15
NTFS Berechtigung oder Freigabe Berechtigung auf Clients
Moin zusammen,
kann man eigentlich freigegebene Ordner auf einem Windows Server 2016 auf bestimmte Clients beschränken? Mit Benutzern geht das, ja, mit IP Nummern auch - über die Firewall einfach den Samba Port für die bestimmte IP dicht machen. Kann man es auch anhand des Hostnamens im AD identifizieren? Ich möchte nur verhindern, dass die Sicherheitseinstellungen funktionieren, wenn sich die IP Nummern ändern.
Ich habe testweise bei den NTFS Berechtigungen statt einem Benutzer einen Client eingetragen. Das ließ sich auch abspeichern ohne zu meckern, es wird auch in der Liste korrekt angezeigt. Die Sicherheitseinstellungen wirken jedoch nicht, wenn der Client zugreift.
Danke Euch and keep rockin'
Der Mike
kann man eigentlich freigegebene Ordner auf einem Windows Server 2016 auf bestimmte Clients beschränken? Mit Benutzern geht das, ja, mit IP Nummern auch - über die Firewall einfach den Samba Port für die bestimmte IP dicht machen. Kann man es auch anhand des Hostnamens im AD identifizieren? Ich möchte nur verhindern, dass die Sicherheitseinstellungen funktionieren, wenn sich die IP Nummern ändern.
Ich habe testweise bei den NTFS Berechtigungen statt einem Benutzer einen Client eingetragen. Das ließ sich auch abspeichern ohne zu meckern, es wird auch in der Liste korrekt angezeigt. Die Sicherheitseinstellungen wirken jedoch nicht, wenn der Client zugreift.
Danke Euch and keep rockin'
Der Mike
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3727840494
Url: https://administrator.de/contentid/3727840494
Ausgedruckt am: 17.11.2024 um 21:11 Uhr
15 Kommentare
Neuester Kommentar
Morschen.
Am simpelsten wäre hier eine DHCP Reservierung vorzunehmen und entsprechend in der Firewall den erlauchten Kreis zu erlauben, wie du schon selber geschrieben hast, und alle anderen auszuklammern.
NTFS Berechtigungen laufen auf Benutzer / Gruppen Ebene und Computer Objekte haben dort keine Wirkung.
Gruß
Marc
Am simpelsten wäre hier eine DHCP Reservierung vorzunehmen und entsprechend in der Firewall den erlauchten Kreis zu erlauben, wie du schon selber geschrieben hast, und alle anderen auszuklammern.
NTFS Berechtigungen laufen auf Benutzer / Gruppen Ebene und Computer Objekte haben dort keine Wirkung.
Gruß
Marc
Das wäre simpel, jedoch nicht sicher. Es handelt sich um Hardware-Entwickler mit Admin Rechten. Sie können also DHCP ausschalten und die IP Nummer fest vergeben oder eine Docking Station anstecken, um eine andere IP Nummer zu haben.
Kriminelle Energie, falls vorhanden, ist immer schlecht und leider nicht aufzuhalten.
Dann packe die Entwickler PC in ein VLAN, welche Zugriff haben sollen und andere PC in ein separates, welche keinen Zugriff haben sollen.
Lokale Admin Rechte sind nunmal ein schlechter Ansatz, wenn es um das Thema Sicherheit geht.
Es gibt leider noch immer Anwendungen, welche diese voraussetzen.
Daher hilft hier entsprechend auch ein betriebliche Vereinbarung, welche solche Dinge regelt.
Aber wenn du die NTFS Berechtigungen auf die entsprechenden Benutzer eingrenzt, können die nicht mal eben so diese für andere abändern.
Da helfen auch die lokalen Admins nicht.
Gruß
Marc
Dann packe die Entwickler PC in ein VLAN, welche Zugriff haben sollen und andere PC in ein separates, welche keinen Zugriff haben sollen.
Lokale Admin Rechte sind nunmal ein schlechter Ansatz, wenn es um das Thema Sicherheit geht.
Es gibt leider noch immer Anwendungen, welche diese voraussetzen.
Daher hilft hier entsprechend auch ein betriebliche Vereinbarung, welche solche Dinge regelt.
Aber wenn du die NTFS Berechtigungen auf die entsprechenden Benutzer eingrenzt, können die nicht mal eben so diese für andere abändern.
Da helfen auch die lokalen Admins nicht.
Gruß
Marc
Danke für deine Anteilname.
Das muss nicht einmal kriminelle Enegie sein. Wenn ich die IP Nummern der WLAN Karten erlaube, und der Besitzer geht mit seinem Laptop in den Konferenzraum, wo eine Dockingstation bereit liegt, dann kann ich die Sekunden auf der Stopuhr messen und Wetten abschließen, bis er mich anruft und meint, dass er auf den Server nicht zugreifen kann. Damit sind auch VLANs ausgeschlossen.
