Sicherheitslücke SynologyDrive?

[wschuster]

Hallo, ich bin jetzt von CloudStation und DSM 6.2.4 auf SynologyDrive und DSM 7.2 umgestiegen.
Von daher bin ich noch nicht "Sattelfest".

Entweder habe ich die Zugriffsrechte falsch konfiguriert oder ich bin auf eine Sicherheitslücke gestoßen.
Bei Drive ist unten links ein Button über den man sein Profilfoto ändern kann. Damit erhält man aber Zugriff auf alle homes-Verzeichnisse aller Benutzer und den darin enthaltenen Dateien, wenn man von *.JPG auf *.* in der Suchmaske umstellt.

Der Benutzer (kein Admin) hat nur Zugriff auf die FileStation und Drive. Über die Anwendungen kann er auch nicht auf andere Verzeichnisse zugreifen.
Über den genannten Umweg aber schon.

Hat jemand eine Idee was ich bzw. wo ich etwas anders konfigurieren sollte.

vg
Wolfgang

 

[plang.pl]

Hast du zufällig dem Benutzer Zugriff auf "homes" gegeben via Systemsteurung?
Bei "homes" darf in der Berechtigungsansicht der User NIEMALS ein Haken sein! Einfach leer lassen. Dann hat der User nur Zugriff auf seinen home.

EDIT: Schick mal nen Screenshot, was du genau meinst. Bei mir öffnet sich da der Explorer zum Auswählen des Bildes. Dort hat man logsicherweise die Rechte, mit denen man per SMB verbunden ist.

 

[wschuster]

Hallo Plang.pl,
die Zugriffsrechte auf HOMES sind die des Standardbenutzers und nicht geändert.
Aber dein Hinweis auf Explorer und SMB ist die Lösung. Danke.

Als Admin habe ich sowohl am Windows-PC als auch im Netzwerk alle Rechte. Deswegen sehe ich beim Aufruf für die Auswahl eines Profilfotos alle Verzeichnisse und die Dateien.
Habe mich gerademal an einem anderen PC als Standard-User angemeldet. Da wird dann bei der Auswahl des Profilfotos die fremden Verzeichnisse geblockt. So soll es sein. Falscher Alarm.

Das Thema kann geschlossen werden.

vg
Wolfgang

 

[plang.pl]

Noch ein Hinweis meinerseits: Ein Admin ist kein Benutzer. Mit dem wird nicht produktiv gearbeitet, sondern er wird nur für Admin-Zwecke genutzt. Wenn dein Windows PC die Admin-Zugangsdaten fürs NAS kennt und du fängst dir eine Ransomware ein, sind alle Shares verschlüsselt, weil der Admin überall hin darf. Mit einem normalen User ist das Problem nicht ganz so immens

 

[Synchrotron]

@wschuster Wenn ich es richtig gut machen will, arbeitet auf einem Windows-PC ein regulärer Benutzer. Zum Einrichten meldet sich der LOKALE Admin an. Und der ist ein anderer als der NETZWERK-Admin, und der wieder ein anderer als der SERVER-Admin. Und der Admin für den BACKUP-SERVER ist wieder ein anderer. Der am besten geschützte ist der AD-Admin.

Das gilt im virtuellen Raum - auch wenn es die gleiche Person ist.

Es ist ein feuchter Traum für Ransom-Gangster, wenn es nur einen Admin-Zugang gibt.

Das geht dann so: Über eine Phishing-Mail wird Schadsoftware geladen, und eine Druckerstörung beim Benutzer simuliert.

Kennen wir alle, IT anrufen. Die kommt, meldet sich als lokaler Admin an und richtet den Drucker neu ein.

Die Zugangsdaten werden mitgeschnitten.

Ween es jetzt nur einen Adminuser gibt, ist die Rechteeskalation schon perfekt. Durchmarsch, AD übernommen, weitere Zugänge angelegt, im System eingegraben, Backups verschlüsselt, Daten verschlüsselt, Ferrari bestellt.

Also immer schön alles in Zellen aufteilen, eigene Gatekeeper einsetzen, und zum Arbeiten normale User nehmen - auch als „Herrgöttle“.

Zu Hause kann man es ähnlich machen !

 

[muxx:K]

Darf ich da mal zwischenfragen @Synchrotron? Wie richte ich denn als Windows Desktop-Nutzer einen extra Netzwerkadmin ein, neben dem lokalen Admin, wenn ich nicht unbedingt eine Enterprise-OS-Version habe? Und selbst dort bin ich gar nicht so sicher, ob das mit der Rechtevergabe dann klappt. Als W10/11 Home User wohl unmöglich, oder? Und was ist der AD-Admin? Die Ratschläge sind natürlich gut, aber wie umsetzen?

PS: Sorry, wenn die erste Frage doof war, aber bei Netzwerken bin ich nur interessierter Laie.

 

[Thonav]

Nicht für Dein Windows - er meint Du sollst für die tagtägliche Arbeit einen Nicht-Admin-User auf Deinem NAS einrichten. Windows hat in seinen Systemeinstellungen jetzt die Netzwerkpasswörter Deines NAS-Admins gespeichert, was einem Virus (per E-Mail, Schadsoftware) damit Administrationsrechte für Dein NAS geben könnte.

 

[Synchrotron]

@muxx:K Nicht auf dem Windows-Rechner - sondern auf den Netzwerkgeräten. In Unternehmen können das sein gemanagter Switch (VLANs), Firewall, VPN-Server, Endpoint Protection etc.

Zu Hause ist das z.B. der FritzBox-Admin, eventuelle auch ein Switch, mit dem IoT vom übrigen Netzwerk getrennt wurde, etc.

 

[muxx:K]

Achso, das klang so in deinem ersten Satz der Antwort an wschuster in Beitrag #5 als ob sich das auf Windows bezöge...
Noch kurz: und was bedeutet "der am besten geschützte ist der AD-Admin"?

 

[Synchrotron]

Active Directory - das ist da, wo in Windows-Netzwerken die Benutzer und ihre Rechte verwaltet werden.

Der Heilige Gral, um sich im Netzwerk mit allen Rechten auszustatten und loszulegen.

 

[wschuster]

Danke für die Hinweise. Bin mir der Risiken bewusst.

Hier ein unterhaltsames einstündiges Video "Semmler - Analyse eines SuperGAUs" wie die Übernahme fremder Netzwerke erfolgt und auch Backups nichts mehr nutzen.

https://www.fks.de/connect-it-2020/programm/