festplatte.ch

Weshalb Freigabeberechtigungen und Sicherheitsberechtigungen?

Ersteres bewirkt, dass der Ordner im Netzwerk „sichtbar“ wird. Über die sehr laschen Berechtigungsmöglichkeiten (Vollzugriff, Ändern, Lesen) kann eingestellt werden, welche Benutzer/Gruppen aus welcher Maschine oder Domain über das Netzwerk darauf zugreifen können/dürfen.
Über letztere wird geregelt, welche Benutzer/Gruppen auf der lokalen Maschine in welcher Form zugreifen dürfen. In dieser Einstellung kann auf sämtliche effektiven Berechtigungsmöglichkeiten zurückgegriffen werden.

Aufgepasst:

Wenn ein Benutzer in der Sicherheitseinstellung nichts darf und in der Freigabeeinstellung alles, darf er übers Netz effektiv trotzdem nichts.

Hat ein Benutzer hingegen in der Freigabeberechtigung keine Rechte, dafür aber in der Sicherheitsberechtigung darf er zwar über das Netz nichts, aber lokal sehr wohl.

Und grundsätzlich gilt, dass eine Beschränkung von Rechten Vorrang vor einer Freigabe von Rechten hat.
Verbietet man einem Benutzer explizit etwas, ist es egal, ob es ihm an anderer Stelle wieder explizit erlaubt wird. Das Verbot gilt!

Bsp:
Mit einer Freigabe wird einen Ordner z.B “Dokumente” freigegeben. Nun will man aber, dass Mitarbeiter vom Versand im Unterordner Versand schreiben dürfen, der Student aber nur lesen. Im Unterordner public darf wieder jeder lesen und schreiben. Im Ordner “Dokumente\Intern” darf jeder lesen, aber nur der Admin was verändern.
Würde man nur mit Freigabeberechtigungen arbeiten, bräuchte es eine immense Anzahl an Shares.

Mit der Opensource Software OpenVPN, lässt sich relativ schnell ein VPN Netz aufbauen. Grund der Installation/Konfiguration habe ich vorallem aufgrund öffentlicher WLAN Nutzung wie z.B an einer Uni, im Zug etc eingerichtet. Denn wer weiss wer und was da nicht alles mitgesnifft wird….

Die Installation kann gemäss dieser Anleitung durchgeführt werden. In diesem Manual ist relativ einfach erklärt, wie die Zertifikate erstellt und verteilt werden müssen und wie die gesamte Verschlüsselung abläuft.

Auf dem Server muss IP Forwarding aktiviert werden, damit der Traffic übers VPN Netz vom Server nicht weggeworfen wird.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Den folgenden Registrierungswert ändern:
Wertname: IPEnableRouter
Werttyp: REG_DWORD
Wert: 1

Der Wert 1 aktiviert die TCP/IP-Weiterleitung für alle Netzwerkverbindungen, die auf dem jeweiligen Computer installiert sind und verwendet werden.

Gemäss dieser Anleitung wird der Traffic ins entsprechend verbundene VPN Netzwerk via Tunnel geroutet. Alles andere läuft direkt via verbundenem Gateway. Um die Sicherheit zu verbessern macht es Sinn, dass sämtlicher Traffic über den Tunnel läuft und via VPN Server ins Internet gelangt. So ist sämtlicher Internettraffic verschlüsselt.

Um dies erreichen zu können, müssen noch folgende Parameter konfiguriert werden:

Client:
In der conf Datei pull hinzufügen. So werden die push Konfigurationen des VPN Servers übernommen.

Server:
In der conf Datei
push "redirect-gateway def1"
und
push "dhcp-option DNS a.b.c.d"
hinzufügen. Mit diesen Einstellungen wird nun sämtlicher Traffic über den Tunnel groutet.

Damit der Gateway des VPN Servernetzes genutzt werden kann, muss auf der Firewall/Router noch eine statische Route eingerichtet werden. Dies ist wie folgt zu konfigurieren:

Destination IP/Subnet: IP/Subnet von VPN Client
Gateway IP: IP von VPN Gateway

Nach diesen Anpassungen wird sämtlicher Traffic über den verbundenen Gateway per Tunnel verschlüsselt, egal ob die Verbindung per WLAN, MoblieConnection oder LAN/WAN erfolgt.

Falls mit Vista als Client Routingprobleme auftreten, diese wie hier beschrieben beheben.

