Sicherheitslücke SynologyDrive?

wschuster

Benutzer
Mitglied seit
20. Aug 2007
Beiträge
29
Punkte für Reaktionen
9
Punkte
3
Hallo, ich bin jetzt von CloudStation und DSM 6.2.4 auf SynologyDrive und DSM 7.2 umgestiegen.
Von daher bin ich noch nicht "Sattelfest".

Entweder habe ich die Zugriffsrechte falsch konfiguriert oder ich bin auf eine Sicherheitslücke gestoßen.
Bei Drive ist unten links ein Button über den man sein Profilfoto ändern kann. Damit erhält man aber Zugriff auf alle homes-Verzeichnisse aller Benutzer und den darin enthaltenen Dateien, wenn man von *.JPG auf *.* in der Suchmaske umstellt.

Der Benutzer (kein Admin) hat nur Zugriff auf die FileStation und Drive. Über die Anwendungen kann er auch nicht auf andere Verzeichnisse zugreifen.
Über den genannten Umweg aber schon.

Hat jemand eine Idee was ich bzw. wo ich etwas anders konfigurieren sollte.

vg
Wolfgang
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Hast du zufällig dem Benutzer Zugriff auf "homes" gegeben via Systemsteurung?
Bei "homes" darf in der Berechtigungsansicht der User NIEMALS ein Haken sein! Einfach leer lassen. Dann hat der User nur Zugriff auf seinen home.

EDIT: Schick mal nen Screenshot, was du genau meinst. Bei mir öffnet sich da der Explorer zum Auswählen des Bildes. Dort hat man logsicherweise die Rechte, mit denen man per SMB verbunden ist.
 

wschuster

Benutzer
Mitglied seit
20. Aug 2007
Beiträge
29
Punkte für Reaktionen
9
Punkte
3
Hallo Plang.pl,
die Zugriffsrechte auf HOMES sind die des Standardbenutzers und nicht geändert.
Aber dein Hinweis auf Explorer und SMB ist die Lösung. Danke.

Als Admin habe ich sowohl am Windows-PC als auch im Netzwerk alle Rechte. Deswegen sehe ich beim Aufruf für die Auswahl eines Profilfotos alle Verzeichnisse und die Dateien.
Habe mich gerademal an einem anderen PC als Standard-User angemeldet. Da wird dann bei der Auswahl des Profilfotos die fremden Verzeichnisse geblockt. So soll es sein. Falscher Alarm.

Das Thema kann geschlossen werden.

vg
Wolfgang
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
28. Okt 2020
Beiträge
15.029
Punkte für Reaktionen
5.400
Punkte
564
Noch ein Hinweis meinerseits: Ein Admin ist kein Benutzer. Mit dem wird nicht produktiv gearbeitet, sondern er wird nur für Admin-Zwecke genutzt. Wenn dein Windows PC die Admin-Zugangsdaten fürs NAS kennt und du fängst dir eine Ransomware ein, sind alle Shares verschlüsselt, weil der Admin überall hin darf. Mit einem normalen User ist das Problem nicht ganz so immens
 
  • Like
Reaktionen: Kirschi

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
@wschuster Wenn ich es richtig gut machen will, arbeitet auf einem Windows-PC ein regulärer Benutzer. Zum Einrichten meldet sich der LOKALE Admin an. Und der ist ein anderer als der NETZWERK-Admin, und der wieder ein anderer als der SERVER-Admin. Und der Admin für den BACKUP-SERVER ist wieder ein anderer. Der am besten geschützte ist der AD-Admin.

Das gilt im virtuellen Raum - auch wenn es die gleiche Person ist.

Es ist ein feuchter Traum für Ransom-Gangster, wenn es nur einen Admin-Zugang gibt.

Das geht dann so: Über eine Phishing-Mail wird Schadsoftware geladen, und eine Druckerstörung beim Benutzer simuliert.

Kennen wir alle, IT anrufen. Die kommt, meldet sich als lokaler Admin an und richtet den Drucker neu ein.

Die Zugangsdaten werden mitgeschnitten.

Ween es jetzt nur einen Adminuser gibt, ist die Rechteeskalation schon perfekt. Durchmarsch, AD übernommen, weitere Zugänge angelegt, im System eingegraben, Backups verschlüsselt, Daten verschlüsselt, Ferrari bestellt.

Also immer schön alles in Zellen aufteilen, eigene Gatekeeper einsetzen, und zum Arbeiten normale User nehmen - auch als „Herrgöttle“.

Zu Hause kann man es ähnlich machen !
 
  • Like
Reaktionen: muxx:K

muxx:K

Benutzer
Mitglied seit
27. Dez 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Darf ich da mal zwischenfragen @Synchrotron? Wie richte ich denn als Windows Desktop-Nutzer einen extra Netzwerkadmin ein, neben dem lokalen Admin, wenn ich nicht unbedingt eine Enterprise-OS-Version habe? Und selbst dort bin ich gar nicht so sicher, ob das mit der Rechtevergabe dann klappt. Als W10/11 Home User wohl unmöglich, oder? Und was ist der AD-Admin? Die Ratschläge sind natürlich gut, aber wie umsetzen?

PS: Sorry, wenn die erste Frage doof war, aber bei Netzwerken bin ich nur interessierter Laie.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Nicht für Dein Windows - er meint Du sollst für die tagtägliche Arbeit einen Nicht-Admin-User auf Deinem NAS einrichten. Windows hat in seinen Systemeinstellungen jetzt die Netzwerkpasswörter Deines NAS-Admins gespeichert, was einem Virus (per E-Mail, Schadsoftware) damit Administrationsrechte für Dein NAS geben könnte.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
@muxx:K Nicht auf dem Windows-Rechner - sondern auf den Netzwerkgeräten. In Unternehmen können das sein gemanagter Switch (VLANs), Firewall, VPN-Server, Endpoint Protection etc.

Zu Hause ist das z.B. der FritzBox-Admin, eventuelle auch ein Switch, mit dem IoT vom übrigen Netzwerk getrennt wurde, etc.
 
  • Like
Reaktionen: muxx:K

muxx:K

Benutzer
Mitglied seit
27. Dez 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Achso, das klang so in deinem ersten Satz der Antwort an wschuster in Beitrag #5 als ob sich das auf Windows bezöge...
Noch kurz: und was bedeutet "der am besten geschützte ist der AD-Admin"?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.083
Punkte für Reaktionen
2.060
Punkte
259
Active Directory - das ist da, wo in Windows-Netzwerken die Benutzer und ihre Rechte verwaltet werden.

Der Heilige Gral, um sich im Netzwerk mit allen Rechten auszustatten und loszulegen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat