Wie kann man verhindern, dass ein Computer im LAN auf Netzwerkfreigaben zugreift?

Question

Sie müssen bedenken, dass esBenutzerkontenUndMaschinenkonten. Computerkonten werden im Wesentlichen nur verwendet, um den Computer einer Domäne hinzuzufügen. Benutzerkonten werden verwendet, um sich bei Computern oder Domänen anzumelden. Die Verwaltung des Zugriffs auf Freigaben erfolgt über Benutzerkonten. Benutzer melden sich entweder bei lokalen Computern an (d. h.ArbeitsgruppeSzenario) oder zu einemDomain(d. h. eine Maschine, die als Domänencontroller fungiert, stellt allen Netzwerkbenutzern Authentifizierungsdaten zur Verfügung – läuft entweder unter Windows Server oder Linux Samba). Der einfachste Anwendungsfall für den Heimgebrauch ist die Anmeldung bei jedem PC separat, was ein Arbeitsgruppenmodell ist. Das passiert sogar, wenn Ihre PCs einfach hochfahren und ohne Anmeldung zum Startbildschirm wechseln – es wird trotzdem ein Benutzerkonto auf dieser Maschine geben, das sich „automatisch anmeldet“. (Benutzer mit mmcBefehl durchsuchen – dadurch wird die Microsoft Management Console geöffnet).

Fall 1:Arbeitsgruppen

Deaktivieren Sie "einfache Dateifreigabe" über Tools - Folder Options - View - Advanced settings-siehe auch. Klicken Sie mit der rechten Maustaste auf den Ordner und geben Sie ihn über frei Sharing and Security. Wenn Sie schon dabei sind, legen Sie die Berechtigungen über die Schaltfläche fest Permissions. Hier zwei Szenarien:

Erstens, wenn Sie gewährenZugriff über lokalen Benutzernamen und Passwortder auf dem Computer existiert, der den Ordner freigibt. Nehmen wir an, es ist USER1. Geben Sie in den Berechtigungen nur USER1 Zugriff. Stellen Sie sicher, dass auf allen anderen Computern kein USER1 vorhanden ist. Beim Verbinden werden Benutzer dann nach Benutzername und Passwort gefragt. Wenn die Person, die den Computer verwendet, von dem Sie keinen Zugriff zulassen möchten, den Benutzernamen und das Passwort nicht kennt, kann sie nicht auf die Freigabe zugreifen. Natürlich müssen sich alle anderen den Benutzernamen und das Passwort merken und der Versuchung widerstehen, diese Anmeldeinformationen dem Benutzer zu geben, den Sie ausschließen möchten.
Szenario 2 ist, wenn IhrBenutzer kennen keine Netzwerk-Benutzernamen und Passwörterusw. und sie kommen an Computer, die sich automatisch anmelden. Das heißt, sie wissen nicht,keine Passwörter, nichts, ich benutze einfach meinen Computer, Mann. Sie kommen einfach zu einem Computer, der auf den Knopfbildschirm bootet Start. Sie können das nutzen. Notieren Sie sich die Benutzernamen auf Computern, von denen aus Sie auf Freigaben zugreifen möchten. Erstellen Sie auf Ihrem Freigabecomputer Benutzerkonten mit genauensame usernamesUNDsame passwordswie auf den erlaubten Computern. Wenn Sie den Ordner freigeben, erteilen Sie diesen Benutzern die Berechtigung. Sie können auch den Benutzernamen genau so einrichten wie für den Benutzer auf dem Computer, den Sie ausschließen möchten. Wenn Sie diesem Konto auf Ihrem freigegebenen Computer Berechtigungen erteilen,entfernenalle Zugriffe. Was Ihre Benutzer sehen werden – sie können von den „erlaubten“ Computern aus auf die Freigaben zugreifen und ihnen wird der Zugriff von den „ausgeschlossenen“ Computern verweigert. Hinter den Kulissen betrachtet Ihr Freigabecomputer die Zugriffsanforderungen folgendermaßen: who is asking?- Benutzer1 - what's your password?- Passwort1 OK you can access. Wenn der ausgeschlossene Computer eine Verbindung herstellt, findet genau der gleiche Austausch statt, außer dass die letzte Antwort lautet Access Denied!. Dies funktioniert nur, weil die Benutzernamen und Passwörter der zugreifenden Computer von Ihnen so eingerichtet wurden, dass sie mit den Benutzernamen und Passwörtern auf dem Freigabecomputer identisch sind. Angenommen, Sie haben 4 zugreifende Computer – jeder von ihnen hat ein Benutzerkonto. Auf dem Freigabecomputer haben Sie dann mindestens 4 Konten (es sei denn, alle zugreifenden Computer sind mit demselben Benutzernamen/Passwort „Auto-Logon“ eingerichtet, in diesem Fall haben Sie 2 Konten auf dem Freigabecomputer – eines für die zugreifenden Computer und 1 für den ausgeschlossenen Computer). Der einzige Grund, warum es ohne Nachfrage funktioniert, ist, dass Benutzernamen und Passwörter übereinstimmen und die Computer versuchen, die einzigen Anmeldeinformationen zu verwenden, die sie zur Hand haben. Aus jeder Netzwerksicherheitsperspektive ist dies ... hmm ... nicht großartig,CthulhuSo, denke ich. Aber es wird funktionieren, solange Ihre Benutzer nicht anfangen, an den Konten herumzufummeln, bei denen sie automatisch angemeldet sind.

