Sicherheitsfragen zum SMB-Zugriff mit Windows

[RT76]

Ich fange zuerst mit meinem Problem 1 an:

Vor einigen Tagen ist ein Hacker in einen Windows-Server eingebrochen. Der Windows-Server hatte mit NET USE ein Netzwerk-Laufwerk X: mit dem NAS unter \\10.1.1.100\Daten\ verbunden. Hierfür wurde ein spezieller Benutzer USER1 am NAS eingerichtet.

Jetzt wurde mit NET USE X: /DEL das Netzwerk-Laufwerk entfernt.

Nachdem Neustart des PCs ist jedoch weiterhin der volle Zugriff auf die NAS-Freigabe möglich z.B. mit:
dir \\10.1.1.100\Daten\
oder
type \\10.1.1.100\Daten\file.txt

Im NAS wird keine aktive SMB-Verbindung für USER1 angezeigt.

Wie kann ich Verbindung trennen bzw. Windows sagen, dass es die Login-Daten für USER1 löscht.
So ist es ein Sicherheitsrisiko.

 

[synfor]

Setze den Windowsserver neu auf und ändere beim User1 mindestens das Passwort.

 

[Jim_OS]

Hierfür wurde ein spezieller Benutzer USER1 am NAS eingerichtet.

Was ist ein "spezieller Benutzer" am NAS?

Zu Windows Server kann ich nicht mehr wirklich etwas sagen, aber warum löscht Du den User1 nicht einfach bei dem NAS?

Edit: Da synfor das ja auch schon geschrieben hat. Nach einem erfolgreichen Hacker-Angriff auf einen Windows-Server gibt es m.M.n. wohl eigentlich nur eine Konsequenz: Server platt machen. Ansonsten müsstest Du versuchen jegliche Änderung die der Hacker vorgenommen hat nachzuvollziehen und rückgängig zu machen. Das ist eigentlich fast unmöglich.

VG Jim

 

[RT76]

Was ist ein "spezieller Benutzer" am NAS?

Ein Benutzer, der speziell für den Server eingerichtet wurde.

Zu Windows Server kann ich nicht mehr wirklich etwas sagen, aber warum löscht Du den User1 nicht einfach bei dem NAS?

Das kann ich natürlich, ich weil aber wissen, wie ich diesen Zugriff entferne ohne USER1 zu löschen. Irgendwie/wo muss sich Windows das ja merken.

Edit: Da synfor das ja auch schon geschrieben hat. Nach einem erfolgreichen Hacker-Angriff auf einen Windows-Server gibt es m.M.n. wohl eigentlich nur eine Konsequenz: Server platt machen. Ansonsten müsstest Du versuchen jegliche Änderung die der Hacker vorgenommen hat nachzuvollziehen und rückgängig zu machen. Das ist eigentlich fast unmöglich.

Netter Tipp, aber nicht meine Frage. Der Server ist längst wieder von einem Backup wiederhergestellt und abgesichert.

 

[RT76]

Inzwischen habe ich herausgefunden, dass man die gespeicherten Logindaten in Windows unter "Systemsteuerung\Alle Systemsteuerungselemente\Anmeldeinformationsverwaltung" einsehen und löschen kann.

Weiß jemand, wie das auch per Befehlzeile geht?

 

[Benie]

Vielleicht kommst Du hiermit weiter.

https://www.computerweekly.com/de/tipp/Gespeicherte-Windows-Anmeldeinformationen-mit-Tools-loeschen