Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Intranet
28-07-2009, 15:01 door Anoniem, 17 reacties
Wij hebben een intranet opgezet mbv standaard software Windows Sharepoint Services op een Windows 2003 std Server.
Bij het openen van een bestand uit de map gedeelde documenten krijg ik altijd de volgende melding:
------------------------
Somminge bestanden kunnen schadelijk zijn voor de computer. als de bestandsgegevens er verdacht uitzien of u de bron niet volledig vertrouwt, moet u het bestand niet openen.
U opent het volgende bestand:
Bestandsnaam: ****
van: "Servernaam"
------------------------
Ik wil deze melding niet elke keer als ik een document raadpleeg.
Nu wil ik de beveiliging natuurlijk blijven handhaven, ik wil alleen dat de bestanden vanaf het intranet geopend kunnen worden zonder melding.
Het plaatsen van de website http://servernaam in de Local Intreanet of Trusted sites was geen oplossing.
Alvast bedankt voor de info.
Bij het openen van een bestand uit de map gedeelde documenten krijg ik altijd de volgende melding:
------------------------
Somminge bestanden kunnen schadelijk zijn voor de computer. als de bestandsgegevens er verdacht uitzien of u de bron niet volledig vertrouwt, moet u het bestand niet openen.
U opent het volgende bestand:
Bestandsnaam: ****
van: "Servernaam"
------------------------
Ik wil deze melding niet elke keer als ik een document raadpleeg.
Nu wil ik de beveiliging natuurlijk blijven handhaven, ik wil alleen dat de bestanden vanaf het intranet geopend kunnen worden zonder melding.
Het plaatsen van de website http://servernaam in de Local Intreanet of Trusted sites was geen oplossing.
Alvast bedankt voor de info.
Reacties (17)
Ik zou je graag willen helpen maar heb hier geen ervaring mee, kan iemand deze man of vrouw helpen???
29-07-2009, 17:44 door
SirDice
Kijk even hier:
http://support.microsoft.com/?id=291369
en hier:
http://support.microsoft.com/?id=291387
http://support.microsoft.com/?id=291369
en hier:
http://support.microsoft.com/?id=291387
29-07-2009, 17:48 door
Ilja. _V V
Jojojojo!.. ;-) Ik zat al te kijken, maar ik heb eigenlijk wat aanvullende informatie nodig van de onderwerp-starter.
Een half jaar geleden heb ik een online MS-klasje gedaan waarbij dit ook aan de orde kwam maar dan in de context van certificering.
Bottomline is dat je die waarschuwing bij een goed ge-update Windows (Server-achtige) sowieso krijgt, het verschil tussen met of zonder meegezonden certificaat is dat er dan zonder certificaat de waarschuwing het er uit ziet zoals beschreven, maar met certificaat staat er in wie de uitgever is. Dit is hoe dan ook bij ontwerp.
Ik heb ondertussen aangenomen dat IE word gebruikt om bestanden te openen. Ten eerste is het niet zinvol om een intranet-pagina in de Vertrouwde zone te zetten, want als je even had gekeken had je gezien dat de beveiligings-instellingen daarvan hoger zijn dan die in de intranet-zone. Dus daar moet dat sowieso weer verwijderd worden, ook om conflicten te vermijden.
Verder zijn er verschillende mogelijkheden & benaderingen om het aantal waarschuwingen te verminderen.
Bv. via Internetopties, Beveiliging, Lokaal Intranet behalve de site invoeren ook even kijken onder Aangepast niveau. Daar staan een aantal instellingen op Vragen. Afhankelijk wat acceptabel is kunnen sommige instellingen ingeschakeld worden.
Volgende onderdeel is het tabblad Geavanceerd. In de afdeling Beveiliging staat bovenaan "Actieve inhoud mag worden uitgevoerd in bestanden op Mijn Computer*". Dat kan aangevinkt worden, met de aanmerking dat als iemand in het intranet een geïnfecteerd bestand vanaf internet er in opslaat, dat er natuurlijk dwars doorheen knalt.
