David Mobile Client - Sicherheitsproblem bei Benutzerrechten in einer Domäne

  • Hallo,


    ich bin vor einigen Wochen auf ein Sicherheitsproblem beim "david Client Mobile" gestoßen.

    Bei der Installation legt David eine Freigabe unter "C:\Program Files (x86)\Tobit InfoCenter\DAVID\" an und übernimmt sämtliche Sicherheitseinstellungen vom übergeordneten Programme-Ordner. Dabei wird z.B. auch in einer Standardumgebung die Gruppe "Benutzer" mit übernommen, in der bei einer Windows-Domäne auch alle Mitarbeiter der gesamten Firma enthalten sind.

    Damit haben nun alle Mitarbeiter der Domäne, die sich an diesem PC anmelden oder über die Netzwerkfreigabe \\PCNAME\DAVID\..." gehen Zugriff auf die Offlinearchive der Mitarbeiter, die an diesem PC die Offlinefunktion nutzen. Man kann also sämtliche E-Mail und Daten einsehen, die ein User hat.

    Bei Nachfrage an Tobit (Mitte Mai) will man das Problem zwar Prüfen, in wie weit man das Anpassen kann aber verweisen dann nur auf den Windows-Admin, das er für Berechtigungen selbst verantwortlich ist. Es sei also kein Problem von Tobit! Auch die vorgeschlagene Installation im Benutzerordner ist ja keine Option, denn damit kann ja kein anderer User, der sich an diesem PC anmeldet mit David arbeiten, da ihm dann die Zugriffsrechte fehlen.

    Daher einmal meine Frage, wer denn alles den Mobile Client nutzt und wie Ihr die Rechte auf den Freigabeordner anpasst? Ist Euch dieses Problem bekannt? Dies ist ja so ähnlich wie bei der Grundinstallation, das man den David-Ordner manuell anlegen soll und dann erst einmal alle Rechte löschen soll, damit nicht "Jeder" auf alle Archive Zugriff hat. So könnte man ja vielleicht auch den Ordner "C:\Program Files (x86)\Tobit InfoCenter" manuell anlegen, alle Rechte entziehen und danach erst die Installation starten. Aber wer macht das schon?

    Als temporäre Lösung haben wir jetzt auf dem Ordner "C:\Program Files (x86)\Tobit InfoCenter\DAVID\" erst einmal die Vererbung deaktiviert, jedoch für alle Unterordner übernommen und danach die Gruppe "Benutzer" für alle Unterordner entfernt. Damit kann man nach ersten Tests nicht mehr auf die Userordner und Dateien zugreifen und nur noch der User selbst hat Zugriff auf seine eigenen Archive. Die Offlinesynchronisierung funktioniert damit auch noch.


    Ich bin gespannt auf Eure Antworten!


    Gruß

    Baumi

  • Wir haben nur einen Benutzer, der mit dem Mobile Client arbeitet. Da wird doch auch nur ein david Server (in Lite-Version) installiert, oder nicht?

    Einfach genau so machen wie auf dem Hauptserver auch:

    Eigenes Verzeichnis (evtl. sogar auch Partition) anlegen, alle Benutzer-Rechte und Vererbung entfernen, david installieren und die Benutzer anlegen. Dann sollte - auch über die Freigabe - nur auf die entsprechenden Verzeichnisse zugegriffen werden können.


    ...kein Problem von Tobit <X

    Ja, sowas kann's auch geben.

    Ich sehe das hier auch nicht als Problem von Tobit, sondern als Rechte-Problem. Ich gebe ja auch auf dem Master-Server keine Zugriffsrechte für Verzeichnisse, auf die man keinen Zugriff haben soll.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!