Die wichtigsten
Punkte in Punkto Sicherheit des Servers: Den Dateizugriff beschränken.
Immer am Server angemeldet sein und sperren nicht vergessen.
Grundsätzlich:
Auf alle Platten und deren (Unter)Verzeichnisse:
Jeder : Lesen Administratoren : Vollzugriff
SYSTEM : Vollzugriff
Sowie auf einzelne Verzeichnisse geänderte Berechtigungen:
(%windir% ist das Systemverzeichnis, z.B.: c:\wtsrv)
%windir%\system32 |
Jeder ändern |
%windir%\system32\*.* |
Jeder lesen |
%windir%\profile |
Jeder ändern |
%windir%\profile\all users |
Jeder lesen |
(Sowie alle lokalen Profile:) |
Jeder lesen |
%windir%\regedit.exe |
Jeder nicht angegeben, Administrator: Vollzugriff |
%windir%\system32\net1.exe |
(Zugriff entziehen, wenn kein NET SEND möglich sein
soll |
%windir%\temporary internet files |
Jeder ändern |
%windir%\history |
Jeder lesen |
%windir%\Downloaded Program Files |
Jeder ändern |
%windir%\Tasks |
Jeder ändern |
%windir%\Verlauf |
Jeder ändern |
|
|
c:\temp |
Jeder ändern |
c:\recycled |
Jeder ändern |
|
|
Alle nachfolgenden Absicherungen sind
eigentlich nicht erforderlich, aber nützlich, wenn man zusätzlich
Benutzern mehr, weniger Rechte geben möchte. |
|
|
%windir%\system32\qbasic.exe |
Jeder kein Zugriff |
|
QBasic ist ein altes MSDOS Programmiertool |
%windir%\system32\command.com |
Jeder kein Zugriff. |
|
Verhindert den Zugriff auf die MSDOS Kommandozeile.
Sie können ja immer noch CMD verwenden |
%windir%\help |
Die Gruppe Hilfe ändern |
|
Ermöglicht Benutzern neue Hilfedateien hinzuzufügen |
%windir%\fonts |
Die Gruppe Schriftverwaltung Vollzugriff |
|
Ermöglicht Benutzern neue Schriften zu installieren
und diese auch wieder zu deinstallieren |
Alle hier gesondert genannten Gruppen sind nicht Bestandteil des
Terminalservers. Sie sind gesondert anzulegen!
(Wenn jemand Zugriff erhalten soll, auf Jeder: Kein Zugriff, so ist
Jeder aus der ACL zu entfernen, da kein Zugriff auch Vollzugriff überwiegt.)