nordicmike
Goto Top

NTFS Berechtigung oder Freigabe Berechtigung auf Clients

Moin zusammen,

kann man eigentlich freigegebene Ordner auf einem Windows Server 2016 auf bestimmte Clients beschränken? Mit Benutzern geht das, ja, mit IP Nummern auch - über die Firewall einfach den Samba Port für die bestimmte IP dicht machen. Kann man es auch anhand des Hostnamens im AD identifizieren? Ich möchte nur verhindern, dass die Sicherheitseinstellungen funktionieren, wenn sich die IP Nummern ändern.

Ich habe testweise bei den NTFS Berechtigungen statt einem Benutzer einen Client eingetragen. Das ließ sich auch abspeichern ohne zu meckern, es wird auch in der Liste korrekt angezeigt. Die Sicherheitseinstellungen wirken jedoch nicht, wenn der Client zugreift.

Danke Euch and keep rockin'

Der Mike

Content-ID: 3727840494

Url: https://administrator.de/contentid/3727840494

Printed on: October 15, 2024 at 04:10 o'clock

radiogugu
radiogugu Aug 23, 2022 at 05:02:51 (UTC)
Goto Top
Morschen.

Am simpelsten wäre hier eine DHCP Reservierung vorzunehmen und entsprechend in der Firewall den erlauchten Kreis zu erlauben, wie du schon selber geschrieben hast, und alle anderen auszuklammern.

NTFS Berechtigungen laufen auf Benutzer / Gruppen Ebene und Computer Objekte haben dort keine Wirkung.

Gruß
Marc
NordicMike
NordicMike Aug 23, 2022 at 05:12:30 (UTC)
Goto Top
Das wäre simpel, jedoch nicht sicher. Es handelt sich um Hardware-Entwickler mit Admin Rechten. Sie können also DHCP ausschalten und die IP Nummer fest vergeben oder eine Docking Station anstecken, um eine andere IP Nummer zu haben.
radiogugu
radiogugu Aug 23, 2022 updated at 09:46:58 (UTC)
Goto Top
Kriminelle Energie, falls vorhanden, ist immer schlecht und leider nicht aufzuhalten.

Dann packe die Entwickler PC in ein VLAN, welche Zugriff haben sollen und andere PC in ein separates, welche keinen Zugriff haben sollen.

Lokale Admin Rechte sind nunmal ein schlechter Ansatz, wenn es um das Thema Sicherheit geht.

Es gibt leider noch immer Anwendungen, welche diese voraussetzen.

Daher hilft hier entsprechend auch ein betriebliche Vereinbarung, welche solche Dinge regelt.

Aber wenn du die NTFS Berechtigungen auf die entsprechenden Benutzer eingrenzt, können die nicht mal eben so diese für andere abändern.

Da helfen auch die lokalen Admins nicht.

Gruß
Marc
NordicMike
NordicMike Aug 23, 2022 updated at 06:05:35 (UTC)
Goto Top
Danke für deine Anteilname.

Das muss nicht einmal kriminelle Enegie sein. Wenn ich die IP Nummern der WLAN Karten erlaube, und der Besitzer geht mit seinem Laptop in den Konferenzraum, wo eine Dockingstation bereit liegt, dann kann ich die Sekunden auf der Stopuhr messen und Wetten abschließen, bis er mich anruft und meint, dass er auf den Server nicht zugreifen kann. Damit sind auch VLANs ausgeschlossen.

Die NTFS Berechtigungen für die Benutzer reichen nicht, es soll nur mit bestimmten Rechnern erlaubt sein, der Benutzer soll nicht mit einem anderen Rechnern darauf zugreifen können.

Ich suche kein Workaround, sondern die Frage bzw das Ziel ist ob und wie man Berechtigungen für Clients auf der Serverseite steuern kann, wenn sich bestimmte Parameter auf der Clientseite ändern können. Bei NTFS kann man Clients ohne Fehlermeldung in den Sicherheitseinstellungen hinzufügen, ohne Wirkung. Auch in der Windows Firewall kann man den SMB Port nur auf sichere Anmeldungen beschränken und dann Hostnamen aus dem AD (domain\RECHNERNAME$) in die Erlaubten-Liste hinzufügen, ohne Wirkung. Ich habe auch kein NAT dazwischen, sondern sie werden nur geroutet, da sich der Server bereits in einem separaten VLAN befindet.

Wenn das Ziel nicht erreichbar ist, wird es natürlich deutlich in der betrieblichen Vereinbarung festgelegt, aber erst dann.
Avoton
Avoton Aug 23, 2022 at 06:17:29 (UTC)
Goto Top
Moin,

Das Berechtigen des Computerkontos auf die Freigabe gewährt dem "Benutzer" SYSTEM des jeweiligen Rechners Zugriff auf die Freigabe, das hat nichts mit dem angemeldeten User zu tun.

Wäre ja auch ein Sicherheitsrisiko: Wenn ein User rausbekommt, dass ein gewisser Client "privilegiert" ist und sich dort anmelden kann, hatte er auch Zugriff auf die Freigabe.

Was ich noch nicht verstehe: Warum reichen die Rechte auf User Basis nicht?

