4
Zugriff auf Netzwerkfreigabe in einer Domäne unter Windows 2000 Server funktioniert auch ohne Domänenzugehörigkeit.
Hallo!
In einem Domänen-Netzwerk mit W2K-Domäncontrollern ist es bei uns scheinbar möglich, dass sich Benutzer mit ihren privaten Notebooks (also nicht Mitglied der Domäne!) in unserem Netzwerk anschließen und Ordnerfreigaben verwenden, auf die sie eigentlich nicht ohne Benuzter-/Kennwort-Abfrage zugreifen dürften.
Die Freigaben sind für Jeder mit Vollzugriff eingerichtet und anschliessend sind die Berechtigungen über NTFS-Berechtigungen vergeben worden.
Es scheint auch einen Unterschied zu machen, wie man die Freigabe aufruft:
a)
Gibt man die IP-Adresse und dann den Freigabenamen ein, so wird kein Passwort abgefragt.
b)
Gibt man den vollen Servernamen mit Domänenbezeichnung ein, so wird das Passwort abgefragt.
Welche Möglichkeiten haben wir, dieses Problem in den Griff zu kriegen - es handelt sich ja scheinbar um ein größeres Sicherheitsproblem.
Vielen Dank im voraus für Eure Hilfe!
HoyGroDo
In einem Domänen-Netzwerk mit W2K-Domäncontrollern ist es bei uns scheinbar möglich, dass sich Benutzer mit ihren privaten Notebooks (also nicht Mitglied der Domäne!) in unserem Netzwerk anschließen und Ordnerfreigaben verwenden, auf die sie eigentlich nicht ohne Benuzter-/Kennwort-Abfrage zugreifen dürften.
Die Freigaben sind für Jeder mit Vollzugriff eingerichtet und anschliessend sind die Berechtigungen über NTFS-Berechtigungen vergeben worden.
Es scheint auch einen Unterschied zu machen, wie man die Freigabe aufruft:
a)
Gibt man die IP-Adresse und dann den Freigabenamen ein, so wird kein Passwort abgefragt.
b)
Gibt man den vollen Servernamen mit Domänenbezeichnung ein, so wird das Passwort abgefragt.
Welche Möglichkeiten haben wir, dieses Problem in den Griff zu kriegen - es handelt sich ja scheinbar um ein größeres Sicherheitsproblem.
Vielen Dank im voraus für Eure Hilfe!
HoyGroDo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 131626
Url: https://administrator.de/contentid/131626
Printed on: April 25, 2024 at 12:04 o'clock
4 Comments
Latest comment
Moin.
Was mich an der Frage doch sehr stört, ist das "scheinbar". Du musst Dir zunächst sicher sein, was da läuft - nimm eine Testinstallation ohne Domänenzugehörigkeit und dann probier's selbst. Was Nutzer berichten, ist erstmal mit Vorsicht zu genießen.
Speichern Sie zum Beispiel ihr Kennwort ein, so ist das Verhalten wohl kein Wunder. Wenn eingestellt ist, dass die Domänennutzer sich überall anmelden können, dann natürlich auch an ihren Notebooks.
Was mich an der Frage doch sehr stört, ist das "scheinbar". Du musst Dir zunächst sicher sein, was da läuft - nimm eine Testinstallation ohne Domänenzugehörigkeit und dann probier's selbst. Was Nutzer berichten, ist erstmal mit Vorsicht zu genießen.
Speichern Sie zum Beispiel ihr Kennwort ein, so ist das Verhalten wohl kein Wunder. Wenn eingestellt ist, dass die Domänennutzer sich überall anmelden können, dann natürlich auch an ihren Notebooks.
Ersteinmal Danke für die schnelle Antwort 
Das war missverständlich - geprüft habe ich es schon. Habe einen x-beliebigen Privat-Rechner genommen, der noch nie an unserem Netzwerk angschlossen war. Sobald ich dort über die IP-Adresse eines Servers eine Freigabe aufrufe, sind alle darin enthaltenen Ordner und Dateien änderbar.
HoyGroDo
Das war missverständlich - geprüft habe ich es schon. Habe einen x-beliebigen Privat-Rechner genommen, der noch nie an unserem Netzwerk angschlossen war. Sobald ich dort über die IP-Adresse eines Servers eine Freigabe aufrufe, sind alle darin enthaltenen Ordner und Dateien änderbar.
