Verwaltung und Implementierung der Wiederherstellung im Notfall 75%

Verwaltung und Wartung physischer und logischer Geräte 91%

Verwaltung und Wartung des Ressourcenzugriffs 78%

Verwaltung und Wartung einer Serverumgebung 80 %

Verwaltung von Benutzern, Computer und Gruppen 32 %


Im grossen und ganzen fand ich die Prüfung lösbar, es scheint aber das ich irgend etwas in der Praxis falsch (nicht MS komform) mache. Muss nur noch herausfinden was.

Zum Teil kamen Aufgaben/lösungsansätze von MS bei der man mich, würde ich das in der Praxis machen, steinigen.



Gebt ihr einer Gruppe NTFS-Vollzugriff auf einen Ordner und Entfernt die Administratoren..??

Oder Datenträger auf FAT32..Formatieren.

Computername entspricht dem Namen des Benutzer's, wegen dem "Rechnungswesen".

Microsofts wege sind manchmal unergründlich....

Herzliches Beileid!

im grossen und ganzen sieht das ja gar nicht schlecht aus, bis auf diesen punkt...

woher weisst du die genauen %-zahlen?

Ich nehme an, er hat mit dem Massstab gemessen und das so ausgerechnet?!?

Grüessli

Cal77

Das kommt schon. Wieviel Punkte waren es denn , die gefehlt haben?


Da sehe ich doch gerade noch <img src="http://www.my-smileys.de/smileys2/00009164.gif" width=81 height=26>

Danke Schubo, ja schon wieder ein jahr älter.....

Es waren knapp 600 Punkte.

Eine Frage noch zu FreigabeBerechtigungen:

Macht ihr auch auf die Freigabe Vollzugriff und stellt die Berechtigungen auf Ordner-Ebene NTFS ein?

Gruss
Cyborg

Jein: Ich mache auf Freigabe-Ebene eine erste Filterung und dann auf NTFS die Detail-Filterung.

Dies könnte wie folgt aussehen:

Freigabe:
- Administratoren: Vollzugriff zugelassen
- Benutzer: Vollzugriff zugelassen
(wobei die Administratoren auch Benutzer sind und Du Dir diese eigentlich auch sparen könntest)

NTFS:
- Detailrechte

Somit hast Du den folgenden Vorteil: Die Freigabe steht nicht mehr für "Jeder" offen ("Jeder" heisst, alle Admins, Benutzer, sowie auch Gäste (!!!)

Grüessli

Cal77

Hi

Ich verwende jeweils "Everyone" mit "Full Control"-Rechten und grenze ausschliesslich mit NTFS-Rechten ein. Das bringt keinen Nachteil, sofern die anonyme Auflistung von Shares nicht erlaubt ist und Gäste nicht eingesetzt werden (was in meinen Augen keinen Sinn macht).

Gruss Marcel

Man kann sich auch totfummeln.
Wenn überhaupt, gebe ich Freigabe-Recht VOLL für Jeden (Standarteinstellung) und regle den Rest über NTFS.

Prinzipiell nutze ich die SMB Geschichte so wenig wie möglich u. greife lieber per ssh auf nen Linux Fileserver zu, (der auch gegen Active Directory authentifizieren kann) oder auf Windows Rechner mit OpenSSH-Server zu. (WinSCP als Client)
Das SMB Konzept geht mir schon seit ner Weile auf die Nerven.

<B>Ein Gast heisst nicht immer Gast ;-D:</B> Ein Gast ist ja eigentlich gar nicht immer so "böse": Auch der IUSR_<pcname> (IIS-Benutzer) ist Mitglied der Gruppe der "Domänen-Gäste" und somit auch Mitgleid der besonderen Entität "Everyone". Der IIS ist zudem ein wichtiger Bestandteil von vielen Servern (und teilweise auch Arbeitsstationen), da viele Dienste eine Website zur Verfügung stellen, welche hilfreich bei der Administration sein kann (z.B. Zertifikatsdienste, Printer-Website, Remote-Verwaltung, Media-Dienste, etc.). Somit gibt es meistens einen Account, welcher ein Gast ist und welcher meistens auch gleich heisst (nach dem gleichen Schema). Mit genau diesem Gast-Account komme ich dann als Angreifer schon einmal einen Schritt näher an die Daten ran, was einfach nicht sein müsste. Deshalb setze ich die Share-Berechtigungen dennoch auf "Authentifizierte Benutzer: Vollzugriff zulassen" (was wie schon erwähnt auch die Admins einschliesst). Das ist immer noch genügend offen definiert, aber nicht mehr zu offen, so dass auch ein Gast damit gemeint sein könnte.

<B>Grundsätzliches zu den neuen Standard-Berechtigungen "Everyone - Lesen zulassen" auf Freigaben:</B> Microsoft hat dies so umgesetzt, da viele "Nachwuchs"-Admins, welche noch nicht so bewandert mit den NTFS- und Freigabe-Rechten sind, einfach alle Berechtigungen meist über die Freigabe-Berechtigungen gelöst haben, anstatt, wie es sinnvoll ist, über die NTFS-Berechtigungen. Um diese Fehler zu vermeiden, machte Microsoft viele Administratoren aber gleichzeitig ziemlich sauer (v.a. weil die Umstellung nur spärlich angekündigt war und meist erst nach Telefonanrufen der Benutzer festgestellt wurden).

<B>Fazit:</B> Die einfachste Methode, eine Ressource zu schützen ist ganz klar die von Spacyfreak und ITNetX beschriebene: Einfach einen weiteren Haken in die Checkbox "Vollzugriff zulassen" setzen. Ganz klar die sicherste Methode ist aber, "Jeder - Vollzugriff" zu entfernen und stattdessen "Authentifizierte Benutzer - Vollzugriff zulassen" hinzuzufügen. Die Frage ist nun: Mehr Aufwand und gleichzeitig Sicherheit (wenn auch nur eine Kleinigkeit - welche es aber ausmachen kann) gegenüber schnelle Konfiguration und auch immer noch genügend (aber nicht die maximale) Sicherheit.

Grüessli

Cal77

PS: Um das Ganze noch ein bisschen mit "Stimmen von Sicherheitsexperten" zu untermauern, hier noch zwei Aussagen von solchen zum Thema Share-Security:

<-- snipp -->
As a best practice, it is most efficient to configure share permissions with Authenticated Users having Full Control access. Then, the NTFS permissions should configure each group with standard permissions. This provides excellent security for local and network access to the resource. It also provides excellent protection of the resource for when it is backed up and when the resource name is changed or relocated.
<-- snipp -->

<-- snipp -->
To reduce administrative troubleshooting time and increase security for all shared resources, all share permissions should be configured to allow Authenticated Users: Full Control. Then, NTFS permissions for the shared folder and subsequent folders and files behind the shared folder can be configured with the necessary detailed access control. When share permissions and NTFS permissions are combined, it creates the most restrictive access, which are the permissions established by the NTFS permissions.
<-- snipp -->

ist nicht auch eine gute praxis mit allen laufwerken auf NTFS Basis zu machen?
Ausgenommen sind System Volumes auf welchen Auslagerungsdateien liegen.
Daher "Best Practice" wenn man einen neues LW formatiert unmittelbar danach "Jeder" entfernt und mit "Authentifizierte.." ersetzt?

so kenn ich es jedenfalls von m$

Hi Mugla

Das ist so korrekt - man muss einfach auf die speziellen Anwendungen aufpassen, welche evt. noch Gast-Rechte benötigen (z.B. INetPub), resp. dass die System-Accounts noch Zugriff auf gewisse Dateien haben.

Ansonsten ist es NIEMALS notwendig, die besondere Entität "Everyone" zu benutzen - "Authenticated Users" ist die viel bessere Wahl - ob auch NTFS oder auch auf Shares.

Grüessli

Cal77

Handhaben wir auch so "Everyone ist out of Office"

naja, ich muss dazu sagen, dass das Gast Konto bei mir immer deaktiviert ist u. somit nicht genutzt werden kann.
Da "Jeder" alle Userkonten meint, die lokal angelegt sind, (also mein Benutzerkonto als auch das Adminkonto) und sämtliche wenigen lokalen Userkonten ein komplexes Passwort haben, wüsste ich nicht, wie jemand - obwohl "Jeder" Vollzugriff hat, auf mein Laufwerk zugreifen sollte...

Ferner habe ich den Haken bei "Datei -u. Druckerfreigabe" garnicht drinnen, sodass über SMB sowieso keiner auf meinen Rechner kommt. Und die Firewall ist auch an.

Dies relativiert natürlich das Sicherheitsproblem, das durch die Freigabeeinstellung Einstellung "Jeder" - Vollzugriff auftritt, beträchtlich, würde ich sagen!