6 Replies Latest reply on Sep 29, 2008 1:32 AM by Torry

    Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall

    thertkorn Expert
      folgendes Verhalten mit dem Netinstall Agenten fuehrt zu Problemen in unserer Netinstallumgebung:
      Netinstall 5.85 build 1760 und vorher. (es gab dazu vor ca 2 Jahren schon ein Ticket).
      Auf den Servern haben wir jetzt auch den Netinstall Agenten installiert um die Server inventarisieren zu koennen.
      Dabei traegt sich der Netinstall Service User (Konto unter dem der Netinstall Service laeuft) in die lokale Administratoren Gruppe des Servers ein.
      So weit so gut.
      Wenn jetzt sich die Netinstall Clients anmelden hat jeder Anwender administrative Rechte auf dem Server.
      Ist der Netinstall Server gleichzeitig ein Projekt Server, einfach ein Server mit Freigaben wo die Anwender entsprechend ihren Rechten darauf zugreifen  kommt es zu diesem Fehlverhalten. Das ist meiner Ansicht nach ein Bug in Netinstall.
      Jeder User hat administrative Rechte auf einem Server wo er keine haben sollte!
      Und zwar kommt das von dem Netinstall Agenten und pruefen des NI Servers.
      Der Agent prueft zuerst ob der Netinstall Server erreichbar ist…

      13:30:13 1    > Action 'Connecting to server' started
      13:30:13 1     Max duration: 90
      13:30:13 1     Checking if '\\servername
      etinst55\' is available ...
      13:30:13 0      Preferred protocol: IP
      13:30:13 0      NiNetIP: Pinging to 192.168.4.29 with 15 Bytes data...
      13:30:13 1      NiNetIP: Reply from 192.168.4.29: Bytes=15 RTT=0ms TTL=128
      13:30:13 0      NiNetIP: Servername is alive
      13:30:13 1      Server available, trying to access share for 1 times...
      13:30:13 1        Network OS: Active Directory
      13:30:13 0        Using account global\eruntime to access share
      13:30:13 0      Share successfully connected( \\Servername
      etinst55\ )
      13:30:13 1      Success

      …danach prueft der Agent ob auf die Freigabe zugegriffen werden kann. Wenn es noch keine Verbindung zum Server gibt nutzt er dabei das Konto des Netinstall Service User (hier eruntime). Und genau das ist der Fehler. Dadurch dass der eruntime User in der lokalen Administratoren Gruppe des Servers ist hat der Anwender jetzt alle Rechte auf dem Server.
      Danach wird bei uns ein Netinstall Script (Loginscript mit net use Befehlen/ If User in Group … net use)  bei jedem Login gestartet und die Laufwerke auf diesen Server verbindet. Der Anwender hat alle Rechte auf der Freigabe und auf dem Server!

      Vor zwei Jahren habe ich dieses Thema auch schon angemahnt. Nur war dort das Problem dass die Anwender ueberhaupt keine Rechte auf den Servern hatten. Der Netinstall Agent war noch nicht auf den Servern installiert sprich der Netinstall Service User nicht in der lokalen Admin Gruppe.
      Das gleiche Szenario wie oben Netinstall Service User verbindet sich mit dem Server nur dass dieser jetzt keine administrative Rechte auf dem Sevrer hat Sprich danach werden die Laufwerke verbunden und der Anwneder hat keine Rechte weil der eruntime keine Rechte bze nur Domain User rechte auf dem Server besitzt.

      Das Problem tritt immer dann auf wo der Ni Server ein Fileserver /projerktsever ist! Kommt ab und zu halt schon mal vor (vor allem bei kleineren Umgebungen!)
      Man kann das Problem loesen indem der NI Service mit dem FQDN oder mit IP Adrersse auf den Server zugreift. Das kann aber nur ein Workaround sein.
      Ebenso tritt das Problem nicht auf wenn die Anwender ein Home Laufwerk auf dem Server haben. (in der Ad ein Homelaufwerk zugewiesen)  Dann wird der Connect zum Server vor Netinstall gemacht und Netinstall nutzt den bereits angemeldeten Anwender.


      Meiner Meinung nach darf der Ni Service nicht auf den Server zugreifen. Er darf ledigl pruefen ob der Server erreichbar ist.
      Die Netinstall Freigabe sollte der Ni Administrator schon richtig eingerichtet haben und dies darf nicht geprueft werden. Wenn doch muss danach ein disconnect erfolgen!
      Das kann nicht as designed von enteo so sein!

      Wir haben auch schon versucht den eruntime User aus der lokalen Admin Gruppe zu entfernen. Dieser traegt sich dann aber wieder autom in die Admin Gruppe ein wenn der Ni Service oder was auch immer neu gestartet wird bzw die Inventarisierung anlaeuft.

      Habt ihr solche Erfahrungen ebenfalls schon gemacht. Wir ist die Loesung. Der support meint dass dies eine designschwaeche ist. Die Einstellungen sind aber default was dann auf ein ein Sicherheitsproblem hindeutet!

      Was mich ebenfalls sehr interessieren wuerde ob dieses Verhalten auch in enteo v6.x so ist.