HoyGroDo
Hallo HoyGroDo,
meines Wissens steht die NTFS Freigabe immer über der Netzwerkfreigabe. Das heisst, das du keinen ZUgriff erhalten solltest, wenn du auf NTFS eben keine Rechte hast. Da das dennoch geht, gestattet dir NTFS wohl die Zugriffsrechte.
Daher stellt sich mir die Frage, wie sich der Client authentifiziert. Wenn du über die Domänenbezeichnung gehst, fragt er wohl die Domänenberechtigungen ab und verlangt eine Authentifizierung. Kann es daher sein, das sich der Client, wenn du über die IP-Adresse gehst als "Gerät" authentifiziert und dann evtl. einen Benutzer bei euch zugewiesen bekommt der entsprechende Berechtigungen hat? Ich meine vor langer Zeit für W2k in diese Richtung mal was gelesen zu haben, bin mir aber nicht sicher.
Ich würde noch folgendes Testen um die Sicherheit halbwegs aufrecht zu erhalten. Was passiert wenn du die "Jeder-Freigabe" heraus nimmst und bereits in der Freigabe Rechte vergibst? Zum anderen würde ich mal schauen, was passiert wenn du einen Ordner mit einer "Jeder-Freigabe" anlegst und diesem Ordner auf NTFS eben keine Berechtigungen erteilst. Kommst du dann via Freigabe trotzdem noch rein?
Leider nichts genaues, aber vielleicht ein paar Ideen.
Liebe Grüße,
Boris
meines Wissens steht die NTFS Freigabe immer über der Netzwerkfreigabe. Das heisst, das du keinen ZUgriff erhalten solltest, wenn du auf NTFS eben keine Rechte hast. Da das dennoch geht, gestattet dir NTFS wohl die Zugriffsrechte.
Daher stellt sich mir die Frage, wie sich der Client authentifiziert. Wenn du über die Domänenbezeichnung gehst, fragt er wohl die Domänenberechtigungen ab und verlangt eine Authentifizierung. Kann es daher sein, das sich der Client, wenn du über die IP-Adresse gehst als "Gerät" authentifiziert und dann evtl. einen Benutzer bei euch zugewiesen bekommt der entsprechende Berechtigungen hat? Ich meine vor langer Zeit für W2k in diese Richtung mal was gelesen zu haben, bin mir aber nicht sicher.
Ich würde noch folgendes Testen um die Sicherheit halbwegs aufrecht zu erhalten. Was passiert wenn du die "Jeder-Freigabe" heraus nimmst und bereits in der Freigabe Rechte vergibst? Zum anderen würde ich mal schauen, was passiert wenn du einen Ordner mit einer "Jeder-Freigabe" anlegst und diesem Ordner auf NTFS eben keine Berechtigungen erteilst. Kommst du dann via Freigabe trotzdem noch rein?
Leider nichts genaues, aber vielleicht ein paar Ideen.
Liebe Grüße,
Boris
Also.
Dass es über die IP geht und nicht über den Namen, ist kurios und nicht erklärbar, dies muss ein Defekt sein. Wo Du jetzt ansetzen kannst, ist erstmal schwierig. Grundsätzlich zu Deiner Info: Jeder bedeutet nicht jeder weltweit. Solltest Du also nicht am Server eingestellt haben, dass auch der anonymous Login wie jeder behandelt wird, dann darf das nicht funktionieren. Dass es sich dann auch noch unterschiedlich verhält, ist ein Witz.
Kontrollier also mit rsop.msc am Server, ob der Server Policies übernommen hat, die anonymous Rechte einräumen.
"Network access: Let Everyone permissions apply to anonymous users" heißt eine solche Policy.
Dass es über die IP geht und nicht über den Namen, ist kurios und nicht erklärbar, dies muss ein Defekt sein. Wo Du jetzt ansetzen kannst, ist erstmal schwierig. Grundsätzlich zu Deiner Info: Jeder bedeutet nicht jeder weltweit. Solltest Du also nicht am Server eingestellt haben, dass auch der anonymous Login wie jeder behandelt wird, dann darf das nicht funktionieren. Dass es sich dann auch noch unterschiedlich verhält, ist ein Witz.
Kontrollier also mit rsop.msc am Server, ob der Server Policies übernommen hat, die anonymous Rechte einräumen.
"Network access: Let Everyone permissions apply to anonymous users" heißt eine solche Policy.
