file-ownership kwijt

donderdag 24 februari 2011 10:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb een vreemd voorval, wat de afgelopen twee weken zo'n 2x is gebeurd. Het gebeurt zo:

Een gebruiker in het netwerk is bezig met het wijzigen van een bestand op de windows 2008 server, die via een domein wordt benaderd. De gebruiker drukt op opslaan. Het programma geeft aan dat het bestand niet opgeslagen kan worden (exacte foutmelding moet ik schuldig blijven), en stelt voor om het onder een andere naam op te slaan. Dit doet de gebruiker. De gebruiker gaat naar huis.

De volgende dag ziet de gebruiker het bestand niet meer op die opgeslagen locatie staan en ik krijg de vraag wat er aan de hand is. Het is immers een belangrijk bestand enz. Wat blijkt? Het bestand staat gewoon in de map waar hij is opgeslagen, maar is alle bestands-permissies kwijt en niemand heeft file-ownership. Hoewel dat relatief eenvoudig is te fixen door zelf eigenaar te worden en vervolgens weer permissies uit te delen, lijkt het me beter om de oorzaak te ontdekken en weg te nemen.

Ik heb zelf natuurljk al gezocht, maar ik vind constant alleen de snelle oplossing van het weer uitdelen van permissies en dus niet de onderliggende oorzaak... Het proberen te reproduceren is wat lastig, omdat er dagelijks veel meer bestanden worden opgeslagen en het dus slechts 2x is foutgegaan. Ik denk dat het iets te maken heeft met het niet kunnen overschrijven van het eerste bestand.

Het is nu 2x gebeurd en het was 2x dezelfde gebruiker, maar deze persoon was beide keren op een andere fysieke machine ingelogd.

Heeft iemand een idee wat de (of een) oorzaak kan zijn van het volledig kwijtraken van file-ownership? Of anders hoe ik de oorzaak kan achterhalen?

donderdag 24 februari 2011 12:17

Acties:

0 Henk 'm!

leon1e

Vreemd probleem idd. heb je al een gekeken naar de security info op de directory, en wil je die eens posten hier. Een xcacls dumpje het liefst

. Is het een Excel bestand?

donderdag 24 februari 2011 12:54

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Vanaf welk OS worden de file-shares benaderd? Dit klinkt nl. als een incompatibiliteit van SMB-signing tussen het 2008 OS en het client OS.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 24 februari 2011 13:23

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Het is dit keer inderdaad een excel bestand, maar de vorige keer was het een word bestand.

xcacls geeft bij het bestand dat niet overschreven kon worden:
File: F:\..\..\kostenplaatsen.xlsx
Error -2147217406: occurred setting Win32_LogicalFileSecuritySetting object. (Msg#401)
Error description: Not found

Terwijl icacls aangeeft: "access denied"

In het security schermpje staat aanvankelijk dat ik administrator moet zijn om het te bekijken en dan kan je klikken dat je dat bent en dan staat er: "Unable to display current owner" en dan kan je ownership nemen.

De directory waar het betreffende bestand in staat geeft de volgende permissies:
Everyone : Full control
CREATOR OWNER: Special permissions (wat houdt dit in?)
SYSTEM: Full control
de betreffende gebruiker: Special permissions (heeft ook de directory zelf aangemaakt)
Administrator: Full control
AdministratorS: Full control
Users: Read, execute, list

Of mbv xcacls:

Permissions:
Type     Username                Permissions           Inheritance

Allowed  DOMEIN\Administra       Full Control          This Folder, Subfolde
Allowed  \Everyone               Full Control          This Folder, Subfolde
Allowed  DOMEIN\Joyce            Full Control          This Folder Only
Allowed  \CREATOR OWNER          Full Control          Subfolders and Files
Allowed  NT AUTHORITY\SYSTEM     Full Control          This Folder, Subfolde
Allowed  BUILTIN\Administrators  Full Control          This Folder, Subfolde
Allowed  BUILTIN\Users           Special (E2)          This Folder and Subfo
Allowed  BUILTIN\Users           Special (E3)          This Folder and Subfo
Allowed  BUILTIN\Users           Read and Execute      This Folder, Subfolde

No Auditing set

Owner: DOMEIN\Joyce

Bij de overige bestanden staat ook aangegeven dat de owner de gebruiker is die het heeft aangemaakt.

Het gekke aan de permissies is dat sommige users "special permissions" hebben. Maar hoe het daaraan kan liggen, weet ik ook niet, want er staan wel meer bestanden in die mappen en daar lijkt niks mee aan de hand te zijn en die zijn ook allemaal meerdere keren opgeslagen.

De OS'en waarmee dit gebeurt zijn windows XP pro en windows Vista home premium en Server 2008 als server.

Any idea?

vrijdag 25 februari 2011 20:27

Acties:

0 Henk 'm!

alt-92

ye olde farte

Verwijderd schreef op donderdag 24 februari 2011 @ 13:23:

In het security schermpje staat aanvankelijk dat ik administrator moet zijn om het te bekijken en dan kan je klikken dat je dat bent en dan staat er: "Unable to display current owner" en dan kan je ownership nemen.

Dan zijn de ACLs verb0rkt op de file zelf. Oorzaak kan zijn wat Question Mark al aangeeft, dat komt het meest voor bij Office meuk - áls het gebeurt.

De directory waar het betreffende bestand in staat geeft de volgende permissies:
Everyone : Full control
CREATOR OWNER: Special permissions (wat houdt dit in?)

De aanmaker (creator) van het bestand heeft als eigenaar bijzondere rechten. Meestal FC op folder + onderliggende bestanden. Maar niet met overerving van bovenaf, vandaar Special.

Potentieel kan deze gebruiker dus ook de rechten van die folder die hij/zij heeft aangemaakt en de bestanden daarin compleet onbereikbaar maken voor anderen - inclusief jij als Admin - want ook het wijzigen van permissies op die objecten laat je nu hiermee wijd open staan.

Noem het een DoS op bestandsnivo. Leuk als daar bedrijfskritische data in staat en die persoon verlaat je bedrijf in minder goede verstandhouding.

[.....]

Any idea?

Well-known security identifiers in Windows operating systems

http://technet.microsoft....rary/cc780823(WS.10).aspx
http://technet.microsoft....rary/cc780957(WS.10).aspx
http://technet.microsoft....rary/cc781716(WS.10).aspx

Nuttig naslagmateriaal.

De reden dat je deze ellende nu hebt is omdat je ACLs op je filesystem niet zijn afgestemd op het gebruik in een gecontroleerde omgeving, maar zo te zien lekker out-of-the-box zijn gelaten.

De technet artikelen van hierboven bevatten onder andere meer info welke strategieën je kunt gebruiken, en welke opties je dan hebt om problemen te voorkomen.

* alt-92 is nogal van KISS dus ik zou die standaard ACLs al hebben aangepast naar iets als

C:\Windows\system32>icacls M:\datastore
M:\datastore
Domain\A_FS_Data_RO:(OI)(CI)(RX)
Domain\A_FS_Data_RW:(OI)(CI)(M)
BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)

Er is een Read-only groep waar je je gebruikers aan hangt, een Read/Write groep met je users, SYSTEM en Admins hebben FC.

Zo heb je gelijk controle en authorisatiebeheer.
In dat kader:
[Thematopic] Rechten toewijzen
Thematopic: Bestanden delen

[ Voor 35% gewijzigd door alt-92 op 25-02-2011 20:52 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 26 februari 2011 22:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Het is inderdaad out-of-the-box gelaten. Vreemd dat dat niet best-practice is eigenlijk, maargoed. Ik heb maandag wat tekst door te spitten en dan gaan we eens goed bekijken wat we aan de permissies gaan veranderen.

Tnx voor de antwoorden $_/-\o_$ Ik laat nog weten wat het uiteindelijk geworden is!

maandag 28 februari 2011 11:15

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

Je zou eventueel nog kunnen kijken om met auditing voor een volgende keer te kijken of de actie inderdaad van de bewuste gebruiker/computer afkomt. Maar eigenlijk is alles hierboven al wel aangehaald.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

Onderwerpen