none
Gruppenrichtlinie gesucht: Zugriff auf lokalen Client verhindern RRS feed

  • Frage

  • Hallo zusammen,

    ich habe die Anforderung aus unserem Security Team, dass Benutzer die von zu Hause bzw. Extern über Citrix XenApp auf unsere Terminal Server einsteigen, keinen Zugriff auf die Laufwerke ihres lokalen Computers haben sollen.

    Soweit so gut - Ich habe dies über die entsprechenden Citrix Policys einigermaßen erfolgreich unterbunden.
    Ich schreibe "Einigermaßen", da es Benutzern, die Mitglied der Standortgruppe "Standort-K" dennoch über Umwege möglich ist, auf Laufwerke des lokalen Clients zuzugreifen. Einer aus dem Security-Team demonstriert mir das folgendermaßen:

    Er gibt in der Adressleiste des Windows-Explorers die Adresse " \\IP-Adresse-des-lokalen-Clients\C$ " ein und hat Zugriff.

    Screenshot:
    h**p://img5.fotos-hochladen.net/uploads/snap1hd1olj7459.png

    Ich habe jetzt versucht den Unterschied zwischen den beiden Standortgruppen "Standort-V" und "Standort-K" mittels RSOP, GPResult zu eruieren. Da liegt relativ viel drauf und ich konnte noch keine Lösung finden. Muss meiner Meinung nach irgendein Policy-Setting ermöglichen...

    Ich wollte jetzt fragen, ob mir hier jemand weiterhelfen kann. Ist jemanden eine Policy bekannt, mit der ich dieses Verhalten unterbinden kann?

    Vielen Dank im Voraus!

    Sonntag, 9. November 2014 14:53

Antworten

  • Hallo,

    du könntest in den GPO doch

    Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste/Menüeintrag "Ausführen" aus dem Startmenü entfernen

    aktivieren.

    Dann sollte der Zugriff auf UNC Pfade im "Datei-Explorer" nicht mehr gehen.

    Gruß
    Stefan


    st_fbg

    Montag, 10. November 2014 07:57

Alle Antworten

  • Hallo,

    du könntest in den GPO doch

    Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste/Menüeintrag "Ausführen" aus dem Startmenü entfernen

    aktivieren.

    Dann sollte der Zugriff auf UNC Pfade im "Datei-Explorer" nicht mehr gehen.

    Gruß
    Stefan


    st_fbg

    Montag, 10. November 2014 07:57
  • Hi,

    Am 09.11.2014 um 15:53 schrieb WernerAT:

    Er gibt in der Adressleiste des Windows-Explorers die Adresse "
    \\IP-Adresse-des-lokalen-Clients\C$ " ein und hat Zugriff.

    ... weil er LOKALE! Adminrechte auf seinem PC hat. Ändere das.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. November 2014 09:01
  • Am 10.11.2014 um 10:01 schrieb Mark Heitbrink [MVP]:

    .... weil er LOKALE! Adminrechte auf seinem PC hat. Ändere das.

    Alternativ können wir auch über deine Firewall reden, denn der Zugriff auf C$ hat ja nichts mit RDP zu tun, sondern mit RPC ...

    Denn Ball kannst du jetzt an die Security zurückspielen und fragen, warum das erlaubt ist ;-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. November 2014 09:17
  • > Er gibt in der Adressleiste des Windows-Explorers die Adresse "
    > \\IP-Adresse-des-lokalen-Clients\C$ " ein und hat Zugriff.
     
    Wie Mark schon schreibt: Weil er Admin auf dem Client ist.
     
    Entweder Du änderst das (z.B. per GPP "Lokale Benutzer und Gruppen",
    damit kannst Du dafür sorgen, daß er nur lokaler Administrator ist,
    während er auch angemeldet ist), oder Du machst "Zugriff über das
    Netzwerk verweigern" für "Administratoren" (oder eine andere geeignete
    Gruppe) auf den Clients.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Montag, 10. November 2014 11:37
    Beantworter
  • Hallo zusammen,

    Danke für eure Antworten.

    >>>Benutzerkonfiguration/Administrative Vorlagen/Startmenü und Taskleiste/Menüeintrag "Ausführen" aus dem >>>Startmenü entfernen

    >>>aktivieren. Dann sollte der Zugriff auf UNC Pfade im "Datei-Explorer" nicht mehr gehen.

    Getestet und funktioniert! Hab' aber Angst das jetzt für die Domäne auszurollen - Kann es Programme geben, die UNC benötigen? Oder ist das absolut ausgeschlossen, da diese immer in einem anderen Kontext arbeiten?

    >>>Denn Ball kannst du jetzt an die Security zurückspielen und fragen, warum das erlaubt ist ;-)

    >>>Entweder Du änderst das (z.B. per GPP "Lokale Benutzer und Gruppen...

    Es freut mich, dass ihr beiden euch auch beteiligt! Ich kenne eure Webseiten und weiß, dass ihr Experten seid. Wie ich schon schrieb, steigen User aber von zu Hause bzw. Extern über Citrix XenApp auf unsere Terminal Server ein. Die Geräte, die dabei verwendet werden, sind nicht in der Domäne. Mit denen habe ich nichts am Hut...