Dan is het nog mogelijk om de firewall in te stellen op het toestaan van bepaalde intranet-adressen via Uitzonderingen, met hetzelfde probleem als bovenstaand.
Nog een punt is dat bestanden van een externe computer automatisch op geblokkeerd worden gezet. Dat kan je opheffen door die bestanden via Mijn Netwerklocaties, Eigenschappen, Algemeen & dan op De-Blokkeren klikken als dat er bij staat.
Dat is wat ik er voor zover van kan maken. Het Sharepoint-gebeuren moet ik even nakijken, maar dat heeft volgens mij niet direct te maken met die waarschuwingen.
Een half jaar geleden heb ik een online MS-klasje gedaan waarbij dit ook aan de orde kwam maar dan in de context van certificering.
Bottomline is dat je die waarschuwing bij een goed ge-update Windows (Server-achtige) sowieso krijgt, het verschil tussen met of zonder meegezonden certificaat is dat er dan zonder certificaat de waarschuwing het er uit ziet zoals beschreven, maar met certificaat staat er in wie de uitgever is. Dit is hoe dan ook bij ontwerp.
Ik heb ondertussen aangenomen dat IE word gebruikt om bestanden te openen. Ten eerste is het niet zinvol om een intranet-pagina in de Vertrouwde zone te zetten, want als je even had gekeken had je gezien dat de beveiligings-instellingen daarvan hoger zijn dan die in de intranet-zone. Dus daar moet dat sowieso weer verwijderd worden, ook om conflicten te vermijden.
Verder zijn er verschillende mogelijkheden & benaderingen om het aantal waarschuwingen te verminderen.
Bv. via Internetopties, Beveiliging, Lokaal Intranet behalve de site invoeren ook even kijken onder Aangepast niveau. Daar staan een aantal instellingen op Vragen. Afhankelijk wat acceptabel is kunnen sommige instellingen ingeschakeld worden.
Volgende onderdeel is het tabblad Geavanceerd. In de afdeling Beveiliging staat bovenaan "Actieve inhoud mag worden uitgevoerd in bestanden op Mijn Computer*". Dat kan aangevinkt worden, met de aanmerking dat als iemand in het intranet een geïnfecteerd bestand vanaf internet er in opslaat, dat er natuurlijk dwars doorheen knalt.
Dan is het nog mogelijk om de firewall in te stellen op het toestaan van bepaalde intranet-adressen via Uitzonderingen, met hetzelfde probleem als bovenstaand.
Nog een punt is dat bestanden van een externe computer automatisch op geblokkeerd worden gezet. Dat kan je opheffen door die bestanden via Mijn Netwerklocaties, Eigenschappen, Algemeen & dan op De-Blokkeren klikken als dat er bij staat.
Dat is wat ik er voor zover van kan maken. Het Sharepoint-gebeuren moet ik even nakijken, maar dat heeft volgens mij niet direct te maken met die waarschuwingen.
Ik heb een soortgelijk probleem, alleen bij mij word er gevraagd om de gebruikersnaam en wachtwoord (2x). Helaas heb ik de oplossing ook nog niet kunnen vinden.
29-07-2009, 21:35 door
Ilja. _V V
Door Anoniem: Ik heb een soortgelijk probleem, alleen bij mij word er gevraagd om de gebruikersnaam en wachtwoord (2x). Helaas heb ik de oplossing ook nog niet kunnen vinden.
Duidelijk een goeie systeembeheerder. ;-) Waarom 2x inloggen is me niet duidelijk, 1ste x waarschijnlijk voor de server, 2de x voor de map? Vanwege dit soort omschrijvingen word een goede systeembeheerder dus niet voor niets €175,- per uur gegeven... :-)Wat je kan doen is eerst verbinding met de betreffende server maken, inloggen (jaha, dahat moehoet), & die verbinding dan aan laten staan tot je klaar bent. Anders word er elke keer een nieuwe verbinding tot stand gebracht & zodra de verzending van een bestand voltooid is weer afgesloten.