Die NTFS Berechtigungen für die Benutzer reichen nicht, es soll nur mit bestimmten Rechnern erlaubt sein, der Benutzer soll nicht mit einem anderen Rechnern darauf zugreifen können.
Ich suche kein Workaround, sondern die Frage bzw das Ziel ist ob und wie man Berechtigungen für Clients auf der Serverseite steuern kann, wenn sich bestimmte Parameter auf der Clientseite ändern können. Bei NTFS kann man Clients ohne Fehlermeldung in den Sicherheitseinstellungen hinzufügen, ohne Wirkung. Auch in der Windows Firewall kann man den SMB Port nur auf sichere Anmeldungen beschränken und dann Hostnamen aus dem AD (domain\RECHNERNAME$) in die Erlaubten-Liste hinzufügen, ohne Wirkung. Ich habe auch kein NAT dazwischen, sondern sie werden nur geroutet, da sich der Server bereits in einem separaten VLAN befindet.
Wenn das Ziel nicht erreichbar ist, wird es natürlich deutlich in der betrieblichen Vereinbarung festgelegt, aber erst dann.
Das muss nicht einmal kriminelle Enegie sein. Wenn ich die IP Nummern der WLAN Karten erlaube, und der Besitzer geht mit seinem Laptop in den Konferenzraum, wo eine Dockingstation bereit liegt, dann kann ich die Sekunden auf der Stopuhr messen und Wetten abschließen, bis er mich anruft und meint, dass er auf den Server nicht zugreifen kann. Damit sind auch VLANs ausgeschlossen.
Die NTFS Berechtigungen für die Benutzer reichen nicht, es soll nur mit bestimmten Rechnern erlaubt sein, der Benutzer soll nicht mit einem anderen Rechnern darauf zugreifen können.
Ich suche kein Workaround, sondern die Frage bzw das Ziel ist ob und wie man Berechtigungen für Clients auf der Serverseite steuern kann, wenn sich bestimmte Parameter auf der Clientseite ändern können. Bei NTFS kann man Clients ohne Fehlermeldung in den Sicherheitseinstellungen hinzufügen, ohne Wirkung. Auch in der Windows Firewall kann man den SMB Port nur auf sichere Anmeldungen beschränken und dann Hostnamen aus dem AD (domain\RECHNERNAME$) in die Erlaubten-Liste hinzufügen, ohne Wirkung. Ich habe auch kein NAT dazwischen, sondern sie werden nur geroutet, da sich der Server bereits in einem separaten VLAN befindet.
Wenn das Ziel nicht erreichbar ist, wird es natürlich deutlich in der betrieblichen Vereinbarung festgelegt, aber erst dann.
Moin,
Das Berechtigen des Computerkontos auf die Freigabe gewährt dem "Benutzer" SYSTEM des jeweiligen Rechners Zugriff auf die Freigabe, das hat nichts mit dem angemeldeten User zu tun.
Wäre ja auch ein Sicherheitsrisiko: Wenn ein User rausbekommt, dass ein gewisser Client "privilegiert" ist und sich dort anmelden kann, hatte er auch Zugriff auf die Freigabe.
Was ich noch nicht verstehe: Warum reichen die Rechte auf User Basis nicht?
LG,
Avoton
Das Berechtigen des Computerkontos auf die Freigabe gewährt dem "Benutzer" SYSTEM des jeweiligen Rechners Zugriff auf die Freigabe, das hat nichts mit dem angemeldeten User zu tun.
Wäre ja auch ein Sicherheitsrisiko: Wenn ein User rausbekommt, dass ein gewisser Client "privilegiert" ist und sich dort anmelden kann, hatte er auch Zugriff auf die Freigabe.
Was ich noch nicht verstehe: Warum reichen die Rechte auf User Basis nicht?
LG,
Avoton
Die Benutzerberechtigung wird ebenfalls eingerichtet. Der priviligierte Benutzer weiss dann auch, dass nur sein Client priviligiert ist (und die der Kollegen im gleichen Team).
Die Benutzerberechtigung alleine reicht nicht, weil sein Rechner speziell präpariert wird (Verschlüsselung, Protokollierung, spezielle Software usw.) , also mit der höchsten Sicherheitsstufe. Es soll nicht mit den Linux Kisten funktionieren, die die Entwickler bei sich stehen haben. Es soll auch nicht mit den restlichen Windows Laptops funktionieren, die nicht präpariert sind, diese wollen wir auch nicht präparieren (Sicherheit gegen Bequemlichkeit). Es ist quasi eine kleine Zone mit höheren Sicherheitsanforderungen, weil Daten eines speziellen Kunden darauf liegen.
Die Benutzerberechtigung alleine reicht nicht, weil sein Rechner speziell präpariert wird (Verschlüsselung, Protokollierung, spezielle Software usw.) , also mit der höchsten Sicherheitsstufe. Es soll nicht mit den Linux Kisten funktionieren, die die Entwickler bei sich stehen haben. Es soll auch nicht mit den restlichen Windows Laptops funktionieren, die nicht präpariert sind, diese wollen wir auch nicht präparieren (Sicherheit gegen Bequemlichkeit). Es ist quasi eine kleine Zone mit höheren Sicherheitsanforderungen, weil Daten eines speziellen Kunden darauf liegen.
