Problem mit IIS6 FTP und Authentifizierung

[JohnDie 10]

Hallo,

 

ich arbeite momentan daran, einen relativ simplen FTP-Server unter IIS6 zu realisieren. Dazu erst einmal die geforderten Eigenschaften:

 

- Anonymous Zugang aktiv, dann nur Lese-Zugriff

- Upload-Zugang über speziellen Benutzer-Account (z.B. upload)

- Schreibzugriff für Upload nur möglich im Verzeichnis "upload", dies soll vom Anonymous nicht eingesehen werden dürfen.

- Sonst keine möglichen Logins, also wirklich nur Anonymous und upload.

 

Habe das soweit auch hinbekommen, anonymer Zugriff ist aktiviert und Zugang zum upload-Verzeichnis per NTFS-Berechtigung gesperrt. Der upload Account darf sowohl im FTP-Root lesen als auch ins upload-Verzeichnis hochladen (auch mit Resume).

 

Allerdings hat sich ein großes Problem ergeben:

Egal wie ich die NTFS-Berechtigungen des FTP-Roots einstelle, es ist immer möglich sich als Benutzer Administrator einzuloggen! Verhindern kann ich dies zwar indem ich "Nur anonyme Verbindungen zulasse", aber dann kann ich mich auch nicht mehr als "upload"-Benutzer einloggen. Nun kommt man zwar nicht ohne Administrator-Passwort über den Administrator-Account herein, allerdings ist dies ja schon eine Möglichkeit mit einem Skript einige Administrator-Passwörter per Brute-Force durchzuprobieren, und so etwas darf nicht sein!

 

Hat irgendjemand eine Idee, wie man dies Unterbinden kann?

 

Achja, hier noch einige Details:

Anonymous- und Upload-Accounts sind beide Mitglieder der Gäste-Gruppe, dem Administrator wurden per NTFS-Berechtigungen sämtliche Rechte auf dem FTP-Root und Unterordnern entzogen, im Windows-Explorer ist kein Zugriff mehr möglich. Trotzdem kann man sich noch als Administrator über FTP einloggen.

Die Benutzer-Isolation von IIS6 ist deaktiviert.

 

Ich würde mich sehr über Hilfe freuen, komme hier momentan echt nicht weiter.

 

Grüße und Danke,

JohnDie

[(DR)NO 10]

Hi

ein Administrator kann sich immer wieder die Rechte darauf holen, also würde es nichts bringen ihn auszuschließen! :suspect:

 

Tobi

[JohnDie 10]

Das ist mir schon klar, es geht auch nicht darum den Administrator-Zugriff über den Windows-Explorer auszuschliessen. Die Rechte kann er ja jederzeit wieder übernehmen (evtl. vorher Besitz übernehmen).

 

Das Problem liegt halt darin, dass man sich mit einem FTP-Client als Administrator auf dem FTP-Server einloggen kann. Und dies will ich unterbinden. Ansonsten besteht die Gefahr von Brute-Force-Attacken auf das Administrator-Konto mit Hilfe von Anmeldeversuche am FTP-Server.

[fritzo 10]

Hi,

 

öööhm - benenn den Administrator-Account doch einfach um?!

 

Grüße,

Fritz

[JohnDie 10]

Ist eine Möglichkeit, finde ich aber irgendwie nicht so ganz sauber. Der Name des Accounts lässt sich ja recht fix über die SIDs rauskriegen, die bleibt ja gleich beim Umbenennen.

 

Ich habe in der Zwischenzeit doch noch eine Lösung gefunden:

Man kann in den "Lokalen Sicherheitseinstellungen" unter "Lokale Richtlinien - Zuweisen von Benutzerrechten" dem Administrator (bzw. der Gruppe Administratoren) den "Zugriff vom Netzwerk auf diesen Computer verweigern". Sobald die Richtlinie übernommen wurde (durch einen Reboot oder gpupdate) und der IIS6 komplett neugestartet wurde, ist es nicht mehr möglich sich als Administrator auf dem FTP-Server einzuloggen. Auch wenn er das eigentlich durch die NTFS-Berechtigungen dürfte.

 

EDIT: Zugriff über Remote-Desktop geht dann weiterhin, lokales Arbeiten am Server auch. Allerdings ist es dann nicht mehr möglich, z.B. auf Netzwerkfreigaben mit dem Administrator-Account zuzugreifen, also etwa auf C$, D$, etc.

 

Hat ganz schön Zeit und nerven gekostet, das zu finden...

Naja, eventuell hilft's ja jemand anders. :)

 

Auf jeden Fall nochmals Danke für die Hilfe! Echt ein klasse Forum!

 

Grüße,

JohnDie