Verifïeren als gast instellen op de server is ook nog een mogelijkheid...
Door SirDice: Kijk even hier:
http://support.microsoft.com/?id=291369
en hier:
http://support.microsoft.com/?id=291387
http://support.microsoft.com/?id=291369
en hier:
http://support.microsoft.com/?id=291387
Bedankt Sirdice, MAAR via Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download.
Dit betekent simpel weg dat elk Word document vanaf elke website automatisch geopend wordt, lijkt me niet erg veilig.
Ik neem aan dat ik er toch wel voor kan zorgen dat alleen de DOC, PDF & XLS documenten vanaf het intranet (interne server) geopend kunnen worden zonder beveiliging melding!!!!
30-07-2009, 13:39 door
SirDice
Bedankt Sirdice, MAAR via Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download.
Dit betekent simpel weg dat elk Word document vanaf elke website automatisch geopend wordt, lijkt me niet erg veilig.
Ik neem aan dat ik er toch wel voor kan zorgen dat alleen de DOC, PDF & XLS documenten vanaf het intranet (interne server) geopend kunnen worden zonder beveiliging melding!!!!
Ja, da's een probleem. Je kunt dat dus niet per website regelen helaas.Dit betekent simpel weg dat elk Word document vanaf elke website automatisch geopend wordt, lijkt me niet erg veilig.
Ik neem aan dat ik er toch wel voor kan zorgen dat alleen de DOC, PDF & XLS documenten vanaf het intranet (interne server) geopend kunnen worden zonder beveiliging melding!!!!
Vwb Word/Excel staan hier nog wat opties die het overwegen zijn:
http://books.google.com/books?id=UnwBAmgvQ3oC&pg=PA32&lpg=PA32&dq=sharepoint++file+warning&source=bl&ots=5wRy1h3lqT&sig=duWkcUqXljakFYC-7yxqMnEDzDo&hl=en&ei=GIZxSszEMZT8MOzhkbEM&sa=X&oi=book_result&ct=result&resnum=9
(Google books: Essential Sharepoint 2007)
30-07-2009, 13:44 door
SirDice
Door Anoniem: Ik heb een soortgelijk probleem, alleen bij mij word er gevraagd om de gebruikersnaam en wachtwoord (2x). Helaas heb ik de oplossing ook nog niet kunnen vinden.
Nu ken ik sharepoint niet zo heel goed (eigenlijk helemaal niet) maar ik kan me zo voorstellen dat je ergens NTLM authenticatie aan moet zetten. De authenticatie gebeurd dan nog steeds echter 'onderwater'.Deze melding word veroorzaakt door de Attachement Execution Service, deze zit nu sins een aantal jaar in de verschillende Windows OSsen (XP, Vista etc.) In principe moet het voldoende zijn om de site aan de "Local Intranet Zone" in de Internet Explorer settings te plaatsen. Je kan hier ook UNC paden aan toevoegen om voor shares op het netwerk deze meldingen weg te halen.
Het kan zijn dat je de automatich detecteren van Lokaal Intranet adressen in IE uit moet schakelen voordat dit goed gaat werken maar dat hangt van je versie en patchlevel van IE af.
Als dat niet werkt is het ook mogelijk om de bestandstypen aan een lager risico profiel te hangen door de AE Service te configureren via het register in de volgende key:
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
HighRiskFileTypes = ""
ModRiskFileTypes = ""
LowRiskFileTypes = ".mp3 .jpg"
In bovenstaand voorbeeld zijn .mp3 en .jpg aan het laagste profiel gekoppeld en hiervoor krijg je dan geen waarschuwing meer
(Bij High word het file geblokkeerd en bij Mod krijg je een waarschuwing).
Helaas geld dit dan voor alle bestanden ongeacht van waar je ze download, en dat gelkd ook voor het volgende voorbeeld.
De volgende key behandeld alle bekende extenties en geeft deze een standaard waarde die je in het vorige voorbeeld kan overrulen.
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
DefaultFileTypeRisk = 6151
Als je hier het getal 6150 invult staat deze voortaan voor alle files op High (blokeer) 6151 is Moderate (Popup) en 6152 is Low (geen notificatie).
