Netlogon Freigabe als Netzlaufwerk verbinden verbieten

[Schluml 10]

Hey Leute,

 

ich überdenke grad einige sicherheitsrelevante Einstellungen/Freigaben im Netzwerk und hänge gerade an der Netlogon Freigabe. Ich finde es ziemlich ungünstig, dass sich theoretisch jeder (vorrausgesetzt dass er ein wenig Ahnung hat) die Netlogonfreigabe als Netzlaufwerk anbinden kann. Da darin ja alle Loginscripts liegen und die leicht einzusehen sind, wollt ich eine Möglichkeit finden, dass ich dies den Usern verbiete. Problem wird ja aber sein, wenn ich die Berechtigung ändere, dass dann u.U. die Loginscripts nicht mehr ausgeführt werden.

 

Meine Frage: Wie handhabt ihr das, ist euch das egal ob die User die Loginscripts einsehen können? Gibt es eine Möglichkeit die Rechte so zu vergeben, dass die Scripts ausgeführt werden, aber die Anbindung als Netzlaufwerk nicht mehr möglich ist?

[zahni 587]

In dem Du Deinen Desktop so absicherst, dass die User da überhaupt nicht hinkommt. Man kann mit Gruppenrichlinien eine Menge einstellen ( z.B. die Netzwerkumgebung ausblenden)

 

-Zahni

[Schluml 10]

Hi, ja das ist dann aber schon die härteste Variante, es soll eigendlich trotzdem möglich sein, bei Bedarf Laufwerke zu mappen, mir gehts ja im Moment wirklich nur um diese eine Freigabe

[overlord 10]

- Extras-Netzlaufwerke verbinden --> denied

- Start - Ausführen - Eingabeaufforderung -->denied

:D

[lefg 276]

Ob die User die Skripte einsehen können oder nicht, halte ich nicht für wichtig. Es stehen bei mir keine sicherheitsrelevanten Dinge drin.

 

Man kann ja mal drüber nachdenken, das Share Netlogon zu verbergen ($).

 

Man kann auch NetBIOS over TCP/IP deaktivieren an den WS und an den DCs, Servern, dann ist es nichts mehr mit dem Brausen durch die Netzwerkumgebuung.

 

Den Brauserdienst ist ja auch noch deaktivierbar, dann nimmt man den Usern noch das "Ausführen als" weg. Ahja, dann noch die Sache mit den Netzlaufwerken, das kann auch irgendwie wegnehmen.

[Schluml 10]

hmm, nagut, dann wird mir nicht viel übrig bleiben alle möglichen Wege zum Ziel zu sperren. Schade eigendlich

[lefg 276]

hmm, nagut, dann wird mir nicht viel übrig bleiben alle möglichen Wege zum Ziel zu sperren.

So wichtig?

[Schluml 10]

Meines Erachtens ist das schon wichtig, da sind grundlegende Netzwerkfreigaben Einstellungen und Pfade für bestimmte Nutzergruppen enthalten usw. Das gehört einfach nicht in falsche Hände.

[overlord 10]

-dann hilft wohl nur "hidden share" und/oder ntfs-rechte der scripte beschränken

[grizzly999 11]

Meines Erachtens ist das schon wichtig, da sind grundlegende Netzwerkfreigaben Einstellungen und Pfade für bestimmte Nutzergruppen enthalten usw. Das gehört einfach nicht in falsche Hände.

Ich sehe da immer noch nichts schlimmes. Alle Welt macht das so, auch in sicherern Umgebungen. Ich denke, Security setzt an anderen, viel wichtigeren Ecken an, hast du denn schon alles geregelt?

Aber wenn das dennoch ein Problem darstellt, dann mache die Anmeldeskripts doch über Gruppenrichtlinien, die sind für den Zugang einstellbar.

 

 

grizzly999

[substyle 20]

Lösung kann auch ABEUI sein:

 

Windows Server 2003 Access-based Enumeration

http://www.mcseboard.de/showthread.php?t=60382

 

Mehr Infos findest du hier:

http://www.microsoft.com/downloads/details.aspx?FamilyID=04a563d9-78d9-4342-a485-b030ac442084&DisplayLang=en

 

subby

[Schluml 10]

da hab ich schon mit nem tropfenden Zahn drüber gehangen :D

is nur leider ein Win2k Server :rolleyes:

trotzdem Danke für die Anregungen, werd das nochmal überdenken und abwägen was das sinnvollste ist.