Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety •
Rozwiązany Kwestia bezpieczeństwa przy udostępnianiu całych partycji w sieci LAN - Wersja do druku

+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Pomoc i wsparcie, Windows 7 (/pomoc-i-wsparcie-windows-7-26-f)
+--- Dział: Sieci komputerowe (/sieci-komputerowe-16-f)
+--- Wątek: Rozwiązany Kwestia bezpieczeństwa przy udostępnianiu całych partycji w sieci LAN (/kwestia-bezpieczenstwa-przy-udostepnianiu-calych-partycji-w-sieci-lan-35546-t)

Kwestia bezpieczeństwa przy udostępnianiu całych partycji w sieci LAN - jarosss - 24.08.2013 09:58

Mam 3 komputery z Windows 7 które są w jednej sieci za pomocą routera.
Na każdym mam takie same ustawienia:
- stworzone i usunięte konto Gościa
- włączone udostępnianie plików i drukarek
- wyłączone udostępnianie chronione hasłem
- ta sama grupa domowa

Udostępniam całe partycje:
- PPM na partycji -> udostępnianie -> wszyscy
-> zabezpieczenia -> utworzony profil wszyscy

No i tutaj jest problem ponieważ powoduje dostęp do moich plików przez osoby trzecie.
Jeśli ktoś podłączy się do mojej sieci widzi wszystko co udostępniam.
Jeśli ja z moim laptopem podłączone się do jakiejkolwiek sieci automatycznie wszystko jest udostępniane.

Czy da się jakoś ograniczyć udostępnianie plików tylko do mojej sieci?

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - Magnetar - 24.08.2013 16:35

Najprostszym rozwiązaniem podczas podłączania się do obcej podsieci jest odpowiednie określenie profilu, lokalizacji. Podczas podłączania do nowej sieci system zawsze pyta o jej lokalizację. Mamy tam do wyboru trzy opcje: Sieć Domowa, Firmowa, Publiczna - jeżeli nie chcesz, aby twój komputer był widoczny wybieraj profil Publiczny wtedy automatycznie Zapora systemu zamknie porty i nie będzie przyjmować połączeń, tym samym system nie będzie rozgłaszał swojej obecności ani chwalił się co ma udostępnione.

Ponadto proponuje przywrócenie udostępniania na hasło, dodatkowo utworzenie grupy użytkowników, którzy mogą mieć dostęp do zasobów jednocześnie odebrania im prawa do logowania lokalnego żeby system nie tworzył im profili, katalogów domowych, pulpitu etc. Odbierając im prawa logowania lokalnego nie będą widoczni na liście podczas logowania do systemu, będą to nazwijmy sobie ich umownie Użytkownicy sieciowi, bez kont lokalnych, ale rozpoznawani przez system i mający dostęp do zasobów zgodnie z określonymi prawami do nich.
Poza tym daj sobie spokój z grupą domową, bo nie każdy system rozpoznaje co to takiego - za to każdy wie co to grupa robocza - domyślnie windows ma ustawioną grupę WorkGroup co oznacza że fabrycznie wszystkie systemy należą do tej samej grupy i widzą się wzajemnie - aby tego uniknąć powinieneś wymyślić sobie jakąś nazwę grupy roboczej i dodać do niej wszystkie komputery w swojej podsieci - to nie gwarantuje bezpieczeństwa, ale dzięki temu będą odfiltrowane komputery nienależące do twojej grupy roboczej.

Tak jest chyba najprościej, najszybciej, przejrzyście oprzeć dostęp o uwierzytelnianie użytkowników natomiast określanie ruchu "tylko moja sieć" może okazać się bardzo czasochłonne i będzie wymagać znajomości protokołów sieciowych (TCP/IP, CIFS, NetBios itd), analizy dozwolonego ruchu i określania go.

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - jarosss - 24.08.2013 17:14

Możesz opisać jak to zrobić?

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - thermalfake - 24.08.2013 20:47

Zmiana nazwy grupy roboczej:
Panel sterowania -> System -> Zaawansowane ustawienia systemu -> Nazwa komputera -> Zmień
Starsze systemy od Visty nie rozpoznają tworu jakim jest grupa domowa więc przy tej samej grupie roboczej będziesz widział wszelkie stacje wpięte do sieci.
Odmowa do logowania lokalnego dla użytkownika lub grupy
Aplet Zasady zabezpieczeń lokalnych jest dostępny w wersjach od professional wzwyż.
W innym przypadku zostaje dłubanie w rejestrze systemowym - trzeba odnaleźć gałąź gdzie jest zapisywana informacja o odmowie.
Panel sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych -> Zasady lokalne -> Przypisywanie praw użytkownika -> Odmowa logowania lokalnego
Tu dodajesz specjalnie utworzonego użytkownika lub grupę (każdego kogo dopiszesz do niej otrzymuje te prawa).

Ponadto może warto się zastanowić nad dyskiem NAS o ile dane są dosyć ważne, poufne itp. Myślę, że jest to skuteczne rozwiązanie i bezpieczniejsze - backup o ile będzie raid i nie musisz wędrować z danymi w lapku.