Deze service was een antwoord op de executable's die van het internet of automatisch via popup's enz werden gestart om malware te installeren. Het idee hierbij is dat de gebruiker dit soort downloads niet zal goedkeuren (*sigh* hadden we maar gebruikers die niet overal op klikten zonder te lezen) en dus dat er minder infecties via de drive by download zullen optreden.
Het kan zijn dat je de automatich detecteren van Lokaal Intranet adressen in IE uit moet schakelen voordat dit goed gaat werken maar dat hangt van je versie en patchlevel van IE af.
Als dat niet werkt is het ook mogelijk om de bestandstypen aan een lager risico profiel te hangen door de AE Service te configureren via het register in de volgende key:
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
HighRiskFileTypes = ""
ModRiskFileTypes = ""
LowRiskFileTypes = ".mp3 .jpg"
In bovenstaand voorbeeld zijn .mp3 en .jpg aan het laagste profiel gekoppeld en hiervoor krijg je dan geen waarschuwing meer
(Bij High word het file geblokkeerd en bij Mod krijg je een waarschuwing).
Helaas geld dit dan voor alle bestanden ongeacht van waar je ze download, en dat gelkd ook voor het volgende voorbeeld.
De volgende key behandeld alle bekende extenties en geeft deze een standaard waarde die je in het vorige voorbeeld kan overrulen.
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
DefaultFileTypeRisk = 6151
Als je hier het getal 6150 invult staat deze voortaan voor alle files op High (blokeer) 6151 is Moderate (Popup) en 6152 is Low (geen notificatie).
Deze service was een antwoord op de executable's die van het internet of automatisch via popup's enz werden gestart om malware te installeren. Het idee hierbij is dat de gebruiker dit soort downloads niet zal goedkeuren (*sigh* hadden we maar gebruikers die niet overal op klikten zonder te lezen) en dus dat er minder infecties via de drive by download zullen optreden.
Door Anoniem: Deze melding word veroorzaakt door de Attachement Execution Service, deze zit nu sins een aantal jaar in de verschillende Windows OSsen (XP, Vista etc.) In principe moet het voldoende zijn om de site aan de "Local Intranet Zone" in de Internet Explorer settings te plaatsen. Je kan hier ook UNC paden aan toevoegen om voor shares op het netwerk deze meldingen weg te halen.
Het kan zijn dat je de automatich detecteren van Lokaal Intranet adressen in IE uit moet schakelen voordat dit goed gaat werken maar dat hangt van je versie en patchlevel van IE af.
Als dat niet werkt is het ook mogelijk om de bestandstypen aan een lager risico profiel te hangen door de AE Service te configureren via het register in de volgende key:
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
HighRiskFileTypes = ""
ModRiskFileTypes = ""
LowRiskFileTypes = ".mp3 .jpg"
In bovenstaand voorbeeld zijn .mp3 en .jpg aan het laagste profiel gekoppeld en hiervoor krijg je dan geen waarschuwing meer
(Bij High word het file geblokkeerd en bij Mod krijg je een waarschuwing).
Helaas geld dit dan voor alle bestanden ongeacht van waar je ze download, en dat gelkd ook voor het volgende voorbeeld.
De volgende key behandeld alle bekende extenties en geeft deze een standaard waarde die je in het vorige voorbeeld kan overrulen.
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
DefaultFileTypeRisk = 6151
Als je hier het getal 6150 invult staat deze voortaan voor alle files op High (blokeer) 6151 is Moderate (Popup) en 6152 is Low (geen notificatie).
Deze service was een antwoord op de executable's die van het internet of automatisch via popup's enz werden gestart om malware te installeren. Het idee hierbij is dat de gebruiker dit soort downloads niet zal goedkeuren (*sigh* hadden we maar gebruikers die niet overal op klikten zonder te lezen) en dus dat er minder infecties via de drive by download zullen optreden.
Het kan zijn dat je de automatich detecteren van Lokaal Intranet adressen in IE uit moet schakelen voordat dit goed gaat werken maar dat hangt van je versie en patchlevel van IE af.
Als dat niet werkt is het ook mogelijk om de bestandstypen aan een lager risico profiel te hangen door de AE Service te configureren via het register in de volgende key:
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
HighRiskFileTypes = ""
ModRiskFileTypes = ""
LowRiskFileTypes = ".mp3 .jpg"
In bovenstaand voorbeeld zijn .mp3 en .jpg aan het laagste profiel gekoppeld en hiervoor krijg je dan geen waarschuwing meer
(Bij High word het file geblokkeerd en bij Mod krijg je een waarschuwing).
Helaas geld dit dan voor alle bestanden ongeacht van waar je ze download, en dat gelkd ook voor het volgende voorbeeld.
De volgende key behandeld alle bekende extenties en geeft deze een standaard waarde die je in het vorige voorbeeld kan overrulen.
[HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \Associations]
DefaultFileTypeRisk = 6151
Als je hier het getal 6150 invult staat deze voortaan voor alle files op High (blokeer) 6151 is Moderate (Popup) en 6152 is Low (geen notificatie).
Deze service was een antwoord op de executable's die van het internet of automatisch via popup's enz werden gestart om malware te installeren. Het idee hierbij is dat de gebruiker dit soort downloads niet zal goedkeuren (*sigh* hadden we maar gebruikers die niet overal op klikten zonder te lezen) en dus dat er minder infecties via de drive by download zullen optreden.
Bedankt voor je toelichting.
Alleen bij het toevoegen van de Server onder tabblad security, local intranet, sites, advanced, websites en het uitvinden van automatically detect intranet network en de overige 3 opties aangevinkt blijf ik de melding ontvangen bij het openen van een document!!
Door Ilja. _\\//:
Wat je kan doen is eerst verbinding met de betreffende server maken, inloggen (jaha, dahat moehoet), & die verbinding dan aan laten staan tot je klaar bent. Anders word er elke keer een nieuwe verbinding tot stand gebracht & zodra de verzending van een bestand voltooid is weer afgesloten.
Verifïeren als gast instellen op de server is ook nog een mogelijkheid...
Door Anoniem: Ik heb een soortgelijk probleem, alleen bij mij word er gevraagd om de gebruikersnaam en wachtwoord (2x). Helaas heb ik de oplossing ook nog niet kunnen vinden.
Duidelijk een goeie systeembeheerder. ;-) Waarom 2x inloggen is me niet duidelijk, 1ste x waarschijnlijk voor de server, 2de x voor de map? Vanwege dit soort omschrijvingen word een goede systeembeheerder dus niet voor niets €175,- per uur gegeven... :-)Wat je kan doen is eerst verbinding met de betreffende server maken, inloggen (jaha, dahat moehoet), & die verbinding dan aan laten staan tot je klaar bent. Anders word er elke keer een nieuwe verbinding tot stand gebracht & zodra de verzending van een bestand voltooid is weer afgesloten.
Verifïeren als gast instellen op de server is ook nog een mogelijkheid...
Ik had het probleem verkeerd begrepen (is voor een klant van mij). In eerste instantie wordt er ingelogd op SharePoint met een active directory account (de SharePoint site bevind zich in hetzelfde domein). Als je dan vervolgens naar een willekeurige document library gaat en een document opent, moet je bij het openen van Word nogmaals je loginnaam en wachtwoord invoeren. Dit geld voor ieder document dat je opent (dus ook als je daarna een ander document opent).
Er zit dus nog ergens een "beveiligings/authenticatie" laag, maar de vraag is waar?
30-07-2009, 20:24 door
Ilja. _V V
ik heb met grote interesse de bovenstaande bijdragen van anderen gelezen. Omdat het blijkbaar niet werkt zoals gedacht, heb ik mijn eigen virtuele Nederlandse Server 2003 opgestart, & die moest eerst de laatste updates nog even installeren, waarna ik de gewoonte heb om even de schijven op te ruimen, controleren & defragmenteren. Dus vandaar dat het even duurde.
