Bestimmte Dateiendungen verbieten - Dateiserververwaltung mit Windows Server 2003 R2
Mit dem Windows Server 2003 R2 kommt eine neue Dateiverwaltungskonsole in das
System. Man kann sie über die Windowskomponenten nachinstallieren.
Mit dieser lassen sich nun endlich Quotas auf Verzeichnisebene realisieren und
nicht mehr wie bisher nur auf Volumes.
Aber die Quota (Kontingent) Möglichkeit möchte ich heute nicht ansprechen. Es
geht vielmehr um die Möglichkeit, wie ich es als Administrator schaffen kann
bestimmte Dateien von meinem Server fernzuhalten, damit nicht jeder Anwender
seine MP3s, Videos und vorallem ausführbare Dateien in seinem Homedrive ablegt und mir damit
ein Loch in mein Sicherheitskonzept reisst oder die Sicherung
aufgrund der Datenmenge sprengt.
Die Möglichkeit der Dateiserverwaltung bestimmte
Dateien aus der Freigabe herauszuhalten, die die Benutzer verwenden könnten, um zB Software dort zu hinterlegen
ist auf den ersten Blick eine sehr gute Idee und ein ratsames Feature. Der
Anwender ist auf seinem System nur Benutzer und
darf im Programme Ordner nur lesen. Da der gute Mensch aber auch arbeiten muss,
gibt es im Netzwerk immer eine Stelle in der er Schreibrechte vorfindet. In
dieser lassen sich dann also prima anstelle von normalen Worddokumenten auch
diverse .exe Dateien unterbringen.
Mehr zu dem Thema in
HowTo: Das Recht: Software installieren
Über die Dateiprüfung der Dateiserververwaltung ist das schnell erledigt und man
kann somit recht schnell für mehr Sicherheit im Netzwerk sorgen. (Denkt man)
Zurück zum Ausgangspunkt:
Ich denke man ist sich schnell darüber klar, daß auf der einen Seite Quotas eine
gute Möglichkeit bieten, damit die Anwender nicht jeden "Mist" im Netzwerk
speichern aber der Inhalt der Dateien eine ebenso große Bedeutung hat. Quotas
und Dateiendungen gehören zusammen und bilden eine Einheit.
Die Kontingentverwaltung gibt es von Microsoft seit Windows 2000 aber da sie
bisher wie erwähnt nur auf Volumes eingerichtet werden konnten, haben die
meisten Administratoren zu Drittanbieter gegriffen, z.B.:
Miss Marple von Adlon
Quota Server von Northern (jetzt Bestandteil der Northern Storage Suite)
StorageCentral von Symantec (ehemals WQuinn, die gelben Boxen im Regal
werden mehr ... *argh*)
Jetzt kommt der 2003 R2 und endlich klappt es mit
den Quotas auf Verzeichnisebene und der nächste Blick fällt sofort auf die
Dateiprüfungsverwaltung:
Juhuu, der Administrator freut sich.
Zu den vordefinierten Vorlagen lassen sich eigene definieren, oder die
vorhandenen erweitern. Es können Mails versendet werden, die Meldung im Eventlog
kann angepasst werden, ich kann zusätzliche Scripte definieren, die ausgeführt
werden im Fall der Fälle, ich kann auswählen, wer Berichte und
Benachrichtigungen erhält usw.usw.usw.
Die GUI ist sehr gefällig und selbsterklärend. Damit findet sich jeder
Administrator schnell zurecht.
Aber just in dem Moment, wo man alles konfiguriert hat und sich freut, wise
einfach es war und wie gut es klappt, kommt das böse Erwachen.
Ein kleiner Test:
Wir aktivieren die Dateiprüfung auf unserem Server für "D:\Daten". Dieser Ordner
ist freigegeben und steht jedem Benutzer zur Verfügung.
Wir nehmen uns die Datei "Beethovens Symphonie Nr. 9 (Scherzo).wma", die auf
jedem XP vorhanden ist und kopieren sie auf den Server.
Folgende Nachricht erscheint:
Juhuu, der Administrator freut sich schon wieder.
Wir gehen aber mal davon aus, daß unsere Anwender nicht ganz so dumm sind, wie
wir es gerne hätten.
Wir benennen die Datei einfach mal um -> "Beethovens Symphonie Nr. 9 (Scherzo).musik"
finde ich als Endung sowieso viel passender.
Aber nun kommt das versprochene böse Erwachen:
Ich fühle mich auf gut deutsch verar***t und stelle immer wieder mit Entsetzen
fest,
daß das Denken doch den Pferden überlassen werden sollte, denn die haben die
größeren
Köpfe und das scheint ihnen einen gewissen Vorteil einzuräumen.
Die Dateiprüfung schaut nicht in den Header einer Datei,
um ihr Format zu bestimmen, nein, das wäre ja super und ordentlich.
Die Dateiprüfung von Microsoft prüft einzig und allein
anhand der Dateiendung, sprich dem Namen, ob sie erlaubt ist oder
nicht.
So langsam keimt in mir der Gedanke, daß der Windows Server 2003 R2 ein reines
Spassprodukt ist und einem Marketing Gedanken entspringt, aber an keiner Stelle
konsequent zu Ende gedacht wurde. Den Server hat man mal "auf die Schnelle"
rausgehauen, weil man ja nicht 3 Jahre lang mit dem gleichen Produkt am Markt
arbeiten kann.
Da muss man dem Kind einen neuen Namen vergeben (Windows Server 2003 SP2 wäre ja
langweilig, daß kommt ja noch extra) und damit der neue Namen auch einen Sinn
hat, gibt es eine Fülle von neuen Produktmerkmalen, damit der Vertriebler ein
Verkaufsargument in der Hand hat. Aber keines dieser "Killerfeature" ist auch
nur annähernd im brauchbaren Zustand.
Siehe auch:
Bereitgestellte Drucker - Drucker Veröffentlichung mit Windows Server 2003 R2
Es mag sicherlich Argumente für den Einsatz von Windows Server 2003 R2 im
Unternehmen geben, aber soweit sie meinen Bereich der Gruppenrichtlinien
betreffen, bin ich eher entäuscht. Diese tiefe Traurigkeit in mir verwandelt
sich langsam in Zorn und Wut. Es kann nicht sein, daß so einfache Dinge wie die
Dateiprüfung von Hersteller schlicht und ergreifend ignoriert werden.
Fazit: Wir sind beim Thema interne Sicherheit und
Prüfung von Dateien, keinen einzigen Schritt weitergekommen.
Ich räume ein, daß das Thema Dateiprüfung nicht unmittelbar mit
Gruppenrichtlinien zusammen hängt, da diese Funktion nicht von ihnen gesteuert
wird.
Betrachtet man die Anforderungen in einem internen Netzwerk, dann gehören
Datensicherheit und Gruppenrichtlinien aber direkt in die gleiche
Diskussionsrunde.
(c) 2003 - heute, Mark Heitbrink,
weitere Informationen unter WebSite-Info\Copyright