Wie kritisch ist diese Lücke nun Tatsächlich?! Es ist doch schon sehr lange her, als Microsoft einen Critical1 Patch ausserhalb den offiziellen Patchdays zur Verfügung stellte.
Entsprechend nervös reagieren nun heute auch die IT Spezies darauf. Von Taskforce Team bilden bis nix machen, habe heute so ziemlich alles erlebt

Beamen wir uns zurück ins 2003:
Der “Blaster Worm” war zu dieser Zeit in aller Munde und zerschiesst im Businessbereich hunderttausendfach Systeme.

Heise Security meint folgendes dazu, vorallem der zweite Abschnitt gibt zu denken…:

Zudem schreiben die Redmonder im Security Bulletin MS08-067, dass es bereits erste gezielte Attacken gäbe, bei denen Angreifer versuchen würden, durch die Lücke in Systeme einzudringen. Öffentlich sei bislang aber noch kein Exploit gesichtet worden. PCs mit einer aktivierten Firewall sollen vor derartigen Angriffen sicher sein. Unter Vista und Server 2008 soll zudem eine vorherige Authentifizierung erforderlich sein, um den Fehler ausnutzen zu können.

Angesichts der Tatsache, dass Windows von 2000 bis zu Server 2008 betroffen ist, stellt sich die Frage, wie der fehlerhafte Code gerade in einem so sensiblen Serverdienst so lange unentdeckt bleiben konnte. Selbst in der Beta-Version von Windows 7 ist der Fehler enthalten. Microsoft betont immer wieder, dass im Rahmen des Software Development Lifecycles (SDL) unabhängige Teams den Programmcode sowohl manuell als auch mit Tools auditieren würden.


ID Description
—————————————–
624 A user account was created.
627 A user password was changed.
628 A user password was set.
630 A user account was deleted.
631 A global group was created.
632 A member was added to a global group.
633 A member was removed from a global group.
634 A global group was deleted.
635 A new local group was created.
636 A member was added to a local group.
637 A member was removed from a local group.
638 A local group was deleted.
639 A local group account was changed.
641 A global group account was changed.
642 A user account was changed.
643 A domain policy was modified.
644 A user account was auto locked.
645 A computer account was created.
646 A computer account was changed.
647 A computer account was deleted.
648 A local security group with security disabled was created.
649 A local security group with security disabled was changed.
650 A member was added to a security-disabled local security group.
651 A member was removed from a security-disabled local security group.
652 A security-disabled local group was deleted.
653 A security-disabled global group was created.
654 A security-disabled global group was changed.
655 A member was added to a security-disabled global group.
656 A member was removed from a security-disabled global group.
657 A security-disabled global group was deleted.
658 A security-enabled universal group was created.
659 A security-enabled universal group was changed.
660 A member was added to a security-enabled universal group.
661 A member was removed from a security-enabled universal group.
662 A security-enabled universal group was deleted.
663 A security-disabled universal group was created.
664 A security-disabled universal group was changed.
665 A member was added to a security-disabled universal group.
666 A member was removed from a security-disabled universal group.
667 A security-disabled universal group was deleted.
668 A group type was changed.
684 Set the security descriptor of members of administrative groups.
685 Name of an account was changed.
—————————————-

http://technet.microsoft.com/en-us/library/cc737542.aspx

Nach 10 AD integrationen erscheint in der Standardkonfiguration folgende Fehlermeldung

Der Computer konnte der Domäne nicht beitreten. Die maximale Anzahl der Computerkonten, die in dieser Domäne erstellt werden können, wurde überschritten. Wenden Sie sich an den Systemadministrator.

Ursache
Windows 2003 und Windows XP gewähren der Gruppe der authentifizierten Benutzer standardmässig die Berechtigung zum Hinzufügen von Workstations zu einer Domäne. Wenn diese Berechtigung aktiviert ist, können authentifizierte Benutzer die Prüfung der Zugriffsteuerungsliste (ACL = Access Control List) bis zu einem vordefinierten Maximalwert umgehen. Die maximale Anzahl der Computerkonten, die ein authentifizierter Benutzer hinzufügen kann, beträgt standardmässig 10, um Missbrauch zu verhindern.

Möglicher Workaround:
Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

1. Supporttools installieren
2. Als Administrator der Domäne Adsiedit.msc ausführen. Den entsprechenden DC wählen und die Eigenschaften öffnen.
3. Ms-DS-MachineAccountQuota suchen.
4. Werte entsprechend anpassen
5. Mit OK bestätigen.

Andere Workarounds sind im KB 251335 von Microsoft zu finden