File Sharing deaktiviren

[Dukel 436]

Hallo,

wir haben ein Kundenserver (Windows 2008R2), bei dem das File Shareing deaktiviert werden muss. Man darf nicht auf den Server kommen und auch nicht vom Server auf andere Systeme.

 

In Netzwerkcenter unter Advanced Options habe ich schon File und Printer Shareing deaktiviert, aber man kommt trotzdem auf die C$ SHares und von dieser Maschine auf andere Server.

 

Per Firewall kann man das ganze schon blocken, aber da gibt es noch ein weiteres Problem: Der Server ist ein RDS Host. Sobald man die Firewall Regeln aktiviert funktioniert die Kommunikation mit den RDS Lizenzservern nicht mehr. Auch das konfigurieren der RPC Ports und diese extra freischalten hat nicht geholfen.

 

Weiß jemand, wie ich SMB blockieren kann aber RDS Licensing funktioniert?

[Dukel 436]

Push.

[zahni 521]

Mal "net stop lanmanserver" probiert ?

[Dukel 436]

Hilft auch nicht.

Zwar werden dann die Fileshares deaktiviert, aber von dem Server kommt man dann auf andere Fileshares.

[Stefan W 14]

firewall blocken, und den licencing server als ausnahme definieren.

ist das eine Option?

lg

[Dukel 436]

Habe ich auch schon getestet, aber das läuft nicht. Egal ob ich die RPC Ports (habe diese davor per Registry eingeschränkt) für die Lizenzserver oder alle Ports freigeben, es kommt einfach keine Verbindung zustande.

[tesso 360]

http://support.microsoft.com/kb/954422/de

 

Was soll das bringen? Auf die administrativen Freigaben kommst du nur als Admin.

[Dukel 436]

User, die sich auf den RDS verbinden benutzen eine Sicherheitskritische Anwendung. Daher sollen diese User auf dem RDS keine Daten austauschen. Clipboard, Printer,... ist alles per RDS Koniguration deaktiviert. Datei Austausch über Netzlaufwerke sollen aber auch verboten werden.

Wenn man den Server Dienst (lanmanserver) deaktiviert kommt man auch nicht auf die Shares (auch nicht die $-Shares) der Maschine, aber von der Maschine kommt man auf andere Server.

Workstation Dienst deaktivieren geht auch (alternativ SMB1 UND SMB2 deaktivieren gibt das gleiche Ergebnis), dann kommt man von dem Server nicht auf andere, aber dann geht auch RDS nicht, da der netlogon Dienst nicht läuft.

Wenn man in der Firewall die Ausgehenden Ports für Datei und Druckerfreigabe deaktiviert bekommt der RDS Server keine Lizenzen vom Lizenzserver.

[djmaker 95]

Wieviel RDS Server hast Du?

[Dukel 436]

Hier geht es um einen.

[Robi-Wan 10]

Hallo,

 

Du kannst in der Advanced Firewall auch die ausgehenden Verbindungen einschränken. Damit müsste dann alles dicht sein.

 

Grüße,

Robert

[Dukel 436]

ja das geht, dann geht aber auch RDS nicht, da entweder die Lizenzserver nicht erreicht werden oder der netlogon Dienst nicht richtig funktioniert.

Auf jeden Fall, wenn ich die ausgehenden Verbindungen blockiere komme ich nur noch per /admin mit RDP auf die Maschine.

[Weingeist 157]

Vorschlag 1: Eine völlig eigene Domäne für den RDS? Dann kann nur jemand zugreifen welcher für diesen Server die Zugangsberechtigungen hat, Server ist halt immernoch im LAN zugegen.

 

Oder deutlich aufwendiger, eine Lösung welche den LAN bzw. Datenaustauschtraffic komplett im Serverraum belässt und nur Bildschirmsignale und Input/Output veröffentlicht. Da gefällt mir zbsp. PCoIP, bräuchtest aber physische Clients.

 

Vorteile:

- Datentraffic bleibt komplett im Serverraum, da kein LAN kabel ins Gebäude, kein Traffic möglich, da physische abgekoppelt

- Kommunikation zwischen Host (physischer Client) und Anzeigeclient (ZeroClient) ist verschlüsselt und beinhaltet lediglich Input/Output signale

- Jedes Gerät das für einen bestimmten phys. Client verwendet werden darf, kann klar definiert werden (Zero, USB-Gerät, ja selbst bestimmte Tastaturen, Mäuse)

 

Nachteile:

- Relativ teuer

- Physischer Client pro solcher Arbeitsstation notwendig

- Bildschirm, Maus, Tastatur kann nicht parallel mit anderem PC benutzt werden wie bei RDP-Sitzung auf einem Client (erwünscht?), Quasi Parallel nur mit einem Umschalter. Nacheinander auch nur wenn im normalen ArbietsClient ebenfalls eine Teradici-Karte eingebaut ist.