Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Clientzugriff auf Intranet Websites einschränken.

Frage Microsoft Windows Server

Mitglied: cyber40014

cyber40014 (Level 1) - Jetzt verbinden

15.06.2012 um 08:46 Uhr, 4000 Aufrufe, 9 Kommentare

Folgendes Problem:
Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der Administratorenzugang einen Benutzerlogin hat.

Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten aus einer Datenbank eines Zeiterfassungsprogramms auszulesen und diese schön formatiert darzustellen.
Auf dem Win2008 Srv läuft ein Apache und eine MSSQL DB

Nun zu meinem Problem.
Man kann verschiedene Ansichten im Adminbereich anlegen.
z.B.

Ansicht User, Buchhaltung und HR

Nun werden die Ansichten durch folgende Url aufgerufen:

Serverip:Port/Unterordner/Status?Ansicht=<Name der Ansicht>

Also mit

Serverip:Port/Unterordner/Status?Ansicht=User

werden die Daten angezeigt, wobei hier vertrauliche Daten nicht angezeigt werden.

Für Buchhaltung werden beispielsweise einige vertrauliche Daten angezeigt, welche beispielsweise für die Buchhaltung notwendig sind.

die HR Abteilung bekommt ähnlich wie bei der Buchhaltung andere vertrauliche Daten angezeigt.


Nun haben wir folgendes Problem
ein User, welcher schlicht die URL der HR oder Buchhaltung bekommen würde, könnte die vertraulichen Daten einsehen.

Gibt es eine möglichkeit, umd die URL mit einem expliziten Parameter für eine Gruppe von Benutzern zu sperren (über GPO z.B)?

In meinen Augen gibt es drei Möglichkeiten

Umprogrammieren des Webmoduls
GPO -> EXPLIZIT die URL mit einem Parameter sperren (ein User soll ja weiterhin auf die Ansicht für User zugreifen können)
htaccess -> wobei hier scheinbar nur Verzeichnisse oder Dateien gesperrt werden können, da es die selbe Datei ist und nur einen anderen Parameter beinhaltet, wirds schwierig.

lg Chris
Mitglied: Lochkartenstanzer
15.06.2012 um 08:50 Uhr
man .htaccess
lks
Bitte warten ..
Mitglied: cyber40014
15.06.2012 um 08:55 Uhr
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.

Dazu habe ich bzgl htaccess nichts gefunden.

Hast du mir bitte genauere Informationen?

lg
Bitte warten ..
Mitglied: nikoatit
15.06.2012 um 09:45 Uhr
Moin,

warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...

Gruß
Bitte warten ..
Mitglied: SlainteMhath
15.06.2012 um 09:59 Uhr
Moin,

Wir haben ein Webmodul eines Drittherstellers gekauft und festgestellt, dass nur der
Administratorenzugang einen Benutzerlogin hat.
Das Tool macht nichts anderes, als vertrauliche Personenbezogene Daten [...] darzustellen.

Also mal im Ernst: ich würde den Drittanbieter in den A.... treten. Mit solcher Software rasselt ihr durch jegliche Audits (und notfalls durch alle Gerichtlichen Instanzen).

Ein Lösungsansatz wäre die Ansichten auf verschiedene Scripts aufzuteilen (Vertaulich.php, Allgemein.php) und dann das entsprechende Script per .htaccess (ggfs. mit dahintergeschlatetem LDAP/AD) für einzelne User/Gruppen freizugeben. Alles andere ist Frickelkram und ggfs. mit jedem Smartphone das über WLAN dranhaengt zu umgehen.

g,
Slainte
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2012, aktualisiert um 10:27 Uhr
Zitat von cyber40014:
Wie soll mithilfe der htaccess denn ein Unterschied zwischen mitgegebenen Parametern gemacht werden.
Auf dem Webserver wird die Datei "Status.php" aufgerufen. In jedem Fall.
Nur wird einmal Status.php?Ansicht=A und einmal Status.php?Ansicht=B aufgerufen.


