Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
Konfiguration zum Schutz vor Ransomware, Windows AD Rechte für IFW
Die Einschränkung der Rechte auf die IFW-Datenbank-Verzeichnisse dient auch dem Schutz vor Ransomware (Verschlüsselungsviren). Im Wesentlichen wird bei den Datenbankordnern das Auflisten des Inhalts verweigert.
Die folgenden Informationen sind nur für Systemadministratoren mit den entsprechenden Sachkenntnissen:
Vorgehensweise
- auf Domänserver einloggen
- Benutzer anlegen
- Gruppen anlegen
- Den Gruppen Rechte zuordnen
- Testuser (ifwasp) der Gruppe IFW_LESEVERBOT zuordnen. umloggen, testen
- IFW Zusammenfassungen / nach GUI verlegen (EXE-Version >=669?)
- LDAP abfragen setzen
- User den Gruppen zuordnen
- Testen
- scharf schalten
- Prüfen
auf Domänserver einloggen
Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten.
Benutzer anlegen
Benutzer anlegen durch Kopieren von z.B. ifwasp oder einem anderen geeigenten User. Damit ist auch das Loginscript ausgefüllt. (Active Directory-Benutzer und -Computer| domainname| Benutzer) (Loginscript prüfen: Rechtsklick auf Benutzername,| Eigenschaften| Profil). Anlegen:
- User IfwAdministrator
Gruppen anlegen
(Active Directory-Benutzer und -Computer| domainname| Gruppen| Rechtsklick| Neu| Gruppe).
Falls nicht schon vorhanden anlegen:
- G_IFW_ADMIN,
- G_IFW_LESEVERBOT,
- G_IFW_USER
den Gruppen Rechte zuordnen
Mit dem Windows-Explorer zu c:\ browsen. Zum Rechte einstellen Rechtsklick auf dem Verzeichnis| Eigenschaften| Sicherheit| Erweitert| Berechtigung ändern| Hinzufügen.
Folgende Tabelle abarbeiten: Änderungen an ifwroot und ifwablage laufen wegen der grossen Datenmenge lange. Daher auf ifwablage das Recht für ifw_user und ifw_leseverbot gemeinsam ändern lassen. Das eingangs nach unten vererbte Recht "Vollzugriff" von der Gruppe G_IFW_USER bleibt vorerst unangetastet. Das wird erst zum Schluss verändert.
G_IFW_ADMIN | G_IFW_USER | G_IFW_LESEVERBOT | |
---|---|---|---|
ifwroot | Vollzugriff | ScanOrdner * | |
ifwablage / IFWDocustore) | Zugriff | ScanVerbot-Ordner | |
ifw | Zugriff | ||
ifw\archfibu | ScanVerbot-Ordner | ||
ifw\archiv | ScanVerbot-Ordner | ||
ifw\basisdat | ScanVerbot-Ordner | ||
ifw\chgdat | ScanVerbot-Ordner | ||
ifw\sysdat | ScanVerbot-Ordner |
Mandantenverzeichnisse:
G_IFW_ADMIN | G_IFW_USER | G_IFW_LESEVERBOT | |
---|---|---|---|
ifw\archiv.??? | ScanVerbot-Ordner | ||
ifw\basisdat.??? | ScanVerbot-Ordner | ||
ifw\chgdat.??? | ScanVerbot-Ordner | ||
ifw\sysdat.??? | ScanVerbot-Ordner |
Zugriff bedeutet:
- "Diesen Ordner, Unterordner und Dateien"
- Vollzugriff setzen
- "Unterordner und Dateien löschen" entfernen.
- "Berechtigung ändern" entfernen.
- "Besitz übernehmen" entfernen.
"Scanverbot Ordner" bedeutet:
- "nur dieser Ordner" Verweigern "Ordner Auflisten/Daten lesen"
"Scan-Ordner" bedeutet:
- "nur dieser Ordner" Zulassen "Ordner Auflisten/Daten lesen".
