Toon posts:

Rechten Shares voor Administrator

Pagina: 1
Acties:

Vraag


  • Mister B
  • Registratie: Februari 2003
  • Laatst online: 27-07-2022
Ik heb een windows server 2019 met bestandsdeling en nu wil ik de shares alleen toegankelijk voor de gebruikers van die shares en waarbij de administrator standaar geen toegang heeft tot de inhoud van die mappen.
Ik heb bij de beveiliging en de machtigingen al de administrator weggehaald, maar als ik dan als administrator inlog kan ik nog steeds de inhoud van die shares zien en dat is eigenlijk informatie die alleen de mensen mogen kunnen zien die daar excpliciet rechten voor hebben en dat is niet de administrator aangezien de inhoud vertrouwelijk is.

Haik

Alle reacties


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Mister B schreef op donderdag 4 februari 2021 @ 00:14:
Ik heb een windows server 2019 met bestandsdeling en nu wil ik de shares alleen toegankelijk voor de gebruikers van die shares en waarbij de administrator standaar geen toegang heeft tot de inhoud van die mappen.
Ik heb bij de beveiliging en de machtigingen al de administrator weggehaald, maar als ik dan als administrator inlog kan ik nog steeds de inhoud van die shares zien en dat is eigenlijk informatie die alleen de mensen mogen kunnen zien die daar excpliciet rechten voor hebben en dat is niet de administrator aangezien de inhoud vertrouwelijk is.
Het is nogal moeilijk om op basis van deze summiere informatie aan te geven wat je verkeerd hebt gedaan. Kun je niet wat screenshots plaatsen zodat we kunnen zien wat je gedaan hebt?
Het klinkt alleen vrij nutteloos aangezien een administrator zichzelf gewoon de rechten tot die share kan toekennen. Als jij dat niet wilt dan moet je zorgen dat hij (op die server) geen administrator meer is.

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 12:51

sh4d0wman

Long live the King!

De rechten zorgen er voor dat iemand er wel of niet bij kan. Als admin zijn er genoeg truukjes te verzinnen om toch bij de data te komen.

Om het vertrouwelijk te houden zul je file-level encryptie toe moeten passen en de keys alleen toekennen op need-to-know basis. Verder uiteraard auditing/monitoring aanzetten om te kijken wie de data benaderd en procedures opstellen zodat er eventueel sancties genomen kunnen worden bij onrechtmatige inzage (hallo GGD....).

Gokje wat betreft je probleem: Wat je nu doet is waarschijnlijk rechten zetten op de share maar vervolgens lokaal op de server aanloggen als admin en dan kun je bij de data. Lees even over share en NTFS rechten.

[Voor 18% gewijzigd door sh4d0wman op 04-02-2021 04:10]

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 12:47

nelizmastr

Goed wies kapot

Zolang de Administrator de map heeft gemaakt kan je binnen Windows altijd weer eigenaar worden van de map en de rechten opnieuw toewijzen, dat kan je niet buitensluiten. Dat is een failsafe in het rechtensysteem.

I reject your reality and substitute my own


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 29-05 22:09

Hero of Time

Moderator LNX

There is only one Legend

Ga sowieso niet werken met het Administrator account. Die heeft een moeilijk wachtwoord en heb je op een veilige plek opgeslagen. Daarnaast maak je een account met de nodige rechten om je werkt te kunnen doen.

Als je echt niet wilt dat je per ongeluk de map opent en zaken ziet, zet dan expliciet deny rechten. Deny gaat voor allow. Houd er trouwens ook rekening mee dat je hoe dan ook een account is met minstens leesrechten, want je wilt wel backups kunnen maken. Zeker als het om gevoelige data gaat. Dat wil je niet per ongeluk verliezen door uitval of corruptie.

Commandline FTW | Tweakt met mate


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Hero of Time schreef op donderdag 4 februari 2021 @ 21:36:

Als je echt niet wilt dat je per ongeluk de map opent en zaken ziet, zet dan expliciet deny rechten. Deny gaat voor allow.
Een Deny voor de Administrator gaat hem er niet van weerhouden om de permissies weer aan te passen. Dus een nieuwsgierige admin houd je zo niet buiten de deur.

Volgens mij was dat een issue in oudere NT-versies. Als een admin zijn eigen account een Deny op een map gaf dan kon hij de rechten later ook niet meer aanpassen. Dat is niet altijd de bedoeling en dat hebben ze later gefixt.

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 12:51

sh4d0wman

Long live the King!

Hero of Time schreef op donderdag 4 februari 2021 @ 21:36:
Houd er trouwens ook rekening mee dat je hoe dan ook een account is met minstens leesrechten, want je wilt wel backups kunnen maken. Zeker als het om gevoelige data gaat.
Maar dan is je data niet meer geheim ;)

Vertrouwelijkheid verkrijg je pas nadat de data versleuteld is want er is een proces of user buiten de vetrouwde groep die het kan lezen.

Ik heb deze discussie ook ooit gevoerd met een manager. Er zijn eigenlijk maar 2 opties:
1. Men moet de sysadmin vertrouwen (deze heeft geheimhoudingplicht getekend en kan ook strafrechtelijk vervolgd worden)
of
2. Men versleuteld de data met het risico dat dit niet is terug te halen (verkeerd key management, bitrot in je data, etc)

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 29-05 22:09

Hero of Time

Moderator LNX

There is only one Legend

downtime schreef op vrijdag 5 februari 2021 @ 00:11:
[...]

Een Deny voor de Administrator gaat hem er niet van weerhouden om de permissies weer aan te passen. Dus een nieuwsgierige admin houd je zo niet buiten de deur.
Op die manier ga je nooit iemand met admin rechten tegenhouden. Dat maakt met jouw reactie de vraag van de TS direct kansloos en nutteloos. ;)
sh4d0wman schreef op vrijdag 5 februari 2021 @ 02:33:
[...]

Maar dan is je data niet meer geheim ;)

Vertrouwelijkheid verkrijg je pas nadat de data versleuteld is want er is een proces of user buiten de vetrouwde groep die het kan lezen.

Ik heb deze discussie ook ooit gevoerd met een manager. Er zijn eigenlijk maar 2 opties:
1. Men moet de sysadmin vertrouwen (deze heeft geheimhoudingplicht getekend en kan ook strafrechtelijk vervolgd worden)
of
2. Men versleuteld de data met het risico dat dit niet is terug te halen (verkeerd key management, bitrot in je data, etc)
Dat is vaak het probleem met dit soort situaties. Alleen een select aantal mensen moet er bij kunnen. De beheerder valt daar niet onder. En dan klikt iemand op het verkeerde knopje en is alles weg. Zijn er backups? Nee, want de software kan er niet bij, dat was zo vereist, alleen x, y en z mochten erbij. En die konden geen backup maken, want $insert ander beleid.

Veel succes als het om financiële data gaat. Of gevoelige klant data voor een groot project met enorme boetebedragen. Of bedenk zelf een scenario waardoor je je toko net zo goed kan opdoeken.

Ergens moet er een grens getrokken worden tot hoe ver je iets af moet schermen.

Commandline FTW | Tweakt met mate


  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Hero of Time schreef op vrijdag 5 februari 2021 @ 13:44:
[...]

Op die manier ga je nooit iemand met admin rechten tegenhouden. Dat maakt met jouw reactie de vraag van de TS direct kansloos en nutteloos. ;)
Klopt. De enige methode die echt werkt is een beheerder die niet permanent de beschikking over Administrator rechten heeft. Het twee ogen principe: De ene beheerder doet het werk en de tweede beheerder kent zijn collega tijdelijk administrator rechten op specifieke servers toe. Je kunt er dan ook voor kiezen dat bepaalde servers alleen met akkoord van een manager toegankelijk zijn.
Dan moet je wel zorgen dat de tweede beheerder zichzelf geen administrator rechten toe kent en moet je (dus) ook auditen zodat je ook een security officer nodig hebt om de eerste twee in de gaten te houden.

Klinkt omslachtig, en dat is het ook, maar ik werk zelf bij een financial waar met veel geld en vertrouwelijke data wordt gewerkt en daar doen we het op deze manier.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee