Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197
Security « Tag « festplatte.ch


Berechtigungen beim verschieben von Files übernehmen

GPO, Security, Windows No Comments »

Werden unter Windows Files verschoben, werden die Berechtigungen bekanntlich nicht neu gesetzt im neuen Ordner, sondern bleiben bestehen. Dies hat natürlich seine Vor- und Nachteile.

Will man dies umgehen, dass Files automatisch die neuen Berechtigunen des neuen Ordners übernehmen sollen, kann dies mit einer kleine Anpassung in der Registry erfolgen. Dies muss auf sämtlichen Clients eingetragen werden, bei welchen dies gewünscht wird.

  1. Click Start, click Run, type regedit, and then press ENTER.
  2. Locate and then click the following registry subkey:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
  3. On the Edit menu, click Add Value, and then add the following registry value:

    Value name: MoveSecurityAttributes
    Data type: DWORD
    Value data: 0

  4. Exit Registry Editor.
  5. Make sure that the user account that is used to move the object has the Change Permissions permission set. If the permission is not set, grant the Change Permissions permission to the user account.

Um den Key über GPO verteilen zu können, kann dies mittels einem ADM File durchgeführt werden.

CLASS MACHINE
	CATEGORY "RegKeySettings"
		POLICY "Moving Files"
			EXPLAIN "Get parent rights when moving files - Enable = get rights from partent folder"
			KEYNAME "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer"
			PART "MoveSecurityAttributes" NUMERIC
				VALUENAME "MoveSecurityAttributes"
				MIN 0
				MAX 1
				DEFAULT 0
			END PART 
		END POLICY

Link:
http://support.microsoft.com/kb/310316/en-us

Share


This page has an unspecified potential security risk

Active Directory, GPO, Security, Windows No Comments »

Werden Files mit XP/Vista aus einem Share kopiert, erscheint die IE Sicherheitswarnung:

This page has an unspecified potential security risk. Would you like to continue?

popup_sec_msg

Die tritt auf, weil das OS mein, dass das Netzlaufwerk sich in der Internet und nicht mehr in der Intranetzone befindet. Dieser Effekt tritt vorallem dann auf, wenn über ein DFS Namespace, welcher ein Domainnamen abbildet, verbunden wird.

Mit folgender Anpassung kann dies umgangen werden:

Control Panel > Internet Options > Security.
Select Local intranet > click Sites > Advanced.
Type your server name / DFS Namespace into the textbox (e.g. If the server is called FileServer just type FileServer) and click Add.
Click Close > OK > OK.

Über die GPO kann der Eintrag wie folgt geändert werden:
User Configuration -> Administrative Templates -> Internet Explorer -> Security Page -> Site to Zone Assignment List

Share


CIFS / Share Berechtigungen

Security, Windows No Comments »

Weshalb Freigabeberechtigungen und Sicherheitsberechtigungen?

Ersteres bewirkt, dass der Ordner im Netzwerk „sichtbar“ wird. Über die sehr laschen Berechtigungsmöglichkeiten (Vollzugriff, Ändern, Lesen) kann eingestellt werden, welche Benutzer/Gruppen aus welcher Maschine oder Domain über das Netzwerk darauf zugreifen können/dürfen.
Über letztere wird geregelt, welche Benutzer/Gruppen auf der lokalen Maschine in welcher Form zugreifen dürfen. In dieser Einstellung kann auf sämtliche effektiven Berechtigungsmöglichkeiten zurückgegriffen werden.

Aufgepasst:

Wenn ein Benutzer in der Sicherheitseinstellung nichts darf und in der Freigabeeinstellung alles, darf er übers Netz effektiv trotzdem nichts.

Hat ein Benutzer hingegen in der Freigabeberechtigung keine Rechte, dafür aber in der Sicherheitsberechtigung darf er zwar über das Netz nichts, aber lokal sehr wohl.

Und grundsätzlich gilt, dass eine Beschränkung von Rechten Vorrang vor einer Freigabe von Rechten hat.
Verbietet man einem Benutzer explizit etwas, ist es egal, ob es ihm an anderer Stelle wieder explizit erlaubt wird. Das Verbot gilt!

Bsp:
Mit einer Freigabe wird einen Ordner z.B “Dokumente” freigegeben. Nun will man aber, dass Mitarbeiter vom Versand im Unterordner Versand schreiben dürfen, der Student aber nur lesen. Im Unterordner public darf wieder jeder lesen und schreiben. Im Ordner “Dokumente\Intern” darf jeder lesen, aber nur der Admin was verändern.
Würde man nur mit Freigabeberechtigungen arbeiten, bräuchte es eine immense Anzahl an Shares.

