2016 auf bestimmte Clients beschränken? Mit Benutzern geht das, ja, mit IP Nummern auch - über die Firewall einfach den Samba Port für die bestimmte IP dicht machen. Kann man es auch anhand des Hostnamens im AD identifizieren? Ich möchte nur verhindern, dass die Sicherheitseinstellungen funktionieren, wenn sich die IP Nummern ändern.
Ich habe testweise bei den NTFS Berechtigungen statt einem Benutzer einen Client eingetragen. Das ließ sich auch abspeichern ohne zu meckern, es wird auch in der Liste korrekt angezeigt. Die Sicherheitseinstellungen wirken jedoch nicht, wenn der Client zugreift.
Danke Euch and keep rockin'
Der Mike
kann man eigentlich freigegebene Ordner auf einem Windows Server 2016 auf bestimmte Clients beschränken? Mit Benutzern geht das, ja, mit IP Nummern auch - über die Firewall einfach den Samba Port für die bestimmte IP dicht machen. Kann man es auch anhand des Hostnamens im AD identifizieren? Ich möchte nur verhindern, dass die Sicherheitseinstellungen funktionieren, wenn sich die IP Nummern ändern.
Ich habe testweise bei den NTFS Berechtigungen statt einem Benutzer einen Client eingetragen. Das ließ sich auch abspeichern ohne zu meckern, es wird auch in der Liste korrekt angezeigt. Die Sicherheitseinstellungen wirken jedoch nicht, wenn der Client zugreift.
Danke Euch and keep rockin'
Der Mike
Please also mark the comments that contributed to the solution of the article
Content-ID: 3727840494
Url: https://administrator.de/contentid/3727840494
Printed on: October 15, 2024 at 04:10 o'clock
15 Comments
Latest comment
Morschen.
Am simpelsten wäre hier eine DHCP Reservierung vorzunehmen und entsprechend in der Firewall den erlauchten Kreis zu erlauben, wie du schon selber geschrieben hast, und alle anderen auszuklammern.
NTFS Berechtigungen laufen auf Benutzer / Gruppen Ebene und Computer Objekte haben dort keine Wirkung.
Gruß
Marc
Am simpelsten wäre hier eine DHCP Reservierung vorzunehmen und entsprechend in der Firewall den erlauchten Kreis zu erlauben, wie du schon selber geschrieben hast, und alle anderen auszuklammern.
NTFS Berechtigungen laufen auf Benutzer / Gruppen Ebene und Computer Objekte haben dort keine Wirkung.
Gruß
Marc
Kriminelle Energie, falls vorhanden, ist immer schlecht und leider nicht aufzuhalten.
Dann packe die Entwickler PC in ein VLAN, welche Zugriff haben sollen und andere PC in ein separates, welche keinen Zugriff haben sollen.
Lokale Admin Rechte sind nunmal ein schlechter Ansatz, wenn es um das Thema Sicherheit geht.
Es gibt leider noch immer Anwendungen, welche diese voraussetzen.
Daher hilft hier entsprechend auch ein betriebliche Vereinbarung, welche solche Dinge regelt.
Aber wenn du die NTFS Berechtigungen auf die entsprechenden Benutzer eingrenzt, können die nicht mal eben so diese für andere abändern.
Da helfen auch die lokalen Admins nicht.
Gruß
Marc
Dann packe die Entwickler PC in ein VLAN, welche Zugriff haben sollen und andere PC in ein separates, welche keinen Zugriff haben sollen.
Lokale Admin Rechte sind nunmal ein schlechter Ansatz, wenn es um das Thema Sicherheit geht.
Es gibt leider noch immer Anwendungen, welche diese voraussetzen.
Daher hilft hier entsprechend auch ein betriebliche Vereinbarung, welche solche Dinge regelt.
Aber wenn du die NTFS Berechtigungen auf die entsprechenden Benutzer eingrenzt, können die nicht mal eben so diese für andere abändern.
Da helfen auch die lokalen Admins nicht.
Gruß
Marc
Moin,
Das Berechtigen des Computerkontos auf die Freigabe gewährt dem "Benutzer" SYSTEM des jeweiligen Rechners Zugriff auf die Freigabe, das hat nichts mit dem angemeldeten User zu tun.
Wäre ja auch ein Sicherheitsrisiko: Wenn ein User rausbekommt, dass ein gewisser Client "privilegiert" ist und sich dort anmelden kann, hatte er auch Zugriff auf die Freigabe.
Was ich noch nicht verstehe: Warum reichen die Rechte auf User Basis nicht?
LG,
Avoton
Das Berechtigen des Computerkontos auf die Freigabe gewährt dem "Benutzer" SYSTEM des jeweiligen Rechners Zugriff auf die Freigabe, das hat nichts mit dem angemeldeten User zu tun.
Wäre ja auch ein Sicherheitsrisiko: Wenn ein User rausbekommt, dass ein gewisser Client "privilegiert" ist und sich dort anmelden kann, hatte er auch Zugriff auf die Freigabe.
Was ich noch nicht verstehe: Warum reichen die Rechte auf User Basis nicht?
LG,
Avoton
Hallo,
wie oben bereits festgestellt sind Merkmale wie IP oder auch MAC-Adresse des (W)LAN-Ports leicht änderbar und taugen daher nicht zur eindeutigen Identifizierung. Du könntest ein Konzept basierend auf Zertifikate aufbauen - damit kannst du den einzelnen Client bestimmen.
Da dir eine Client-Identität bei den Dateiberechtigungen nicht weiter hilft, wäre eine NAC-Umgebung dein Freund. Damit „schubst“ du die Clients nach deine Vorstellung in die jeweiligen VLANs und kannst so das Routing steuern. Damit ist dann auch die Frage, ob der Client im WLAN oder an der Dockingstation hängt, kein Thema mehr: jeder Client bekommt das VLAN, das er verdient.
Gruß
TA
wie oben bereits festgestellt sind Merkmale wie IP oder auch MAC-Adresse des (W)LAN-Ports leicht änderbar und taugen daher nicht zur eindeutigen Identifizierung. Du könntest ein Konzept basierend auf Zertifikate aufbauen - damit kannst du den einzelnen Client bestimmen.
Da dir eine Client-Identität bei den Dateiberechtigungen nicht weiter hilft, wäre eine NAC-Umgebung dein Freund. Damit „schubst“ du die Clients nach deine Vorstellung in die jeweiligen VLANs und kannst so das Routing steuern. Damit ist dann auch die Frage, ob der Client im WLAN oder an der Dockingstation hängt, kein Thema mehr: jeder Client bekommt das VLAN, das er verdient.
Gruß
TA
Die Windows-Firewall des Servers kann so eingestellt werden, dass sie den SMB-Port nur für bestimmte Rechneridentitäten öffnet (welche sich widerum über Kerberos authentifiziert haben).
Anleitung siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... (dort für RDP, aber SMB geht genau so).
Anleitung siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... (dort für RDP, aber SMB geht genau so).
Zitat von @NordicMike:
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
Sorry, ich gucke von der Netzwerkseite, nicht der Fileserverseite. Was du möchtest, ist eine User-Authentifizierung und eine Client-Authentifizierung, die dann Zugriff auf die Datei(-Freigabe) hat. Mein Ansatz war, den Client per Eindeutigem Zertifikat zu identifizieren, ihn per NAC (Network Access Control) in ein separates Netzwerksegment zu bringen und dann per Firewall/Router den Zugriff auf das Netzwerk mit dem Fileserver zu regeln bzw. auf dem Fileserver Zugriffe aus diesem Netzwerkbereich zuzulassen.
Gruß
TA