Toggle sidebar

Sicherheitslücke SynologyDrive?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

W

wschuster

Benutzer
Registriert
20. Aug. 2007
Beiträge
33
Reaktionspunkte
10
Punkte
8
Hallo, ich bin jetzt von CloudStation und DSM 6.2.4 auf SynologyDrive und DSM 7.2 umgestiegen.
Von daher bin ich noch nicht "Sattelfest".

Entweder habe ich die Zugriffsrechte falsch konfiguriert oder ich bin auf eine Sicherheitslücke gestoßen.
Bei Drive ist unten links ein Button über den man sein Profilfoto ändern kann. Damit erhält man aber Zugriff auf alle homes-Verzeichnisse aller Benutzer und den darin enthaltenen Dateien, wenn man von *.JPG auf *.* in der Suchmaske umstellt.

Der Benutzer (kein Admin) hat nur Zugriff auf die FileStation und Drive. Über die Anwendungen kann er auch nicht auf andere Verzeichnisse zugreifen.
Über den genannten Umweg aber schon.

Hat jemand eine Idee was ich bzw. wo ich etwas anders konfigurieren sollte.

vg
Wolfgang
 
Hast du zufällig dem Benutzer Zugriff auf "homes" gegeben via Systemsteurung?
Bei "homes" darf in der Berechtigungsansicht der User NIEMALS ein Haken sein! Einfach leer lassen. Dann hat der User nur Zugriff auf seinen home.

EDIT: Schick mal nen Screenshot, was du genau meinst. Bei mir öffnet sich da der Explorer zum Auswählen des Bildes. Dort hat man logsicherweise die Rechte, mit denen man per SMB verbunden ist.
 
Hallo Plang.pl,
die Zugriffsrechte auf HOMES sind die des Standardbenutzers und nicht geändert.
Aber dein Hinweis auf Explorer und SMB ist die Lösung. Danke.

Als Admin habe ich sowohl am Windows-PC als auch im Netzwerk alle Rechte. Deswegen sehe ich beim Aufruf für die Auswahl eines Profilfotos alle Verzeichnisse und die Dateien.
Habe mich gerademal an einem anderen PC als Standard-User angemeldet. Da wird dann bei der Auswahl des Profilfotos die fremden Verzeichnisse geblockt. So soll es sein. Falscher Alarm.

Das Thema kann geschlossen werden.

vg
Wolfgang
 
Noch ein Hinweis meinerseits: Ein Admin ist kein Benutzer. Mit dem wird nicht produktiv gearbeitet, sondern er wird nur für Admin-Zwecke genutzt. Wenn dein Windows PC die Admin-Zugangsdaten fürs NAS kennt und du fängst dir eine Ransomware ein, sind alle Shares verschlüsselt, weil der Admin überall hin darf. Mit einem normalen User ist das Problem nicht ganz so immens
 
  • Like
Reaktionen: Kirschi
@wschuster Wenn ich es richtig gut machen will, arbeitet auf einem Windows-PC ein regulärer Benutzer. Zum Einrichten meldet sich der LOKALE Admin an. Und der ist ein anderer als der NETZWERK-Admin, und der wieder ein anderer als der SERVER-Admin. Und der Admin für den BACKUP-SERVER ist wieder ein anderer. Der am besten geschützte ist der AD-Admin.

Das gilt im virtuellen Raum - auch wenn es die gleiche Person ist.

Es ist ein feuchter Traum für Ransom-Gangster, wenn es nur einen Admin-Zugang gibt.

Das geht dann so: Über eine Phishing-Mail wird Schadsoftware geladen, und eine Druckerstörung beim Benutzer simuliert.

Kennen wir alle, IT anrufen. Die kommt, meldet sich als lokaler Admin an und richtet den Drucker neu ein.

Die Zugangsdaten werden mitgeschnitten.

Ween es jetzt nur einen Adminuser gibt, ist die Rechteeskalation schon perfekt. Durchmarsch, AD übernommen, weitere Zugänge angelegt, im System eingegraben, Backups verschlüsselt, Daten verschlüsselt, Ferrari bestellt.

Also immer schön alles in Zellen aufteilen, eigene Gatekeeper einsetzen, und zum Arbeiten normale User nehmen - auch als „Herrgöttle“.

Zu Hause kann man es ähnlich machen !
 
  • Like
Reaktionen: muxx:K
Darf ich da mal zwischenfragen @Synchrotron? Wie richte ich denn als Windows Desktop-Nutzer einen extra Netzwerkadmin ein, neben dem lokalen Admin, wenn ich nicht unbedingt eine Enterprise-OS-Version habe? Und selbst dort bin ich gar nicht so sicher, ob das mit der Rechtevergabe dann klappt. Als W10/11 Home User wohl unmöglich, oder? Und was ist der AD-Admin? Die Ratschläge sind natürlich gut, aber wie umsetzen?

PS: Sorry, wenn die erste Frage doof war, aber bei Netzwerken bin ich nur interessierter Laie.
 
Nicht für Dein Windows - er meint Du sollst für die tagtägliche Arbeit einen Nicht-Admin-User auf Deinem NAS einrichten. Windows hat in seinen Systemeinstellungen jetzt die Netzwerkpasswörter Deines NAS-Admins gespeichert, was einem Virus (per E-Mail, Schadsoftware) damit Administrationsrechte für Dein NAS geben könnte.
 
@muxx:K Nicht auf dem Windows-Rechner - sondern auf den Netzwerkgeräten. In Unternehmen können das sein gemanagter Switch (VLANs), Firewall, VPN-Server, Endpoint Protection etc.

Zu Hause ist das z.B. der FritzBox-Admin, eventuelle auch ein Switch, mit dem IoT vom übrigen Netzwerk getrennt wurde, etc.
 
  • Like
Reaktionen: muxx:K
Achso, das klang so in deinem ersten Satz der Antwort an wschuster in Beitrag #5 als ob sich das auf Windows bezöge...
Noch kurz: und was bedeutet "der am besten geschützte ist der AD-Admin"?
 
Active Directory - das ist da, wo in Windows-Netzwerken die Benutzer und ihre Rechte verwaltet werden.

Der Heilige Gral, um sich im Netzwerk mit allen Rechten auszustatten und loszulegen.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten