Frage zu Berechtigungen (Active Directory und lokal), Ziel: Freigaben teilweise vor Crypto-Trojanern verstecken

[bfg9000]

Hi,

ich möchte gern erreichen, daß Windows-Clients im Netzwerk ein bestimmtes Verzeichnis der Synology (DS920) nicht öffnen können.
Bis dahin kein Problem, die Windows-AD-User bekommen via Synology keine Zugriffsrechte, fertig.
Nun möchte ich aber (sozusagen manuell) von Zeit zu Zeit als Windows-Benutzer auf das entsprechende Verzeichnis zugreifen können, um Image-Sicherungen dort abzulegen. Die Synology verweigert mir jedoch den Zugriff (Anmeldung als lokaler Nutzer der Synology) nun aber so lange, bis ich auch dem entsprechenden AD-Nutzer wieder das Lese-/Schreibrecht auf das Verzeichnis gebe.

Also so:

Benutzer "Test" (AD-Benutzer) ist an Windows 10-PC angemeldet.
Ich möchte, daß dieser Benutzer nicht auf <verbotenes Verzeichnis> zugreifen kann: Ok.
Benutzer "Test" (AD-Benutzer) soll von Windows10-PC aus per separater Anmeldung (Synology-User) auf <verbotenes Verzeichnis> zugreifen. Die Anmeldung klappt nicht, bzw. erst, wenn ich dem an WIN10 angemeldeten Windows-AD-User auf der Synology wieder das Recht gebe, auf das Verzeichnis zuzugreifen.

Kann ich das irgendwie besser lösen, als jedes Mal die Berechtigungen anzupassen?

Danke Euch im Voraus, viele Grüße

bfg

 

[ottosykora]

irgendwie nicht klar. gleichzeitig Zugriff verbieten aber gleichzeitig Zugriff erlauben? Für den gleichen Benutzer?
Ist der Zugriff einmal verboten, dann ist es auch. Alles andere wäre ja eine Katastrophe.

Also einen anderen Benutzer in der DS anlegen mit dem dann der Zugriff gelegentlich möglich ist

 

[AndiHeitzer]

Ich würde einen DSM-User dazu einrichten, der dort verbinden/lesen/schreiben darf und anschliessend mit diesem User das Laufwerk verbinden:

net use lw: \\diskstation\freigabe /user:diskstation\dsm-user /persistent:no

Das packst Du in ein BAT-File rein und brauchst das nur noch laufen lassen, das PW DSM-User des eingeben und schon sollte das Laufwerk verbunden sein.

 

[bfg9000]

Hallo,
vielen Dank für Eure Antworten und sorry für die späte Rückmeldung, ich mußte das nochmal genau nachvollziehen.
Die Synology ist ja ins Active Directory eingebunden,

Beispiel:
Freigabe "Datensicherung".
Domänen-Benutzer "AD" hat Zugriff auf die Freigabe.
Domänen-Benutzer "AD" ist in Windows angemeldet.
Lokaler Benutzer "Synology" hat Zugriff auf die Freigabe.
Ergebnis: Freigabe unter Windows zugreifbar.

Aber:
In dem Moment, in dem ich dem Benutzer "AD" die Berechtigung entziehe, kann ich auch mit meinem lokalen DSM-Benutzer "Synology" unter Windows nicht mehr auf die Freigabe zugreifen. Das scheint so gewollt zu sein.
Also sehe ich momentan als einzige Lösung, die Synolgy wieder aus der Domäne zu nehmen, so daß ich allein mit einem lokalen Benutzer die Anmeldung machen kann.

Richtig?

Danke und viele Grüße!

 

[AndiHeitzer]

Nein, das Problem liegt nicht am AD oder der Synology-Diskstation.

Von einem Windows-Rechner kann ich die Verbindung zu einem Server nur mit einer Anmeldung aufbauen.
Wenn ich also ein Laufwerk auf der Syno mittels User A verbunden habe, dann kann ich kein zweites Laufwerk als User B zur selben Syno verbinden.

 

[bfg9000]

Hallo Andi,
danke für Deine Antwort.

Ich möchte allerdings gar keine Freigabe mit einem Laufwerksbuchstaben verbinden, sondern greife lediglich von Zeit zu manuell per Windows-Explorer (\\synology\freigabe) auf das NAS zu. Dort gebe ich dann meine Zugangsdaten ein. Und das klappt so leider nicht, zumindest nicht vom Domänencontroller aus.
Ergänzung: Per \\<IPderSynology>\Freigabe klappt nun.

Danke und viele Grüße
bfg

 

[NSFH]

Das Ziel dich so vor Crypto Trojanern/Ransomware zu schützen kannst du so nicht erreichen!
Würdest du dich mit der Materie mal wirklich auseinander setzen würdest du schnell feststellen, dass nur Backups schützen.
Von daher ist diese ganze Diskussion auf das Ziel bezogen eine Luftnummer.

 

[bfg9000]

Hallo NSFH,

danke für Deine Antwort.

Mit der Materie beschäftige ich mich gerade eingehend, daher auch meine Frage hier.

Backups mache ich regelmäßig, auch werden diese regelmäßig außer Haus verbracht/gelagert.

Wenn ich, wie oben beschrieben, auf der Synology Freigaben anlege, diese Freigaben aber nicht für Windows-Benutzer erreichbar sind - wie könnte ein Crypto-Trojaner diese Deiner Ansicht nach erreichen?

Viele Grüße
bfg

 

[mistered]

Hallo bfg9000

Wie schon Andi sagte ist es nicht möglich auf ein Syno im AD mit zwei verschiedenen Logins zu Verbinden.
Was aber gehen sollte ist wenn du mit dem AD Account auf die Freigabe \synology\ordnerA verbindest und mit dem Synology Account auf die IP statt auf den Namen der Synology \ip\ordnerA.

Aber ein Schutz vor Trojaner ist das nicht. Trojaner finden den Weg auch via Synology Linux auf die Synology Laufwerke.

Gruss Mistered

 

[NSFH]

Ransomware greift auf alle Daten zu, die allgemein ausgedrückt mittels einem gemountetem Laufwerk unter einem lokalen Hw- oder Nw-Pfad erreichbar sind.
Wieso? Weil sie sich Adminrechte besorgen ohne das du es mitbekommst.
Daher sind alle Massnahmen ein so mit dem Web verbundenes System zu schützen erfolglos. In allen bekannten Fällen ist nur eine vollumfängliche Neuinstallation von Erfolg gekrönt, da niemand weiss wo sich evtl noch wieder aktivierbare Trojaner verbergen. Ein teils verseuchtes System zu reanimieren ist daher keine Option.
Aus diesem Grund helfen dir im Schadensfall nur Backups.

 

[bfg9000]

@mistered: Danke für Deine Antwort.
Trojaner finden den Weg auch via Synology Linux auf die Synology Laufwerke.

Hats Du hierzu eine Quelle zu entsprechenden Schwachstellen der Synology? Bis auf ein mehrere Jahre altes Ereignis (oder war das QNAP?) ist mir hierzu nichts bekannt.


@NSFH: Nochmal, ich mounte keine Laufwerke, sondern erstelle manuell Images "direkt in eine Freigabe" unter Nutzung von Synology-Anmeldedaten.
Diese Freigabe ist zu keinem Zeitpunkt für irgendeinen Netzwerknutzer zugreifbar. Mir ist unklar, wo Du hier einen Angriffsvektor siehst.

Backups: Wie geschrieben: Sind nicht das Thema, da vorhanden.

 

[NSFH]

Nochmal: Die Freigabe ist immer für den Admin nutzbar und damit hast du schon verloren.
Wenn du eine Lösung findest teile sie bitte mit oder besser, vermarkte sie, denn bisher hat das kein Administrator weltweit geschafft.
Wäre das so einfach wäre Ransomware kein Problem mehr.

 

[bfg9000]

"Nochmal: Die Freigabe ist immer für den Admin nutzbar und damit hast du schon verloren."

Vielleicht reden wir aneinander vorbei?
Eine Freigabe, die für niemanden erreichbar ist, ist auch für Ransomware nicht erreichbar.
Du unterstellst der Ransomware, daß sie in der Lage ist, auf eine Synlogy zuzugreifen, ohne irgendwelche (cached) Credentials dafür zu haben. Hast Du Quellen hierzu?

"Wäre das so einfach wäre Ransomware kein Problem mehr."
Backups sind auch einfache Lösungen und dennoch nutzt nicht jeder sie.

 

[NSFH]

Wer richtet bzw adminsitriert denn die Freigabe. Irgendjemand muss es machen. Und wenn du es noch immer nicht verstanden hast: Ransomware lädt Schadsoftware nach welche u.a. auch sämtliche Anmeldeaccounts mitplottet. In dem Moment wo du also den Adminaccount mal nutzt hast du schon wieder verloren.
Mehr gibt es zu dem Thema und deinem Vorhaben nicht zu sagen, es ist schlicht ein sinnloses Unterfangen.

Und nein: Backups sind keine Lösung sondern nur Schadensbegrenzung. Das einzige was hilft sind ständig kontrollierte IDS um möglichst früh den Schadensfall feststellen zu können.

 

[bfg9000]

Hallo NSFH,

was mir leider gleich zu Beginn aufgefallen war, ist Dein doch etwa rauher Tonfall. Leider hat sich dieser in Deinen Antworten durchgehend fortgesetzt.

Zur Sache:
Du urteilst hier vielleicht etwas zu vorschnell, ohne meine Vorgehensweise genau zu kennen. Dies ist möglicherweise einer gewissen Unerfahrenheit geschuldet.
Deine Annahmen entsprechen jedenfalls nicht der Realität - nicht für meine Umgebung und auch ganz allgemein nicht.

Generell glaube ich, daß Du im Bereich "IT-Sicherheit" einigen Nachholbedarf hast. Ich empfehle Dir zum Einstieg gern mal die folgenden Werke:
https://www.rheinwerk-verlag.de/hacking-und-security-das-umfassende-handbuch/
https://www.rheinwerk-verlag.de/sichere-windows-infrastrukturen-das-handbuch-fuer-administratoren/

Ist nicht böse gemeint. ich denke aber, die Bücher könnten Dir helfen, zu lernen, etwas weniger markig, aber dafür dann mit fundiertem Fachwissen aufzutreten.

Abschließend möchte ich Dir nochmals ans Herz legen, doch etwas netter mit den "Neuen" hier umzugehen. So macht das Ganze jedenfalls keine Freude.


An die anderen Beantworter: Euch nochmals vielen Dank für Eure freundlichen und konstruktiven Beiträge.

Viele Grüße und viel Erfolg
bfg

 

[NSFH]

Ich bin mir ziemlich sicher, dass du noch in die Windeln gemacht hast als ich bereits in der Branche tätig war.
Wenn dir mein Ton nicht gefällt blende mich einfach aus.
Wenn dir dein eigenes fehlendes Fachwissen nicht gefällt lies mal (und wichtig verstehe es!) was du da empfohlen hast, obwohl das auch nicht der Weisheit letzter Schluss ist.
Von daher stufe ich dein Posting in der Gattung Klugscheisser/ angebrüteteter IT-Fachmann ein, denn beratungsresistenter gehts nicht.
Träume mal schön weiter!