Sicherheitsrisiken Synology DS Admin Konto

Mitglied: Ritchtools

Ritchtools (Level 1) - Jetzt verbinden

19.04.2021, aktualisiert 23:04 Uhr, 956 Aufrufe, 6 Kommentare

Hallo Zusammen,

ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat der bisherige Mitarbeiter an allen Geräten das admin-Konto genutzt.

Einen neuen Admin mit anderem Namen habe ich erstellt. Nun möchte ich in die Runde fragen, ist es vernünftig, den alten admin nur einen Großteil der Rechte zu begrenzen?

Vermutlich werde ich dann ja weiterhin von der DS die Meldung bekommen, es gibt Sicherheitsprobleme?

Die Alternative wäre ja eine Reihe von neuen Nutzern zu erstellen und an allen Rechnern die Einstellungen zu ändern, was ja einigen Aufwand darstellt.

Was könnt Ihr empfehlen?

Das war die Meldung:
Der Sicherheitsberater hat gerade eine geplante Prüfung auf DiskStation abgeschlossen. Es wurden mehrere Sicherheitsrisiken gefunden, die Ihre Aufmerksamkeit erfordern. Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Mitglied: vossi31
19.04.2021 um 13:20 Uhr
Moin,

Melden Sie sich bei DSM auf DiskStation an und zeigen Sie den Bericht im Sicherheitsberater an.
Das würde ich erstmal machen um zu sehen, ob dein Vorhaben überhaupt damit zu tun hat.

Ob es dann notwendig ist weitere eingeschränkte Nutzer anzulegen hängt ja eher mit eurem Berechtigungskonzept zusammen und kann kaum aus dem Forum beantwortet werden. Den voreingestellten Admin würde ich nicht in seinen Rechten einschränken (wenn es überhaupt geht).

Henning
Bitte warten ..
Mitglied: em-pie
19.04.2021 um 13:25 Uhr
Moin,

ist ein AD vorhanden und wurde die DS ins AD aufgenommen?
  • Wenn beides bejat werden kann: Setze die AD-User/ Gruppen in die Ordnerberechtigungen ein
  • Wenn nur das erste bejat werden kann: Nimm die DS ins AD auf und dann wie zuvor genannt.
In beiden Fällen am Ende noch einen User aus dem AD auswählen, der der zukünftige DS-Admin wird. Fertig

  • Wenn beides Nein: lege einen (oder mehere) neue Benutzer an, und setze die Rechte auf die Ordner/ freigaben neu. Danach legst du einen neuen admin an (z.B. ds_admin) und gibst dem die Adminrechte. Ist das geschehen und du kannst mit dem neuen Admin machen, was du mit dem alten auch konntest: ein langes/ kryptisches Kennwort vergeben und das Kennwort in einem Safe "einschließen" (wobei man ganz leicht den admin Zugang zurücksetzen kann).

Gruß
em-pie
Bitte warten ..
Mitglied: radiogugu
19.04.2021 um 13:29 Uhr
Hallo.

Gibt es eine AD Domäne in der Infrastruktur?

Falls ja, dann binde die DS doch in die Domäne und nutze die Domänen-Benutzer und - Gruppen.

Falls nein, dann solltest du deinen eigenen Vorschlag in die Tat umsetzen. Der Aufwand ist es in jedem Fall wert, wenn die Sicherheit dadurch gewinnt.

In jedem Fall würde ich das Admin Konto mit einem sehr, starken Kennwort belegen oder deaktivieren und ein neues Admin Konto erstellen.

Gruß
Marc
Bitte warten ..
Mitglied: lcer00
19.04.2021 um 16:33 Uhr
Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Grüße

lcer
Bitte warten ..
Mitglied: radiogugu
20.04.2021 um 09:02 Uhr
Zitat von @lcer00:

Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.

Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.

Gruß
Marc
Bitte warten ..
Mitglied: lcer00
20.04.2021 um 09:08 Uhr
Zitat von @radiogugu:

Zitat von @lcer00:

Hallo,

Ich weiß nicht wie das Synology ist, aber bei QNAP ist das Admin-Konto einzigartig und es ist nicht möglich, einen Benutzer mit den gleichen Rechten zu erstellen. Nur der echte Admin kann sich beispielsweise per ssh einloggen. Ein zweiter Administrator-Benutzer kann auch nicht das Kennwort des „richtigen“ Admin zurücksetzen.

Wie gesagt, ich rede von QNAP, aber ich würde prüfen, ob der Zusatzadmin wirklich rootrechte hat.

Ich habe gerade einmal in die Doku von Synology geschaut und dort ist nur die Gruppe "local administrator" für SSH Zugriff erwähnt.

Also mal eben den SSH Dienst aktiviert und siehe da, der erstellte Admin kann das Gleiche, wie der Benutzer Admin.

Gruß
Marc
OK, damit steht es 1:0 für Synology :) face-smile

Grüße

lcer
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 9 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...