Jump to content
Sign in to follow this  
warbird001

Laufwerk c: dichtmachen?

Recommended Posts

Hallo Alle

 

Um zu vermeiden das Nutzer Daten auf der Lokalen Platte ablegen will ich die

Zugriffsrechte auf der lokalen Festplatte Einschraenken.

 

Habe nun per GPO auf %SystemDrive%

 

Lesen/Ausfuehren

Ordnerinhalt Auflisten

Lesen

 

fuer "Jeder" erlaubt.

 

Abgesehen von System(Vollz.) und den Administratoren(Vollz.)

gibt es keine weiteren Eintraege.

Zusaetzlich habe ich auf %SystemDrive%\RECYCLER

Vollzugriff fuer "Jeder" gestattet.

 

Auf den ersten Blick scheint alles Normal zu sein und gut zu funktionieren.

 

Was meint ihr, sind mit diesen Einstelllungen Probleme zu Erwarten?

 

Ich wuerde das gleiche gerne mit c:\windows (%SystemRoot%)

und c:\programme machen.

Ist das eine gute Idee?

 

ciao

Stefan:wq

Share this post


Link to post

mahlzeit und willkommen am Board,

 

 

du könntest die Laufwerke auch per GPO "ausblenden"! So brauchst du keine Befürchtung haben, das durch fehlende Sicherheitseinstellungen Probleme enstehen.

 

Beschreib mal ein wenig deine Umgebung? Hast du einen DC laufen oder gehts dir um einen lokalen client? Denke non domain PC..wegen der Gruppe "Jeder"!oder?

Share this post


Link to post

 

 

du könntest die Laufwerke auch per GPO "ausblenden"! So brauchst du keine Befürchtung haben, das durch fehlende Sicherheitseinstellungen Probleme enstehen.

 

Das alleine hilft nicht viel...ne Verknüpfung auf C: ist schnell erstellt.

 

Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst wohl über kurz oder lang Probleme bekommen wirst.

Letzendlich kannst du den Zugriff nur erschweren, aber nicht unterbinden.

Share this post


Link to post
Also bei dem Windows- und dem Programme-Ordner, sowie dem Ordner Dokumente & Einstellungen, würde ich den Schreibzugriff gestatten, da du sonst .

Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun.

 

Wenn man da gut und sicher sein will, dann am besten das Security Handbook runterladen, dot stehen die standardmäßigen und empfohlenen Einstellungen bis hin zum einzelnen Ordner und teilweise für einzelne Dateien drin ;)

 

 

grizzly999

Share this post


Link to post
Auf Windows und Programme gibt nicht mal Microsoft selber dem User Schreibzugriff (außer einem Unterordner und ein oder zwei Dateien im Wndows). Warum sollte man das also tun.

 

 

Ist das so?

Hm..ich hätte schwören können, dass ich als normaler user problemlos im Ordner "Windows" einen neuen Ordner oder ne textdatei oder sonst was erstellen kann...

 

Und tatsächlich: Ein kurzer Test mit einem eingeschränkten Account in WinXP, dem herrlich tief im System verankerten internet explorer und dem runAs-service bestätigt meine Theorie. Wenn ich also Dateien in besagtem Ordner erstelle, dann "schreibe" ich doch in diesem Moment quasi auf die Festplatte, oder hab ich da was verwechselt?

 

Edit: selbiges funktioniert übrigends auch bei Win2000. Weiss ich aus eigener Erfahrung in einem scharfen Domänen-Umfeld.

Share this post


Link to post

Wenn du über eine Policy Laufwerk C ausblendest, kommt der Benutzer auch nicht mit einer Verknüpfung drauf!

Ausnahme: Einige Stellen in Office 97 erlauben den Zugriff auf C:

Share this post


Link to post
Wenn du über eine Policy Laufwerk C ausblendest, kommt der Benutzer auch nicht mit einer Verknüpfung drauf!

Ausnahme: Einige Stellen in Office 97 erlauben den Zugriff auf C:

 

Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt.

Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !!

Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

Share this post


Link to post

Was meinst du mit " .... und dem runas-Service ..."?

 

Und dann hast du keinen Standard User gehabt, oder kein Standard XP. Oder du hast genau in die Ausnahme geschrieben, wo der User darf.

 

Wo hast du denn den Ordner/die Datei hingespeichert?

 

Und schau oder poste doch mal die NTFS-Berechtigungen deines Windows Ordner an ....

 

grizzly999

Share this post


Link to post
Bei Win2000 funktioniert das definitiv. Bei 2003 weiss ich's nicht genau, aber er hat ja auch kein Sys genannt.

Ich weiss das, weil ich die Lücke letzt erst selbst unserem Admin vorgeführt hab !!

Rechtsklick -> Neu -> Verknüpfung -> C: -> oO

 

Bei meinem Fall geht es um Windows XP SP2. (in einer W2K3 Domaene)

Vor dem Setzen der oben schon angegebenen Berechtigungen ist es

Problemlos moeglich Ordner auf c:\ anzulegen.

Und das will ich wie auch in c:\windows und c:\programme moeglichst vermeiden.

Aber ohne das dabei Teile des Systems zu Spinnen anfangen.

 

ciao

Stefan:wq

Share this post


Link to post
Was meinst du mit " .... und dem runas-Service ..."?

 

Auch bekannt als "Ausführen als". Kennst bestimmt ;)

 

Und dann hast du keinen Standard user gehabt, oder kein Standard XP. Oder du hast genau in die Ausnahme geschrieben, wo der user darf.

 

Aber sicher. Ganz normaler User in nem ganz normalen XP.

 

Wo hast du denn den Ordner/die Dateio hingespeichert?

 

Is wurscht. Kannst unter C:\Windows oder tiefer.

 

Und schau oder poste doch mal die NTFS-Berechtigungen deines Windows ordner an ....

 

Ok, du kommst nich drauf :D Microsoft gibt zwar keinen direkten Schreibzugriff, ABER...

du hast die Speziellen Berechtigungen übersehen! Da wird dem "Otto-Normal-Benutzer" das erstellen von Ordnern und schreiben von Daten sehr wohl gestattet. Du kannst dem Benutzer ja mal testweise das Recht entziehen, allerdings wird dann wohl nicht mehr viel gehen. Wenn ich mich recht entsinne, scheitert es dann schon an der Anmeldung.

 

Screen

Share this post


Link to post
Bei meinem Fall geht es um Windows XP SP2. (in einer W2K3 Domaene)

Vor dem Setzen der oben schon angegebenen Berechtigungen ist es

Problemlos moeglich Ordner auf c:\ anzulegen.

Und das will ich wie auch in c:\windows und c:\programme moeglichst vermeiden.

Aber ohne das dabei Teile des Systems zu Spinnen anfangen.

 

ciao

Stefan:wq

 

Also, jetzt genug gespielt :D

Mal im ernst: Sicherlich kannst du in Teilen die Schreibberechtigung entziehen. Aber es ist sehr mühsam die Ordner bei denen du es darfst und bei denen nicht zu selektieren. einen falschen Ordner erwischt und die Anmeldung funktioniert schon nicht mehr.

Da würde ich eher mit diversen GPs versuchen, das laufwerk auszublenden und umwege wie RunAs, IE, CMD, Verknüpfungen etc. zu versperren

Share this post


Link to post

In der Root kann er einen Ordner anlegen (das geht auch auf einem 2003 Standalone Server als normaler Benutzer). Im Windows-Ordner allerdings nicht, da dort die Vererbung unterbrochen wird und der Benutzer hier keine speziellen NTFS-Berechtigungen hat (Ordner erstellen/Daten anhängen für Diesen Ordner, Unterordner und Dateien erstellen/Daten schreiben für Nur Unterordner, also die Berechtigungen für Benutzer in der Root). Im Programme-Ordner gilt das auch. Falls die Default-Berechtigungen nicht vorhanden sind, kann man sie via SECEDIT mit dem Parameter /AREAS FILESTORE und der entsprechenden INF-Datei auf Standard setzen ...

Share this post


Link to post
Also, jetzt genug gespielt :D

Stimmt. Und wenn das so sein sollte, dann nimmt man das Security Handbook in dieselbe und bastele nicht auf diese Weise rum :

Da würde ich eher mit diversen GPs versuchen, das laufwerk auszublenden und umwege wie RunAs, IE, CMD, Verknüpfungen etc. zu versperren

 

grizzly999

Share this post


Link to post
Also alle meine XPs aus der Tüte raus installiert haben diese Berechtigung auf c:\Windows nicht.

 

grizzly999

Meine auch nicht ...

 

@Neomis

Für RUNAS wird auch ein berechtigtes Konto benötigt. Wenn der User solch ein Konto kennt, nützt keine NTFS-Berechtigung mehr irgendwas ...

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...