zweirabbits 10 Posted November 8, 2004 Report Share Posted November 8, 2004 Hi NG! Mal ein kleines Gedankenmodell, wofür ich gern Eure Kommentare hätte: Folgende Situation: Wir haben an einem Router jeweils eigenständige NT4-Server (sie gehören nicht zu einer Domäne, wörkeln also alleine vor sich hin, sind aber jeweils am Internetz). Nun habe ich jeweils ein Verzeichnis, wo Backups hingeschoben werden. Diese würde ich gern per Skript auf einem Server sammeln, wobei ich per net use zugreifen will (ist das evtl. schon falsch?). Dafür brauch ich ja Rechte auf dem Rechner. Dies, so denke ich mir, kann per eingeschränktem Nutzer passieren, der nur auf dieses eine Verzeichnis zugreifen darf. Kann ich jetzt einfach sämtliche andere Verzeichnisse ausschließen (Klick auf C: und dann Vererben)? Oder muss der Nutzer, wenn er "von außen" kommt, noch irgendwelche andere Rechte haben? Vielen Dank für Antworten. Quote Link to comment
grizzly999 11 Posted November 8, 2004 Report Share Posted November 8, 2004 Du kannst für dieses Verzeichnis total eigene, von den anderen Verzeichnissen unabhängige Berechtigungen setzen, sofern du dieses direkt freigibst. Dann kannst du es bei Bedarf so einrichten, dass nur ein bestimmter Benutzer/Gruppe Zugriff hat. Allerdings mus er Berechtigungen auf die Freigabe UND unter NTFS haben. grizzly999 Quote Link to comment
zweirabbits 10 Posted November 9, 2004 Author Report Share Posted November 9, 2004 Danke für Deine schnelle Antwort. Es ist also so, dass ich dem Benutzer sämtliche Rechte auf dem Rest der Platte entziehen kann? Er braucht also nicht noch irgendwelche Rechte im Heimverzeichnis oder so? Danke und schönen Tag. Quote Link to comment
zweirabbits 10 Posted November 9, 2004 Author Report Share Posted November 9, 2004 Ich nochmal: Gibt es zu diesem Modell irgendwelche Sicherheitsbedenken? Oder kann man das so machen? Danke Quote Link to comment
giffy 10 Posted November 9, 2004 Report Share Posted November 9, 2004 hi zweirabbits legt das Verzeichnis NICHT auf die Systemroot c:\ Wenn du eine NT-Domäne planst dann beachet User zuordnen in globalen Gruppen Globale Gruppen zuordnen zu lokalen Gruppen lokale Gruppen zuordnen zu Verzeichnissen Quote Link to comment
lefg 276 Posted November 10, 2004 Report Share Posted November 10, 2004 Original geschrieben von zweirabbits Gibt es zu diesem Modell irgendwelche Sicherheitsbedenken? Herkömmlich gibt man einer Gruppe oder einem Benutzer ausdrücklich Berechtigungen auf ein Objekt. Dieses Objekt sollte für einen Feld-, Wald- und Wiesenbenutzer nicht die Platte/Partition sein sondern ein Ordner. Vom Erteilen genereller Berechtigungen und deren anschliessende Einschränkung ist ist abzuraten. Die Gefahr einer Fehlverwaltung ist grösser als im anderen Fall. Wie Giffy schon schrieb: Keine Berechtigungen auf die Systemplatte. Daten und System sind bei mir auf getrennnten Platten. In den hochwichtigen Systemen sind die Sytemplatten gespiegelt(RAID 1) und die Datenplatten redundant nach RAID 5. Bei den minderwichtigen Systemen sind System- und Datenplatten gespiegelt. Auch wird für die Daten RAID 5 angestrebt. Auf Grund des Haushaltes wird davon zur Zeit abgesehen. Gruß Edgar Quote Link to comment
zweirabbits 10 Posted November 12, 2004 Author Report Share Posted November 12, 2004 Also vielen Dank an alle, die sich einen Kopf gemacht haben! Jetzt werd ich mal etwas experimentieren... Quote Link to comment
lefg 276 Posted November 12, 2004 Report Share Posted November 12, 2004 Viel Erfolg Quote Link to comment
try_to_find 10 Posted November 12, 2004 Report Share Posted November 12, 2004 Hallo, ich würde noch mit einer versteckten Freigabe arbeiten (Bsp.: Freigabe$), dann ist es von aussen noch einen Tuck schwerer, da was zu machen, als wenn man die Freigabe an sich schon hat. try_to_find Quote Link to comment
lefg 276 Posted November 12, 2004 Report Share Posted November 12, 2004 Das Verbergen einer Freigabe hindert einen Intruder nicht. Entscheidend sind die Berechtigungen auf die Freigabe und die NTFS-Berechtungen auf die "dahinterliegende" Ressource. Quote Link to comment
zweirabbits 10 Posted November 12, 2004 Author Report Share Posted November 12, 2004 Ich stimme schon try_to_find zu: Mal soll es zumindest so schwer wie möglich machen, auch wenn eine verborgene Freigabe nicht wirklich ein Hinderungsgrund ist. Aber das eine oder andere Skriptkiddie hängt vielleicht trotzdem dran fest... Quote Link to comment
try_to_find 10 Posted November 12, 2004 Report Share Posted November 12, 2004 Hi, ja, das verstecken der Freigabe befreit einem nicht von dem sichern des ganzen. Full ACK! Aber ich muss das was ich angreifen will, doch erst mal sehen und da setzt mein Vorschlag an. Ist vielleicht nur noch das Sahnehäubchen ;) . try_to_find Quote Link to comment
zweirabbits 10 Posted November 13, 2004 Author Report Share Posted November 13, 2004 Homer Simpson: Hmmm, Sahne! ;) Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.