Toon posts:

[Win2003] Terminal server drive hide probleem.

Pagina: 1
Acties:
  • 359 views sinds 30-01-2008
  • Reageer

donderdag 17 januari 2008 16:07

Acties:
  • D3NN1S
  • Registratie: Oktober 2000
  • Niet online

D3NN1S

Topicstarter
Ik heb een Win2k3 terminal server ingericht.
Deze is vervolgens helemaal dichtgetimmert met policies zodat er echt bijna niks meer op mag.
Zo ook zijn de lokale HD drives gehide en niet toegankelijk via de explorer of IE of whatever.

Nou wil het geval dat we hier op ons intranet een java applicatie hebben draaien (welke overigens niet door ons aan te passen is) welke een file upload mogelijkheid heeft.
Het irritante is nu dat via die java applet wel gewoon alle schijven zichtbaar zijn en ook kan benaderen!
Nou staat het opzich nog wel goed dicht met ntfs rechten enzo, maar ik vind het geen prettig idee dat mensen via die java applet over mn C: schijf van de server kunnen browsen!!
Het lijkt er dus op dat dat drive hiden alleen voor Explorer taken is en niet voor eigen geschreven shells.

Heeft iemand enig idee hoe ik dit kan beveiligen? ik kan hier echt geen goed toepasbare GPO voor vinden!?

[ Voor 7% gewijzigd door D3NN1S op 17-01-2008 16:09 ]

vrijdag 18 januari 2008 10:56

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 15:49

mutsje

Certified Prutser

zodra een applicatie geen gebruik maakt van de windows shell worden policies niet applied. Dit is inderdaad erg irritant en er is geen oplossing voor. voorbeeld: open een command prompt en je kan gewoon naar de lokale harde schijven. Zo zijn er nog meer applicaties die de mogelijkheid helaas bieden inderdaad.

zondag 20 januari 2008 11:19

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Inderdaad - het is een policy die enkel verbergt, niet eentje die ze onbenaderbaar maakt. Op zich moet je je wel afvragen waarom dat zo erg is - als je je permissies goed zet op je server shares dan is het helemaal niet erg dat je gebruikers over je drives heen exploren :P

zondag 20 januari 2008 17:12

Acties:
  • Workaholic
  • Registratie: Februari 2003
  • Niet online

Workaholic

Hetzelfde probleem heb je met Office, daar kun je via openen/opslaan ook browsen op de C:/D: schijven.

Het enige wat ik hier tegen kon doen is mijn gebruikers goed opvoeden + strenge ntfs rechten. Suc6!

Mijn V&A

zondag 20 januari 2008 17:23

Acties:
  • Microkid
  • Registratie: Augustus 2000
  • Laatst online: 22:43

Microkid

Frontpage Admin / Moderator PW/VA

Smile

elevator schreef op zondag 20 januari 2008 @ 11:19:
Inderdaad - het is een policy die enkel verbergt, niet eentje die ze onbenaderbaar maakt. Op zich moet je je wel afvragen waarom dat zo erg is - als je je permissies goed zet op je server shares dan is het helemaal niet erg dat je gebruikers over je drives heen exploren :P
Je hebt 2 policies: hide drives en restrict access. Hide verbergt de schijf dus, en laat toegang toe. Met Restrict Drives ontneem je echt de rechten om op de drive te komen. Echter zoals mutsje al aangaf, zodra de applicatie de windows shell omzeilt heb je daar weinig aan.
Audi-Addict schreef op zondag 20 januari 2008 @ 17:12:
Hetzelfde probleem heb je met Office, daar kun je via openen/opslaan ook browsen op de C:/D: schijven.
Met Restrcit Access heb je daar dus geen last meer van.

[ Voor 17% gewijzigd door Microkid op 20-01-2008 17:24 ]

4800Wp zonnestroom met Enphase
Life's a waste of time. Time's a waste of life. Get wasted all the time and you'll have the time of your life.

maandag 21 januari 2008 15:32

Acties:

Verwijderd

Audi-Addict schreef op zondag 20 januari 2008 @ 17:12:
Hetzelfde probleem heb je met Office, daar kun je via openen/opslaan ook browsen op de C:/D: schijven.

