Gruppe User braucht welche Rechte ?

[Starfox]

Hi zusammen,

ich hab nur ein Synology Heim NAS mit DSM 7.2.1 und brauche daher nur einen Benutzer und zwar den Administrator.

Also auch kein Webserver noch sonstwas. Es ist nur Plex installiert das wars eigentlich auch schon.

Den Benutzer Admin hab ich natürlich deaktiviert.

Mein Benutzer gehört der Gruppe Administratoren an und der Gruppe Users.

Jetzt ist es so das wenn ich für die Gruppe Users die Rechte für die erstellten Ordner komplett nehme auch mein Administrator nicht mehr zugreifen kann.

Warum ist das so ?

Eigentlich sollten ja die Rechte für die Gruppe Administrators gelten oder ?

 

[Thonav]

Lass die Standartgruppen so wie sie sind. Auch die der User. Leg Dir lieber einen weiteren Nicht-Admin-User für Deinen normalen Zugriff an und nutze den Admin-User nur für die Einstellungen in der DSM.

 

[Synchrotron]

Du solltest NIE die DS mit nur einem Benutzer fahren.

Sonst gehören alle Dateien diesem einen Benutzer - was jedes Berechtigungskonzept unsinnig macht. Berechtigungen sind das Rückgrat der Datensicherheit.

Der Admin sollte nur verwendet werden, um die DS zu administrieren.

Die Dateien sollten unter einem normalen Benutzer angelegt werden. Der Zugriff (speziell auch von anderen Rechnern) auf Dateien sollte nur über so einen Benutzer erfolgen, nicht durch einen User mit Admin- Rechten.

Ansonsten wie schon geschrieben wurde alle Systemuser und -Gruppen unverändert lassen, deaktivieren und eigene User und Benutzergruppen anlegen.

 

[Starfox]

Ok dann mach ich das mal so.

Weiß jemand wie die Standardeinstellungen für die Gruppe Users sind ?

Oder kann man das irgendwo zurücksetzen ?

 

[Thonav]

Eigentlich sollte dort gar keine Haken gesetzt sein. Also weder Zugriff noch kein Zugriff...

 

[Starfox]

Ok dann wirds so gemacht. Bei Standard greift ja dann sowieso die untere Regel NA > RW > RO

Also wenn nichts angehackt ist

:Edit: Hab noch ne Sicherung vom DSM die nehme ich gerade da sind die Rechte wieder Standard

 

[*kw*]

@Starfox: wenn deine Nutzer überschaubar sind (evtl. nur Familie), dann würde ich den Gast eh deaktivieren und die Zugriffe (egal, wie wenig) nur über das Rollen- und Rechtemanagement abwickeln.

 

[Starfox]

Gast ist sowieso deaktiviert, genauso wie der Standard Admin User.

Ja eigentlich gibt es nur mich als Nutzer mehr nicht.

 

[*kw*]

Vollständigkeitshalber, haben der PC-Nutzer und dein DS-Nutzer (nicht Admin-User) dieselben Anmeldedaten? Vereinfacht das ganze.

 

[Starfox]

Ne das haben se nicht, das wäre mir ein zu hohes Sicherheitsrisiko.

Bei Windows kann man doch beim ersten Zugriff auf das NAS die Anmeldedaten eingeben wenn man per SMB z.b. drauf zugreift. Die müssen ja deswegen kein gleiches Passwort oder Benutzer haben.

 

[Thonav]

Da hast Du mit Deinem einen Admin_User ein größeres Sicherheitsrisiko in Betrieb.
Wenn Du einen Virus, Trojaner einfängst, dann hat er über die gespeicherten Zugangsdaten (Windows Netzwerkanmeldepasswörter oder so ähnlich) administrativen Zugang zu Deiner DS. Damit könnten ganz einfach die NAS-Laufwerke verschlüsselt werden...

 

[Synchrotron]

Dieser Beitrag hätte mehr als nur 1 Like verdient, wenn das ginge !

JEDER Admin-User gehört maximal abgesichert, das heißt inclusive 2FA. Außerdem nicht zum normalen Zugriff benutzen, und nie auf einem der zugreifenden Rechner speichern. Weder mit "Dieses Gerät merken" noch in den SMB- Freigaben (oder weiteren).

Der übliche Angriffsweg führt über einen PC auf die DS. Ist es ein Admin, dann sind die Bordmittel schon da, um alles zu verschlüsseln. Dazu benötigt der Angreifer nicht einmal mehr irgendwelche Malware, die er mitbringen müsste.

 

[Starfox]

Ja das stimmt, aber wenn ich nun einen extra Benutzer nur für die SMB Freigaben (ohne Administrative Rechte) hab der vom Windows Rechner darauf zugreifen kann und der Windows Rechner kompromitiert ist, könnte er ja auch die Daten mindestens löschen.

Zumindest wenn das Gerät vom Windows Rechner "gemerkt" wurde.

 

[Synchrotron]

Dazu gibt es eine Papierkorb-Funktion, und die kannst du schützen (Löschen nach x Tagen), es gibt SnapShots (bei BTRFS), auch zeitlich begrenzt unveränderlich, und es gibt (hoffentlich) ein Backup.

Das heißt der normale Benutzer darf einiges, aber der Server sorgt dafür, dass sich Daten ggf. auch wieder zurückholen lassen. Der Admin kann vieles davon aber aushebeln.