119944
May 04, 2016, updated at 08:45:34 (UTC)
3000
3
0
UNC-Hardening Fileserver
Hallo Kollegen,
ich habe unsere GPO für das UNC-Hardening in einer Testumgebung mal um den Fileserver erweitert.
Grundsätzlich ist der Zugriff lesend und schreibend weiterhin auf alle Shares möglich, jedoch haben wir festgestellt, dass sich dadurch keine Kopien von Dateien mehr anlegen lassen.
Also einfach eine Datei markieren und am gleichen Ort wieder einfügen
Normalerweise erstellt Windows beim kopieren einer Datein und beim Einfügen am selben Ort dabei eine zweite Datei mit dem Anhang "-Kopie". z.B.:
Nach dem aktivieren der GPO passiert beim Einfügen leider garnichts...
Hier ist die GPO:
Ist das ein Sicherheitsfeature oder hat hier jemand eine Idee woran es liegen könnte?
Macht es überhaupt Sinn hier den Fileserver mit aufzunehmen?
Fileserver:
CentOS 7.2
Samba 4.2.10
VG
Val
ich habe unsere GPO für das UNC-Hardening in einer Testumgebung mal um den Fileserver erweitert.
Grundsätzlich ist der Zugriff lesend und schreibend weiterhin auf alle Shares möglich, jedoch haben wir festgestellt, dass sich dadurch keine Kopien von Dateien mehr anlegen lassen.
Also einfach eine Datei markieren und am gleichen Ort wieder einfügen
Normalerweise erstellt Windows beim kopieren einer Datein und beim Einfügen am selben Ort dabei eine zweite Datei mit dem Anhang "-Kopie". z.B.:
- unc_hardening.PNG
- unc_hardening - Kopie.PNG
Nach dem aktivieren der GPO passiert beim Einfügen leider garnichts...
Hier ist die GPO:
Ist das ein Sicherheitsfeature oder hat hier jemand eine Idee woran es liegen könnte?
Macht es überhaupt Sinn hier den Fileserver mit aufzunehmen?
Fileserver:
CentOS 7.2
Samba 4.2.10
VG
Val
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 303634
Url: https://administrator.de/contentid/303634
Printed on: April 24, 2024 at 23:04 o'clock
3 Comments
Latest comment
Hi.
Die von Dir vorgegebenen Anforderungen sind Anforderungen, die Dein Fileserver offenbar nicht erfüllt. Ich kann Dir leider nicht sagen, ob das Einstellungssache ist, sondern nur, dass Du auf der Fileserverseite suchen musst. Mach Dir klar, was das ist, diese beiden Anforderungen und google ein wenig.
Die von Dir vorgegebenen Anforderungen sind Anforderungen, die Dein Fileserver offenbar nicht erfüllt. Ich kann Dir leider nicht sagen, ob das Einstellungssache ist, sondern nur, dass Du auf der Fileserverseite suchen musst. Mach Dir klar, was das ist, diese beiden Anforderungen und google ein wenig.
Hi,
damit habe ich mich bereits auseinander gesetzt.
Kerberos funktioniert auf dem Server ohne Probleme und stellt für jeden User ein Ticket aus.
SMB Signing scheint seit Samba 2 erforderlich zu sein und Verbindungen zum Samba Server werden entweder über SMB2.1 (Windows 7) oder SMB3 (Windows 8-10) hergestellt.
Ich hatte zu Problemen eigentlich nur gefunden, dass ein Verbindung gar nicht hergestellt werden konnte.
Zumindest ist das auch mein Verständnis von der Gruppenrichtlinie, diese sollte den Zugriff auf den Fileserver doch komplett verhindern wenn Kerberos oder SMB Signing nicht aktiv ist oder?
VG
Val
damit habe ich mich bereits auseinander gesetzt.
Mutual Authentication
If the fully-patched Windows 7 client, ADSWK7, requests file share access to Windows Sever 2003 server “ADSFP01” and that request includes “RequireMutualAuthentication=1”, this request must use Kerberos authentication since NTLM is not supported for mutual authentication by default (Windows Server 2008 R2 supports additional Security Support Providers, SSPs, that could provide mutual authentication for other auth types). Assuming the SMB connect request communication includes Kerberos auth for the user, the connection to the file share should be successful.
This setting seems to result in the same behavior whether the destination server SMB share is patched or not or is Windows Server 2003 or a newer OS version.Integrity
If the fully-patched Windows 7 client, ADSWK7, requests file share access to Windows Sever 2003 server “ADSFP01” and that request includes “RequireIntegrity =1”, this request requires SMB signing for the SMB communication for this session. However, SMB v1 doesn’t support per session SMB signing, SMB v2 does. Windows 2003 R2 and earlier only support SMB v1. This means that if there is an existing SMB (v1) connection to a share on the server that doesn’t require integrity, this secondary request to another file share will fail and the client will not be able to connect to the new file share.
This setting may cause issues when clients connect to a SMB share with RequireIntegrity=1. The workaround is to set Windows Server 2003 servers to always require security signatures which enforces SMB signing for all SMB connections.Ich hatte zu Problemen eigentlich nur gefunden, dass ein Verbindung gar nicht hergestellt werden konnte.
Zumindest ist das auch mein Verständnis von der Gruppenrichtlinie, diese sollte den Zugriff auf den Fileserver doch komplett verhindern wenn Kerberos oder SMB Signing nicht aktiv ist oder?
VG
Val
Zumindest ist das auch mein Verständnis von der Gruppenrichtlinie, diese sollte den Zugriff auf den Fileserver doch komplett verhindern wenn Kerberos oder SMB Signing nicht aktiv ist oder?
Hätte ich auch gedacht. Habe aber noch keine Tests mit Samba gemacht.
