Terminalserverweb

  Admin / Terminalserver / NT Terminalserver / Server absichern  

 

 

Die wichtigsten Punkte in Punkto Sicherheit des Servers: Den Dateizugriff beschränken.

Immer am Server angemeldet sein und sperren nicht vergessen.

Grundsätzlich:

Auf alle Platten und deren (Unter)Verzeichnisse:

Jeder : Lesen    Administratoren : Vollzugriff    SYSTEM : Vollzugriff

Sowie auf einzelne Verzeichnisse geänderte Berechtigungen:
(%windir% ist das Systemverzeichnis, z.B.: c:\wtsrv)

%windir%\system32 Jeder ändern
%windir%\system32\*.* Jeder lesen
%windir%\profile Jeder ändern
%windir%\profile\all users Jeder lesen
(Sowie alle lokalen Profile:) Jeder lesen
%windir%\regedit.exe Jeder nicht angegeben, Administrator: Vollzugriff
%windir%\system32\net1.exe (Zugriff entziehen, wenn kein NET SEND möglich sein soll
%windir%\temporary internet files Jeder ändern
%windir%\history Jeder lesen
%windir%\Downloaded Program Files Jeder ändern
%windir%\Tasks Jeder ändern
%windir%\Verlauf Jeder ändern
   
c:\temp Jeder ändern
c:\recycled Jeder ändern
   
Alle nachfolgenden Absicherungen sind eigentlich nicht erforderlich, aber nützlich, wenn man zusätzlich Benutzern mehr, weniger Rechte geben möchte.
   
%windir%\system32\qbasic.exe Jeder kein Zugriff
  QBasic ist ein altes MSDOS Programmiertool
%windir%\system32\command.com Jeder kein Zugriff.
  Verhindert den Zugriff auf die MSDOS Kommandozeile. Sie können ja immer noch CMD verwenden
%windir%\help Die Gruppe Hilfe ändern
  Ermöglicht Benutzern neue Hilfedateien hinzuzufügen
%windir%\fonts Die Gruppe Schriftverwaltung Vollzugriff
  Ermöglicht Benutzern neue Schriften zu installieren und diese auch wieder zu deinstallieren

 

Alle hier gesondert genannten Gruppen sind nicht Bestandteil des Terminalservers. Sie sind gesondert anzulegen!

(Wenn jemand Zugriff erhalten soll, auf Jeder: Kein Zugriff, so ist Jeder aus der ACL zu entfernen, da kein Zugriff auch Vollzugriff überwiegt.)