LG,
Avoton
NordicMike
NordicMike Aug 23, 2022 updated at 06:44:01 (UTC)
Goto Top
Die Benutzerberechtigung wird ebenfalls eingerichtet. Der priviligierte Benutzer weiss dann auch, dass nur sein Client priviligiert ist (und die der Kollegen im gleichen Team).

Die Benutzerberechtigung alleine reicht nicht, weil sein Rechner speziell präpariert wird (Verschlüsselung, Protokollierung, spezielle Software usw.) , also mit der höchsten Sicherheitsstufe. Es soll nicht mit den Linux Kisten funktionieren, die die Entwickler bei sich stehen haben. Es soll auch nicht mit den restlichen Windows Laptops funktionieren, die nicht präpariert sind, diese wollen wir auch nicht präparieren (Sicherheit gegen Bequemlichkeit). Es ist quasi eine kleine Zone mit höheren Sicherheitsanforderungen, weil Daten eines speziellen Kunden darauf liegen.
Avoton
Avoton Aug 23, 2022 at 08:08:44 (UTC)
Goto Top
Dann mach dafür einen eigenen Benutzer, der sich nur auf dem gehärteten Rechner anmelden darf und erteile dem Freigaberechte.
NordicMike
NordicMike Aug 23, 2022 updated at 08:24:22 (UTC)
Goto Top
Dann fehlt ihm seine komplette alte Umgebung. Warum wird eigentlich nach Workarounds gesucht. Meine Frage ist, kann man Ordner auf dem Server auf bestimmte Clients einschränken? Ja oder nein?
TwistedAir
TwistedAir Aug 23, 2022 at 08:22:06 (UTC)
Goto Top
Hallo,

wie oben bereits festgestellt sind Merkmale wie IP oder auch MAC-Adresse des (W)LAN-Ports leicht änderbar und taugen daher nicht zur eindeutigen Identifizierung. Du könntest ein Konzept basierend auf Zertifikate aufbauen - damit kannst du den einzelnen Client bestimmen.
Da dir eine Client-Identität bei den Dateiberechtigungen nicht weiter hilft, wäre eine NAC-Umgebung dein Freund. Damit „schubst“ du die Clients nach deine Vorstellung in die jeweiligen VLANs und kannst so das Routing steuern. Damit ist dann auch die Frage, ob der Client im WLAN oder an der Dockingstation hängt, kein Thema mehr: jeder Client bekommt das VLAN, das er verdient. face-wink

Gruß
TA
NordicMike
NordicMike Aug 23, 2022 at 08:28:06 (UTC)
Goto Top
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
DerWoWusste
DerWoWusste Aug 23, 2022 at 08:38:48 (UTC)
Goto Top
Die Windows-Firewall des Servers kann so eingestellt werden, dass sie den SMB-Port nur für bestimmte Rechneridentitäten öffnet (welche sich widerum über Kerberos authentifiziert haben).
Anleitung siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... (dort für RDP, aber SMB geht genau so).
NordicMike
NordicMike Aug 23, 2022 at 08:41:47 (UTC)
Goto Top
Das hatte ich schon probiert:

Auch in der Windows Firewall kann man den SMB Port nur auf sichere Anmeldungen beschränken und dann Hostnamen aus dem AD (domain\RECHNERNAME$) in die Erlaubten-Liste hinzufügen, ohne Wirkung. Ich habe auch kein NAT dazwischen, sondern sie werden nur geroutet

Es war leider so, dass trotzdem alle Rechner darauf zugreifen konnten.
DerWoWusste
DerWoWusste Aug 23, 2022 at 08:43:11 (UTC)
Goto Top
Du musst es schon richtig machen.
Wenn neben der "Secure Rule" noch eine weitere Regel besteht, die TCP445 (oder gar alle Ports?) ohne Authentifizierung zulässt, dann wird das nichts. Die sichere muss dann die einzige sein für 445.
NordicMike
NordicMike Aug 23, 2022 at 08:47:57 (UTC)
Goto Top
Der Port 445 ist u.a. auch für die Remolteverwaltung offen. Ich dachte die Firewall unterscheidet zwischen den Diensten. Der Port 445 für die Datei und Druckerfreigabe ist nur einmal aufgeführt. Ich mach die anderen Dienste mal zu, mal sehen ob es dann funktioniert.
TwistedAir
TwistedAir Aug 23, 2022 at 09:44:54 (UTC)
Goto Top
Zitat von @NordicMike:

Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?

Sorry, ich gucke von der Netzwerkseite, nicht der Fileserverseite. Was du möchtest, ist eine User-Authentifizierung und eine Client-Authentifizierung, die dann Zugriff auf die Datei(-Freigabe) hat. Mein Ansatz war, den Client per Eindeutigem Zertifikat zu identifizieren, ihn per NAC (Network Access Control) in ein separates Netzwerksegment zu bringen und dann per Firewall/Router den Zugriff auf das Netzwerk mit dem Fileserver zu regeln bzw. auf dem Fileserver Zugriffe aus diesem Netzwerkbereich zuzulassen.

Gruß
TA