13
Terminalserver: C:Users - nur eigenen User Ordner anzeigen
Guten Tag zusammen
Im Voraus schon vielen Dank für eure Mithilfe.
Szenario
1 Windows Terminalserver, auf welchen sich User verschiedener Firmen verbinden, um eine Applikation zu starten. Die User werden in einem gemeinsamen AD verwaltet.
Grundsätzlich sind die Berechtigungen mit Hilfe von GPO und AppLocker so beschränkt, dass die User nichts machen können, ausser diese eine Applikation zu starten.
Herausforderderung
Über die Applikation lassen sich Dateien abspeichern und somit besteht ein Zugriff auf den Dateiexplorer + die User können in das Verzeichnis C:\Users navigieren und so die Namen der anderen User sehen (aber natürlich nicht öffnen).
Wir möchten verhindern, dass ein User (oder Angreifer) die Möglichkeit hat die Namen der anderen User über das C:\Users Verzeichnis herauszufinden.
Über GPO lässt sich grundsätzlich der Zugriff auf C:\ einschränken, allerdings funktioniert dann der Dateiexplorer innerhalb der Applikation nicht mehr.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/group-poli ...
Frage
Gibt es eine einfache Möglichkeit nur den eignen Ordner unter C:\Users anzuzeigen?
Vielen Dank und beste Grüsse
Im Voraus schon vielen Dank für eure Mithilfe.
Szenario
1 Windows Terminalserver, auf welchen sich User verschiedener Firmen verbinden, um eine Applikation zu starten. Die User werden in einem gemeinsamen AD verwaltet.
Grundsätzlich sind die Berechtigungen mit Hilfe von GPO und AppLocker so beschränkt, dass die User nichts machen können, ausser diese eine Applikation zu starten.
Herausforderderung
Über die Applikation lassen sich Dateien abspeichern und somit besteht ein Zugriff auf den Dateiexplorer + die User können in das Verzeichnis C:\Users navigieren und so die Namen der anderen User sehen (aber natürlich nicht öffnen).
Wir möchten verhindern, dass ein User (oder Angreifer) die Möglichkeit hat die Namen der anderen User über das C:\Users Verzeichnis herauszufinden.
Über GPO lässt sich grundsätzlich der Zugriff auf C:\ einschränken, allerdings funktioniert dann der Dateiexplorer innerhalb der Applikation nicht mehr.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/group-poli ...
Frage
Gibt es eine einfache Möglichkeit nur den eignen Ordner unter C:\Users anzuzeigen?
Vielen Dank und beste Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5624712694
Url: https://administrator.de/contentid/5624712694
Printed on: April 29, 2024 at 15:04 o'clock
13 Comments
Latest comment
@Simsala:
Hallo.
Dazu braucht es keine GPO.
Aktiviere ABE ("Access Based Enumeration") auf Partition od. Laufwerk C:\, ab dann sehen User keine Verzeichnisse mehr, auf die sie nicht mindestens Leserechte haben (sie haben also nicht nur keinen Zugriff darauf, sondern diese sind dann wirklich unsichtbar/nicht angezeigt).
Würde in Deinem Fall bedeuten, daß Dein User "A" unterhalb von C:\Users\ nur noch diesen Ordner sieht (es sei denn, er hätte auf die Profilverzeichnisse der anderen User Leserechte, doch warum sollte er die haben?
):
C:\users\A\
Fertig.
Viele Grüße
von
departure69
Hallo.
Dazu braucht es keine GPO.
Aktiviere ABE ("Access Based Enumeration") auf Partition od. Laufwerk C:\, ab dann sehen User keine Verzeichnisse mehr, auf die sie nicht mindestens Leserechte haben (sie haben also nicht nur keinen Zugriff darauf, sondern diese sind dann wirklich unsichtbar/nicht angezeigt).
Würde in Deinem Fall bedeuten, daß Dein User "A" unterhalb von C:\Users\ nur noch diesen Ordner sieht (es sei denn, er hätte auf die Profilverzeichnisse der anderen User Leserechte, doch warum sollte er die haben?
):C:\users\A\
Fertig.
Viele Grüße
von
departure69
Moin,
Ich lasse mich gerne eines besseren Belehren, aber gilt ABE nicht nur bei Netzwerkfreigaben? Ich habe grade mal auf unserem Server geschaut (2019 DC). ABE steht mir nur im Freigabenbereich zur Verfügung, nicht jedoch für Laufwerk C:\ bei lokaler Verwendung.
Dein Link beschreibt es, wie mir bekannt, ebenfalls nur für Netzwerkfreigaben.
Gruß
Doskias
Zitat von @departure69:
Aktiviere ABE ("Access Based Enumeration") auf Partition od. Laufwerk C:\, ab dann sehen User keine Verzeichnisse mehr, auf die sie nicht mindestens Leserechte haben (sie haben also nicht nur keinen Zugriff darauf, sondern diese sind dann wirklich unsichtbar/nicht angezeigt).
Aktiviere ABE ("Access Based Enumeration") auf Partition od. Laufwerk C:\, ab dann sehen User keine Verzeichnisse mehr, auf die sie nicht mindestens Leserechte haben (sie haben also nicht nur keinen Zugriff darauf, sondern diese sind dann wirklich unsichtbar/nicht angezeigt).
Ich lasse mich gerne eines besseren Belehren, aber gilt ABE nicht nur bei Netzwerkfreigaben? Ich habe grade mal auf unserem Server geschaut (2019 DC). ABE steht mir nur im Freigabenbereich zur Verfügung, nicht jedoch für Laufwerk C:\ bei lokaler Verwendung.
Dein Link beschreibt es, wie mir bekannt, ebenfalls nur für Netzwerkfreigaben.
Gruß
Doskias
Jou, ABE passt hier nicht.
Vorweg bleibt zu klären, ob aus der Applikation heraus über den Öffnen-Disalog executables in C:\windows weiterhin startbar sind - dann wäre es eh ein leichtes, Nutzernamen auszulesen.
Vorweg bleibt zu klären, ob aus der Applikation heraus über den Öffnen-Disalog executables in C:\windows weiterhin startbar sind - dann wäre es eh ein leichtes, Nutzernamen auszulesen.
Du könntest zum Beispiel das Laufwerk C:\ einfach ausblenden. Dann wird es im Dateiexplorer nicht angezeigt, aber erreichbar wäre es dann dennoch und somit auch die Namen sichtbar, wenn du es per Hand eingibst.
1
Zitat von @DerWoWusste:
Jou, ABE passt hier nicht.
Vorweg bleibt zu klären, ob aus der Applikation heraus über den Öffnen-Disalog executables in C:\windows weiterhin startbar sind - dann wäre es eh ein leichtes, Nutzernamen auszulesen.
Jou, ABE passt hier nicht.
Vorweg bleibt zu klären, ob aus der Applikation heraus über den Öffnen-Disalog executables in C:\windows weiterhin startbar sind - dann wäre es eh ein leichtes, Nutzernamen auszulesen.
Es ist per AppLocker alles geblockt. Nur die Applikation und was es hierfür benötigt kann ausgeführt werden.
Zitat von @Doskias:
Du könntest zum Beispiel das Laufwerk C:\ einfach ausblenden. Dann wird es im Dateiexplorer nicht angezeigt, aber erreichbar wäre es dann dennoch und somit auch die Namen sichtbar, wenn du es per Hand eingibst.
Du könntest zum Beispiel das Laufwerk C:\ einfach ausblenden. Dann wird es im Dateiexplorer nicht angezeigt, aber erreichbar wäre es dann dennoch und somit auch die Namen sichtbar, wenn du es per Hand eingibst.
Das führt leider nicht zum Ziel, da die Applikation beim Speichern einer Datei den Explorer öffnet und man dann im eigenen Userverzeichnis ist. Nun kann man zu C:\Users navigieren.
Das Spannende ist, dass ich manuell nicht in das Verzeichnis navigieren kann (Zugriff gesperrt) - führe ich Explorer.exe mit Parametern aus
explorer.exe %userprofile% kommt man auf das Verzeichnis..
Applocker-Defaultrules sind also nicht aktiv?
Die Standardregel im Ordner Windows ist aktiv, jedoch sind alle Dinge wie cmd, powershell, Skripte und alles von dieser Liste hier
https://learn.microsoft.com/en-us/windows/security/threat-protection/win ...
blockiert.
Zudem kann man auch keine Freigaben erstellen bzw. in diesem Zusammenhang manuell über die Freigabe nicht das AD durchsuchen.
Eventuell verstehe ich dich auch falsch?
Dir Standardregeln sind unsicher und nicht von MS empfohlen - sofern man die Zwischenablage nutzen kann um Dateien reinzukopieren, nutzen auch die Beschränkungen der genannten Liste nichts mehr. Kann man die Zwischenablage für Dateien nutzen?
Zitat von @DerWoWusste:
Dir Standardregeln sind unsicher und nicht von MS empfohlen - sofern man die Zwischenablage nutzen kann um
Dateien reinzukopieren, nutzen auch die Beschränkungen der genannten Liste nichts mehr. Kann man die Zwischenablage für Dateien nutzen?
Dir Standardregeln sind unsicher und nicht von MS empfohlen - sofern man die Zwischenablage nutzen kann um
Dateien reinzukopieren, nutzen auch die Beschränkungen der genannten Liste nichts mehr. Kann man die Zwischenablage für Dateien nutzen?
Danke für deine Antwort.
Per accesschk haben wir die Verzeichnisse innerhalb von C:\Windows identifiziert, in welchen der User Schreibrechte hätte und somit etwas ausführen könnte.
Um deine Frage auch zu beantworten: Zwischenablage/Dateiaustausch ist aktiviert.
Zu meiner ursprünglichen Frage - scheinbar ist es nicht so einfach die anderen User in C:\Users auszublenden?
Beste Grüsse
Nein, zum Ausblenden lokaler Ordner ist mir kein Weg bekannt. Sicherlich gibt es Dateibrowser, die das können, aber solange dein Programm es nicht kann, wird das nichts bringen.
Teste mal Folgendes auf einem Testgerät: Bypass traverse checking aktivieren und dann den Zugriff auf c:\users ("nur dieser Ordner") verweigern.
Teste mal Folgendes auf einem Testgerät: Bypass traverse checking aktivieren und dann den Zugriff auf c:\users ("nur dieser Ordner") verweigern.
Zitat von @DerWoWusste:
Nein, zum Ausblenden lokaler Ordner ist mir kein Weg bekannt. Sicherlich gibt es Dateibrowser, die das können, aber solange dein Programm es nicht kann, wird das nichts bringen.
Teste mal Folgendes auf einem Testgerät: Bypass traverse checking aktivieren und dann den Zugriff auf c:\users ("nur dieser Ordner") verweigern.
Nein, zum Ausblenden lokaler Ordner ist mir kein Weg bekannt. Sicherlich gibt es Dateibrowser, die das können, aber solange dein Programm es nicht kann, wird das nichts bringen.
Teste mal Folgendes auf einem Testgerät: Bypass traverse checking aktivieren und dann den Zugriff auf c:\users ("nur dieser Ordner") verweigern.
Danke auch hier für die Antwort.
Scheinbar habe ich nun durch Zufall die Lösung gefunden, bin aber offen gesagt verwirrt, da ich dies meiner Meinung nach bereits getestet hatte und es hatte nicht funktioniert.
Ich dachte erst es hängt nun mit dem Bypass traverse checking zusammen dass es klappt, aber ich hatte diese Regel nicht aktiv.
Verweigere ich der Gruppe auf dem Ordner C:\Users Ordnerinhalt anzeigen funktioniert es.
Ich kann den eigenen Desktop öffnen / beschreiben -> navigiere ich über die Applikation in den Ordner C:\Users kommt die Meldung, dass ich keinen Zugriff habe.
Ist dies wirklich die Lösung?
Ich denke schon 
