Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Clientzugriff auf Intranet Websites einschränken.

Frage Microsoft Windows Server

Mitglied: cyber40014

cyber40014 (Level 1) - Jetzt verbinden

15.06.2012 um 08:46 Uhr, 3985 Aufrufe, 9 Kommentare

Folgendes Problem:
Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der Administratorenzugang einen Benutzerlogin hat.

Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten aus einer Datenbank eines Zeiterfassungsprogramms auszulesen und diese schön formatiert darzustellen.
Auf dem Win2008 Srv läuft ein Apache und eine MSSQL DB

Nun zu meinem Problem.
Man kann verschiedene Ansichten im Adminbereich anlegen.
z.B.

Ansicht User, Buchhaltung und HR

Nun werden die Ansichten durch folgende Url aufgerufen:

Serverip:Port/Unterordner/Status?Ansicht=<Name der Ansicht>

Also mit

Serverip:Port/Unterordner/Status?Ansicht=User

werden die Daten angezeigt, wobei hier vertrauliche Daten nicht angezeigt werden.

Für Buchhaltung werden beispielsweise einige vertrauliche Daten angezeigt, welche beispielsweise für die Buchhaltung notwendig sind.

die HR Abteilung bekommt ähnlich wie bei der Buchhaltung andere vertrauliche Daten angezeigt.


Nun haben wir folgendes Problem
ein User, welcher schlicht die URL der HR oder Buchhaltung bekommen würde, könnte die vertraulichen Daten einsehen.

Gibt es eine möglichkeit, umd die URL mit einem expliziten Parameter für eine Gruppe von Benutzern zu sperren (über GPO z.B)?

In meinen Augen gibt es drei Möglichkeiten

Umprogrammieren des Webmoduls
GPO -> EXPLIZIT die URL mit einem Parameter sperren (ein User soll ja weiterhin auf die Ansicht für User zugreifen können)
htaccess -> wobei hier scheinbar nur Verzeichnisse oder Dateien gesperrt werden können, da es die selbe Datei ist und nur einen anderen Parameter beinhaltet, wirds schwierig.

lg Chris
Mitglied: Lochkartenstanzer
15.06.2012 um 08:50 Uhr
man .htaccess
lks
Bitte warten ..
Mitglied: cyber40014
15.06.2012 um 08:55 Uhr
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.

Dazu habe ich bzgl htaccess nichts gefunden.

Hast du mir bitte genauere Informationen?

lg
Bitte warten ..
Mitglied: nikoatit
15.06.2012 um 09:45 Uhr
Moin,

warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...

Gruß
Bitte warten ..
Mitglied: SlainteMhath
15.06.2012 um 09:59 Uhr
Moin,

Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der
Administratorenzugang einen Benutzerlogin hat.
Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten [...] darzustellen.

Also mal im Ernst: ich würde den Drittanbieter in den A.... treten. Mit solcher Software rasselt ihr durch jegliche Audits (und notfalls durch alle Gerichtlichen Instanzen).

Ein Lösungsansatz wäre die Ansichten auf verschiedene Scripts aufzuteilen (Vertaulich.php, Allgemein.php) und dann das entsprechende Script per .htaccess (ggfs. mit dahintergeschlatetem LDAP/AD) für einzelne User/Gruppen freizugeben. Alles andere ist Frickelkram und ggfs. mit jedem Smartphone das über WLAN dranhaengt zu umgehen.

g,
Slainte
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2012, aktualisiert um 10:27 Uhr
Zitat von cyber40014:
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.


Einfach Benutzer-Authentifikation mit htaccess mit dem apache machen und alle, die keine benutzerkennung im Apache haben, kommen da nicht weiter.

Nachtrag: Sehe gerade, daß es beidesmal benutzergruppen sind, die draufdürfen und nicht die jeweils anderen sehen dürfen. Ich dachte, da sollen einfach alle Ausgesperrt werden.


Idee: Ändere doch status.php so, daß er abfragt, mit welchem "apache-user" der Benutzer sich authentifiziert hat und dementsprechend soll er dann reagieren.

nachtrag2: Die Idee von SlainteMhath ist natürlich noch einfacher. mach einfach zwei Skripten Status.php-Ansicht-A.php Status.php-Ansicht-B.php, die einfach eine Kopie von Status.php sind und die Ansichten fix vorgegeben haben. Dann ist die beeinflussung durch htaccess trivial.


Dazu habe ich bzgl htaccess nichts gefunden.

Hast du mir bitte genauere Informationen?

https://httpd.apache.org/docs/current/howto/htaccess.html
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2012, aktualisiert um 11:02 Uhr
Zitat von nikoatit:
Moin,

warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...

Gruß

Das hindert aber die Computer, die sich nicht an die GPO halten, daran, trotzdem die URL aufzurufen. (Stichwort, Live-CD, BYOD).

lks
Bitte warten ..
Mitglied: cyber40014
15.06.2012 um 10:41 Uhr
Ja das mit den Scripts kopieren ist mir auch gekommen, vorallem weil das Modul nicht sonderlich komplex aufgebaut ist.

Also generell zeigt das Ding halt Mitarbeiterstammdaten sowie die Anwesenheit an und normale Mitarbeiter außerhalb der HR sollten nicht mehr sehen, als den Namen und die Durchwahl und ob der MA auf zB Dienstreise ist, Anwesend oder Abwesend.
Bitte warten ..
Mitglied: sputnik
15.06.2012, aktualisiert um 17:59 Uhr
Muss es unbedingt Apache sein? Gerade unter Windows bietet sich der IIS an. Da kannst du auch mit Benutzergruppen auf Ordnerebene arbeiten. Wenn du die Scripte kopierst... In Windows-Domänen-Umgebungen ist der IIS die bessere Wahl.
Bitte warten ..
Mitglied: cyber40014
15.06.2012, aktualisiert 06.06.2013
Ja, andere Dienste (ERP etc aufen drauf).
€: Das Problem hat sich durch den BR und die genannten Sicherheitsmängel von selbst gelöst

lg
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerke
gelöst Manche Websites nicht erreichbar (9)

Frage von cyber40014 zum Thema Netzwerke ...

Exchange Server
Exchange 2013 Größenbeschränkungen intern einschränken (5)

Frage von lupolo zum Thema Exchange Server ...

Voice over IP
gelöst PfSense: WAN1 Bandbreite für VoIP sinnvoll einschränken (3)

Frage von istike2 zum Thema Voice over IP ...

PHP
gelöst Drucker über Intranet verbinden (8)

Frage von Bodabirra zum Thema PHP ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...