Browsen via UNC weigeren in file open dialog

Pagina: 1
Acties:
  • 784 views sinds 30-01-2008
  • Reageer

  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19-02 14:37

Koffie

Koffiebierbrouwer

Braaimeneer

Topicstarter
Ik twijfel tussen een aantal subfora voor mijn vraag, maar uiteindelijk lijkt dit me toch de meest geschikte locatie.

Situatie : Windows 2000 Terminal Server met Office 2002, de TSE's zijn lid van een Windows 2000 domain.
Via diverse wegen zijn de desktops ruimschoots dichtgetimmerd. Geen" My Network Places" icoon op de desktop of in "My Computer" en ook browsen over het netwerk is disabled.
Het is dus onmogelijk om een UNC pad aan te roepen via Explorer of Internet Explorer. Dit werkt allemaal prima.

Naar nu blijkt heeft Office lak aan deze beperkingen. Indien je niet via een GPO een default filelocation opgeeft, zal hij bij "File open" je "My Documents" via UNC openen. Gevolg: je kunt terugbladeren in het UNC pad, en zo over het hele netwerk browsen.
Als we via een GPO de default file location per Office onderdeel opgeven, zoekt hij in de juiste plek en kun je geen netwerk meer zien.
Echter, IN de "File open" window kun je bij het veld "File name" gewoon een UNC pad intikken, en hij gaat daarnaartoe :X
Sterker nog, pak een share, doe rechtermuisklik en kies voor "Explore" en de explorer zal zich openen en je kunt verder browsen.
Tik je echter zelfs in dat nieuwe explorer window een UNC pad in de address bar, krijg je keurig een melding dat je dat niet mag.

Iemand enig idee waar te beginnen om Office aan zijn verstand te brengen dat hij zich aan de policy's van het OS moet houden :?

Een langdurige zoektoch levert weinig info op, behalve de obvious dingen:

- Disable network browsing via GPO (reeds gedaan, en los van Office werkt dat prima)
- Zet de rechten goed op je shares (dat is sowieso de bedoeling, maar neemt niet weg dat men nog steeds naar de shares toe kan browsen)
- Verberg je servers uit de browse list dmv een registry tweak (lanmanservers:paramaters:hidden=1) dit zal vast werken, maar niet *alle* devices die zich in de browse list zetten kun je daarmee hiden, en als je een naam van een server weet staat office dit alsnog toe).

[ Voor 17% gewijzigd door Koffie op 11-05-2006 22:46 ]

Tijd voor een nieuwe sig..


  • Lustucru
  • Registratie: Januari 2004
  • Niet online

Lustucru

26 03 2016

Ik dacht dat dit probleem allang was opgelost, maar deze site heeft het nog steeds over een security hole. :(

Ik heb hem hier ook niet paraat maar biedt de office.adm geen aanvullende mogelijkheden?

De oever waar we niet zijn noemen wij de overkant / Die wordt dan deze kant zodra we daar zijn aangeland


  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19-02 14:37

Koffie

Koffiebierbrouwer

Braaimeneer

Topicstarter
Ik kom er net achter dat waarschijnlijk wel meer applicaties hier last van hebben ?
Bijvoorbeeld een "Dymo Labelwriter" programma staat het ook gewoon toe 8)7

Tijd voor een nieuwe sig..


  • Lustucru
  • Registratie: Januari 2004
  • Niet online

Lustucru

26 03 2016

Klinkt naar de file open dialog en het common control. Schopje naar WSS, waar ze meer kaas van gpo en adm templates hebben gegeten.

De oever waar we niet zijn noemen wij de overkant / Die wordt dan deze kant zodra we daar zijn aangeland


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Als een programma de standard dialog gebruikt dan vant de policy het netjes af - doen ze dat niet dan houd het helaas al snel op :)

Ik zou persoonlijk gewoon een custom Nethood maken met daarin de servers waar ze toegang toe hebben, je hebt dan al wat meer beveiliging omdat ze niet zo gemakkelijk door je network list kunnen gaan.