Ik heb verschillende mogelijkheden uit geprobeerd op verschillende manieren, &,... Ik kom dat hele probleem niet tegen! Zat daardoor wel even nerveus nagelbijtend mezelf af te vragen of ik iets verkeerd had ingesteld, maar nee, dat is niet het geval.
Op de server is echter nog geen Sharepoint geïnstalleerd, & dat heb ik alleen in de Engelse versie.
Volgens mij ligt het daar ook niet echt aan, want Sharepoint is juist bedoeld om het eenvoudiger te maken.
Ok, als ik op de server een document op een andere computer in het netwerk probeer te openen, zowel via Mijn Netwerklocaties alswel IE, dan kom ik dat hele probleem niet tegen. In deze test word een .pdf onmiddelijk geopend. Een uitvoerbaar bestand krijgt, uiteraard, wel de bewuste waarschuwing ongeacht of dat wel of niet al gedeblokkeerd is.
Dan heb ik het op dezelfde manier omgekeerd getest, vanaf een client naar de server, & behalve dat ik, uiteraard, moet inloggen komt het probleem óók niet voor.
- Kijk, Lieve Lezertjes, daarom is het dus belangrijk om een probleem duidelijk te omschrijven inplaats van de summiere beschrijving zoals hier: Scheelt overbodig werk. Ook al is het een interessant probleem. -
WEL krijg ik in IE bij het openen van een .htm document de gele waarschuwingsbalk in beeld waarin gevraagd word of ik de intranet-instellingen wil toepassen, de waarschuwing voortaan wil verbergen, etc.
Dat alles in overweging nemende, denk ik dat we met z'n allen een stap te ver aan het zoeken zijn. Weet je wat jij moet doen!?!:
Éérst je serverrol definïeren. Via Start, Deze server beheren.
Daar ga je dan om te beginnen je Bestandsserver definïeren. Alle Help staat erbij, extra Help via Start, Hulp & Ondersteuning, Gedeelde Mappen & Gebruikers instellen, je hebt voor bijna alles een Wizard tot je beschikking, alleen Server 2008 heeft meer Wizards ingebouwd, maar je kan het zo gek niet bedenken of je kan het wel ook in 2003 doen.
Zo simpel is het.
Ik heb verschillende mogelijkheden uit geprobeerd op verschillende manieren, &,... Ik kom dat hele probleem niet tegen! Zat daardoor wel even nerveus nagelbijtend mezelf af te vragen of ik iets verkeerd had ingesteld, maar nee, dat is niet het geval.
Op de server is echter nog geen Sharepoint geïnstalleerd, & dat heb ik alleen in de Engelse versie.
Volgens mij ligt het daar ook niet echt aan, want Sharepoint is juist bedoeld om het eenvoudiger te maken.
Ok, als ik op de server een document op een andere computer in het netwerk probeer te openen, zowel via Mijn Netwerklocaties alswel IE, dan kom ik dat hele probleem niet tegen. In deze test word een .pdf onmiddelijk geopend. Een uitvoerbaar bestand krijgt, uiteraard, wel de bewuste waarschuwing ongeacht of dat wel of niet al gedeblokkeerd is.
Dan heb ik het op dezelfde manier omgekeerd getest, vanaf een client naar de server, & behalve dat ik, uiteraard, moet inloggen komt het probleem óók niet voor.
- Kijk, Lieve Lezertjes, daarom is het dus belangrijk om een probleem duidelijk te omschrijven inplaats van de summiere beschrijving zoals hier: Scheelt overbodig werk. Ook al is het een interessant probleem. -
WEL krijg ik in IE bij het openen van een .htm document de gele waarschuwingsbalk in beeld waarin gevraagd word of ik de intranet-instellingen wil toepassen, de waarschuwing voortaan wil verbergen, etc.
Dat alles in overweging nemende, denk ik dat we met z'n allen een stap te ver aan het zoeken zijn. Weet je wat jij moet doen!?!:
Éérst je serverrol definïeren. Via Start, Deze server beheren.
Daar ga je dan om te beginnen je Bestandsserver definïeren. Alle Help staat erbij, extra Help via Start, Hulp & Ondersteuning, Gedeelde Mappen & Gebruikers instellen, je hebt voor bijna alles een Wizard tot je beschikking, alleen Server 2008 heeft meer Wizards ingebouwd, maar je kan het zo gek niet bedenken of je kan het wel ook in 2003 doen.
Zo simpel is het.
Zo simpel is het zegt Ilja. _\\//
MAAR.....
Als ik je nu vertel dat deze Server als tweede domein controller staat ingesteld en dat alle gebruikers van dit domein alle documenten kunnen openen vanuit gekoppelde netwerkstations.
MAAR...
Wanneer men een bestand probeert te openen vanuit de Intranet pagina die gecreëerd is door deze tweede domein controller dan krijgt met een beveiligings waarschuwing. En zoals SirDice al netjes had omschreven kun je dit oplossen door Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download. Hierna krijg ik deze melding NIET meer.
MAAR...
Dit heeft weer het resultaat dat vanaf elke website deze documenten geopend kunnen worden zonder waarschuwing en dat wil ik niet hebben.
VANDAAR...
dat ik graag alleen geen beveiligswaarschuwingen wil hebben zodra een bestand wordt geopend vanaf onze intranet pagina.
LET OP: er is een verschil tussen een sharepoint Server en de standaard ingebouwde functie om een intranet pagina te maken, genaamd Windows Sharepoint Services.
Uiteraard wil ik iedereen bedanken voor zijn input :)
MAAR.....
Als ik je nu vertel dat deze Server als tweede domein controller staat ingesteld en dat alle gebruikers van dit domein alle documenten kunnen openen vanuit gekoppelde netwerkstations.
MAAR...
Wanneer men een bestand probeert te openen vanuit de Intranet pagina die gecreëerd is door deze tweede domein controller dan krijgt met een beveiligings waarschuwing. En zoals SirDice al netjes had omschreven kun je dit oplossen door Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download. Hierna krijg ik deze melding NIET meer.
MAAR...
Dit heeft weer het resultaat dat vanaf elke website deze documenten geopend kunnen worden zonder waarschuwing en dat wil ik niet hebben.
VANDAAR...
dat ik graag alleen geen beveiligswaarschuwingen wil hebben zodra een bestand wordt geopend vanaf onze intranet pagina.
LET OP: er is een verschil tussen een sharepoint Server en de standaard ingebouwde functie om een intranet pagina te maken, genaamd Windows Sharepoint Services.
Uiteraard wil ik iedereen bedanken voor zijn input :)
Door Anoniem:
Bedankt voor je toelichting.
Alleen bij het toevoegen van de Server onder tabblad security, local intranet, sites, advanced, websites en het uitvinden van automatically detect intranet network en de overige 3 opties aangevinkt blijf ik de melding ontvangen bij het openen van een document!!
Door Anoniem: Deze melding word veroorzaakt door de Attachement Execution Service, [snip]
Bedankt voor je toelichting.
Alleen bij het toevoegen van de Server onder tabblad security, local intranet, sites, advanced, websites en het uitvinden van automatically detect intranet network en de overige 3 opties aangevinkt blijf ik de melding ontvangen bij het openen van een document!!
Dat klopt, er zijn namelijk twee popups, de eerste waar ik op gereageerd heb is degene die de melding geeft die jij in het eerste topic aangaf. De tweede komt vanuit IE die vraagt of je het bestand wil opslaan of openen. Dit is een andere functie die je kan beheren via het Windows Explorer Tools menu. Onder Folder Options, File Types en het Knopje Advanced.
Deze "beveiligings" popups zijn echter clientside geregeld, en in het geval van bijvoorbeeld pdf bestanden (als op de client Adobe staat word dit via de configuratie van de Adobe Acrobat Reader ActiveX plugin geregeld en niet via de bovengenoemde Windows configuratie opties.
