ABE not done op TS, hoe dan shares verbergen? - Serversoftware en clouddiensten

dinsdag 24 maart 2009 16:34

Acties:

ignorance is bliss

Topicstarter

Hey iedereen,
ik sta voor het volgende probleem:
Een moeilijke klant (is there antother kind) van ons heeft het schitterende idee om zijn verschillende BV's samen op netwerk, met Terminal Servers en één NAS te laten werken.
Maar de verschillende BV's mogen elkaars data niet zien.
Ze weten niet eens dat ze dezelfde baas hebben, is zelfs bij KVK niet terug te vinden

Lijkt eenvoudig, gewoon mooie securitygroups maken per BV en ABE aanzetten.
Totdat je er achterkomt dat ABE niet werkt voor de TS Users, omdat TS via interactive logon werkt.

Nou kan ik wel met share$ iets bakken, maar dat wordt pas op de PC weggefilterd.
Dus met net view \\computername /all ziet de (Vista) user nog alle shares, ook de hidden shares.

Heeft iemand hier al eens mee gevochten?
Iemand een idee hoe ik dit alsnog goed dicht krijg?
Ik hoor t graag, thanx

dinsdag 24 maart 2009 19:03

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

alien8ed schreef op dinsdag 24 maart 2009 @ 16:34:
Totdat je er achterkomt dat ABE niet werkt voor de TS Users, omdat TS via interactive logon werkt.

Dat geld toch enkel als ABE enabled is op een share (op een machine) waar de user interactief op aan mag loggen.

Als de users aanloggen op een terminal server, en de fileshare komt vanaf de NAS waar ABE op enabled is (waar de users niet interactief op mogen aanloggen), dan werkt het toch gewoon?

Anders is het een kwestie van meerdere hidden shares aanmaken, rechten zetten en regelen dat de juiste personen de juiste drive-mappings krijgen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 25 maart 2009 13:08

Acties:

Remco

alien8ed schreef op dinsdag 24 maart 2009 @ 16:34:
Nou kan ik wel met share$ iets bakken, maar dat wordt pas op de PC weggefilterd.
Dus met net view \\computername /all ziet de (Vista) user nog alle shares, ook de hidden shares.

Je kan je natuurlijk ook afvragen of de gebruiker toegang moet hebben tot de command prompt.

The best thing about UDP jokes is that I don't care if you get them or not.

woensdag 25 maart 2009 13:21

Acties:

FireWood

Remco schreef op woensdag 25 maart 2009 @ 13:08:
[...]

Je kan je natuurlijk ook afvragen of de gebruiker toegang moet hebben tot de command prompt.

Maakt voor dit punt niet uit, er zijn genoeg alternatieven om de hidden shares op te zoeken.
Ik zie verder het probleem niet echt. zorg ervoor dat er nergens een bedrijfsnaam opduikt op de TS.
Verder de Shares benamen met een vrij kansloze naam die altijd kan gelden voor alle bedrijven. Noem het bv. Verkoop01/Verkoop02 enz.

Noobs don't use "F1", Pro's do, but they can't find the information they needed

woensdag 25 maart 2009 16:15

Acties:

LuckY

h.edink schreef op woensdag 25 maart 2009 @ 13:21:
[...]

Maakt voor dit punt niet uit, er zijn genoeg alternatieven om de hidden shares op te zoeken.
Ik zie verder het probleem niet echt. zorg ervoor dat er nergens een bedrijfsnaam opduikt op de TS.
Verder de Shares benamen met een vrij kansloze naam die altijd kan gelden voor alle bedrijven. Noem het bv. Verkoop01/Verkoop02 enz.

security through obscurity is ook niet ideaal, beter gewoon goed beveiligen.

misschien kan de de TS iets met VLAN's en virtualisatie?
om zo voor netwerk segmentatie te zorgen.

Weet alleen niet hoe het zit met de licenties.

donderdag 26 maart 2009 12:07

Acties:

Flyduck

Ik heb ooit precies hetzelfde opgezet met gebruik van Access-based Enumeration (ook via Terminal services), en dat ging perfect dus ik ziet het probleem niet.. was wel een microsoft NAS, dat dan weer wel.

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

donderdag 2 april 2009 14:55

Acties:

alien8ed

ignorance is bliss

Topicstarter

Heren, bedankt voor de input.
Ik ben afgelopen week helaas niet veel aan dit project toegekomen,
omdat er een aantal andere projectjes en storinkjes voordrongen.
Je weet hoe dat gaat

Ik heb inmiddels in overleg met de klant besloten om het zo ver mogelijk dicht te timmeren met ABE waar dit wel werkt en en verder toch maar met hidden shares met niets verradende namen, voor als ze toch 'gevonden' worden. Lekker een drieledige 'beveiliging' die uiteindelijk nog niet volledig werkt.
Maar het houd de standaard werknemer in het ongewisse en nu blijkt ook dat de klant (lees de directeur) heeft besloten de verkoop, administratie etc. alsnog gaan centraliseren.
Dus dan mogen deze medewerkers wel weten van de verschillende BV's.
Probleem is dus niet echt verholpen, maar wel voor zover mogelijk:D

donderdag 2 april 2009 19:30

Acties:

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

ABE werkt gewoon hoor als gebruikers via een TS sessie werken.

“Choose a job you love, and you will never have to work a day in your life.”

donderdag 2 april 2009 19:35

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Tenzij de shares op dezelfde server staan als waar ook terminal services van gebruik wordt. Ik vermoed dat dat gebeurd bij TS.

In dat geval hebben de users het recht om interactief te mogen werken op de server waar de shares vandaan komen, en nee dan werkt het inderdaad niet.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 2 april 2009 19:40

Acties:

Tylen

Dutch ProClass 1000 #56 ⭐⭐⭐⭐⭐

Question Mark schreef op donderdag 02 april 2009 @ 19:35:
Tenzij de shares op dezelfde server staan als waar ook terminal services van gebruik wordt. Ik vermoed dat dat gebeurd bij TS.

In dat geval hebben de users het recht om interactief te mogen werken op de server waar de shares vandaan komen, en nee dan werkt het inderdaad niet.

Hij heeft het over 1 NAS. Dus ik neem aan fysiek een andere machine.

“Choose a job you love, and you will never have to work a day in your life.”