Dat mensen shares zien kun je eventueel oplossen met Access Based Enumeration mits je fileservers wél 2003 draaien :)

Verder moet je je een beetje afvragen hoe 'erg' het is dat mensen shares zien waar ze geen toegang toe hebben :)

  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19-02 14:37

Koffie

Koffiebierbrouwer

Braaimeneer

Topicstarter
Mja, wij hebben zoveel shares en servers dat er altijd een reeele kans is dat er een share openstaat voor users die daar net niet mogen komen.
Normaal geen probleem, want ze kunnen er niet naartoe.
Naar nu blijkt hebben diverse programma's (waaronder dus zelfs Office :X) daar compleet lak aan.
Nog erger is als een programma besluit de home share als 'thuis basis' te gebruiken voor "File open" en "Save as" maar dat vervolgens doodleuk op UNC doet.

Het filecluster is Windows 2003, maar het merendeel van alle andere servers is Windows 2000

Verder willen we liever niet dat gebruikers andere shares kunnen zien, daar ze niet hoeven te weten wie (met naam en toenaam) de andere klanten zijn.

edit : ik zie net dat "Access Based Enumeration" maar mondjesmaat werkt in en cluster omgeving (bij een move group ben je het weer kwijt).
Zolang dat niet werkt, heb ik er dus weinig aan.

edit2 : Ik kom er net achter dat ik ABE verkeerd begreep. Ik had gehoopt dat ik hiermee de shares zelf kon verbergen, maar het gaat alleen maar om de folders *in* de shares.
Mooiste zou zijn als je dus een share kan hiden als je er geen rechten op hebt.

Ik ga me eens inlezen op de custom nethood truuk die je aanhaalde.

[ Voor 29% gewijzigd door Koffie op 13-05-2006 11:01 ]

Tijd voor een nieuwe sig..


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

'k Wil toch FF kwijt dat de oplossingsrichting die je zoekt een hoog "security through obscurity" gehalte heeft. En daarvan is al meermaals bewezen dat het geen goede strategie is. Voor de lange termijn moet je dus zeker gaan werken aan het afdoende afsluiten van shares. 't Zou toch niet zo ingewikkeld moeten zijn om een procedure te maken voor het creëren van shares, waarbij de security default op "None" staat

QnJhaGlld2FoaWV3YQ==


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Koffie schreef op zaterdag 13 mei 2006 @ 10:31:
Mja, wij hebben zoveel shares en servers dat er altijd een reeele kans is dat er een share openstaat voor users die daar net niet mogen komen.
De makkelijkste opmerking hierop is natuurlijk roepen dat je dat dan gewoon moet oplossen - de praktijk is misschien niet altijd even simpel :P
Verder willen we liever niet dat gebruikers andere shares kunnen zien, daar ze niet hoeven te weten wie (met naam en toenaam) de andere klanten zijn.
Dit kan je oplossen door standaard je shares hidden te maken - ik ga er van uit dat je mensen gewoon driveletters geeft of shortcuts in hun eigen network neighborhood? :)
edit : ik zie net dat "Access Based Enumeration" maar mondjesmaat werkt in en cluster omgeving (bij een move group ben je het weer kwijt).
Zolang dat niet werkt, heb ik er dus weinig aan.
Volgens mij kan je dat oplossen door een resource te maken die ABE weer aanzet - maar veel verder dan dat theoretisch benaderen heb ik niet gedaan omdat ik in mijn nieuwe omgeving uiteindelijk niet meer voor een cluster ben gegaan. Wel iets om even uit te proberen misschien :)
Ik ga me eens inlezen op de custom nethood truuk die je aanhaalde.
Die truc is wel in combinatie met de GPO om alles te hiden in je network neighborhood geloof ik :)

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Koffie schreef op zaterdag 13 mei 2006 @ 10:31:
edit2 : Ik kom er net achter dat ik ABE verkeerd begreep. Ik had gehoopt dat ik hiermee de shares zelf kon verbergen, maar het gaat alleen maar om de folders *in* de shares.
Mooiste zou zijn als je dus een share kan hiden als je er geen rechten op hebt.
Voor zover ik het gebruik is dat ook hetgene wat er gebeurt, de shares zijn gewoon niet zichtbaar voor user(groups) die niet in de resourcegroup (waarvoor ABE aanstaat) voorkomen.

