Wątek zamknięty

[Rozwiązany] Kwestia bezpieczeństwa przy udostępnianiu całych partycji w sieci LAN

 
jarosss
Niezarejestrowany
 
Post: #1
Lightbulb 

Kwestia bezpieczeństwa przy udostępnianiu całych partycji w sieci LAN


Mam 3 komputery z Windows 7 które są w jednej sieci za pomocą routera.
Na każdym mam takie same ustawienia:
- stworzone i usunięte konto Gościa
- włączone udostępnianie plików i drukarek
- wyłączone udostępnianie chronione hasłem
- ta sama grupa domowa

Udostępniam całe partycje:
- PPM na partycji -> udostępnianie -> wszyscy
-> zabezpieczenia -> utworzony profil wszyscy

No i tutaj jest problem ponieważ powoduje dostęp do moich plików przez osoby trzecie.
Jeśli ktoś podłączy się do mojej sieci widzi wszystko co udostępniam.
Jeśli ja z moim laptopem podłączone się do jakiejkolwiek sieci automatycznie wszystko jest udostępniane.

Czy da się jakoś ograniczyć udostępnianie plików tylko do mojej sieci?

24.08.2013 09:58

Magnetar
Ekspert
Liczba postów: 727
Post: #2

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


Najprostszym rozwiązaniem podczas podłączania się do obcej podsieci jest odpowiednie określenie profilu, lokalizacji. Podczas podłączania do nowej sieci system zawsze pyta o jej lokalizację. Mamy tam do wyboru trzy opcje: Sieć Domowa, Firmowa, Publiczna - jeżeli nie chcesz, aby twój komputer był widoczny wybieraj profil Publiczny wtedy automatycznie Zapora systemu zamknie porty i nie będzie przyjmować połączeń, tym samym system nie będzie rozgłaszał swojej obecności ani chwalił się co ma udostępnione.

Ponadto proponuje przywrócenie udostępniania na hasło, dodatkowo utworzenie grupy użytkowników, którzy mogą mieć dostęp do zasobów jednocześnie odebrania im prawa do logowania lokalnego żeby system nie tworzył im profili, katalogów domowych, pulpitu etc. Odbierając im prawa logowania lokalnego nie będą widoczni na liście podczas logowania do systemu, będą to nazwijmy sobie ich umownie Użytkownicy sieciowi, bez kont lokalnych, ale rozpoznawani przez system i mający dostęp do zasobów zgodnie z określonymi prawami do nich.
Poza tym daj sobie spokój z grupą domową, bo nie każdy system rozpoznaje co to takiego - za to każdy wie co to grupa robocza - domyślnie windows ma ustawioną grupę WorkGroup co oznacza że fabrycznie wszystkie systemy należą do tej samej grupy i widzą się wzajemnie - aby tego uniknąć powinieneś wymyślić sobie jakąś nazwę grupy roboczej i dodać do niej wszystkie komputery w swojej podsieci - to nie gwarantuje bezpieczeństwa, ale dzięki temu będą odfiltrowane komputery nienależące do twojej grupy roboczej.

Tak jest chyba najprościej, najszybciej, przejrzyście oprzeć dostęp o uwierzytelnianie użytkowników natomiast określanie ruchu "tylko moja sieć" może okazać się bardzo czasochłonne i będzie wymagać znajomości protokołów sieciowych (TCP/IP, CIFS, NetBios itd), analizy dozwolonego ruchu i określania go.

Obiekt zwarty gwiazda neutronowa lub hipotetyczna gwiazda kwarkowa, posiadający bardzo silne pole magnetyczne, emitujący w sposób regularny pulsy lub nieregularny błyski gamma oraz promieniowanie rentgenowskie. Wiki

24.08.2013 16:35

Znajdź wszystkie posty użytkownika
jarosss
Niezarejestrowany
 
Post: #3

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


Możesz opisać jak to zrobić?

24.08.2013 17:14

thermalfake
Ostatni Mohikanin

Liczba postów: 13.580
Post: #4

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


Zmiana nazwy grupy roboczej:
Panel sterowania -> System -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień
Starsze systemy od Visty nie rozpoznają tworu jakim jest grupa domowa więc przy tej samej grupie roboczej będziesz widział wszelkie stacje wpięte do sieci.
Odmowa do logowania lokalnego dla użytkownika lub grupy
Aplet Zasady zabezpieczeń lokalnych jest dostępny w wersjach od professional wzwyż.
W innym przypadku zostaje dłubanie w rejestrze systemowym - trzeba odnaleźć gałąź gdzie jest zapisywana informacja o odmowie.
Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych -> Zasady lokalne -> Przypisywanie praw użytkownika -> Odmowa logowania lokalnego
Tu dodajesz specjalnie utworzonego użytkownika lub grupę (każdego kogo dopiszesz do niej otrzymuje te prawa).

Ponadto może warto się zastanowić nad dyskiem NAS o ile dane są dosyć ważne, poufne itp. Myślę, że jest to skuteczne rozwiązanie i bezpieczniejsze - backup o ile będzie raid i nie musisz wędrować z danymi w lapku.

[Obrazek: 2089620800_1406976151.png]

W zamian za pomoc oczekuję poprawnej pisowni. Stop niechlujstwu.
Jak mądrze zadawać pytania? - przejrzyj poradnik na forum.
Nie udzielam porad via PW.

24.08.2013 20:47

Znajdź wszystkie posty użytkownika
jarosss
Niezarejestrowany
 
Post: #5

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


usunąłem udostępnianie dysku z "Wszyscy" i przydzieliłem tylko jednemu userowi którego konto z hasłem utworzyłem
pojawia się błąd zamiast okienka logowania:
RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo

24.08.2013 23:13

thermalfake
Ostatni Mohikanin

Liczba postów: 13.580
Post: #6

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


A czy ten user we właściwościach partycji a w zasadzie w zakładce Zabezpieczenia widnieje i ma prawa chociaż do odczytu ?

[Obrazek: 2089620800_1406976151.png]

W zamian za pomoc oczekuję poprawnej pisowni. Stop niechlujstwu.
Jak mądrze zadawać pytania? - przejrzyj poradnik na forum.
Nie udzielam porad via PW.

25.08.2013 15:06

Znajdź wszystkie posty użytkownika
jarosss
Niezarejestrowany
 
Post: #7

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


tak, w zakładce Udostępnianie i Zabezpieczenia jest dodany ten user
komputer z którego chce się dostać na tą partycję nie pokazuje okienka do wpisania hasła tylko powyższy błąd
jednocześnie inną partycję mam udostępnioną dla "Wszyscy" i działa

25.08.2013 15:26

Magnetar
Ekspert
Liczba postów: 727
Post: #8

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


No masz tam jakiś problem z uprawnieniami, ale od początku żebyśmy wiedzieli jaką masz konfigurację.
Serwer - to ten komputer, który udostępnia zasoby.
Zasób, udział - to folder udostępniony lub w twoim przypadku cała partycja.

Serwer jest podłączony do sieci: Jaką masz ustawioną lokalizację ? Domowa/Firmowa czy Publiczna.
Jeżeli to jest twoja macierzysta sieć to na pewno masz ustawione: Domowa
Teraz przejdź do Panel Sterowania w "Centrum Sieci i Udostępniania" z lewej jest link: Zmień zaawansowane ustawienia udostępniania - wejdź tam
Widać tam dwie fiszki, jedna dotyczy ustawień profilu Domowy/Firmowy zaś druga dotyczy profilu Publicznego.
Interesuje nas profil Domowy:
Włącz odnajdowanie sieci. To masz
Włącz udost. plików i drukarek. To masz
Połączenia udost. plików: Włącz szyfrowanie 128 bit
Włącz udost. chronione hasłem
------------------------------------------------ To były podstawy --------------------
Na serwerze utworzę grupę użytkowników o nazwie: Sieciowa i odbiorę jej prawa do logowania lokalnego.

Panel Sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem -> Użytkownicy i grupy...
Wchodzę na Grupy: Tworzę nową grupę o nazwie: Sieciowa
Panel Sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych -> Zasady lokalne -> Przypisywanie praw użytkownika -> Odmowa logowania lokalnego
       
Teraz utworzę użytkownika o nazwie Prototyp i dodam go do grupy Sieciowa - jednocześnie usunę go z grupy Użytkownicy do której został dodany automatycznie, nie chcę, aby był użytkownikiem bo to jest tylko mój "avatar" sieciowy służący do dostępu do danych, ponadto po usunięciu go z grupy użytkownicy nie będzie widoczny na liście podczas logowania do systemu.
Panel Sterowania ->Narzędzia administracyjne -> Zarządzanie komputerem -> Użytkownicy i grupy...
Wchodzę na Użytkownicy: Tworzę Użytkownika o nazwie: Prototyp
   

Ustawiam prawa do zasobu, wybieram jakiś udział i dodaję grupę Sieciowa
   

----------------------------------------
Przechodzę na inny komputer z którego próbuję uzyskać dostęp do zasobu przy użyciu użytkownika Prototyp
Wcześniej tworzę regułę, która mówi że dla serwera Admin-HP system do logowania ma użyć poświadczeń użytkownika Prototyp: Panel Sterowania -> Menedżer Poświadczeń
   

Serwer nazywa się ADMIN-HP
Udostępniony folder: Gam
Podłączam zasób pod literę "x"

Kod:
net use x:  \\ADMIN-HP\Gam
otrzymuję zwrotkę że polecenie zostało wykonane pomyślnie - bez pytania o login i hasło

Otwieram zasób
Kod:
explorer x:

Na serwerze: Panel Sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem -> Foldery udostępnione -> Sesje
Widzę w sesjach użytkownika Prototyp korzystającego z udziału.
----------------------------------

Obiekt zwarty gwiazda neutronowa lub hipotetyczna gwiazda kwarkowa, posiadający bardzo silne pole magnetyczne, emitujący w sposób regularny pulsy lub nieregularny błyski gamma oraz promieniowanie rentgenowskie. Wiki

25.08.2013 16:05

Znajdź wszystkie posty użytkownika
jarosss
Niezarejestrowany
 
Post: #9

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


teraz działa! Uśmiechnięty
menadżer poświadczeń rozwiązał problem Uśmiechnięty

25.08.2013 16:54

Magnetar
Ekspert
Liczba postów: 727
Post: #10

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo


Menedżer jest tylko ułatwieniem (np w XP go nie ma), w niektórych scenariuszach dostępu może stać się problemem.
Uporządkuj sobie uprawnienia, przejrzyj zasoby, pozmieniaj, do prawidłowego działania nie jest potrzebny Menedżer.
Przykład masz podany, także może posłużyć jako mała ściąga.
Powodzenia.

Obiekt zwarty gwiazda neutronowa lub hipotetyczna gwiazda kwarkowa, posiadający bardzo silne pole magnetyczne, emitujący w sposób regularny pulsy lub nieregularny błyski gamma oraz promieniowanie rentgenowskie. Wiki

25.08.2013 17:24

Znajdź wszystkie posty użytkownika
LadyInBlue
Pani SuperMod

Liczba postów: 19.072
Post: #11

udostępnianie całych partycji w sieci LAN - bezpieczeństwo (rozwiązany)


Wątek rozwiązany.

Żyj tak, aby twoim znajomym zrobiło się nudno, kiedy umrzesz.
[Obrazek: Lady_In_Blue.gif]
[Obrazek: sygnaasia.png]

Windows ❼ Forum

25.08.2013 19:17

Odwiedź stronę użytkownika Znajdź wszystkie posty użytkownika
Wątek zamknięty

Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Mapowanie nie moge usuwać całych folderów z podfolderam i plikami widi 0 1.133 07.12.2015 14:50
Ostatni post: widi
Witryna sieci WEB odrzuciła żądanie pokazania tej strony sieci WEB grzmar15 1 1.888 12.07.2015 17:23
Ostatni post: thermalfake
net wifi - Ustawienia dla sieci (...) nie są zgodne z wymaganiami sieci MsBubbles85 1 6.382 28.01.2015 09:15
Ostatni post: Meksyk1968
Rozwiązany Podłączanie komputerów do wirtualnej sieci Wi-Fi. Błąd po stworzeniu sieci. Carmel 2 2.386 03.12.2014 00:02
Ostatni post: Carmel
Szerokopasmowe połączenie sieci komórkowej, połączono ale brak dostępu do sieci killers15 4 5.674 06.03.2012 20:14
Ostatni post: killers15
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 1 głosów.