Ordner Passwortschutz

[Hai111]

Frage kann ich einen Ordner im bereich der Shared Folders on Server auch noch mit einem Passwort Schützen.

[Christoph]

Nein, so ein Passowrt kannst du leider nicht setzen. Aber es erhält ja nur der oder die User Zugriff, welche du in der Windows Home Server Konsole berechtigt hast.

[brad]

Tag zusammen,

ich würde dieses Thema gerne noch einmal aufgreifen, denn ich hatte die gleiche Idee.. also die Shared Folders noch mal irgendwie separat zu schützen. Im Sinne eines wahren Home Servers haben wir (als Familie) dort auch viel Privates liegen. Nichts wirklich Sensibles, aber immerhin private Dinge. Vielleicht bin ich ja auch nur ein wenig phobisch... aber wenn ich sehe, dass zwischen dem WWW und dem WHS nur ein einziges Passwort als "Schutz" liegt, dann macht mich das doch bedingt kribbelig. Wer dieses Passwort überwindet (ich weiss ehrlich gesagt nicht, wie schwer das ist...??), dann liegt die Konsole (und somit das ganze Netzwerk) auch nicht mehr weit weg...

Wie löst Ihr dieses Thema oder wie steht Ihr dazu?

Brad

[thorstenb]

Das Problem löst man indem man "sichere" Passwörter verwendet, also Passöwrter, die sich nicht so einfach durch ein Bruteforce Agriff entschlüsseln lassen. Entweder man arbeitet da mit Zahlen und Sonderzeichen und Groß/Klein-Schreibung und hat dann ein sehr kryptisches Passwort (was man sich in der Regel nicht merken kann) oder aber man arbeitet mit einer Passphrase ala "Ich bin zu dösig mein Kennwort zu behalten!" = IbzdmKzb! Solch ein Passwort ist nicht so einfach zu überwinden

Oder aber, man schaltet das Sharing ins Internet ab und schon verschwindet der HS wieder hinter der Firewall.

Gruß,
Thorsten

[sTunTe]

Ein Angreifer würde ohnehin versuchen, sich Adminrechte auf dem WHS zu besorgen. Da nützt dann ein zusätzliches Passwort für Freigaben ohnehin nichts. Er erstellt einfach ein neues bzw. löscht das vorhandene.
Die beste/sicherste Möglichkeit sensibele Daten zu schützen dürfte meiner Meinung nach TrueCrypt darstellen. Für diejenigen die es nicht kennen: Einfach mal googlen.

Zum Thema BruteForce:
Wer sich mal die Mühe macht und in die Gruppenrichtlinie des Servers schaut, wird feststellen, dass hier schon die erste Hürde für einen Angriff liegt.
Die "Kontensperrungsschwelle" ist bereits aktiviert, wobei mir persönlich der Wert von 50 zu hoch ist...
Außerdem ist die "Kontosperrdauer" auf 30 Minuten gesetzt.

Wenn man nun davon ausgeht, dass der ISP alle 24h eine Zwangstrennung der Internetverbindung durchführt und der Angreifer nicht über die URL, sonder per Portscanner über die IP daherkommt, hätte er (rein theoretisch)
24 x 2 x 50 = 2400 Versuche (pro Tag, wenn über die IP "gehakt" wird)

Bei einer Passwortlänge von z.B. 7 Zeichen bestehend aus Buchstaben (groß und klein, ohne Sonderzeichen) und Zahlen ergibt sich eine Kombinationsmöglichkeit von
(26 x 2 + 10) hoch 7 =
3.521.614.606.208
oder in Worten
3 Billionen 521 Milliarden 614 Millionen 606 Tausend 208

Jetzt kann sich jeder ausrechnen, wie groß (bzw. klein) die Wahrscheinlichkeit ist, dass solch ein Passwort unter oben genannten Voraussetzungen geknackt wird...
Bei einer Länge von 10 Zeichen kommt man somit auf 839.299.365.868.340.224 (839 Billiarden, also "knapp" 1 Trillionen) Kombinationsmöglichkeiten.
Und spätestens hier dürfte jeder Angriffsversuch von Scriptkiddies in's Leere laufen...
Und damit sind 99,9% aller Angriffe (meine persönliche Schätzung!) im wahrsten Sinne des Wortes "nicht der Rede wert"!

