Laufwerke sichern auf Freigabe-Ebene\Datei-Ebene\oder beides?

[geronimo1967]

Hallo!

Versuche unser LAN einwenig abzusichern. W2K-Server und Clientsnur NTFS und Domäne.

Meine Frage:

Was ist am sinnvollsten für eine langfristig effektive Verwaltung freigegebener Order:

a) - auf Freigabebene - NTFS Berechtigung: jeder; Freigabe nur ausgewählte Gruppen

so ist es im Moment

- auf Dateiebene - NTFS Berechtigungen: ausgewählte Gruppen, Freigabe: Jeder

schließ ich mal aus

c) beide Berechtigungsmöglichkeiten verwenden

würde ich nach meinem jetztigen Wissenstand einsetzen. (ohne vererbbare Berechtigungen).

Gibt es eine "klassische" Empfehlung?

Wie sichert Ihr Eure Lans?

Danke für die Mühe.

[Terran Marine]

Originally posted by geronimo1967

- auf Dateiebene - NTFS Berechtigungen: ausgewählte Gruppen, Freigabe: Jeder

schließ ich mal aus

Obwohl du das ausschliesst, finde ich die Methode eigentlich am besten.

Durch die zweifache Benutzerführung, verdoppelt sich der Administrationsaufwand und die Fehlergefahr steigt.

Ob es nun zwei Barrieren gibt oder eine, ist denke ich egal. Das System muss sauber und ordentlich konfiguriert werden,

wird dies eingehalten, reicht eine Zugriffsrestriktion aus.

Methode A ist unpraktisch, weil ich innerhalb der Freigab nicht mehr differenzieren kann bzw. viel zu viele Freigaben erstellen muss (wobei man natürlich den Einzelfall betrachten muss)

Gruß

Terran Marine

[froehlich]

Moin,

ich würde der Lösung auch voll zustimmen. Die NTFS Berechtigungen sind die beste Lösung, weil ich hier gezielter die Berechtigungen steueren kann. Wer kein NTFS-Recht auf einen Ordner besitzt, darf auch nicht durch die Freigabe "jeder" darauf zugreifen, da das restriktivste Recht für den Benutzer gilt. Auch wenn er zwei Gruppen angehört, von denen eine zugreifen darf und die andere nicht, bleibt das so.

Es wäre also wirklich übersichtlicher und auch sicherer, immer die NTFS Berechtigungen zu nutzen und die Freigaberechte einfach auf dem Standard zu lassen...

Gruss froehlich

[geronimo1967]

Morgen und Danke für die Antworten!

Das Problem dass wir hier haben (Systemhaus, 13 Mitarbeiter) ist eine hohe Zahl von Praktikanten (Fachinformatiker, Systemelektroinker, Schüler etc.), die regelmäßig wechseln.

Erfahrungsgemäss loten die zuerst die Sicherheit des Netzwerks aus - zum Teil mit Sniffertools und auch mit Brute Force Attacken. Auch ist es schwierig restriktive Maßnahmen in Form von Abmahnungen usw. bei Praktikanten einzusetzten, die die Zeit der Unternehmenszugehörigkeit begrenzt ist.

Meine Gedanke ist nun, alle Freigaben zu verstecken und die Berechtigungen auch nur den entsprechenden Gruppen zu zuordnen. Dahinter dann nochmals NTFS-Sicherheit.

Meint Ihr das ist langfristig schwer zu administrieren, wenn es ordentlich dokumentiert ist?

Danke und Gruss

[Terran Marine]

Originally posted by geronimo1967

Meint Ihr das ist langfristig schwer zu administrieren, wenn es ordentlich dokumentiert ist?

Eine ordentliche Dokumentation ist das A und O,

trotzdem ist es zumindest schwerer zu konfigurieren als das "einfache" Rechtesystem.

On sich irgendwelche Scripte oder Exploits schwerer tun, wenn du eine doppelte Berechtigungsprüfung machts, wage ich zu bezweifeln.

Wenn jemand das Admin-Hash heraushat, ist er im System, egal ob einfacher oder doppelter Schutz.

Gruß

Terran Marine