Benutzerrechte

CIFS (Common Internet File System)

Dateiendungen

Domänenfunktionsebenen (Windows 2003)

Ermöglicht gemischten Betrieb von W2K3, Windows 2000 und NT4 Domänencontroler.

Welche Informationen werden im AD gespeichert

Die Daten werden abgelegt in der Datei Ntds.dit

Definiert welche Objekttypen und deren Eigenschaften angelegt werden können. Gilt für das gesamte AD (also auch wenn mehrere Domänen existieren).

Beschreibt alle Objekte innerhalb einer Domäne.

Enthält die eigentlichen Objekte (Benutzer, Drucker, etc) innerhalb einer Domäne.

Glossar (Begriffe rund um Active directory)

Ein Eintrag in der DACL (Discretionary Access Control List) für ein Objekt, die einem Benutzer oder Gruppe Berechtigungen gewährt.

COM-basiertes Dienstmodell, daß es ADSI-kompatiblen Anwendungen ermöglicht über einen Satz von Standardschnittstellen auf Verzeichnisprotokolle zuzugreifen.

Legt die Anzahl Objekte fest, deren Besitzer ein Sicherheitsprinzipal in einer Verzeichnispartition haben darf.

Im Schema ist hinterlegt, welche Objektklassen (zum Beispiel Benutzer, Drucker, ...) und deren Eigenschaften (Name, Abteilung, Telefon, ...) im Active Directory (AD) gespeichert werden

Active Directory Schema Snap-IN

Ein Verwaltungstool um das Schema eines Active Directory anzuzeigen und zu bearbeiten.

In einer Domäne sind alle Netzwerkobjekte gespeichert. Die Zugriffsrechte werden über Access Control Listen (ACL) gesteuert.

Ein Computer auf dem Windows Server ausgeführt wird und der eine vollständige Kopie der Active-Directory-Informationen hält. Mehrere Domänencontroler replizieren ihre Daten automatisch untereinander.

Im Gegensatz zu NT4.0 gibt es bei W2K3 nur noch gleichberechtigte Domänencontroler.

Mittel zur Netzwerkweiten Aktivierung von Active-Directory-Features. (Unter Windows 2000 Server noch als Domänen-Modi bezeichnet).

Container um Objekte in logische Gruppen aufzuteilen.

Kennwortverschlüsselung

Authentifizierung basiert auf dem OEM-Zeichensatz und unterscheidet nicht zwischen Groß- und Kleinschreibung. Passwort maximal 14 Zeichen lang. Verschlüsselung nach DES-Standard. Dieser Kennworttyp wird nur aus Kompatibilitätsgründen zu alten Windows-Versionen (z.B. Win 9.x) eingesetzt und ist leicht zu knacken.

Kennwort basiert auf UNICODE Zeichensatz, berücksichtigt Groß- und Kleinschreibung und wertet die ersten 14 Zeichen aus. RSA-MD-4 Verschlüsselung.

Nützliche Kommandozeilenbefehle

Möglichkeiten der Rechtevererbung

Schwachstellen Windows 2000 (W2k) Server in Default-Konfiguration

IIS (Internet Information Server) wird automatisch mit installiert und aktiviert. Wenn der Server nur als lokaler Fileserver dient deaktivieren oder deinstallieren. Ansonsten wenigstens Sicherheitspatches einspielen!

Möglicherweise wird auch ein FTP und SMTP-Dienst mit installiert. Wenn keine explizite Notwendigkeit besteht: Weg damit!

Telnet-Dienst (zwar per Default nicht aktiviert aber mit installiert). Liefert bei Nutzung unverschlüsselte Verbindungen.

Zuviele lokale Dateizugriffsrechte. Nach der Grundinstallation erzeugte Partitionen (Laufwerk D: etc) werden mit "Vollzugriff für Jeden" berechtigt. Ebenso wie das Rootverzeichnis  der Systempartition (in der Regel C:\).

Internet-Explorer wird mit installiert. Hier sollten dringend aktuelle Sicherheitspatches eingespielt werden.

Keine Protokollierung von Anmelde- Abmeldevorgänge. Somit bleiben heimliche Anmeldeversuche unentdeckt.

SMB (Server Message Block Protocol)

Das SMB-Protokoll dient dem Sharing (teilen, verfügbar machen)  von Resourcen (Verzeichnisse, Drucker, ...)  in einem Windows-Netzwerk.

Dabei werden folgende Paketarten verwendet:

Session Control Packets

Aufbau von Verbindungen zu Resourcen wie Drucker oder freigegebene Verzeichnisse.

File Access Packets

Zugriff und Änderung von Dateien und Verzeichnissen

General Message Packets

Versand von Daten an Druckerwarteschlangen etc.

NetBIOS über TCP/IP im OSI Modell

Verbindungsabbrüche zwischen Server und Client bei Inaktivität

In Support-Newsgroups gibt es eine ganze Reihe von Vorschlägen um Verbindungsabbrüche zwischen Client und Server bei Inaktivität zu vermeiden. Eine Funktionsgarantie gibt es aber nicht. Nachfolgende Methode scheint uns am sinnvollsten:

1. Am Server über die Sicherheitsrichtlinien für Domänen

 "Verwaltung" -> "Lokale Sicherheitsrichtlinien"

 "Lokale Richtlinien" -> "Sicherheitsoptionen"

 "Leerlaufspanne bis zur Trennung der Sitzung" auf "0" stellen

Dadurch wird dieser Wert

    [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

    "autodisconnect"=REG_DWORD

    von 0000000F     (Default-Wert: 15 Minuten)

    auf FFFFFFFF     (4.294.967.295 Min. => NIE ...) umgestellt

2. Man kann den oben genannten Registry-Wert auch manuell ändern. Daraus können sich aber Probleme ergeben.

   a) Editieren der Registry per Hand

     "autodisconnect"=dword:FFFFFFFF

   b) In der Eingabeaufforderung am Server

     "net config server /autodisconnect:-1"

   Möglicher Wertebereich in der Shell: -1 bis 65535 Minuten

     Deaktivierung durch "-1", Default-Wert = 30 Minuten