locked
Server Dienste abhärten RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich möchte Filezilla (FTP Server) via OS abhärten (kein Leserecht auf sämtliche Dateien), indem der jeweilige Dienst mit anderen Anmeldeinformationen gestartet wird und dadurch nur Zugriff auf einige wenige Ordner hat. Wenn ich aber einen neuen User erstelle, hat dieser immer Leserechte auf sämtliche Daten der HDDs, obwohl er keiner Gruppe zugeordnet ist. Erst wenn ich die 'Benutzer' Rechte der Ordner entferne, wird der User ausgesperrt. Das macht das System als Desktoprechner aber unbrauchbar.

    Ich verstehe das System hier nicht. Wieso hat ein User ohne Gruppe überhaupt Rechte? Wo ist der Unterschied zu dem vordefinierten Konto 'Gast'? Warum hat das viel weniger Rechte (damit läuft der Server nicht, weil er nicht auf die Registry zugreifen kann)? Wie kann ich einen selbst erstellten Benutzer ohne Gruppe noch weiter harabstufen, um den Server stärker in die Schranken zu weisen?

    Samstag, 5. März 2011 04:57

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Man könnte aber auch gleich eine Software/Anwendung verwenden, der man vertraut, dann braucht man diese Panik Konfig nicht.

    Da hast du Recht. In diesem Fall brauche ich es aber für Windows. :-)

    Ich gehe dann mal davon aus, dass es keine weiteren vertretbaren Konzepte diesbezüglich gibt. Dank euch.

    • Als Antwort markiert YellowBirdie Dienstag, 8. März 2011 20:41
    Dienstag, 8. März 2011 20:40

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 05.03.2011 05:57, schrieb YellowBirdie:

    Wieso hat ein User ohne Gruppe überhaupt Rechte?

    Weil ein Benutzer immer BENUTZER ist, mindestens.
    Das ist der kleinste gemeinsame Nenner und so hinterlegt.
    Die Gruppe gehört zu den Wellnown SIDs, die quasi die Grundlage des
    Systems bilden, damit es überhaupt läuft.
    Man kann ja kein SYSTEm mit Berechtigungen ausliefern, in dem es gar
    keine Berechtigungen oder vordefinierte Konten gibt, denn dann hätte man
    ja schon garnicht das Recht, Rechte zu definieren, da man auch keine
    Gruppe erstellen kann, die das darf ...?!

    Ende vom Lied: Die Gruppe Benutzer beinhaltet alle Konten, auch die
    Systemdienste es ist eine pauschale Definition, aller sich am System
    anmeldenden Objekte.

    Wo ist der Unterschied zu dem vordefinierten Konto 'Gast'?

    Die Benutzerprofile der Mitglieder "Gäste" werden nicht gespeichert.
    Sie sind nur "Gast" am System, deswegen muss man ihre Daten nicht
    speichern. Aber aus Berechtigungssicht sind es eigentlich Benutzer.

    Der GAST hat mittlerweile eine Veränderung erfahren, wenn man ihn
    zwischen NT4 und heute vergleicht. Dem Benutzer GAST sind noch ein paar
    Dinge explizit verboten:
    - lokale Anmeldung
    - Zugriff vom Netzwerk

    Aus Berechtigungssicht sehe ich ihn nahezu bedeutungslos, er ist nicht
    wesentlich "sicherer" als ein normaler Benutzer der Mitglied der Gruppe
    Benutzer ist.

    Wie kann ich einen selbst erstellten Benutzer ohne Gruppe noch
    weiter harabstufen, um den Server stärker in die Schranken zu
    weisen?

    In dem du ihn in eine eigene Gruppe packst und dieser an div, Stelle
    explizit den Zugriff verweigerst.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort vorgeschlagen Andre.Ziegler Samstag, 5. März 2011 13:52
    Samstag, 5. März 2011 11:16
  • Question
    Anmelden
    0
    Anmelden

    Explizit verweigern ist keine Lösung, weil z.B. neue Geräte davon nicht betroffen wären und man schnell den Überblick verlieren würde. Besser wäre ein (elementares) Sicherheitsprinzipal, dass weder 'authentifizierter Benutzer' noch 'Benutzer' ist. Ich habe es mit 'lokaler Dienst' und 'Netzwerkdienst' versucht, aber auch diese gelten als 'authentifizierter Benutzer'. o_O Kann ich diese nicht via GPOs konfigurieren, ihnen die impliziten Prinzipale entziehen?

    Gibt es irgendwo eine Liste, welche Prinzipale und Rechte in den jeweiligen well-known SIDs stecken?

    Samstag, 5. März 2011 18:29
  • Question
    Anmelden
    0
    Anmelden
    In dem du ihn in eine eigene Gruppe packst und dieser an div, Stelle explizit den Zugriff verweigerst.

    Und wie macht man das richtig? Wenn ich einen neuen Benutzer auf Rootebene in C sperre, kommen unzählige Fehlermeldungen 'Zugriff verweigert' und macht mir den Papierkorb kaputt usw. Zum Beispiel die Ordner 'Program Files', 'Program Data' sowie 'System Volume Information' sind gesperrt.

    Der Administrator hat keine vollen Rechte. Kann ich irgendwie die Rechtevergabe auf 'SYSTEM' Ebene vornehmen oder wie macht man das? Ich will alles sperren für den User.

     

    Montag, 7. März 2011 23:52
  • Question
    Anmelden
    0
    Anmelden

    Und wie macht man das richtig? Wenn ich einen neuen Benutzer auf
    Rootebene in C sperre, kommen unzählige Fehlermeldungen 'Zugriff
    verweigert' und macht mir den Papierkorb kaputt usw.

    Es geht immer noch um einen FTP-Server?
    Warum um Himmel Willen lässt Du den FTP-Server an C:\?
    Für sowas richtet man einen extra Ordner ein.

    Gruß
    Ralf

    Dienstag, 8. März 2011 07:21
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 08.03.2011 08:21, schrieb Ralf Breuer [MVP]:

    Es geht immer noch um einen FTP-Server?
    Warum um Himmel Willen lässt Du den FTP-Server an C:\?
    Für sowas richtet man einen extra Ordner ein.

    Ich glaube es geht eher darum, was passiert, wenn ein Angriff
    funktioniert und der Dienst/User "aus dem Ordner raus könnte" ...

    Also quasi die Angst absichern. Man könnte aber auch gleich eine
    Software/Anwendung verwenden, der man vertraut, dann braucht man
    diese Panik Konfig nicht. :-)

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 8. März 2011 12:28
  • Question
    Anmelden
    0
    Anmelden
    Man könnte aber auch gleich eine Software/Anwendung verwenden, der man vertraut, dann braucht man diese Panik Konfig nicht.

    Da hast du Recht. In diesem Fall brauche ich es aber für Windows. :-)

    Ich gehe dann mal davon aus, dass es keine weiteren vertretbaren Konzepte diesbezüglich gibt. Dank euch.

    • Als Antwort markiert YellowBirdie Dienstag, 8. März 2011 20:41
    Dienstag, 8. März 2011 20:40
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 08.03.2011 21:40, schrieb YellowBirdie:

    Da hast du Recht. In diesem Fall brauche ich es aber für Windows. :-)

    Hm, also mein IIS FTP ist sicher.

    Lies dich hier mal in Ruhe durch:
    http://forums.iis.net/t/1127617.aspx

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 9. März 2011 08:40