      Gruss

      Timo Hertkorn
        • 1. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
          Torry Apprentice
          Hallo Timo,

          verstehe ich dich richtig die AW haben keine Leserechte auf das NetinstallShare?
          • 2. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
            thertkorn Expert
            Nein,

            die User haben keine Leserechte auf ein eingerichtetes Share auf dem Server wenn File Server gleichzeitig als Netinstall Server fungiert und der Netinstall Agent nicht auf dem sevrer installiert ist.
            Oder die User haben zuviel Rechte wenn der netinstall Agent auf dem server installiert ist. d.h Der netinstall Dienste Konto User wird ja autom in die lokale Administratoren Gruppe aufgenommen. Der 1. connect erfolgt dann per Netinstall mit dem Ni USer Konto und dann erst mit dem USer Konto. Folglich hat der User Adminrechte wo er keine haben darf.
            In dem Fall hat der User auf das Ni Share oder irgendein anderes Share auf dem Sevrer Adminrechte obwohl er eigentl nur Lese rechte/ Change Rechte haben durfteje nach dem wie die Rechte vergeben wurde. DAs hebelt komplett die Rechte Vergabe aus.

            Soweit verstanden?

            Das ist definitiv ein Designfehlverhalten!
            • 3. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
              Torry Apprentice
              Hallo Timo!

              also verstehe ich dich richtig.
              Deine User haben alle keine Leserechte auf das Netinstall Share!
              dann ist das in meinen Augen aber kein Designfehler.
              Die Bedigung zum Betrieb von Netinstall ist das die User lesend auf das
              NetinstallShare kommen können.

              Ist das wirklich bei euch so ?
              • 4. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
                thertkorn Expert
                Nein,

                auf dem Netinstall Share haben die User schon Rechte. Es geht nicht um das Netinstall Share. Blende das komplett mal aus.
                Ich habe einen Server mit z.b. zwei Freigaben. Der Server fungiert als FileServer und als Netinstall Server:
                Netinst
                Marketing

                Auf Freigabe Marketing haben Administratoren Full Control und nur bestimmte User (AD Gruppe) READ Rechte.
                Jetzt kommt aber das Problem was ich oben beschrieben habe.
                Der User der nur Read Rechte auf die Mareketing Freigabe hat meldet sich an. Der Netinstall Agent wird gestartet und connected sich mit dem Netinstall Share. Wenn kein connect besteht nutzt er das Netinstall Dienste Konto. Dadurch dass der NI Agent auch auf dem Server installiert ist und das Netinstall DIenste Konto in die lokale Administratoren Gruppe des Servers aufgenommen wurde hat der User auf dem Marketing Freigabe jetzt Full Control Rechte.
                Das Loginscript (ein Netinstall Script) wird als Autoinstallscript gestartet und verbindet sich das Marketing Share.
                Es wird dann nicht als angemeldeter User verbunden sondern da ein Connect bereits besteht mit dem NI Service User Konto!
                DAs ist der FAll wenn der USer zuviel Rechte auf einer Freigabe hat.

                Zuwenig Rechte:
                Gleiche Szenario wie oben nur der Netinstall Agent ist nicht auf dem Server installiert. d.h Netinstall Dienste Konto ist nicht in der lokalen Administratoren Gruppe des Servers und User bzw eine Gruppe haben auf dem Marketing Share Change Rechte.
                Der User mit eigentl. Change Rechten auf der Freigabe meldet sich an und der Netinstall Agent verbindet sich mit Netinstall SHare. DAdurch das kein Connect zum Sevrer besteht verbindet er sich mit dem Netinstall Dienste Konto.
                Jetzt laueft das Netinstall Sctipt (loginscript) an welche die Laufwerke verbindet. Dadurch das ein Connect bereits besteht (das durch das Dienste Konto wird dieser benutzt.
                User moechte auf die MArketing Freigabe zugreifen und bekommt Access Denied.
                Der User hat keine bzw zuwenig Rechte. Ist ja klar der Netinstall Dienste Konto ist nur Domain User. Und Domain User haben keine Rechte auf der Freigabe Marketing.

                Timo
                • 5. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
                  map Specialist
                  Hallo Timo,

                  es mag gute Gründe für Euch geben, die NetInstall-Server auch als Fileserver zu nutzen.
                  Wie Du selber festgstellt hast, ist das aber nicht ganz unproblematisch, nicht nur in Ssehr speziellen Situationen wie der geschilderten, ich erinnere nur an die beliebten crendential conflict-Szenarien.

                  ich sehe nur eine Saubere Lösung, nämlich den Markeitngshare auf einen anderen Server zu verlagern.

                  Eventuell (in Fall 1) könnte es auch helfen, den NetInstall-Server in eine andere Site zu verlagern und dort ein Servicekonto zu verwenden, das <> dem Servicekonto auf den Clients ist?
                  • 6. Re: Fehlverhalten Sicherheitsprobleme / Designschwaeche Netinstall
                    Torry Apprentice
                    Hallo Timo,

                    also bei mir geht das, in meiner LOG Datein steht das so

                    09:15:45 1 Server available, trying to access share for 1 times...
                    09:15:45 1 Network OS: Active Directory
                    09:15:45 0 Using account NWC\e_runtime to access share
                    09:15:47 0 Failed to open connection: already connected using another account - trying to use existing
                    09:15:47 0 Share successfully connected

                    Ich kann dann auch kein Share aufmachen zu meinem Marketing Share
                    Vielleicht ist der Trick das Mappen der Laufwerke (Marketing$) erst durchzuführen und dann die Niagent zu starten. evtl kannst ja auch die Sekunden hochdrehen bis der Agent anfängt.

                    Ich habs aber auch immer wie Martin schreibt so gehalten das wir die NI Server gesondert haben als reine Verteilserver haben ich sogar mal einfache Desktops genommen damit die Kosten für die Serverwartung nicht anfallen.