Einfach Benutzer-Authentifikation mit htaccess mit dem apache machen und alle, die keine benutzerkennung im Apache haben, kommen da nicht weiter.

Nachtrag: Sehe gerade, daß es beidesmal benutzergruppen sind, die draufdürfen und nicht die jeweils anderen sehen dürfen. Ich dachte, da sollen einfach alle Ausgesperrt werden.


Idee: Ändere doch status.php so, daß er abfragt, mit welchem "apache-user" der Benutzer sich authentifiziert hat und dementsprechend soll er dann reagieren.

nachtrag2: Die Idee von SlainteMhath ist natürlich noch einfacher. mach einfach zwei Skripten Status.php-Ansicht-A.php Status.php-Ansicht-B.php, die einfach eine Kopie von Status.php sind und die Ansichten fix vorgegeben haben. Dann ist die beeinflussung durch htaccess trivial.


Dazu habe ich bzgl htaccess nichts gefunden.

Hast du mir bitte genauere Informationen?

https://httpd.apache.org/docs/current/howto/htaccess.html
Bitte warten ..
Mitglied: Lochkartenstanzer
15.06.2012, aktualisiert um 11:02 Uhr
Zitat von nikoatit:
Moin,

warum richtest du nicht eine GPO für Betroffenen ein und packst die Seite in die "Restricted Sites"?
Anleitung Siehe hier: http://www.ehow.com/how_6695413_block-websites-through-group-policy.htm ...

Gruß

Das hindert aber die Computer, die sich nicht an die GPO halten, daran, trotzdem die URL aufzurufen. (Stichwort, Live-CD, BYOD).

lks
Bitte warten ..
Mitglied: cyber40014
15.06.2012 um 10:41 Uhr
Ja das mit den Scripts kopieren ist mir auch gekommen, vorallem weil das Modul nicht sonderlich komplex aufgebaut ist.

Also generell zeigt das Ding halt Mitarbeiterstammdaten sowie die Anwesenheit an und normale Mitarbeiter außerhalb der HR sollten nicht mehr sehen, als den Namen und die Durchwahl und ob der MA auf zB Dienstreise ist, Anwesend oder Abwesend.
Bitte warten ..
Mitglied: 48507
15.06.2012, aktualisiert um 17:59 Uhr
Muss es unbedingt Apache sein? Gerade unter Windows bietet sich der IIS an. Da kannst du auch mit Benutzergruppen auf Ordnerebene arbeiten. Wenn du die Scripte kopierst... In Windows-Domänen-Umgebungen ist der IIS die bessere Wahl.
Bitte warten ..
Mitglied: cyber40014
15.06.2012, aktualisiert 06.06.2013
Ja, andere Dienste (ERP etc aufen drauf).
€: Das Problem hat sich durch den BR und die genannten Sicherheitsmängel von selbst gelöst

lg
Bitte warten ..
Ähnliche Inhalte
Webbrowser
gelöst Websites öffnen trotz Internetverbindung nicht (1)

Frage von Daniel1997 zum Thema Webbrowser ...

Windows Server
gelöst Intranet auf anderen Server umziehen (8)

Frage von MaceWindu zum Thema Windows Server ...

Google Android
Chrome verpackt Websites als Android-Apps (1)

Link von BassFishFox zum Thema Google Android ...

Microsoft
gelöst Lokale Intranet Site im IE wird nicht über GPO hinzugefügt (1)

Frage von Hanuta zum Thema Microsoft ...

Heiß diskutierte Inhalte
Windows 7
gelöst BOOTMGR is missing (auch nach bootrec -RebuildBcd) (19)

Frage von Mipronimo zum Thema Windows 7 ...

Router & Routing
Tipps für Router (ca. 100 clients, VPN) (19)

Frage von oel-auge zum Thema Router & Routing ...

TK-Netze & Geräte
gelöst Convert von TAPI auf CAPI gesucht (13)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...