(* Die Einstellung erfolgt zum Schluss durch Verändern des bisher bestehenden Rechtes auf ifwroot)
Hinweis:
ifwablage / IFWDocustore ist das Verzeichniss, in dem das IFW angehängte Dateien speichert. Der Name des Verzeichnis ist in fakt.ini unter [DocustoreIFW Programmerweiterung Docustore] definiert. Es enthält i.d.R. ein oder mehrere Verzeichnisse die nach dem Alphabet benannt sind.
LDAP abfragen setzen
Auf einem Domänenserver einloggen und Rechtekonfiguration über "Active Directory-Benutzer und -Computer" starten. Rechtsklick auf "Gespeicherte Abfragen| Neu| Abfrage" Name vergeben, z.B."Mitglieder Gruppe G_IFW_USER". Dann auf "Festlegen" klicken. Den Drop Down "SuchenDatensatz suchen:" auf Beutzerdefinierte Suche" setzen. dann Reiter "Erweitert" wählen. Im Fließtextfeld die Abfrage eingeben. Folgende drei Abfragen einrichten:
Name: Mitglieder Gruppe G_IFW_USER
(objectCategory=user)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
Name: Gruppe G_IFW_USER ohne Gruppe G_IFW_LESEVERBOT
(objectCategory=user)(!memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)(memberOf=CN=G_IFW_USER,OU=Gruppen,DC=DOMÄNENNAME,DC=lan)
Name: Gruppe Administratoren und Gruppe G_IFW_LESEVERBOT
(objectCategory=user)(memberOf=CN=Administratoren,CN=Builtin,DC=DOMÄNENNAME,DC=LAN)(memberOf=CN=G_IFW_LESEVERBOT,OU=Gruppen,DC=DOMÄNENNAME,DC=LAN)
Immer mit F5 aktualisieren. Nur anklicken refreshed die Anzeige der Abfragen nicht.
User den Gruppen zuordnen
Über "gespeicherte Abfragen" "Nicht Mitglied IFW_LESEVERBOT" ausführen. Einen oder mehrere User markieren. Rechtsklick "Einer Gruppe hinzufügen …" auswählen.
Folgende Zuordnungen sollten gelten:
User\Gruppe | IFW_ADMIN | IFW_User | IFW_LESEVERBOT |
---|---|---|---|
alle ifw Benutzer | X | X | |
IfwAdministrator | X | X | |
Ifwasp | X | X | X |
IFW Zusammenfassungen
- Die IFW Zusammenfassungen (Kunden / Artikel / Lieferanten) aus dem Basisdat entfernen. Sollte durch module\ifw_gui ersetzt werden. (→ Rücksprache IFW Admin). Voraussetzung ist eine IFW-Version >= V669 (05.01.15).
Testen
Der User ifwasp der Gruppe IFW_LESEVERBOT zuordnen wie oben beschrieben. User neu einloggen, anderfalls ziehen die geänderten Gruppenrechte nicht. Zugriffe prüfen.
Scharf schalten:
- Alle Ifw User selektierten und dann der Gruppe G_IFW_LESEVERBOT zuordnen.
- Alle User müssen neu einloggen erst dann wird die Gruppenzuordnung aktiv
- Auf Verzeichnis ifwroot das Recht der Gruppe G_IFW_USER bearbeiten. "nur dieser Ordner" einstellen, erst alle Rechte entfernen dann wieder zulassen: "Ordner Auflisten/Daten lesen". Damit wird das nach unten vererbte Recht "Vollzugriff" allen Usern entzogen (IFW, ifwablage, basisdat).
Prüfen
- Stichprobe ob ein User in die geschlossenen Verzeichnise browsen kann.
- IFW\Basisdat ist gesperrt
- IFWDocustore ist gesperrt
- alle anderen Verzeichnisse paralell zu IFW sind gesperrt
- als IFWAdmin (IfwAdministrator) einloggen und Zugang zu den Verzeichnisen prüfen
- ASP / BDE starten und Ausführungen prüfen
- Exporte / Importe prüfen.
- EDI
- Telefon / datentk
- Sepa Dateien
- Adressexporte / Delisprint / GLS Gepard
- Funktioniert die IFW Zusammenfassungen noch?
- am nächsten Tag: Hat die Sicherung die IFW Datendateien gesichert?