Gedankenmodell zu Rechten eines "beschnittenen Nutzers"

[zweirabbits 10]

Hi NG!

 

Mal ein kleines Gedankenmodell, wofür ich gern Eure Kommentare hätte:

Folgende Situation:

Wir haben an einem Router jeweils eigenständige NT4-Server (sie gehören nicht zu einer Domäne, wörkeln also alleine vor sich hin, sind aber jeweils am Internetz).

Nun habe ich jeweils ein Verzeichnis, wo Backups hingeschoben werden.

Diese würde ich gern per Skript auf einem Server sammeln, wobei ich per net use zugreifen will (ist das evtl. schon falsch?).

Dafür brauch ich ja Rechte auf dem Rechner. Dies, so denke ich mir, kann per eingeschränktem Nutzer passieren, der nur auf dieses eine Verzeichnis zugreifen darf.

Kann ich jetzt einfach sämtliche andere Verzeichnisse ausschließen (Klick auf C: und dann Vererben)? Oder muss der Nutzer, wenn er "von außen" kommt, noch irgendwelche andere Rechte haben?

 

Vielen Dank für Antworten.

[grizzly999 11]

Du kannst für dieses Verzeichnis total eigene, von den anderen Verzeichnissen unabhängige Berechtigungen setzen, sofern du dieses direkt freigibst. Dann kannst du es bei Bedarf so einrichten, dass nur ein bestimmter Benutzer/Gruppe Zugriff hat. Allerdings mus er Berechtigungen auf die Freigabe UND unter NTFS haben.

 

grizzly999

[zweirabbits 10]

Danke für Deine schnelle Antwort.

Es ist also so, dass ich dem Benutzer sämtliche Rechte auf dem Rest der Platte entziehen kann? Er braucht also nicht noch irgendwelche Rechte im Heimverzeichnis oder so?

Danke und schönen Tag.

[zweirabbits 10]

Ich nochmal:

Gibt es zu diesem Modell irgendwelche Sicherheitsbedenken? Oder kann man das so machen?

 

Danke

[giffy 10]

hi zweirabbits

 

legt das Verzeichnis NICHT auf die Systemroot c:\

 

Wenn du eine NT-Domäne planst dann beachet

 

User zuordnen in globalen Gruppen

Globale Gruppen zuordnen zu lokalen Gruppen

lokale Gruppen zuordnen zu Verzeichnissen

[lefg 276]

Original geschrieben von zweirabbits

Gibt es zu diesem Modell irgendwelche Sicherheitsbedenken?

 

Herkömmlich gibt man einer Gruppe oder einem Benutzer ausdrücklich Berechtigungen auf ein Objekt. Dieses Objekt sollte für einen Feld-, Wald- und Wiesenbenutzer nicht die Platte/Partition sein sondern ein Ordner.

 

Vom Erteilen genereller Berechtigungen und deren anschliessende Einschränkung ist ist abzuraten. Die Gefahr einer Fehlverwaltung ist grösser als im anderen Fall.

 

Wie Giffy schon schrieb: Keine Berechtigungen auf die Systemplatte.

 

Daten und System sind bei mir auf getrennnten Platten.

 

In den hochwichtigen Systemen sind die Sytemplatten gespiegelt(RAID 1) und die Datenplatten redundant nach RAID 5.

 

Bei den minderwichtigen Systemen sind System- und Datenplatten gespiegelt. Auch wird für die Daten RAID 5 angestrebt. Auf Grund des Haushaltes wird davon zur Zeit abgesehen.

 

Gruß

Edgar

[zweirabbits 10]

Also vielen Dank an alle, die sich einen Kopf gemacht haben!

Jetzt werd ich mal etwas experimentieren...

[lefg 276]

Viel Erfolg

[try_to_find 10]

Hallo,

 

ich würde noch mit einer versteckten Freigabe arbeiten (Bsp.: Freigabe$), dann ist es von aussen noch einen Tuck schwerer, da was zu machen, als wenn man die Freigabe an sich schon hat.

 

try_to_find

[lefg 276]

Das Verbergen einer Freigabe hindert einen Intruder nicht.

Entscheidend sind die Berechtigungen auf die Freigabe und die NTFS-Berechtungen auf die "dahinterliegende" Ressource.

[zweirabbits 10]

Ich stimme schon try_to_find zu:

Mal soll es zumindest so schwer wie möglich machen, auch wenn eine verborgene Freigabe nicht wirklich ein Hinderungsgrund ist. Aber das eine oder andere Skriptkiddie hängt vielleicht trotzdem dran fest...

[try_to_find 10]

Hi,

 

ja, das verstecken der Freigabe befreit einem nicht von dem sichern des ganzen. Full ACK! Aber ich muss das was ich angreifen will, doch erst mal sehen und da setzt mein Vorschlag an. Ist vielleicht nur noch das Sahnehäubchen ;) .

 

try_to_find

[zweirabbits 10]

Homer Simpson: Hmmm, Sahne! ;)