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - jarosss - 24.08.2013 23:13

usunąłem udostępnianie dysku z "Wszyscy" i przydzieliłem tylko jednemu userowi którego konto z hasłem utworzyłem
pojawia się błąd zamiast okienka logowania:
[Obrazek: 3Gwukims.jpg]

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - thermalfake - 25.08.2013 15:06

A czy ten user we właściwościach partycji a w zasadzie w zakładce Zabezpieczenia widnieje i ma prawa chociaż do odczytu ?

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - jarosss - 25.08.2013 15:26

tak, w zakładce Udostępnianie i Zabezpieczenia jest dodany ten user
komputer z którego chce się dostać na tą partycję nie pokazuje okienka do wpisania hasła tylko powyższy błąd
jednocześnie inną partycję mam udostępnioną dla "Wszyscy" i działa

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - Magnetar - 25.08.2013 16:05

No masz tam jakiś problem z uprawnieniami, ale od początku żebyśmy wiedzieli jaką masz konfigurację.
Serwer - to ten komputer, który udostępnia zasoby.
Zasób, udział - to folder udostępniony lub w twoim przypadku cała partycja.

Serwer jest podłączony do sieci: Jaką masz ustawioną lokalizację ? Domowa/Firmowa czy Publiczna.
Jeżeli to jest twoja macierzysta sieć to na pewno masz ustawione: Domowa
Teraz przejdź do Panel Sterowania w "Centrum Sieci i Udostępniania" z lewej jest link: Zmień zaawansowane ustawienia udostępniania - wejdź tam
Widać tam dwie fiszki, jedna dotyczy ustawień profilu Domowy/Firmowy zaś druga dotyczy profilu Publicznego.
Interesuje nas profil Domowy:
Włącz odnajdowanie sieci. To masz
Włącz udost. plików i drukarek. To masz
Połączenia udost. plików: Włącz szyfrowanie 128 bit
Włącz udost. chronione hasłem
------------------------------------------------ To były podstawy --------------------
Na serwerze utworzę grupę użytkowników o nazwie: Sieciowa i odbiorę jej prawa do logowania lokalnego.

Panel Sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem -> Użytkownicy i grupy...
Wchodzę na Grupy: Tworzę nową grupę o nazwie: Sieciowa
Panel Sterowania -> Narzędzia administracyjne -> Zasady zabezpieczeń lokalnych -> Zasady lokalne -> Przypisywanie praw użytkownika -> Odmowa logowania lokalnego
[attachment=5540] [attachment=5541]
Teraz utworzę użytkownika o nazwie Prototyp i dodam go do grupy Sieciowa - jednocześnie usunę go z grupy Użytkownicy do której został dodany automatycznie, nie chcę, aby był użytkownikiem bo to jest tylko mój "avatar" sieciowy służący do dostępu do danych, ponadto po usunięciu go z grupy użytkownicy nie będzie widoczny na liście podczas logowania do systemu.
Panel Sterowania ->Narzędzia administracyjne -> Zarządzanie komputerem -> Użytkownicy i grupy...
Wchodzę na Użytkownicy: Tworzę Użytkownika o nazwie: Prototyp
[attachment=5542]

Ustawiam prawa do zasobu, wybieram jakiś udział i dodaję grupę Sieciowa
[attachment=5543]

----------------------------------------
Przechodzę na inny komputer z którego próbuję uzyskać dostęp do zasobu przy użyciu użytkownika Prototyp
Wcześniej tworzę regułę, która mówi że dla serwera Admin-HP system do logowania ma użyć poświadczeń użytkownika Prototyp: Panel Sterowania -> Menedżer Poświadczeń
[attachment=5544]

Serwer nazywa się ADMIN-HP
Udostępniony folder: Gam
Podłączam zasób pod literę "x"

Kod:
net use x:  \\ADMIN-HP\Gam
otrzymuję zwrotkę że polecenie zostało wykonane pomyślnie - bez pytania o login i hasło

Otwieram zasób
Kod:
explorer x:

Na serwerze: Panel Sterowania -> Narzędzia administracyjne -> Zarządzanie komputerem -> Foldery udostępnione -> Sesje
Widzę w sesjach użytkownika Prototyp korzystającego z udziału.
----------------------------------

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - jarosss - 25.08.2013 16:54

teraz działa! Uśmiechnięty
menadżer poświadczeń rozwiązał problem Uśmiechnięty

RE: udostępnianie całych partycji w sieci LAN - bezpieczeństwo - Magnetar - 25.08.2013 17:24

Menedżer jest tylko ułatwieniem (np w XP go nie ma), w niektórych scenariuszach dostępu może stać się problemem.
Uporządkuj sobie uprawnienia, przejrzyj zasoby, pozmieniaj, do prawidłowego działania nie jest potrzebny Menedżer.
Przykład masz podany, także może posłużyć jako mała ściąga.
Powodzenia.

udostępnianie całych partycji w sieci LAN - bezpieczeństwo (rozwiązany) - LadyInBlue - 25.08.2013 19:17

Wątek rozwiązany.