Wer noch eins drauf setzen möchte, baut noch das ein oder andere Sonderzeichen mit ein.
Die Anzahl der Möglichkeiten könnt Ihr dann selber ausrechnen...

Und für die Paranoiden :
Setzt die "Kontensperrungsschwelle" auf einen Wert von z.B. 3
und die "Kontosperrdauer" auf 360 Minunten.
Das ganze findet man im Gruppenrichtlinenobjekt-Editor (Ausführen -> gpedit.msc) unter
Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Kontorichtlinien -> Kontosperrungsrichtlinien
Benutzung auf eigene Gefahr!

Gruß
sTunTe

[brad]

Und für die Paranoiden :
Setzt die "Kontensperrungsschwelle" auf einen Wert von z.B. 3
und die "Kontosperrdauer" auf 360 Minunten.

Na, das ist doch mal ein prima Tipp! Vielleicht muss man das nicht ganz so restriktiv einstellen, aber vom Grundsatz her gut zu gebrauchen!

Brad

[Baddy]

hm, ich logge mich immer über "remote ein" mein user name dabei ist immer "Administrator" was ich an sich schon für ein riesen sicherheits loch halte?!?

mein passwort besteht aus groß ud klein schreibung so wie zehlen ohne sonder zeichen, länge = 10 "zeichen"

is das sicher genug?!?

in der "systemsteuerung" finde ich keine "Benutzer" oder "Benutzer konten verwaltung"

nur die in der "konsole"

habe noch zwei weitere user angelegt, bei denen aber kein Remotezugriff gestattet ist bzw. von denen keiner gestattet ist.

kann ich das so lassen?

[Nobby1805]

in der "systemsteuerung" finde ich keine "Benutzer" oder "Benutzer konten verwaltung"

nur die in der "konsole"

Systemsteuerung > Verwaltung > Computerverwaltung

da findest du dann auch Benutzer und Gruppen

[sTunTe]

Hallo Baddy.

mein passwort besteht aus groß ud klein schreibung so wie zehlen ohne sonder zeichen, länge = 10 "zeichen"
is das sicher genug?!?

Exakt 2 Posts über Deinem (viewtopic.php?p=18690#p18690) findest Du die Antwort zu Deiner Frage.
Damit Du nicht selber rechnen musst :
Bei einem 10-stelligen Passwort mit Groß-/Kleinschreibung und Zahlen, ohne Sonderzeichen ergeben sich
(26 x 2 + 10) hoch 10 =
839.299.365.868.340.224 (839 Billiarden)
Kombinationsmöglichkeinten.
Das sollte für einen Homeserver sicher genug sein.

in der "systemsteuerung" finde ich keine "Benutzer" oder "Benutzer konten verwaltung"
nur die in der "konsole"
habe noch zwei weitere user angelegt, bei denen aber kein Remotezugriff gestattet ist bzw. von denen keiner gestattet ist.
kann ich das so lassen?

Da stellt sich mir die Frage, was Du in der "windowsinternen" Benutzerverwaltung willst, bzw. warum Du nicht die Benutzerverwaltung der Konsole benutzt?!?
Nächste Frage: Welchen Remotezugriff meinst Du?
Den über die Webseite oder den Remotedesktop?
Falls Du vor hast Benutzern (Usern) den Remotedesktop des Servers zugänglich zu machen: Das halte ich

für ein riesen sicherheits loch

Gruß
sTunTe

[Nobby1805]

Bei einem 10-stelligen Passwort mit Groß-/Kleinschreibung und Zahlen, ohne Sonderzeichen ergeben sich
(26 x 2 + 10) EXP 10 =
62 EXP 10 =
62,e+10 =
620.000.000.000 (620 Milliarden)
Kombinationsmöglichkeinten.

Hallo sTunTe,

klingt gut, hat aber leider einen Rechenfehler
(26 x 2 + 10) EXP 10 = 62 EXP 10 ist noch richtig, wenn man EXP als "hoch" liest
62,e+10 "reduziert" dieses hoch 10 dann aber leider zu "62 mal 10 hoch 10"

62 hoch 10 ist noch mehr: 8,39299 mal 10 hoch 17 (das kann ich in Worten nicht mehr ausdrücken )

Gruß Nobby

[sTunTe]

Hallo sTunTe,

klingt gut, hat aber leider einen Rechenfehler
(26 x 2 + 10) EXP 10 = 62 EXP 10 ist noch richtig, wenn man EXP als "hoch" liest
62,e+10 "reduziert" dieses hoch 10 dann aber leider zu "62 mal 10 hoch 10"

62 hoch 10 ist noch mehr: 8,39299 mal 10 hoch 17 (das kann ich in Worten nicht mehr ausdrücken )

Gruß Nobby

Hallo Nobby.

Ups...
Das ist mir nun aber ein kleines bischen peinlich...
Zu meiner Verteidigung: Ich bin kein Mathematiker!

Also nochmal die korrekte Rechnung:
26= Anzahl der Buchstaben, 2= groß-/klein, 10 = Ziffern, hoch 10 = Passwortlänge
(26 x 2 +10) hoch 10
=
839.299.365.868.340.224
=
839 Billiarden 299 Billionen 365 Milliarden 868 Millionen 340 Tausend 224


Naja.
Ich werd' mich doch wohl "ein kleines bischen" verrechnen dürfen....


Vielleicht sollte ich weiter oben die Rechnung auch noch mal korrigieren....
Au weia.


Gruß
sTunTe

[Baddy]

danke für die antworten

mit remote meine ich den remote desktop, ich logge mich immer als Administrator ein, da ich anders keinen zugriff bekomme.

aber beim bruten oder was auch immer wird doch gleich Admin, Administrator, Master etc. immer mit als erstes versucht....

und das will ich ändern eventuell.

[sTunTe]

Hallo Baddy.

mit remote meine ich den remote desktop, ich logge mich immer als Administrator ein, da ich anders keinen zugriff bekomme.

Dann hast Du aber ein generelles Problem mit Deinem Netzwerk.
Und dieses solltest Du als aller erstes in Angriff nehmen.
Der WHS wird normalerweise über den Connector bzw. die Konsole administriert.
Ein Zugriff über RDP ist dabei nicht notwendig.

aber beim bruten oder was auch immer wird doch gleich Admin, Administrator, Master etc. immer mit als erstes versucht....

Bitte lies Dir doch meinen Beitrag oben durch.
Da habe ich doch wirklich mehr als ausführlich erklärt, dass eine Attacke per Bruteforce praktisch unmöglich ist....

Gruß
sTunTe

[Baddy]

ja is ja auch richtig mit dem bruten, ich meine mehr allgemein den user "Administrator" und nich des pwd.

das sie konsole für die "clienten" reicht is klar nur wen ich an meinem haupt rechner sitze, habe ich den remote immer mit offen auf nem zweitem bildschirm um mir den system status an zu schuen und ggv. mal was zu installieren oder runter zu schmeissen

[Nobby1805]

mit remote meine ich den remote desktop, ich logge mich immer als Administrator ein, da ich anders keinen zugriff bekomme.

Benutzer aus der Gruppe der Administratoren sind immer berechtigt, andere Benutzer musst du erst berechtigen ... rechte Maus auf Arbeitsplatz > Eigenschaften und dann den Remote-Reiter auswählen