Share

OpenVPN unter Windows konfigurieren

Links, Security, Windows 2 Comments »

Mit der Opensource Software OpenVPN, lässt sich relativ schnell ein VPN Netz aufbauen. Grund der Installation/Konfiguration habe ich vorallem aufgrund öffentlicher WLAN Nutzung wie z.B an einer Uni, im Zug etc eingerichtet. Denn wer weiss wer und was da nicht alles mitgesnifft wird….

Die Installation kann gemäss dieser Anleitung durchgeführt werden. In diesem Manual ist relativ einfach erklärt, wie die Zertifikate erstellt und verteilt werden müssen und wie die gesamte Verschlüsselung abläuft.

Auf dem Server muss IP Forwarding aktiviert werden, damit der Traffic übers VPN Netz vom Server nicht weggeworfen wird.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Den folgenden Registrierungswert ändern:
Wertname: IPEnableRouter
Werttyp: REG_DWORD
Wert: 1

Der Wert 1 aktiviert die TCP/IP-Weiterleitung für alle Netzwerkverbindungen, die auf dem jeweiligen Computer installiert sind und verwendet werden.

Gemäss dieser Anleitung wird der Traffic ins entsprechend verbundene VPN Netzwerk via Tunnel geroutet. Alles andere läuft direkt via verbundenem Gateway. Um die Sicherheit zu verbessern macht es Sinn, dass sämtlicher Traffic über den Tunnel läuft und via VPN Server ins Internet gelangt. So ist sämtlicher Internettraffic verschlüsselt.

Um dies erreichen zu können, müssen noch folgende Parameter konfiguriert werden:

Client:
In der conf Datei pull hinzufügen. So werden die push Konfigurationen des VPN Servers übernommen.

Server:
In der conf Datei
push "redirect-gateway def1"
und
push "dhcp-option DNS a.b.c.d"
hinzufügen. Mit diesen Einstellungen wird nun sämtlicher Traffic über den Tunnel groutet.

Damit der Gateway des VPN Servernetzes genutzt werden kann, muss auf der Firewall/Router noch eine statische Route eingerichtet werden. Dies ist wie folgt zu konfigurieren:

Destination IP/Subnet: IP/Subnet von VPN Client
Gateway IP: IP von VPN Gateway

Nach diesen Anpassungen wird sämtlicher Traffic über den verbundenen Gateway per Tunnel verschlüsselt, egal ob die Verbindung per WLAN, MoblieConnection oder LAN/WAN erfolgt.

Falls mit Vista als Client Routingprobleme auftreten, diese wie hier beschrieben beheben.

Share

Audit Account Management

Active Directory, Security, Windows No Comments »

ID Description
—————————————–
624 A user account was created.
627 A user password was changed.
628 A user password was set.
630 A user account was deleted.
631 A global group was created.
632 A member was added to a global group.
633 A member was removed from a global group.
634 A global group was deleted.
635 A new local group was created.
636 A member was added to a local group.
637 A member was removed from a local group.
638 A local group was deleted.
639 A local group account was changed.
641 A global group account was changed.
642 A user account was changed.
643 A domain policy was modified.
644 A user account was auto locked.
645 A computer account was created.
646 A computer account was changed.
647 A computer account was deleted.
648 A local security group with security disabled was created.
649 A local security group with security disabled was changed.
650 A member was added to a security-disabled local security group.
651 A member was removed from a security-disabled local security group.
652 A security-disabled local group was deleted.
653 A security-disabled global group was created.
654 A security-disabled global group was changed.
655 A member was added to a security-disabled global group.
656 A member was removed from a security-disabled global group.
657 A security-disabled global group was deleted.
658 A security-enabled universal group was created.
659 A security-enabled universal group was changed.
660 A member was added to a security-enabled universal group.
661 A member was removed from a security-enabled universal group.
662 A security-enabled universal group was deleted.
663 A security-disabled universal group was created.
664 A security-disabled universal group was changed.
665 A member was added to a security-disabled universal group.
666 A member was removed from a security-disabled universal group.
667 A security-disabled universal group was deleted.
668 A group type was changed.
684 Set the security descriptor of members of administrative groups.
685 Name of an account was changed.
—————————————-

http://technet.microsoft.com/en-us/library/cc737542.aspx

Share