Het enige wat ik hier tegen kon doen is mijn gebruikers goed opvoeden + strenge ntfs rechten. Suc6!
?? Welke office versie draai je dan? Hier office 2003 SP3, verbergt de schijven ook in de browser van office..

maandag 21 januari 2008 19:55

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Microkid schreef op zondag 20 januari 2008 @ 17:23:
Je hebt 2 policies: hide drives en restrict access. Hide verbergt de schijf dus, en laat toegang toe. Met Restrict Drives ontneem je echt de rechten om op de drive te komen. Echter zoals mutsje al aangaf, zodra de applicatie de windows shell omzeilt heb je daar weinig aan.
Dat bedoelde ik ook - het is niet eens zo zeer "zodra de shell omzeilt wordt", het is eerder: zodra de shell niet gebruikt wordt (een nuance verschil :P).

Zo zal je zien dat bv. geen enkele Java applicatie standaard de shell gebruikt (of ze de hide/restrict drives policy honoreren weet ik niet uit m'n hoofd), dat is dan geen omzeilen maar gewoon niet (kunnen) gebruiken van die functionaliteit.

IMHO is het het beste om te zorgen dat je server door middel van een goede security template afgelockt is en is dat "hide drives" puur en enkel om de gebruiker niet te verwarren :)

maandag 21 januari 2008 20:11

Acties:
  • D3NN1S
  • Registratie: Oktober 2000
  • Niet online

D3NN1S

Topicstarter
elevator schreef op maandag 21 januari 2008 @ 19:55:
[...]

Dat bedoelde ik ook - het is niet eens zo zeer "zodra de shell omzeilt wordt", het is eerder: zodra de shell niet gebruikt wordt (een nuance verschil :P).

Zo zal je zien dat bv. geen enkele Java applicatie standaard de shell gebruikt (of ze de hide/restrict drives policy honoreren weet ik niet uit m'n hoofd), dat is dan geen omzeilen maar gewoon niet (kunnen) gebruiken van die functionaliteit.

IMHO is het het beste om te zorgen dat je server door middel van een goede security template afgelockt is en is dat "hide drives" puur en enkel om de gebruiker niet te verwarren :)
Nee opzich is het ook niet erg dat ze kunnen browsen maar we praten hier over een terminal server waar eindgebruikers op werken ;)
Dus feitelijk zou ik in die java app. maar 1 locatie willen zien, en dat is de locatie waar ze files op kunnen slaan :)
Maargoed helaas gaat dit dus niet lukken zoder de java app. aan te laten passen :)

maandag 21 januari 2008 20:33

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Ik ken terminal servers ;) - maar dan nog zie ik persoonlijk het probleem niet zo? Ze gaan als het goed is niet meer zien dan een \Windows en "\Program Files" folder waar ze feitelijk net zo veel in gaan zien als op hun eigen PCtje en waarin ze niks kunnen wijzigen, dus tja - wat maakt het uit? :P

maandag 21 januari 2008 22:16

Acties:
  • D3NN1S
  • Registratie: Oktober 2000
  • Niet online

D3NN1S

Topicstarter
elevator schreef op maandag 21 januari 2008 @ 20:33:
Ik ken terminal servers ;) - maar dan nog zie ik persoonlijk het probleem niet zo? Ze gaan als het goed is niet meer zien dan een \Windows en "\Program Files" folder waar ze feitelijk net zo veel in gaan zien als op hun eigen PCtje en waarin ze niks kunnen wijzigen, dus tja - wat maakt het uit? :P
Het maakt opzich niks uit, alleen gaat het echt om mensen met 0,0 verstand van computers ;)
We hebben op die machine een E schijf waar ze wat bestandjes op kwijt kunnen en eigenlijk zou ik dus ook alleen DIE willen laten zien ;)
Dat scheelt heel wat stomme telefoontjes over het hoe en waar ze data kunnen opslaan als ze erachter komen dat de C: en de D: niet werkt :P that's all ;)
Gewoon een netheids kwestie dus.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq