Gå til innhold

Rettigheter og terminal server

HDSoftware

Av HDSoftware
i Datamaskiner

Anbefalte innlegg

HDSoftware

HDSoftware

Skrevet
Skrevet

Folkens. Jeg sliter litt med å få tettet en sak på en termninal server. Følgende skjer:

 

Alle brukere er avstengt muligheten til å skrive \\SERVER fra "My Computer" og slike ting og det er bra. Men når brukeren åpner f.eks. Notepad, da er det noe helt annet. Det er nemlig mulig å skrive \\SERVER i Filnavn i denne dialogen og vips vaps vups så får du opp ting og tang. Det som er enda værre er at når du så har fått opp ting, så kan du trykke med hløyre knapp på hva som helst i resultatet og velge EXPLORE. BOING! Der kommer hele nettet ferm, fullstendig ubeskyttet. Slik kan det da ikke være....

 

Hvordan kan man tette dette?

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
arnizzz

arnizzz

Skrevet
Skrevet (endret)

Slike instillinger som "hide drive" osv er nettopp det. De gjemmer det fra windows utforsker. Du må bruke skikkelige NTFS og Share permissions.

 

Har du prøvd "No Computers Near Me in Network Locations" og "No Entire Network in Network Locations" innstillingene?

Endret av arnizzz
Lenke til kommentar
HDSoftware

HDSoftware

Skrevet
  • Forfatter
Skrevet

Jada, disse er på, i tillegg til "Remove access to drives" etc. etc. etc.

 

Problemet er ikke der. Hvis jeg fyrer "My computer" slik at Windows utforsker dukker opp så har jeg ingen mulighet til å bevege fokuset til noe som helst annet en det som er satt opp. Skriver jeg eksempelvis \\DC så kommer en melding om at jeg ikke har rettigheter til dette.

 

Problemet derimot er API'et som b.la. Notepad bruker. Hvis du åpner Notepad og velger "FIL - Åpne" fra terminal server så skal du se at noe helt annet gjør seg gjeldende. Man trenger minimal kunnskap for å hacke seg frem. Det holder med å skrive \\localhost og vips så kommer alle SHARES på terminal serveren opp. Det er jo greit, for disse har man jo tilgang til som regel. Men hvis man da høyreklikker på ett av disse SHARE som dukker opp så kan man velge "Explore" og dermed dukker et vindu opp med total oversikt av hele nettet og full tillgang på alle steder der man kansje ikke burde ha tilgang. Det blir jo et evindelig slit når alle brukerene på nettet bruker egne delte mapper og dermed tilgjengeliggjør dette for alle terminal server brukerene. Uakseptabelt og i høyeste grad en BØGG i Windows NT!

 

Bare det at Windows Utforsker ikke bruker de samme sikkerhetene som "File open" i notepad er jo betenkelig.

Lenke til kommentar
HDSoftware

HDSoftware

Skrevet
  • Forfatter
Skrevet

Hvordan kan dette være kosmetisk?

 

Windows Utforsker:

\\DC -> Melding som sier Sårry. Dette har du ikke lov til

 

Notepad File/Open:

\\DC -> Versågod kjære u-autoriserte bruker. Forsyn deg

 

Når man i GPO sier at ting ikke skal være tilgjengelig så skal dette gjelde uavhengig av softwaren man bruker.

Lenke til kommentar
arnizzz

arnizzz

Skrevet
Skrevet (endret)
Removes computers in the user's workgroup and domain from lists of network resources in Windows Explorer and Network Locations.

 

If you enable this setting, the system removes the "Computers Near Me" option and the icons representing nearby computers from Network Locations. This setting also removes these icons from the Map Network Drive browser.

 

This setting does not prevent users from connecting to computers in their workgroup or domain by other commonly used methods, such as typing the share name in the Run dialog box or the Map Network Drive dialog box.

 

Hide Drives er jo også bare kosmetisk. OM man gjemmer C:\ så ser man den ikke i my computer, men av åpenbare grunner så har jo brukeren fortsatt tilgang til volumet.

