„Jeder kann alles im Netzwerk sehen…

…und kann alles Löschen, das geht so nicht, das muss geändert werden!“ Diese Nachricht fand sich diese Woche auf unserem Anrufbeantworter. Die Verwunderung war zunächst groß.

Was war passiert?

Der Kunde nahm an, da er alle Computer unter Netzwerk im Windows-Explorer (besser bekannt als Netzwerkumgebung) sehen kann, das man auch auf alle Computer und deren Ressourcen und Daten zugreifen kann.

Nun ist es so, das die bloße Anzeige eines Geräts noch kein Problem darstellt. Relevant sind die Berechtigungen die auf Freigaben und letztlich z.B. auf Dateisystem-Ebene gesetzt sind. Die Berechtigungen sind entsprechend der Kundenvorgaben gesetzt.

Ironie der jüngeren Geschichte

„Passend“ kam diese Annahme zu einer kürzlich vorgenommenen Server-Umstellung. Der 10 Jahre alte Server lieferte keine Daten mehr für die Netzwerkumgebung, obwohl dieser der Master-Browser war. Deswegen blieb die Netzwerkumgebung auf den Arbeitsplätzen leer.

Ironie auch deshalb, da wir bei der Migration festgestellt hatten, das auf so manche Freigabe die Berechtigungen „Jeder:Vollzugriff“ gesetzt war. Dies haben wir im Zuge der Umstellung korrigiert. Letztlich ist der neue Server also sicherer als der Alte.

Schwierige Richtigstellung

Als problematisch erwies sich dem Kunden klar zu machen, das es so normal ist und das es kein Problem darstellt, das man nun alle Computer sieht. Immerhin gibt es diese Funktionalität schon sehr lange (Ich bin mir gerade nicht sicher, aber mindestens seit Windows 95, wenn nicht gar schon unter MS DOS, Stichwort: „net view“). Dies erwies sich als überaus schwierig, vor allem wenn einem Aussagen wie „das können Sie mir nicht weiß machen, das war früher nicht so“ entgegen gebracht werden.

Selbst die Vorführung, was passiert, wenn man auf eine Freigabe zugreift, auf die man keine Berechtigung hat (Stichwort: Meldung „Zugriff verweigert“ bzw. „Sie haben keine Berechtigung…“) überzeugte nicht.

Änderungswünsche

Der Kunde verlangte Nachbesserung. Das ist allerdings nicht ganz so einfach, da die Netzwerkumgebung klassischerweise auf NETBIOS, bei jüngeren Windows-Version zusätzlich auf UPnP und LLTP, basiert. Dies lässt sich zwar relativ einfach deaktivieren, allerdings schafft man damit, je nachdem welche Anwendungen und Dienste im Netzwerk eingesetzt werden, zusätzliche Probleme. So kann es durchaus zu Problemen mit Exchange Servern kommen. In diesem Fall hätte das CRM und diverse weitere (Branchen-)Software gestreikt. Vorallem ältere Anwendungen haben so ihre Probleme damit. Kurzum: Keine gute Idee.

Zwar kann man einen Computer „verstecken“ (Befehl: „net config server /hidden:yes“), dies ist aber nur Kosmetik. Tools wie z.B. NetResView finden solche Computer dennoch. Computer auf diese Art zu verstecken kann man als security-by-obscurity verstehen. Nur weil man etwas nicht sieht, soll es es dadurch sicherer sein?! Naja.

Plan B kann sein den Dienst „Computerbrowser“ auf den Arbeitsplätzen zu deaktivieren oder die entsprechenden Registrierungseinstellungen zu ändern.

Fazit

Geändert wurde nichts, allerdings ist der Kunde auch nicht zufrieden, trotz aller Bemühungen, die Situation aufzuklären. Zurück bleibt die Frage, wie man mit einer solchen Situation umgehen soll, vor allem wenn der Kunde meint, selbst danach schauen zu müssen, obwohl er mit IT nichts am Hut hat und darüber hinaus für sein Benutzerkonto Vollzugriff auf alles wünscht.

P.S.: Wie geht ihr mit sowas um?

Links

heise: Die Netzwerkumgebung von Windows im Griff

Ein Kommentar

  • mit den kunden immer höflich, aber streng sein 😉
    es ist ok, wenn kunden bisweilen eigenartige wünsche äußern. allerdings würde ich den von dir beschriebenen auftrag, die pc’s aus der netzwerkumgebung verschwinden zu lassen, wegen „unsinn“ schlicht nicht annehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.