none
Nur Leseberechtigung für VPN Nutzer RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir betreiben einen Windows Server 2012 R2 Essentials, einen QNAP NAS (TVS-1271U-RP) als Fileserver und einen VPN Zugang über pfSense mit AD-Benutzerauthentifizierung über RADIUS (=>WSE2012R2).

    Im Moment sind die VPN-Nutzer zwar bereits in einem eigenen Subnetz, haben aber vollen Zugriff auf alle Ressourcen des Netzwerks. Wie ich Zugriff auf bestimmte IP's verhindern kann ist mir bewusst, allerdings finde ich nichts dazu, wie ich Nutzern eines Subnetzes die Schreibberechtigungen für den Fileserver entziehen kann. Kann mir jemand dabei helfen?

    Ist es möglich den Benutzern eine Gruppe zuzuordnen, wenn diese sich über die VPN einwählen? Das wäre denke ich am leichtesten zu verwalten. Über die WLAN-AP's (=>RADIUS) müssen die Benutzer aber weiterhin vollen Zugriff auf das Netzwerk haben.

    Vielen Dank schonmal für jeden Lösungsansatz


    • Bearbeitet Mi17 Freitag, 26. August 2016 06:26
    Freitag, 26. August 2016 06:25
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Moin,

    +1 für was Flo sagt. Da du ein Nicht-Windows-System als Filer hast, kannst Du noch nicht einmal Dynamic Access Control implementieren, was ansonsten zwar tricky, aber vermutlich machbar wäre.

    Was Du aber auf die Schnelle machen kannst, ist folgendes:

    • AD-Auditing hochdrehen
    • Anmeldeprozess über (W)LAN und über VPN im Security Log des DC nachvollziehen und schauen, ob es Unterschiede gibt, die Du auswerten kannst. Da WLAN auch über RADIUS kommt, musst Du da vermutlich recht tief schürfen.
    • Skript an das Account Logon-Ereignis knüpfen, das den User in eine schreibberechtigte Gruppe steckt (LAN/WLAN) oder dort rausnimmt (VPN).

    Der User, der klug (oder faul) genug ist, sich im LAN nicht abzumelden, sondern den Laptop mit angemeldeter Sitzung nach Hause zu transportieren, wäre vom Wechel der Gruppenmitgliedschaft natürlich nicht oder jedenfalls nicht sofort betroffen ;-)

    Was ich aber nicht ganz verstehe, ist die Anforderung per se. Wenn ich meinen Usern nicht vertraue, dann würde ich mir eher Sorgen machen, dass sie remote Daten abziehen - immerhin hinterlässt der Vorgang kaum Spuren. Aber das willst Du ihnen ja erlauben. Das Verändern der Dateibestände hinterläßt hingegen deutliche Spuren, und da wäre es doch eigentlich egal, ob es remote oder vor Ort passiert - der Vorgang kann i.d.R. auf einen bestimmten Benutzer zurückgeführt werden...

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Sonntag, 28. August 2016 08:21
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    hallo,

    deine fileserver berechtigungen basieren nicht auf netzwerk sondern aktive directory basis. Damit geht musst du anders agieren z.b. Durch ein dynamisches rechte und rollen konzept auf basis network policies system, radius am filer, vll auch active directory rights management oder zusätzliche software. Am besten du läßt dich da mal beraten.

    Kind regards, Flo

    Sonntag, 28. August 2016 06:36
    |
  • Question
    Anmelden
    2
    Anmelden

    Moin,

    +1 für was Flo sagt. Da du ein Nicht-Windows-System als Filer hast, kannst Du noch nicht einmal Dynamic Access Control implementieren, was ansonsten zwar tricky, aber vermutlich machbar wäre.

    Was Du aber auf die Schnelle machen kannst, ist folgendes:

    • AD-Auditing hochdrehen
    • Anmeldeprozess über (W)LAN und über VPN im Security Log des DC nachvollziehen und schauen, ob es Unterschiede gibt, die Du auswerten kannst. Da WLAN auch über RADIUS kommt, musst Du da vermutlich recht tief schürfen.
    • Skript an das Account Logon-Ereignis knüpfen, das den User in eine schreibberechtigte Gruppe steckt (LAN/WLAN) oder dort rausnimmt (VPN).

    Der User, der klug (oder faul) genug ist, sich im LAN nicht abzumelden, sondern den Laptop mit angemeldeter Sitzung nach Hause zu transportieren, wäre vom Wechel der Gruppenmitgliedschaft natürlich nicht oder jedenfalls nicht sofort betroffen ;-)

    Was ich aber nicht ganz verstehe, ist die Anforderung per se. Wenn ich meinen Usern nicht vertraue, dann würde ich mir eher Sorgen machen, dass sie remote Daten abziehen - immerhin hinterlässt der Vorgang kaum Spuren. Aber das willst Du ihnen ja erlauben. Das Verändern der Dateibestände hinterläßt hingegen deutliche Spuren, und da wäre es doch eigentlich egal, ob es remote oder vor Ort passiert - der Vorgang kann i.d.R. auf einen bestimmten Benutzer zurückgeführt werden...

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Sonntag, 28. August 2016 08:21
    |
  • Question
    Anmelden
    0
    Anmelden

    ...


    Ist es möglich den Benutzern eine Gruppe zuzuordnen, wenn diese sich über die VPN einwählen? Das wäre denke ich am leichtesten zu verwalten. Über die WLAN-AP's (=>RADIUS) müssen die Benutzer aber weiterhin vollen Zugriff auf das Netzwerk haben.

    Vielen Dank schonmal für jeden Lösungsansatz


    Ein Gedanke von mir. Für VPN hast du ein separates Netzwerk? Wäre es eine Möglichkeit den VPN-Adressbereich vom WLAN-Adressbereich auszusperren, bzw. den VPN-Adressbereich am Zugriff auf das WLAN-Netz zu hindern?

    Sonntag, 28. August 2016 18:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin und danke für deine Antwort.

    Deine schnelle Variante werde ich mal testen.

    Der User, der klug (oder faul) genug ist, sich im LAN nicht abzumelden, sondern den Laptop mit angemeldeter Sitzung nach Hause zu transportieren, wäre vom Wechel der Gruppenmitgliedschaft natürlich nicht oder jedenfalls nicht sofort betroffen ;-)

    Wäre es auch möglich bei Account-Logon oder erfolgreicher RADIUS Authentifizierung das gleiche Ereignis ausführen? Sollte ein Benutzer sich über die VPN einloggen wird beim RADIUS ja eine Authentifizierung durchgeführt bei der ich ihm die Berechtigung, die er in der Firma "erlangt" hat, wieder entziehen kann.

    Was ich aber nicht ganz verstehe, ist die Anforderung per se.

    Ich auch nicht. Es geht hierbei weniger darum, dass die Daten entwendet werden, sondern darum, dass es mehr Aufwand bedeutet die von außen überschriebenen oder gelöschten Daten wiederherzustellen.Es handelt sich um Techniker, die im Außendienst an der Maschine mal schnell eine Zeichnung o.ä. abrufen müssen (falls vergessen) und dafür nicht noch wen in der Firma von der Arbeit abhalten sollen. Diese Mitarbeiter haben im Moment aus den o.g. Grund noch keinen Zugriff über VPN.

    Montag, 29. August 2016 09:03
    |
  • Question
    Anmelden
    0
    Anmelden



    Ein Gedanke von mir. Für VPN hast du ein separates Netzwerk? Wäre es eine Möglichkeit den VPN-Adressbereich vom WLAN-Adressbereich auszusperren, bzw. den VPN-Adressbereich am Zugriff auf das WLAN-Netz zu hindern?

    Benutzer des LANs befinden sich im Netzwerk 192.168.0 - 3, WLAN Nutzer im Subnetz 192.168.4 und VPN Nutzer im Subnetz 192.168.5

    Aber wie hilft mir das weiter bei der Beschränkung der Lese-/Schreibberechtigungen für VPN Nutzer?

    Montag, 29. August 2016 09:07
    |
  • Question
    Anmelden
    0
    Anmelden
    Danke für die Stichworte. Ich werde mich erstmal versuchen da selbst einzuarbeiten bevor ich wen konsultiere.
    Montag, 29. August 2016 09:09
    |