Netzlaufwerke per GPO als "Schnellzugriff" statt Netzlaufwerk?

[XamBonX]

Moinsen,
von meinem Chef habe ich die seltsame Ausage bekommen, dass es wegen Malware, Verschlüsselungstrojaner und pipapo doch sicherer wäre, wenn wir unsere Netzlaufwerke, welche derzeit als Lauwerke n:, m:, etc. angebunden werden per GPO, als IP's in Schnellzugriff-Leiste verteilen. Also z.B. sowas

weil Angeblich die Viren und Malware damit schwerer klarkommen, als ein Netzlaufwerk mit einem Laufwerkbuchstaben. Ich habe demzufolge rumgesucht, und kann nichts wirklich gescheites auf diese Aussage finde. Bevor ich zu Ihm gehe und ihm sage "Bullshit..", frage ich doch mal hier nach.

Wie würdet ihr denn Netzlaufwerke von NAS (QNAP) und normalen Fileserver-VMs gegen (Verschlüsselung-)Trojaner, Viren, Malware, etc. abhärten?

 

[nosti]

Moin,

Viren- und Trojaner gehen für gewöhnlich über die SMB-Freigaben, welche zum Großteil einfach im Netzwerk verfügbar sind. Ob das ein Laufwerksbuchstabe ist oder eine IP ist vollkommen nebensächlich. Mach mal einen Scan bei euch im Nettwerk, dann siehst du auch die Fileshares, egal von welchem Mitgleid.

Mir scheint eher ihr solltet eure Grundlegende IT-Konzeption mal prüfen. ein vernünftiges Backup ist der erste wichtige Punkt. Berechtigungen auf Shares nur so setzen, dass das absolut nötige freigegeben wird. Makros in Office deaktivieren, gesunde Skepsis bei Unbekannten Mails.....das sind aber alles nur Grundlagen.

Wenn jemand wie wild alles klickt was ihm unter die Maus kommt, kannst du das Problem nicht technisch lösen.

Wie groß ist denn das Netzwerk und welche Betriebsysteme kommen Server- und Clientseitig zum Einsatz?
Nutzt ihr eine Firewall?

Grüße

 

[Zokrace]

Zugriffrechte der einzelnen Benutzer nur soweit absolut nötig
kein automatischer Zugriff auf alles sondern vorher Passworteingabe
bei der NAS zB nicht den normalen Domänenadmin als Administrator Benutzer sondern eigenes Benutzerkonto mit anderen Logindaten falls Domänenadmin kompromittiert.
Ordentliche Firewall+Antivirensoftware zB Watchguard,Sophos die emails scannt bevor se aufm emailserver landen.
Mitarbeiter schulen nicht jeden Scheiss zu öffnen ^^ Sophos schickt zB Fakeemails in regelmäßigen Abständen ob die Mitarbeiter das öffnen
Tägliche Sicherung auf abwechselnd 2 externe Festplatten die mit nach Hause genommen wird

das kostet halt auch was. was dein Chef vorhat is hanebüchener Voodoo

 

[M4ttX]

Scheint mir Security by Obscurity zu sein. Hab auch noch nie davon gehört und bei Zugriff via Linux gibts das nicht einmal.

 

[t-6]

Wäre wirklich nur Security through Obscurity. Zu Beginn waren viele Cryptotrojaner tatsächlich nur auf Laufwerksbuchstaben aus, aber das hat sich ganz schnell geändert. "Vernünftige" Trojaner prüfen im Kontext des Benutzers alle möglichen SMB-Verbindungen aus. Portscan auf 445 ins gesamte Subnetz; dann Zugriffsversuch; wenn Zugriff möglich, kommt die Freigabe auf eine Liste für den Verschlüsselungsvorgang.

Auf Netzlaufwerke würde ich persönlich aus zwei Gründen verzichten und stattdessen Verknüpfungen direkt zu den SMB-Shares verteilen:
1) Das unsägliche rote X weil der PC schneller gebootet/Benutzer angemeldet als das Netzwerk bereit war; manch ein Client mag nicht wenn Windows "das rote Kreuz sieht" und stellt den Betrieb ein bis der Benutzer mal das Netzlaufwerk angeklickt hat
2) Unnötiger Verwaltungsaufwand für die kack Buchstaben, himmelherr... Maximal ~15 Buchstaben effektiv nutzbar. Und wenn bspw. Buchstabe P ein "Abteilungslaufwerk" ist das bei den Leuten eingebunden wird die das Recht haben sollen auf das Laufwerk zuzugreifen, wird es bei Leitern oberhalb der Abteilung wieder bescheuert wenn ein höherer Manager Zugriff auf "Marketing" und "Vertrieb" haben soll wo sich dann die Buchstaben kreuzen.

Verknüpfung zum Fileserver auf den Desktop legen/per GPO legen lassen, und welche Freigabe ein Benutzer "sieht" wird dadurch bestimmt auf welche Freigabe der Benutzer berechtigt ist - fertig.
Zuckerstück wäre dann noch DFS-N.