Fall 2:Domänen

Viel einfacher - alle Benutzer melden sich bei einer Domäne an - alle Benutzernamen werden also zentral gespeichert. Sie können also den Zugriff auf Freigaben vom zentralen Server aus einschränken - nur wenn Sie eine Freigabe erstellen, geben Sie dann zulässige Benutzer wie diese DOMAIN\User1usw. an. Die Benutzer, die nicht ausdrücklich zugelassen werden, kommen nicht rein. Sie müssen natürlich daran denken, den Zugriff für dieEveryoneGruppe. Schöne und einfache Möglichkeit, erfordert jedoch, dass Sie entweder einen Windows-Server ausführen (kostet $) oder einen SAMBA 3- oder 4-Server unter Linux einrichten.

Fall 3?Firewall

Sie könnten, nehme ich an, eine Software-Firewall auf dem gemeinsam genutzten Rechner verwenden, um speziell den Datenverkehr von der IP-Adresse des Rechners auszuschließen, den Sie ausschließen möchten. Es würde ausreichen, der Firewall zu sagen, dass sie TCP/UDP-Datenverkehr für die Ports 138 und 139 verwerfen soll, wenn Anfragen von dieser IP-Adresse kommen. Das müsste allerdings eine andere Firewall sein als die Standard-Firewall von Windows XP. Nun, Sie könnten sogar eine Firewall auf dem Rechner verwenden, den Sie ausschließen möchten - sagen Sie diesem Rechner, dass er alle Pakete vom gemeinsam genutzten Rechner verwerfen soll, die von den Ports 138 und 139 kommen. Ein weitererChtulhuWeg ... könnte funktionieren, vorausgesetzt, Ihre Benutzer machen Ihre Änderungen nicht rückgängig ;).

Answer 1

Sie müssen bedenken, dass esBenutzerkontenUndMaschinenkonten. Computerkonten werden im Wesentlichen nur verwendet, um den Computer einer Domäne hinzuzufügen. Benutzerkonten werden verwendet, um sich bei Computern oder Domänen anzumelden. Die Verwaltung des Zugriffs auf Freigaben erfolgt über Benutzerkonten. Benutzer melden sich entweder bei lokalen Computern an (d. h.ArbeitsgruppeSzenario) oder zu einemDomain(d. h. eine Maschine, die als Domänencontroller fungiert, stellt allen Netzwerkbenutzern Authentifizierungsdaten zur Verfügung – läuft entweder unter Windows Server oder Linux Samba). Der einfachste Anwendungsfall für den Heimgebrauch ist die Anmeldung bei jedem PC separat, was ein Arbeitsgruppenmodell ist. Das passiert sogar, wenn Ihre PCs einfach hochfahren und ohne Anmeldung zum Startbildschirm wechseln – es wird trotzdem ein Benutzerkonto auf dieser Maschine geben, das sich „automatisch anmeldet“. (Benutzer mit mmcBefehl durchsuchen – dadurch wird die Microsoft Management Console geöffnet).

Fall 1:Arbeitsgruppen

Deaktivieren Sie "einfache Dateifreigabe" über Tools - Folder Options - View - Advanced settings-siehe auch. Klicken Sie mit der rechten Maustaste auf den Ordner und geben Sie ihn über frei Sharing and Security. Wenn Sie schon dabei sind, legen Sie die Berechtigungen über die Schaltfläche fest Permissions. Hier zwei Szenarien:

Erstens, wenn Sie gewährenZugriff über lokalen Benutzernamen und Passwortder auf dem Computer existiert, der den Ordner freigibt. Nehmen wir an, es ist USER1. Geben Sie in den Berechtigungen nur USER1 Zugriff. Stellen Sie sicher, dass auf allen anderen Computern kein USER1 vorhanden ist. Beim Verbinden werden Benutzer dann nach Benutzername und Passwort gefragt. Wenn die Person, die den Computer verwendet, von dem Sie keinen Zugriff zulassen möchten, den Benutzernamen und das Passwort nicht kennt, kann sie nicht auf die Freigabe zugreifen. Natürlich müssen sich alle anderen den Benutzernamen und das Passwort merken und der Versuchung widerstehen, diese Anmeldeinformationen dem Benutzer zu geben, den Sie ausschließen möchten.
Szenario 2 ist, wenn IhrBenutzer kennen keine Netzwerk-Benutzernamen und Passwörterusw. und sie kommen an Computer, die sich automatisch anmelden. Das heißt, sie wissen nicht,keine Passwörter, nichts, ich benutze einfach meinen Computer, Mann. Sie kommen einfach zu einem Computer, der auf den Knopfbildschirm bootet Start. Sie können das nutzen. Notieren Sie sich die Benutzernamen auf Computern, von denen aus Sie auf Freigaben zugreifen möchten. Erstellen Sie auf Ihrem Freigabecomputer Benutzerkonten mit genauensame usernamesUNDsame passwordswie auf den erlaubten Computern. Wenn Sie den Ordner freigeben, erteilen Sie diesen Benutzern die Berechtigung. Sie können auch den Benutzernamen genau so einrichten wie für den Benutzer auf dem Computer, den Sie ausschließen möchten. Wenn Sie diesem Konto auf Ihrem freigegebenen Computer Berechtigungen erteilen,entfernenalle Zugriffe. Was Ihre Benutzer sehen werden – sie können von den „erlaubten“ Computern aus auf die Freigaben zugreifen und ihnen wird der Zugriff von den „ausgeschlossenen“ Computern verweigert. Hinter den Kulissen betrachtet Ihr Freigabecomputer die Zugriffsanforderungen folgendermaßen: who is asking?- Benutzer1 - what's your password?- Passwort1 OK you can access. Wenn der ausgeschlossene Computer eine Verbindung herstellt, findet genau der gleiche Austausch statt, außer dass die letzte Antwort lautet Access Denied!. Dies funktioniert nur, weil die Benutzernamen und Passwörter der zugreifenden Computer von Ihnen so eingerichtet wurden, dass sie mit den Benutzernamen und Passwörtern auf dem Freigabecomputer identisch sind. Angenommen, Sie haben 4 zugreifende Computer – jeder von ihnen hat ein Benutzerkonto. Auf dem Freigabecomputer haben Sie dann mindestens 4 Konten (es sei denn, alle zugreifenden Computer sind mit demselben Benutzernamen/Passwort „Auto-Logon“ eingerichtet, in diesem Fall haben Sie 2 Konten auf dem Freigabecomputer – eines für die zugreifenden Computer und 1 für den ausgeschlossenen Computer). Der einzige Grund, warum es ohne Nachfrage funktioniert, ist, dass Benutzernamen und Passwörter übereinstimmen und die Computer versuchen, die einzigen Anmeldeinformationen zu verwenden, die sie zur Hand haben. Aus jeder Netzwerksicherheitsperspektive ist dies ... hmm ... nicht großartig,CthulhuSo, denke ich. Aber es wird funktionieren, solange Ihre Benutzer nicht anfangen, an den Konten herumzufummeln, bei denen sie automatisch angemeldet sind.

Fall 2:Domänen

Viel einfacher - alle Benutzer melden sich bei einer Domäne an - alle Benutzernamen werden also zentral gespeichert. Sie können also den Zugriff auf Freigaben vom zentralen Server aus einschränken - nur wenn Sie eine Freigabe erstellen, geben Sie dann zulässige Benutzer wie diese DOMAIN\User1usw. an. Die Benutzer, die nicht ausdrücklich zugelassen werden, kommen nicht rein. Sie müssen natürlich daran denken, den Zugriff für dieEveryoneGruppe. Schöne und einfache Möglichkeit, erfordert jedoch, dass Sie entweder einen Windows-Server ausführen (kostet $) oder einen SAMBA 3- oder 4-Server unter Linux einrichten.

Fall 3?Firewall

Sie könnten, nehme ich an, eine Software-Firewall auf dem gemeinsam genutzten Rechner verwenden, um speziell den Datenverkehr von der IP-Adresse des Rechners auszuschließen, den Sie ausschließen möchten. Es würde ausreichen, der Firewall zu sagen, dass sie TCP/UDP-Datenverkehr für die Ports 138 und 139 verwerfen soll, wenn Anfragen von dieser IP-Adresse kommen. Das müsste allerdings eine andere Firewall sein als die Standard-Firewall von Windows XP. Nun, Sie könnten sogar eine Firewall auf dem Rechner verwenden, den Sie ausschließen möchten - sagen Sie diesem Rechner, dass er alle Pakete vom gemeinsam genutzten Rechner verwerfen soll, die von den Ports 138 und 139 kommen. Ein weitererChtulhuWeg ... könnte funktionieren, vorausgesetzt, Ihre Benutzer machen Ihre Änderungen nicht rückgängig ;).

Wie kann man verhindern, dass ein Computer im LAN auf Netzwerkfreigaben zugreift?

Antwort1

verwandte Informationen