bersi23 10 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Ist es möglich, mithilfe eines Registry-Eintrags die Option "Active Directory Durchsuchen" in der Netzwerkumgebung zu deaktivieren oder auszublenden? Einen funktionierenden GPO Schalter gibts ja nicht - die Schalter unter Benutzerkonfiguration > Administrative Vorlagen > Desktop > Active Directory blenden die Schaltfläche "Active Directory Durchsuchen" weder aus noch deaktivieren diese. Es hat folgenden Hintergrund: Wir haben eine stark restriktive Terminalserver-Umgebung, die User werden über Thin Clients der Marke Wyse automatisch angemeldet und haben Zugriff auf Teile von MS Office und auf den Internet Explorer. Der Rest muss komplett dicht sein. (Bitte diese Aussage nicht in Frage stellen). Ich bin mir sicher, dass es über die Registry geht, weiss aber nicht, wie der/die Schlüssel heissen und wo sie zu finden sind. Ich bin für jede Idee und/oder eine ggf. alternative Lösung dankbar. Zitieren Link zu diesem Kommentar
NilsK 2.963 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Moin, derartiges Ausblenden löst das Problem nicht. Sofern die User Zugriffsrechte auf bestimmte Ressourcen haben, kann immer noch ein Weg auftauchen, die Ressourcen zu erreichen. Soll der Zugriff auf die Ressourcen unterbunden werden, muss man an die Ressourcen selbst ran und nicht an die Werkzeuge drumrum. Anders ist "komplett dicht" nicht zu erreichen (und das dürfen wir ja nicht in Frage stellen)*. Warum ist es in der Umgebung ein Problem, wenn User das AD durchsuchen? Wenn wir die Anforderung kennen, können wir evtl. eine Lösung finden. Gruß, Nils * Ich frage mich immer wieder, warum Leute Fragen stellen, aber bestimmte Antwortkategorien von vornherein ausblenden ... Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 31. Juli 2012 Autor Melden Teilen Geschrieben 31. Juli 2012 Die Umgebung ist bereits ausgesprochen stark restriktiv konfiguriert. Der User hat keinen Zugriff auf die anderen Ressourcen. Es geht um eine Kiosk-Umgebung, die u.a. von Fremden genutzt wird. Wenn jemand böse Absichten hat, ist es schon die halbe getane Arbeit, an die Accountnamen zu gelangen (z.B. wie der Administrator-Account heisst oder heissen könnte). Außerdem hat das die fremden User nicht zu interessieren, wie unsere AD Struktur aufgebaut ist, welche Gruppen es gibt etc. Ich habe das Problem vorerst gelöst, indem ich die Anzahl der Suchergebnisse auf 0 gesetzt hab. Es wäre aber wesentlich schöner, die Schaltfläche komplett auszublenden. Zitieren Link zu diesem Kommentar
NilsK 2.963 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Moin, Der User hat keinen Zugriff auf die anderen Ressourcen. sicher? Über den IE oder über Öffnen-/Speichern-Dialoge bekommt man eine Menge hin ... wenn dort auch nur versteckt wurde statt zu schützen, können noch viele Lücken zu entdecken sein. Wenn jemand böse Absichten hat, ist es schon die halbe getane Arbeit, an die Accountnamen zu gelangen (z.B. wie der Administrator-Account heisst oder heissen könnte). Das ist ein Mythos. Wenn jemand Ernstes will, braucht er die Namen nicht auszulesen. Der von dir zitierte Administrator-Account etwa ist innerhalb von Sekunden zu erkennen, wenn man den Namen nicht weiß. Aber davon mal abgesehen: Wenn der Schutzbedarf so hoch ist, solltet ihr an die Leseberechtigungen im AD gehen und kein Versteckspiel betreiben. Nur wenn ihr den Usern, die sich an die Kiosks anmelden können, die Leserechte für das AD (bzw. die Objekte, die sie auf keinen Fall sehen sollen) nehmt, erhaltet ihr an der Stelle ausreichend Sicherheit. Dann (und nur dann!) gilt das nämlich unabhängig von irgendwelchen Buttons, Skripten, Tools usw. Außerdem hat das die fremden User nicht zu interessieren, wie unsere AD Struktur aufgebaut ist, welche Gruppen es gibt etc. Das sehe ich ein, aber dann geht den richtigen Weg und nicht den Holzweg. Dasselbe gilt übrigens auch für andere Ressourcen: Nicht den Explorer verstecken, sondern die Rechte auf dem Dateiserver entfernen ... Gruß, Nils Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 31. Juli 2012 Autor Melden Teilen Geschrieben 31. Juli 2012 Moin,sicher? Über den IE oder über Öffnen-/Speichern-Dialoge bekommt man eine Menge hin ... wenn dort auch nur versteckt wurde statt zu schützen, können noch viele Lücken zu entdecken sein. Wie bereits gesagt, die Umgebung ist sehr restriktiv, das habe ich eigentlich bereits zwei mal geschrieben. Es sind sämtliche Möglichkeiten gesperrt, an die Fesplatte oder an die Netzwerkressoursen zu kommen. Das Zusammenklicken im GPO + zusätliche Einstellungsarbeiten + Testen haben mich bereits mehrere Wochen Arbeit gekostet. Das ist ein Mythos. Wenn jemand Ernstes will, braucht er die Namen nicht auszulesen. Der von dir zitierte Administrator-Account etwa ist innerhalb von Sekunden zu erkennen, wenn man den Namen nicht weiß. Nach dieser Logik bringen kugelsichere Westen auch nichts, da jemand, der Ernstes will panzerbrechende Munition oder gleich eine Panzerfaust verwendet. Man darf es dem Hacker nicht allzu leicht machen. Hier ne Hürde, da ne Hürde und schon schreckt das prozentuell gesehen einige möchtegern-Hacker ab. Aber davon mal abgesehen: Wenn der Schutzbedarf so hoch ist, solltet ihr an die Leseberechtigungen im AD gehen und kein Versteckspiel betreiben. Nur wenn ihr den Usern, die sich an die Kiosks anmelden können, die Leserechte für das AD (bzw. die Objekte, die sie auf keinen Fall sehen sollen) nehmt, erhaltet ihr an der Stelle ausreichend Sicherheit. Dann (und nur dann!) gilt das nämlich unabhängig von irgendwelchen Buttons, Skripten, Tools usw. Es wäre cool, wenn du etwas genauer beschreibst, an welchen Stellen was im AD leseberechtigungs-technisch geändert werden soll, um den möglichst sicheren Betrieb eines Kiosk-Terminals zu gewährleisten. Das sehe ich ein, aber dann geht den richtigen Weg und nicht den Holzweg. Dasselbe gilt übrigens auch für andere Ressourcen: Nicht den Explorer verstecken, sondern die Rechte auf dem Dateiserver entfernen ... Ist schon alles geschehen :) Ich bin jetzt dabei, kosmetische Änderungen vorzunehmen, damit das Ganze meinen hohen Ansprüchen gerecht wird. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Wenn es wirklich so sicherheitskritisch ist wieso ist der Rechner dann in der Domäne? Zitieren Link zu diesem Kommentar
Gulp 261 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Zum einen: Wie sollen wir entscheiden, was Deinen Usern erlaubt werden soll und was nicht? Zum anderen: Was ist an der Aussage von Nils so schwer zu begreifen? Nimm dem Kiosk User alle oder von gewünschten Objekten im AD die Leseberechtigungen und fertig. Grüsse Gulp Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 31. Juli 2012 Autor Melden Teilen Geschrieben 31. Juli 2012 Leute, die Frage ist doch ganz veständlich gestellt. Wir können hier über Gott und die Welt diskutieren, finde ich auch gut so. Aber es wäre doch schön, wenn mir jemand die Frage nach den Registry-Einträgen beantworten würde, die ich im Topic gestellt habe. Warum muss ich denn begründen warum ich das so machen will oder gar mich rechtfertigen oder meinen Standpunkt verteidigen? Gebt mir bitte eine Antwort auf die gestellte Frage und lasst uns danach darüber weiter diskutieren, es gibt mit Sicherheit andere Wege und Lösungen. @Gulp: Wenn du das Topic aufmerksamn durchgelesen und dann 1 min darüber nachgedacht hättest, wüsstest du was meinen Usern erlaubt ist. Zitieren Link zu diesem Kommentar
Gulp 261 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Mir ist das schon klar, sie können zB schon mal das AD durchsuchen, was sie eben nicht können, wenn sie dafür keine Leserechte haben. Und das wäre auch eine Antwort auf Deine Frage wenn Du Nils Antwort gelesen und den Sinn dahinter verstanden hättest. Das reine Abschalten der Ansicht in der Netzwerkumgebung ist ja nur das Abschalten einer einzigen Ansichtsmöglichkeit, es gibt dann immer noch genügend Ansätze das AD zu erreichen. Wenn jemand dort also was wissen will, findet er es auch ohne die Ansicht in der Netzwerkumgebung heraus. Den enstprechenden Registry Zweig findest Du als ersten Treffer in Google mit den Stichworten: "registry active directory ausblenden netzwerkumgebung" Sinn macht das auch aus meiner Sicht allerdings nicht wirklich. Grüsse Gulp Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 31. Juli 2012 Autor Melden Teilen Geschrieben 31. Juli 2012 Die Leserechte einzuschränken ist auf alle Fälle eine gute Idee, ich werds mir morgen auf der Arbeit etwas genauer im AD anschauen. Danke, dass du nach diesen Stichwörtern mal eben gegoogelt hast, aber das hab ich auch schon gemacht, mehrere Stunden lang, bevor ich diesen Thread hier erstellt hab. Die z.B. hier beschriebenen Einstellungen bewirken unter W2K8R2 nichts. Soweit ich weiss, ist "Active Directory Durchsuchen" unter Windows 2000/2003/XP als ein Ordner dargestellt und nicht als eine Schaltfläche unterhalb der Menüleiste im W2K8R2. Deswegen kann das auch nicht klappen - genau wie z.B. die Registry-Einstellung zum Ausblenden der Schaltfläche "User abmelden". Gibts im W2K8R2 nicht und lässt sich auch nicht ausblenden. Ich hab diesen Thread hier schon nicht ohne Grund erstellt und bitte um weitere Ideen :) Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 31. Juli 2012 Melden Teilen Geschrieben 31. Juli 2012 Ich hab diesen Thread hier schon nicht ohne Grund erstellt und bitte um weitere Ideen :) Wie schon geschrieben: Nimm den Rechner aus der Domäne. Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 1. August 2012 Autor Melden Teilen Geschrieben 1. August 2012 Wie schon geschrieben: Nimm den Rechner aus der Domäne. Was genau soll das denn bringen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 1. August 2012 Melden Teilen Geschrieben 1. August 2012 Wie soll ein Rechner das AD durchsuchen, wenn er nicht in der Domäne ist. Zitieren Link zu diesem Kommentar
NilsK 2.963 Geschrieben 1. August 2012 Melden Teilen Geschrieben 1. August 2012 Moin, "bersi23", auch wenn du der Ansicht sein solltest, du seist der erste, der versucht, eine TS-Umgegbung durch das Abschalten von UI-Elementen sicher zu machen - sei dir versichert, das bist du nicht. Diskussionen wie diese hier werden sehr oft geführt. Aus meiner Sicht völlig unnötig, weil es schlicht der falsche Weg ist. Übrigens sind auch praktisch alle dabei der Meinung, ihre Umgebung so "dicht" gemacht zu haben, dass kein Ausbrechen möglich sei. In praktisch allen Fällen lässt sich zeigen, dass es eben doch noch Lücken gibt. Und bevor man Mannjahre aufwendet, Kosmetiklücken zu stopfen, ist es dann doch irgendwie sinnvoller, den eigentlichen Bedarf direkt zu decken statt indirekt. Genau wie du beharren auch viele andere darauf, genau ihren (vermeintlichen) Lösungsweg diskutieren zu wollen und nichts anderes. Damit kann und werde ich nicht dienen. Mein Ansatz besteht darin, Sicherheit ernst zu nehmen und wo möglich auf Schlangenöl zu verzichten. Allenfalls ergänzend kann man dann Kosmetik machen, aber wie du selbst merkst, sind dem enge Grenzen gesetzt. Ein Hinweis noch: Oben wurde angedeutet, man könne einfach mal die Leserechte auf AD-Objekte entziehen. So einfach ist es natürlich nicht. Man bekommt das alles hin, aber es erfordert intensives Testen (in einem separaten Testlabor!), exakte Dokumentation und sorgfältige Umsetzung. Die AD-Berechtigungsstruktur ist sehr leistungsfähig, aber eben auch sehr komplex. faq-o-matic.net » ice:2010 AD-Delegation – die Folien und Skripts Ach, und noch eins: Den Terminalserver aus dem AD zu nehmen, ist selbstverständlich keine gute Idee. Erstens greifen dann die GPOs nicht mehr, zweitens löst es das Problem nicht, denn nicht der Rechner durchsucht in dem Szenario das AD, sondern der User. Der kann sich in dem Fall zwar auch nicht mehr (ohne Weiteres) anmelden, aber ob das der Sinn der Sache ist ... Gruß, Nils Zitieren Link zu diesem Kommentar
bersi23 10 Geschrieben 1. August 2012 Autor Melden Teilen Geschrieben 1. August 2012 NilsK, ich vertrete nur eine einzige Ansicht und keine anderen: In einem Diskussionsforum stellt man Fragen, diese Fragen werden beantwortet oder eben nicht beantwortet, weil das hierzu erforderliche Wissen nicht vorhanden ist. Die Registry von Windows ist der zentrale Knotenpunkt, über den sich zumindest 99% aller optischen Änderungen an der UI vornehmen lassen. Ich habe eine Frage gestellt, wie man über die Registry eine Schaltfläche entfernen kann. Entschuldige meine evtl. direkte Art, aber: Warum interessiert dich eigentlich, was wie und warum? Ich habe keine Frage nach den allgemeinen Sicherheitskonzepten bei der Implementierung von RDS Umgebungen gestellt. Es mag ja sein, dass es in vielen Fällen erforderlich ist, den Hintergrund eines Problem zu verstehen, um eine kompetente Antwort darauf zu geben. Aber in diesem Fall ist das nicht so. In diesem Fall geht es nur um eine Schaltfläche, um NICHTS anderes. Mich interessiert ganz einfach, nicht mehr und nicht weniger, wie man diese Schaltfläche daraus kriegt. Warum versuchst du, "NilsK", meine Absichten zu hinterfragen und mischst dich in fremde Angelegenheiten ein? Ich werde für meine Arbeit bezahlt und verrichte sie so, wie ich es für richtig halte. Und ich würde sehr gerne wissen, wo man in der Registry oder durch eine alternative Lösung eine Schaltfläche in Windows entfernt. Nicht mehr und nicht weniger. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.