Of ik moet jou weer verkeerd begrijpen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19-02 14:37

Koffie

Koffiebierbrouwer

Braaimeneer

Topicstarter
Ik heb het iig gisteren even heel vlug geprobeerd, en ik kreeg het niet zo snel voor elkaar.
Komt ngo bij dat het leeuwendeel van onze shares vanaf de CLuster Groups komen, waar je dus geen ABE op kunt zetten bij mijn weten.

Nogmaals : de gebrukers hebben alleen maar mapped network drives, geen enkele Network Neigboorhood of toegang tot network browsing via IE of Explorer.
Probleem is dus juist dat nu blijkt dat veel programma's daar niets van aantrekken.

Je kunt veel afvangen door te zorgen dat geen enkele app zijn default location via UNC pakt, dan zien ze helemaal geen netwerk/UNC

Maar mochten ze er toch komen (bijvoorbeeld doordat office doodleuk UNC browsing wel toestaat) wil ik het liefst zelfs de shares verbergen. Immers, een klant in Noord-Holland hoeft helemaal niet te zien dat we een klantengroep met naam X in Limburg hebben zitten.

Tijd voor een nieuwe sig..


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je kan al je shares natuurlijk hidden maken simpelweg door er een '$' achter te zetten of in je fileshare reource aan te geven dat ze als hidden gepubliceerd moeten worden - dat is wel behoorlijk wat extra werk maar tesamen met een goede security inrichting uiteindelijk toch het beste gok ik :)

In de tussentijd is er misschien iets te fixen door te checken of je de specifieke apps die nu de drive letter omzetten naar een UNC path (Want daar heb je het over gok ik?) niet handmatig een letter ergens in de registry kan proppen in plaats van de UNC path.

Als je dat combineert met het hernoemen van de mapped network drives (zodat niet meer zichtbaar is wat de servernaam is) en het dichtzetten / customizen van je nethood, dan heb je al behoorlijk wat obscurity gok ik? :)

  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 19-02 14:37

Koffie

Koffiebierbrouwer

Braaimeneer

Topicstarter
Klopt, alleen gaat het omzetten van de shares idd een hoop tijd met zich meebrengen (evenals het checken van de rechten).
Eerst een nieuwe hidden share maken --> rechten checken --> scripts aanpassen --> volgende dag normale share verwijderen --> bidden en de helpdesk op de hoogte brengen :P

Die apps zullen idd aangepast moeten worden dat ze niet via UNC kunnen browsen.

Hieronder nog een screenie van wat ik bedoel: het is 'verboden' om naar het netwerk te broswen. \\servernaam in IE of explorer intikken heeft dus ook geen nut, maar de File Open dalog staat dat dus wel toe; dat is mijn grootste probleem.

Afbeeldingslocatie: http://zooi.oostindie.com/uploaded/network_browsring.JPG

Tijd voor een nieuwe sig..


  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Het hernoemen van de shares kan je gok ik wel regelen met een export/import van je cluster resources, daar heb je vziw tools voor al kan ik me even niet herinneren welke :)

Voor dat screenshot - aangezien je sowieso al bezig bent met obscurity kan je je natuurlijk afvragen hoe mensen aan die servername moeten komen, vandaar dat ik ook al aangaf om je mapped drives te renamen zodat ze de servername niet zien :)

  • Lustucru
  • Registratie: Januari 2004
  • Niet online

Lustucru

26 03 2016

Koffie schreef op zondag 14 mei 2006 @ 09:25:
[...]
Maar mochten ze er toch komen (bijvoorbeeld doordat office doodleuk UNC browsing wel toestaat) wil ik het liefst zelfs de shares verbergen. Immers, een klant in Noord-Holland hoeft helemaal niet te zien dat we een klantengroep met naam X in Limburg hebben zitten.[...]
Ligt het dan niet meer voor de hand om op de bovenliggende map de NTFS rechten mapinhoud weergeven in te trekken, en map lezen toe laten staan, of desnoods helemaal in te trekken en de passtrough check uit te schakelen?

De oever waar we niet zijn noemen wij de overkant / Die wordt dan deze kant zodra we daar zijn aangeland

Pagina: 1