9
Nutzer aus dem Umkreisnetzwerk können Freigaben und deren Dateien einsehen
Hallo liebe Kollegen,
im Rahmen einer Prüfung ist mir folgendes aufgefallen:
Ich habe mich an einem Client, welcher sich nicht in unserer Domäne befindet mit dem lokalen Administrator angemeldet (PC\Administrator). Dieser User hatte Vollzugriff auf Netzwerkfreigaben, auf welche die Administratoren des Servers (Fileserver\Administratoren) Vollzugriff hatten (Freigabeberechtigungen). Laut NTFS Berechtigungen hat "Jeder" auch keine Berechtigungen.
Wie kommt das zu stande?
Wie sorgt man am besten dafür, dass Freigaben gar nicht für Domänefremde angezeigt werden? Selbst wenn ich die zugriffsbasierte Aufzählung aktiviere und nur "Domänen-Benutzern" Freigabeberechtigungen erteile, sieht der Domänenfremde immer noch die Freigaben.
Danke für eure Hilfe
Hamsert
im Rahmen einer Prüfung ist mir folgendes aufgefallen:
Ich habe mich an einem Client, welcher sich nicht in unserer Domäne befindet mit dem lokalen Administrator angemeldet (PC\Administrator). Dieser User hatte Vollzugriff auf Netzwerkfreigaben, auf welche die Administratoren des Servers (Fileserver\Administratoren) Vollzugriff hatten (Freigabeberechtigungen). Laut NTFS Berechtigungen hat "Jeder" auch keine Berechtigungen.
Wie kommt das zu stande?
Wie sorgt man am besten dafür, dass Freigaben gar nicht für Domänefremde angezeigt werden? Selbst wenn ich die zugriffsbasierte Aufzählung aktiviere und nur "Domänen-Benutzern" Freigabeberechtigungen erteile, sieht der Domänenfremde immer noch die Freigaben.
Danke für eure Hilfe
Hamsert
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288306
Url: https://administrator.de/contentid/288306
Ausgedruckt am: 16.11.2024 um 21:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
erstelle Freigaben doch einfach mit einem $ am Ende z.B. "Datenablage$", damit sind diese nicht sichtbar.
Ansonsten schau dir mal das Thema AcessBased Enumeration an.
VG
Val
erstelle Freigaben doch einfach mit einem $ am Ende z.B. "Datenablage$", damit sind diese nicht sichtbar.
Ansonsten schau dir mal das Thema AcessBased Enumeration an.
VG
Val
Hi,
reicht es nicht wenn nur die Domänen-Admins Zugriff auf die Freigabe haben?
Notfalls eine eigene AD-Gruppe erstellen, wie Fileserver-Admins.
VG,
Deepsys
reicht es nicht wenn nur die Domänen-Admins Zugriff auf die Freigabe haben?
Notfalls eine eigene AD-Gruppe erstellen, wie Fileserver-Admins.
VG,
Deepsys
Hi.
Und Du verwendest nicht zufällig den selben Kontonamen mit dem selben Kennwort auf dem Server? Das würde es erklären.
Und Du verwendest nicht zufällig den selben Kontonamen mit dem selben Kennwort auf dem Server? Das würde es erklären.
Hi,
die Freigabe nur unsichtbar zu machen behebt ja nicht das Problem, dass ungewollte Personen trotzdem Zugriff bekommen können. Zugriffsbasierte Aufzählung hatte ich erwähnt in meinem Post, das ist mWn der deutsche Begriff für AccessBased Enumeration, oder?
VG
Hamsert
die Freigabe nur unsichtbar zu machen behebt ja nicht das Problem, dass ungewollte Personen trotzdem Zugriff bekommen können. Zugriffsbasierte Aufzählung hatte ich erwähnt in meinem Post, das ist mWn der deutsche Begriff für AccessBased Enumeration, oder?
VG
Hamsert
Ja, prinzipiell müssen die Fileserver\Administratoren gar keinen Zugriff auf die Freigabe haben, die habe ich dann ja auch entfernt. Es geht mir nur um das Phänomen, dass lokale Administratoren auf Rechnern, die nicht zur Domäne gehören, dadurch Zugriff bekommen.
Volltreffer, ja es ging ja um den builtin Administrator, ich habe jetzt mal das Passwort auf dem PC geändert und jetzt bekomme ich keinen Zugriff mehr auf den Server. Trotzdem etwas merkwürdiges verhalten, oder? Also warum sieht er den lokalen Administrator User dann als Administrator User des Servers?
Danke.
VG
Matthias
Danke.
VG
Matthias
Er schickt eine SID und ein Kennwort rüber, sind beide gleich, bekommst Du Zugriff. Die SID des eingebauten Admins ist nun einmal immer die gleiche. Normal.
1
So wird das aber auch in einer Arbeitsgruppe gelöst (wenn keine Domäne vorhanden ist).
Dann müssen auf den Clients die gleichen User/Passwörter angelegt werden. Also normales verhalten.
Dann müssen auf den Clients die gleichen User/Passwörter angelegt werden. Also normales verhalten.
Ja klar, macht Sinn. Danke.
