Noch eine Beobachtung, die mir Blog-Leser Michael T. per Mail zukommen ließ. Es geht um ein NAS-System der Firma Synology. Michael ist aufgefallen, dass die Freigaben ohne Zugangsdaten (er benutzt das Kürzel ZGD im Text) erreichbar sind.
Anzeige
Michael schrieb in seiner Mail: Mir ist gestern durch Zufall etwas aufgefallen. Ich nutze ein NAS der Firma Synology (gepatched auf aktuellen Stand).
Dort habe ich eine Freigabe erstellt die nur von einem Benutzer aufgerufen werden darf und gesehen werden kann. Wenn ich über meine Windows Maschine die Freigabe in Explorer aufrufe erscheint wie gewollt die Abfrage nach den Zugangsdaten. Das klappt auch ohne Probleme!
Nun hatte das Ding als Zwischenspeicher genutzt um ein Zertifikat auf meine Clients zu verteilen. Über die MMC wollte ich das gewünschte Zertifikat einfügen und habe auf durchsuchen geklickt, um den Pfad einzugeben.
Dort wurde mir direkt mal die Freigabe angezeigt! Eigentlich habe ich dem User "Jeder" die Rechte genommen und lesen /schreiben/ändern auf forbidden gesetzt. Ergo fragt jeder Client im Explorer wie erwähnt nach den Zugangsdaten (ZGD), bevor überhaupt der Name der Freigabe angezeigt wird.
Kurios wurde es aber dann als ich die Freigabe geöffnet hatte und alle darauf gespeicherten Daten einsehen konnte!
Somit habe ich die Möglichkeit aus der passwort-geschützten Freigabe meine Daten mit dem "mini" Explorer (weiß gerade nicht wie ich es besser beschreiben kann) auf meinen Client lokal zu kopieren ohne die ZGD einzugeben.
Erst dachte Michael, dass diese Daten noch gecached sind, weil er vom Client eventuell mal die Freigabe aufgerufen hatte. Aber das kann man laut seiner Aussage nun verwerfen! Dazu schreibt Michael:
Ich habe einen neuen Client virtualisiert und dort ging es ebenfalls. Natürlich hat der User mit Rechten auf dem NAS ein anderes Kennwort /Anmeldename als der User auf dem Client. Also ist es nicht möglich das der User "zufällig" die Freigabe öffnen konnte.
Michael fragt: Ist dieser Fehler bereits bekannt und ich habe es nur überlesen? Mir selbst ist da nichts bekannt – ich habe aber auch kein Synology-NAS. Kann jemand von Euch etwas mit der Beobachtung anfangen und das bestätigen?
Anzeige
Ich kann das nicht nachvollziehen.
Aber: Man kann an zwei bis drei Stellen die Berechtigungen unterschiedlich verwalten. Einmal in der Systemsteuerung bei "Gemeinsamer Ordner" (Klick auf "Bearbeiten" und dann bei "Berechtigungen" und ggf. auch bei "Erweitertw Berechtigungen".) und dann auch im Paket "File Station" (Recht Klick auf den gemeinsamen Ordner, dann auf "Eigenschaften" und dann auf "Genehmigung".).
Ich bin etwas unsicher, aber ich meine unter gewissen Umständen findet man in den Berechtigungen den Eintrag "Everyone", wenn man die Berechtigungen über die File Station öffnet, während sie in der Systemsteuerung nicht angezeigt werden.
Ich habe das gerade auf einem Kundensynologysystem getestet und kann den Fehler nicht nachvollziehen.
Wird die mmc mit Administrator-Rechten ausgeführt und läuft daher nicht mit den Rechten des Users, der sie aufruft?
Kann das Problem ebenfalls nicht reproduzieren.
Es kommt immer die entsprechende Abfrage, wenn der User / Account keine Zugriffsberechtigung hat.
GGf. ein Problem, was es vielleicht nur mit SMB1 gibt (Ist bei mir überall – auch auf dem NAS – deaktiviert).
Ansonsten würde ich primär auf User-Fehler bei der Berechtigungsvergabe tippe. Insbesondere der Satz " Eigentlich habe ich dem User "Jeder" die Rechte genommen und lesen /schreiben/ändern auf forbidden gesetzt." klingt so. Berechtigungen werden am NAS eingestellt / festgelegt und nicht am PC. Auf dem NAS gibt es default kein "jeder", wo man etwas entziehen müsste.
Habe es auch versucht. kein Zugriff ohne Benutzer/Passwort. Evtl. ein Config Problem auf dem NAS, dort sind die Berechtigungen an verschiedenen Stellen innerhalb des OS, bzw. Apps, einseh- und einstellbar. Ist manchmal etwas verwirrend… s. z.B. Filebrowser und DS-File App.
Herr Born, sie sollten hinter dem Beitragstitel "Synology NAS: Freigabe ohne Zugangsdaten erreichbar" vielleicht ein Fragezeichen setzen. Bislang konnte niemand den "Fehler" nachvollziehen.
Gruß
Gaga
Ich kann das "Problem" auch nicht reproduzieren und sehe dies wie die meisten anderen Kommentatoren hier….
Das sehe ich genau so, ist wohl nicht auf der Synology entsprechend konfiguriert sondern fälschlicherweise in Windows.
Es gibt wie richtig erwähnt per default keinen User "Jeder", des weiteren gibts die Berechtingung "lesen/schreiben/ändern" auch nicht, es gibt "nur" lesen/schreiben, man kann diese auch nicht auf "forbidden" setzen sondern "nur" aktivieren oder deaktivieren oder die Berechtigung "kein Zugriff" aktivieren oder deaktivieren.
Bezüglich dem Hinweis auf SMB1, hier möchte ich erwähnen, dass SMB1 auf der Synology aus Sicherheitsgründen "deaktiviert" gehört, sofern SMB aktiviert ist. Dies muss unter Dateidienste – SMB/AFP/NFS, dort dann unter Erweiterte Einstellungen – Mindest-SMB-Protokoll auf SMB2 geändert werden.
Guten Morgen…
ich habe insg. 2 synology NAS im Einsatz. Der Fehler tritt nur bei einem auf.
Beide haben die exakt gleiche Anzahl an User und die Rechte sind identisch konfiguriert.
Habe eben nochmal beide überprüft.
@Stefan ja, die mmc wird als Administrator ausgeführt. Allerdings hat das Konto ebenfalls ein anderes PW gesetzt als der Admin oder User auf dem NAS der die erforderlichen Berechtigungen benötigt.
Das Gast Konto ( Guest) wurde auf Verweigert gestellt und ist deaktiviert.
@Adrian W SMB1 war bis eben noch aktiviert.. Schade über mich!! Habe es direkt geändert! Danke für den Tipp.
Dennoch ist die Freigabe ohne Zugangsdaten erreichbar… (bei 1/2)
Ich hab insgesamt 5 oder 6 Synologies im Einsatz – allesamt auf dem neuesten aktuellen Softwarestand.
3 Davon sind in einer Domäne (jew. andere). Und davon wiederum EINE hat genau das beschriebene Problem. Ich ich bekomm das nicht in den Griff!!
Ich hab das aber bischen weiter eingegrenzt. ALLE Freigaben, die ich anlege, sind erstmal lesbar für ALLE Domänenbenutzer UND wie ich jetzt erst festgestellt habe auch für Gäste(!). Da kann ich machen, was ich will.
Das ist absolut ein Softwarefehler – die anderen Synos haben das nicht. Ich hab aber keine Ahnung, wie ich das beheben soll.
Ich muss immer explizit alle Benutzer einzeln auf "kein Zugriff" stellen.
Wenn ich die "erweitereten Berechtigeungen" aktiviere, funktioniert das -aber das is immer unnötig komplex.
Der Kunde guckt mich schon immer doof an, weil mir schon paarmal einer durchgerutscht war.
Ich hab KEINEN Schimmer, was an der Syno anders sein soll als bei den anderen…
Okay… is sehe gerade, dass das nicht alle Freigaben betrifft – sondern nur manche. Gerade neue Freigabe angelegt… da funktionierts.
Ich bin alle Freigaben durchgegangen… 3 von 7 haben das Problem. Die leg ich jetzt alle neu an.
So wie yves geht es auch mir: Nur wenn ich auf der Sinology die "Erweiterten Berechtigungen" aktiviere und analog zu den "Berechtigungen" konfiguriere, funktionieren die Zugriffsrechte mit Windows 10 Pro und Sinology NAS zuverlässig. Da dieses Zugriffsrechte pro User vergeben werden müssen, ist das in der Tat recht aufwändig und fehleranfällig. – Soviel dazu.
Diese aufwändige Konfiguration funktioniert allerdings nicht, wenn ich via Sophos UTM9 auf das Sinology NAS zugreife. Über diesen Weg greifen die eingestellten Zugriffsrechte nicht. Alle Freigaben sind ohne Zugangsdaten erreichbar. Hat hiermit jemand Erfahrungen?