none
IIS 7.0 - Webdav Zugriff - Berechtigungsfrage für Anwendungspoolkonto RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben zwecks bequemen Onlinezugriff auf Datenshares von unterwegs im IIS 7 (SBS 2008) einen Überordner ("Shares") der LAN-Datenfreigaben als Virtuelle Anwendung im ISS angelegt und WebDav darauf aktiviert. Die virtuelle Anwendung wird im Applikationspool "SBS Web Applications application pool" ausgeführt welche die Identität des "Networkservice" benutzt. 

    In den WebDav Einstellungsregeln wurden alle Benutzer für "Lesen; Schreiben; Quelle" freigegeben.
    Der Einstiegsordner "Shares" wurde auf NTFS Basis für alle Benutzer lesend freigegeben (alle Ordner liegen lokal auf dem IIS).
    Die jeweiligen Unterordner (unsere Netzwerkfreigaben) erben die NTFS Berechtigung des Überordners nicht und nur entsprechende
    Sicherheitsgruppen haben Zugriff darauf.

    Als IIS Authentifizierungsmöglichkeiten wurden Standard- und Windows Auth. zugelassen.

    In den Grundeinstellungen des virtuellen Anwendung wurde Die Pass-Through-Authentifizierung auf "Anwenderungsbenutzer" gestellt.

    Somit wollten wir erreichen, dass sich Benutzer via integriertem Windows WebDav Client auf das Verzeichnis "Shares" verbinden und dann entsprechend ihrer Sicherheitsgruppenmitgliedschaft Zugriff auf die Unterverzeichnisse haben. Funktioniert soweit!

    Erste Frage: Gibt es hier Sicherheitsbedenken? (ich möchte die Unternehmensdaten nicht bei Google wiederfinden..)

    Das einzige Problem was jetzt bleibt, ist dass wenn nicht der WebDav Client (also unter Windows 7 -> Netzlaufwerke verbinden.. Https://) verwendet wird sondern der Internet Explorer zur Anzeige des WebDav Verzeichnisses benutzt wird, keine Unterordner (unsere eigentlich interssanten Datenordner) aufgerufen werden können.

    Beim Auftruf des WebDav Verzeichnisses über den InternetExplorer wird die Einstiegsseite problemlos aufgerufen und die Unterordnerstruktur ist sichtbar, beim Zugriff auf Unterordner erscheint jedoch eine Fehlerseite, die auf mangelnde Berechtigung hinweist.

    Nach div. Test habe ich herausgefunden, dass der Networkservice (Identität des ApplicationPool des Virtuellen Verzeichnisses) lesenden Zugriff auf alle Unteroprdner benötigt (was auf Grund der nicht erbenden NTFS Struktur unterbunden wurde) um scheinbar nach dem Vorhandensein der web.conf zu schauen...

    Jetzt meine zweite Frage: Kann ich dem Networkservice bedenkenlos lesenden Zugriff auf die Unterverzeichnisse (kritische Daten!) geben oder ergibt sich hier die Möglichkeit für Angreifer unauthentifiziert zuzugreifen ? Soweit ich es verstanden habe nutzt der IIS selbst den Networkservice nur um nach der web.conf in jedem Unteverzeichnis zu suchen, der Datenzugriff selbst geschieht allerdings im Kontext des Benutzers, der sich am IIS authentifiziert hat (daher auch die Pass-Through-Authentifizierung).

    Dritte Frage: Wieso benötigt nur die Ansicht im InternetExplorer den Networkservice zum Suchen nach web.conf und nicht der Windows WebDav Client ?

    Vielen Dank für euren Input!

     

    Freitag, 6. August 2010 11:28
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo! Ich bitte um Reaktion, soweit ich informiert bin, ist eine Reaktionszeit von 4h vereinbart!
    Mittwoch, 11. August 2010 12:09
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 11.08.2010 schrieb Paul Martin - SMC-Systems:

    Hallo! Ich bitte um Reaktion, soweit ich informiert bin, ist eine Reaktionszeit von 4h vereinbart!

    Dann mußt Du anrufen. Hier ist ein Support Forum ohne Anspruch auf
    Antwort, geschweige denn in 4 Stunden. ;)

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 11. August 2010 17:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Paul,

    Hallo! Ich bitte um Reaktion, soweit ich informiert bin, ist eine Reaktionszeit von 4h vereinbart!

    ich weiß ja nicht, mit wem Du einen Supportvertrag gemacht hast aber mit wem auch immer das war, hier im öffentlichen Diskussionsforum dürfte die Frage dann fehlplatziert sein. Frag mal nochmal deinen Supporter, wo genau Du 4h Reaktionszeit einfordern kannst.

    Alternativ darfst Du natürlich gerne kostenpflichtigen Support von einem der Communitymitglieder in Anspruch nehmen :)

    Zu deinen Fragen selbst:

    Erste Frage: Gibt es hier Sicherheitsbedenken? (ich möchte die Unternehmensdaten nicht bei Google wiederfinden..)

    wenn Daten im Internet bereitgestellt werden, kann es immer dazu kommen, dass diese von unberechtigten gelesen werden. Sei es durch eine Fehlkonfiguration eurer Sicherheit, durch eine Sicherheitslücke in einer der serverseitigen Komponenten, ...

    Wenn die Daten so derart kritisch sind, solltet ihr ggfs. über ein anderes Sicherheitskonzept für solche Zugriffe nachdenken. Da wärt ihr aber wohl in einem Security Forum besser aufgehoben.
    Jetzt meine zweite Frage: Kann ich dem Networkservice bedenkenlos lesenden Zugriff auf die Unterverzeichnisse (kritische Daten!) geben oder ergibt sich hier die Möglichkeit für Angreifer unauthentifiziert zuzugreifen?
    Wie gesagt, die Möglichkeit ist natürlich vorhanden. Die größten Probleme sehe ich allerdings in unausgegorenen Sicherheitskonzepten. Das, was ihr da vorhabt, würde ich mit "kritischen Daten!" (O-Ton) sicher nicht so angehen.

    Dritte Frage: Wieso benötigt nur die Ansicht im InternetExplorer den Networkservice zum Suchen nach web.conf und nicht der Windows WebDav Client ?

    Warum das nur beim IE ist, kann ich dir nicht sagen. Generell wird der Netzwerkdienst, bzw. der Account, der den Application Pool ausführt (und da habt ihr nunmal Netzwerkdienst drin stehen) für solche Aufgaben hergenommen.

    Um ein klein wenig mehr Sicherheit zu erlangen, wäre es ggfs. sinnvoll, den Account für die Ausführung des App Pools zu ändern, diesen ggfs. in eure Benutzergruppe aufzunehmen und dann nur noch dieser Benutzergruppe und ggfs. noch einzelnen Benutzern entsprechende Rechte im Dateisystem zuzuordnen.

     

    Gruß, Stefan
    Microsoft MVP - Visual Developer ASP/ASP.NET
    http://www.asp-solutions.de/ - Consulting, Development
    http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community
    Mittwoch, 11. August 2010 17:19
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo Danke bereits für die Antworten.

    Gibt es evtl. noch jemanden, der das Thema technisch fundiert begründen kann, dies würde mir sehr helfen.

    Das WEBDAV (falsch angewendet) nicht für kritische Daten zu empfehlen ist, ist glaube ich klar (wie jede Online-Freigabe von Daten).

    Um hier Security-Probleme zu vermeiden ging es mir darum, dass Thema hier zu besprechen.

    Donnerstag, 12. August 2010 14:38
    |
  • Question
    Anmelden
    0
    Anmelden
    Niemand ne Idee ?!
    Montag, 16. August 2010 10:37
    |