 

Jeg kan være enig i at det er teit at microsoft sin Open file dialog ikke støtter dette. Men uansett så skal jo ikke sikkerhet for shares gjøres på KLIENTNIVÅ. Det regner jeg med du skjønner.

 

Men tjenesten som lager denne listen er computer browser. Hva med å disable denne? Jeg har INGEN aning om det vil fungere eller hva som er avhengig av den. Men test i labben din da vettu ;)

 

Edit:

Test dette. Sett "Deny access to this computer from the network" (og definer terminalserverbrukerenes gruppe) på de maskinene du ikke vil at brukerene skal ha tilgang til.

 

Du finner den under Computer Configuration->Windows Setting->Security Setting->Local Policy->User Rights Assignment

Endret av arnizzz
Lenke til kommentar
HDSoftware

HDSoftware

Skrevet
  • Forfatter
Skrevet

Jeg er selvfølgelig enig i at sikkerheten ikke settes på klient nivå, men når man i GPO sier at ingenting skal kunne komme frem så bør jo dette gjelde. Jeg håper du forstod min innledende melding når jeg sier at hvis bruker velger EXPLORE på det som dukker opp i Open File Dialog ved hløyreklikk, ja da dukker faktisk ALT opp i det vinduet, inklusive de stasjoner, shares, ja t.o.m. alle datamaskiner i nettet, noe som er helt motstridende med hva GPO sier. Og når man gjør dette så er det jo plutselig en vanlig utforsker som dukker opp, men nå med helt andre rettigheter. Mener dette er mer en teit.

 

Klart at det må være tillatt å skrive \\PCNAVN. Klart at alle visbare SHARES da må dukke opp. Ikke noe tvil om det. Ville jo vært håpløst å kopiere frem og tilbake her og der hvis dette ikke virket. Men det er det med å kunne høyreklikke og velge EXPLORE som er bekymringen.

 

Nå har jeg midlertidig rettet på dette ved å slå av CONTEXT on RightClick i GPO. Dermed kommer det ikek noe opp når bruker trykker høyreknapp, men det betyr jo at brukeren ikke lenger har noe context meny på noe som helst og det er jo heller ikke bra. Bruker må jo få anledning til COPY/PASTE og slike ting.

Lenke til kommentar
arnizzz

arnizzz

Skrevet
Skrevet

Jeg edita posten min mens du skrev så du kan kanskje se over den igjen.

 

Jada. jeg skjønner veldig godt hva du mener, og synes det er teit av microsoft. Men at det er et SIKKERHETSHULL er jeg uenig i. At brukerene dine ser hvilke maskiner og shares er da ikke noe spesielt stort problem? De kommer jo ikke inn på noe uansett (så lenge du ikke bruker EVERYONE over hele fjøla da).

 

Et annet alternativ er rett og slett bruke subnetting og firewalle accessen.

Lenke til kommentar
HDSoftware

HDSoftware

Skrevet
  • Forfatter
Skrevet

Ja, det er det jeg kommer til å gjøre på den nye serveren vi setter opp. Der blir kundens terminal server kjørt i eget nett

 

Mulig vi diskutterer små detaljer her på hva som går under sikkerhetshull eller ikke. Men jeg mener jo at en instilling i GPO har med sikkerhet å gjøre og når den ikke virker, ja da er det vel på en måte et sikkerhets hull... Er det ikke det da?

 

Men tipset ditt er uansett glitrende. For da kan jeg utelate disse maskinene for terminal serveren og det holder lenge for meg i første omgang..

Lenke til kommentar
HDSoftware

HDSoftware

Skrevet
  • Forfatter
Skrevet

Skulle ikke tro dette var 2008 relatert, men vi skal over til dette uansett så jeg får det nok til. Det rare er det at det sharet jeg snakket om som var pip åpent klarte jeg ikek tette igjen i det hele tatt. Jeg måtte rett og slett ta det vekk. Eneste forskjellen på dette sharet og andre er at det var et montert volum, altså i stedet for en F: disk så har jeg montert disken som C:\DATA. Og C:\DATA var delt ut kunn til Administrator. Tross dette så kunne kunden browse dette sharet direkte og ubeskyttet. Ganske utrolig spør du meg...

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...