Dann mach dafür einen eigenen Benutzer, der sich nur auf dem gehärteten Rechner anmelden darf und erteile dem Freigaberechte.
Dann fehlt ihm seine komplette alte Umgebung. Warum wird eigentlich nach Workarounds gesucht. Meine Frage ist, kann man Ordner auf dem Server auf bestimmte Clients einschränken? Ja oder nein?
Hallo,
wie oben bereits festgestellt sind Merkmale wie IP oder auch MAC-Adresse des (W)LAN-Ports leicht änderbar und taugen daher nicht zur eindeutigen Identifizierung. Du könntest ein Konzept basierend auf Zertifikate aufbauen - damit kannst du den einzelnen Client bestimmen.
Da dir eine Client-Identität bei den Dateiberechtigungen nicht weiter hilft, wäre eine NAC-Umgebung dein Freund. Damit „schubst“ du die Clients nach deine Vorstellung in die jeweiligen VLANs und kannst so das Routing steuern. Damit ist dann auch die Frage, ob der Client im WLAN oder an der Dockingstation hängt, kein Thema mehr: jeder Client bekommt das VLAN, das er verdient.
Gruß
TA
wie oben bereits festgestellt sind Merkmale wie IP oder auch MAC-Adresse des (W)LAN-Ports leicht änderbar und taugen daher nicht zur eindeutigen Identifizierung. Du könntest ein Konzept basierend auf Zertifikate aufbauen - damit kannst du den einzelnen Client bestimmen.
Da dir eine Client-Identität bei den Dateiberechtigungen nicht weiter hilft, wäre eine NAC-Umgebung dein Freund. Damit „schubst“ du die Clients nach deine Vorstellung in die jeweiligen VLANs und kannst so das Routing steuern. Damit ist dann auch die Frage, ob der Client im WLAN oder an der Dockingstation hängt, kein Thema mehr: jeder Client bekommt das VLAN, das er verdient.
Gruß
TA
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
Die Windows-Firewall des Servers kann so eingestellt werden, dass sie den SMB-Port nur für bestimmte Rechneridentitäten öffnet (welche sich widerum über Kerberos authentifiziert haben).
Anleitung siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... (dort für RDP, aber SMB geht genau so).
Anleitung siehe https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... (dort für RDP, aber SMB geht genau so).
Das hatte ich schon probiert:
Es war leider so, dass trotzdem alle Rechner darauf zugreifen konnten.
Auch in der Windows Firewall kann man den SMB Port nur auf sichere Anmeldungen beschränken und dann Hostnamen aus dem AD (domain\RECHNERNAME$) in die Erlaubten-Liste hinzufügen, ohne Wirkung. Ich habe auch kein NAT dazwischen, sondern sie werden nur geroutet
Es war leider so, dass trotzdem alle Rechner darauf zugreifen konnten.
Du musst es schon richtig machen.
Wenn neben der "Secure Rule" noch eine weitere Regel besteht, die TCP445 (oder gar alle Ports?) ohne Authentifizierung zulässt, dann wird das nichts. Die sichere muss dann die einzige sein für 445.
Wenn neben der "Secure Rule" noch eine weitere Regel besteht, die TCP445 (oder gar alle Ports?) ohne Authentifizierung zulässt, dann wird das nichts. Die sichere muss dann die einzige sein für 445.
Der Port 445 ist u.a. auch für die Remolteverwaltung offen. Ich dachte die Firewall unterscheidet zwischen den Diensten. Der Port 445 für die Datei und Druckerfreigabe ist nur einmal aufgeführt. Ich mach die anderen Dienste mal zu, mal sehen ob es dann funktioniert.
Zitat von @NordicMike:
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
Das mit den Zertifikaten hatte ich auch schon im Kopf, das muss ich jedoch noch lernen. Eine Zertifizierungsstelle habe ich schon, der Domain Controller erstellt doch auch für jeden Client ein Zertifikat für sich. Wo müssten diese referenziert werden, damit der Fileserver diese überprüft?
Sorry, ich gucke von der Netzwerkseite, nicht der Fileserverseite. Was du möchtest, ist eine User-Authentifizierung und eine Client-Authentifizierung, die dann Zugriff auf die Datei(-Freigabe) hat. Mein Ansatz war, den Client per Eindeutigem Zertifikat zu identifizieren, ihn per NAC (Network Access Control) in ein separates Netzwerksegment zu bringen und dann per Firewall/Router den Zugriff auf das Netzwerk mit dem Fileserver zu regeln bzw. auf dem Fileserver Zugriffe aus diesem Netzwerkbereich zuzulassen.
Gruß
TA