    Schöne Grüße

    Montag, 10. November 2014 17:33
  • Hi,

    Am 10.11.2014 um 18:33 schrieb WernerAT:

    Menüeintrag "Ausführen" aus dem Startmenü entfernen/ Getestet und
    funktioniert! Hab' aber Angst [...]

    Solltest du auch haben. Das ändert ja nichts an deinem Problem.
    cmd -> net use geht immer noch.
    Was ist mit allen 3rd Party Programmen, die nicht die explorer.exe zum
    Datei/Öffnen nutzen? Gimp und TotalCommander als 2 typische Vertreter zu
    nennen, es gibt aber 1000 andere.

    Zudem hast du jetzt alle verärgert, die gerne mit "Win+R" arbeiten und
    was ist mit Adressen, die tatsächlich mal über UNC erreicht werden sollen?

    Das ist eine von den Richtlinien, die ich verabscheue, wie die Pest.
    "Security by Obscurity". Man behebst nicht den Mangel, sondern versteckst ihn und hofft, daß ihn keiner findet.

    Die Geräte, die dabei verwendet werden, sind nicht in der Domäne.
    Mit denen habe ich nichts am Hut...

    Dann bleibt immer noch deine Firewall, die innerhalb des Tunnels die
    verwendeten Protokolle oder Ports filtert.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. November 2014 17:50
  • Ja, du hast recht. Die Richtlinie ist nicht das gelbe vom Ei. Jedenfalls nicht für mich.
    Es nervt mich aber, dass der Zugriff mit der einen Standortgruppe korrekterweise nicht möglich ist und mit der anderen schon.

    Ich habe einen Testuser mit der geringstmöglichen Anzahl an Gruppen angelegt, ein GPResult gemacht, dann das selbe mit der anderen Standortgruppe und anschließend beide Ergebnisse miteinander verglichen. Ich kann nichts relevantes finden :-(

    • Als Antwort markiert WernerAT Freitag, 14. November 2014 18:21
    • Tag als Antwort aufgehoben WernerAT Freitag, 14. November 2014 18:21
    Montag, 10. November 2014 18:33
  • Moin,

    bei internen und externen Clients wirst Du mit GPOs alleine nicht alle abfrühstücken können. Die Externen unterliegen nicht Deinem Einfluss.

    Zunächst solltest Du oder die Security definieren, welche Risiken minimiert werden sollen. Wenn es nur SMB zum Client ist, erscheint es mir etwas kurzsichtig. Es gibt ja auch noch Web-, FTP und andere Dienste, die Zugriff auf das Dateisystem eines Clients erlauben. Vorallem wenn es mein Client ist und ich die notwendige 'Motivation' mitbringe, finde ich einen Weg, der ohne SMB auskommt. ;)

    Über einen RDS Gateway und ggf. ein per Firewall abgeschottetes Subnetz für die Session Hosts sollte sich das Risiko begrenzen lassen.

    Der RDS Gateway setzt die üblichen Policies um. (keine lokalen Laufwerke usw.). Die Firewall unterbindet ausgehenden Netzwerkverkehr vom Session Host zu den Clients. Wie es dann mit Cloudspeicher usw. aussieht, steht auf einem anderen Blatt (Proxy wäre ein Stichwort)


    This posting is provided AS IS with no warranties.

    Montag, 10. November 2014 23:26
  • Moin,

    Am 11.11.2014 um 00:26 schrieb "Dark Grant":

    Vorallem wenn es mein Client ist und ich die notwendige 'Motivation'
    mitbringe, finde ich einen Weg, der ohne SMB auskommt. ;)

    Soll ich jetzt "Dropbox" sagen!? :-)

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 11. November 2014 11:17
  • Am 11.11.2014 schrieb Mark Heitbrink [MVP]:

    Hi,

    Soll ich jetzt "Dropbox" sagen!? :-)

    Sag doch One-Drive, dann liegt der Kram wenigstens nicht so weit vom
    Bitlocker Key entfernt. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich:
    https://communitybridge.codeplex.com/

    Dienstag, 11. November 2014 11:46
    Moderator
  • Es nervt mich aber, dass der Zugriff mit der einen Standortgruppe korrekterweise nicht möglich ist und mit der anderen schon.

    Hatte mit AD und Gruppenrichtlinien nichts am Hut. Konnte diese Sache Firewall-seitig ausmachen und die Baustelle an die Netzwerker weitergeben.

    Inwiefern da jetzt weiter abgesichert wird, steht derzeit noch in den Sternen.

    Freitag, 14. November 2014 18:24
  • Hi.

    "Inwiefern da jetzt weiter abgesichert wird, steht derzeit noch in den Sternen." -  Sobald Du die Zwischenablage auch zum Transport von Dateien zulässt, muss noch mehr zugemauert werden.

    Dienstag, 18. November 2014 22:36
  • Zwischenablage ist per Citrix-Policy deaktiviert.

    Schöne Grüße

    Mittwoch, 19. November 2014 20:17