4
Ordner (+ Inhalt) Schreibberechtigungen entziehen trotz Administratorrechten
Hallo zusammen,
aktuell sind 3 Administratoren Konten auf diesem Rechner gegeben. Diese Rechte sind notwendig, weil bestimmte Software ohne selbige nicht richtig läuft.
ich möchte gerne einem Backup Ordner Schreibrechte unter Windows 10 für *ALLE* Benutzer entziehen - auch den Admins. Hintergrund: Locky und co. Dann richte ich einen Standard Nutzer ein mit Schreib- und Lesezugriff auf den Backup Ordner. Die Zugangsdaten hinterlege ich dann in den Backup Client.
Warum das ganze: kein User - egal ob Standard oder Admin - kann den Backup Ordner "ausversehen" löschen oder verändern. Selbst wenn der Rechner unter Adminrechten kompromittiert würde, würden Locky und Co. diesen Ordner nicht verschlüsseln können, sie haben keinen Zugriff. Den einzigen Zugriff haben die Backup Clients der anderen Maschinen, die auf den Backup Ordner im Netz zugreifen. Locky und Co. müssten also auch diese Rechner kapern und dann noch dort die Backup Software finden und dort die verschlüsselten Zugangsdaten dechiffrieren.
Soweit so gut.
Ich kriegs aber nicht hin die Rechte so zu setzen, dass obiges Szenario umgesetzt wird. Jeder Benutzer (auch die Admins sollen den Backup Ordner nicht schreibend erreichen). Nur ein Standard Benutzer.
Danke für Eure Hilfe.
VG
aktuell sind 3 Administratoren Konten auf diesem Rechner gegeben. Diese Rechte sind notwendig, weil bestimmte Software ohne selbige nicht richtig läuft.
ich möchte gerne einem Backup Ordner Schreibrechte unter Windows 10 für *ALLE* Benutzer entziehen - auch den Admins. Hintergrund: Locky und co. Dann richte ich einen Standard Nutzer ein mit Schreib- und Lesezugriff auf den Backup Ordner. Die Zugangsdaten hinterlege ich dann in den Backup Client.
Warum das ganze: kein User - egal ob Standard oder Admin - kann den Backup Ordner "ausversehen" löschen oder verändern. Selbst wenn der Rechner unter Adminrechten kompromittiert würde, würden Locky und Co. diesen Ordner nicht verschlüsseln können, sie haben keinen Zugriff. Den einzigen Zugriff haben die Backup Clients der anderen Maschinen, die auf den Backup Ordner im Netz zugreifen. Locky und Co. müssten also auch diese Rechner kapern und dann noch dort die Backup Software finden und dort die verschlüsselten Zugangsdaten dechiffrieren.
Soweit so gut.
Ich kriegs aber nicht hin die Rechte so zu setzen, dass obiges Szenario umgesetzt wird. Jeder Benutzer (auch die Admins sollen den Backup Ordner nicht schreibend erreichen). Nur ein Standard Benutzer.
Danke für Eure Hilfe.
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320655
Url: https://administrator.de/contentid/320655
Printed on: April 19, 2024 at 13:04 o'clock
4 Comments
Latest comment
Hi.
Die UAC löst Dein Problem - Admins sind erst nach Elevation wirklich Admins. Wenn Du also auf diesem Ordner Schreibrechte für die Gruppe Administratoren und nicht etwa namentlich für die Nutzer setzt, ist das erledigt.
Erst wenn Admins Locky explizit mit Adminrechten ausführen würden, könnte er dort schreiben.
Die UAC löst Dein Problem - Admins sind erst nach Elevation wirklich Admins. Wenn Du also auf diesem Ordner Schreibrechte für die Gruppe Administratoren und nicht etwa namentlich für die Nutzer setzt, ist das erledigt.
Erst wenn Admins Locky explizit mit Adminrechten ausführen würden, könnte er dort schreiben.
1. OK verstehe ich.
Mal allgemein: inwiefern unterscheidet sich eigentlich ein Admin ohne Elevation von selbigen mit Elevation? Ist ein Admin ohne Elevation ein Standardbenutzer?
2. Die 3 Benutzer arbeiten aber auch jeden Tag auf dem Rechner: die könnten theoretisch "ausversehen" den Ordner löschen. Unwahrscheinlich aber naja: von daher wäre ich schon (theoretisch) interessiert, wie man Adminbenutzern grundsätzlich den Zugang / Schreibrechte auf einen Ordner verbietet.
Danke!
Mal allgemein: inwiefern unterscheidet sich eigentlich ein Admin ohne Elevation von selbigen mit Elevation? Ist ein Admin ohne Elevation ein Standardbenutzer?
2. Die 3 Benutzer arbeiten aber auch jeden Tag auf dem Rechner: die könnten theoretisch "ausversehen" den Ordner löschen. Unwahrscheinlich aber naja: von daher wäre ich schon (theoretisch) interessiert, wie man Adminbenutzern grundsätzlich den Zugang / Schreibrechte auf einen Ordner verbietet.
Danke!
Hi,
DWW hat zwar nicht ganz unrecht, aber eine echte Lösung wäre Dein Vorgehen defnitiv nicht.
Aber Du könntest den Backup mit einem anderen Konto ausführen lassen (Scheduled Task). Den Backup-Ordner mit EFS verschlüsseln. Dann können auch Locky und Konsorten nicht auf diese Dateien zugreifen, wenn sie unter einem anderen Konto laufen, welches nicht das entsprechende EFS-Zertifikat im Profil gespeichert hat. Auch nicht, wenn sie Admins sind. Natürlich dürften diese Admins aber keine EFS-Recovery-Agents sein, wenn das Sinn machen soll. Das Restore müsste dann ebenfalls mit dem Bakup-Konto laufen.
Aber hier aufpassen: Zuerst ausreichend mit dem EFS beschäftigen.
DWW hat zwar nicht ganz unrecht, aber eine echte Lösung wäre Dein Vorgehen defnitiv nicht.
Ist ein Admin ohne Elevation ein Standardbenutzer?
Jain. Alle seine erhöten Privilegien und seine Mitgliedschaft in den BuiltIn-Administratoren werden erst aktiviert, wenn er eleviert ist. Wenn also so ein Schädling zuschlägt und diese Meldung aufpoppt, ob man die Adminrechte aktivieren will, und der Admin unaufmerksam oder fahrlässig oder genervt "ja" wählt, dann hast Du nichts gewonnen.Aber Du könntest den Backup mit einem anderen Konto ausführen lassen (Scheduled Task). Den Backup-Ordner mit EFS verschlüsseln. Dann können auch Locky und Konsorten nicht auf diese Dateien zugreifen, wenn sie unter einem anderen Konto laufen, welches nicht das entsprechende EFS-Zertifikat im Profil gespeichert hat. Auch nicht, wenn sie Admins sind. Natürlich dürften diese Admins aber keine EFS-Recovery-Agents sein, wenn das Sinn machen soll. Das Restore müsste dann ebenfalls mit dem Bakup-Konto laufen.
Aber hier aufpassen: Zuerst ausreichend mit dem EFS beschäftigen.
Es sieht danach aus, dass Dir wesentliche Dinge des Windows-Rechtekonzeptes unbekannt sind. Verzeihe, aber dann bist Du der Falsche, um ein Konzept gegen Locky und Co. aufzustellen. Und das Wissen dagegen erwirbt man nur sehr schwer und lückenhaft über Forenbeiträge, das wird einfach nichts.