De instellingen voor de bestandstypen zijn helaas niet erg schaalbaar en houden er verder weinig rekening mee vanuit welke zone de bestanden komen, IE tagt de bestanden namelijk via Alternate File Streams met een 1 of een 0 wat aangeeft of het bestand de waarschuwing's popup moet weergeven. Het open/save dialoog kan je in het venster zelf ook configureren door het vinkje never show this message again aan te vinken wanneer deze verschijnt en dan op Open te klikken.
Door Anoniem: Ik had het probleem verkeerd begrepen (is voor een klant van mij). In eerste instantie wordt er ingelogd op SharePoint met een active directory account (de SharePoint site bevind zich in hetzelfde domein). Als je dan vervolgens naar een willekeurige document library gaat en een document opent, moet je bij het openen van Word nogmaals je loginnaam en wachtwoord invoeren. Dit geld voor ieder document dat je opent (dus ook als je daarna een ander document opent).
Er zit dus nog ergens een "beveiligings/authenticatie" laag, maar de vraag is waar?
Er zit dus nog ergens een "beveiligings/authenticatie" laag, maar de vraag is waar?
Is dit een WSS of MOSS server? Ik weet het even niet meer helemaal zeker namelijk, maar volgens mij zit de oplossing voor deze kwestie in MOSS en niet in WSS. Waar overigens wel een workaround voor is. In MOSS kan je SSO (Single Sign On) Configureren maar volgens mij zit dat onder het SSP gedeelte die alleen met MOSS word meegeleverd. Als alternaties (ik weet het het is irritant) kan de gebruiker zijn wachtwoord opslaan in IE voor deze site. Dit is symptoombestrijding maar de gebruiker kan dan mee tot een wachtwoord wijziging.
Dit gedrag word overigens veroorzaakt door hoe IIS/Windows met sessies omgaat, omdat bij het klikken van bijvoorbeeld op een doc document Word word geinitieerd op de client die vervolgens de GET naar de server stuurd en dit een ander process op de client is krijgt deze een nieuwe sessie en die is dan nog niet aangelogd.
Door Ilja. _\\//:
Dat alles in overweging nemende, denk ik dat we met z'n allen een stap te ver aan het zoeken zijn. Weet je wat jij moet doen!?!:
Daar ga je dan om te beginnen je Bestandsserver definïeren.
Dat alles in overweging nemende, denk ik dat we met z'n allen een stap te ver aan het zoeken zijn. Weet je wat jij moet doen!?!:
Daar ga je dan om te beginnen je Bestandsserver definïeren.
De rol Fileserver is geen prerequesite voor WSS of MOSS, sterker nog, beide SharePoint versies doen hier niets mee. Alle data word opgeslagen in een SQL Database. Wel is het interesant dat je de waarschuwing nog steeds krijgt voor de exe file wanneer je die hebt uitgeschakeld. Dat is tegen mijn verwachtingen in. Heb je dit ook getest met andere bestandstypen want zoals ik al aangaf gaat het soms niet op voor specifieke bestandstypen wanneer de applicatie dit soort zaken overruled. In dit geval pdf bestanden (in ieder geval met Adobe Reader, Ik weet niet of Foxit dit ook zo regelt.
Door Anoniem: Zo simpel is het zegt Ilja. _\\//
Wanneer men een bestand probeert te openen vanuit de Intranet pagina die gecreëerd is door deze tweede domein controller dan krijgt met een beveiligings waarschuwing. En zoals SirDice al netjes had omschreven kun je dit oplossen door Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download. Hierna krijg ik deze melding NIET meer.
Wanneer men een bestand probeert te openen vanuit de Intranet pagina die gecreëerd is door deze tweede domein controller dan krijgt met een beveiligings waarschuwing. En zoals SirDice al netjes had omschreven kun je dit oplossen door Folder Options, File Types, Extension DOC, advanced en dan vinkje uitzetten bij conform open after download. Hierna krijg ik deze melding NIET meer.
Let ook op dat er twee dialoogvensters zijn, één is het waarschuwings venster en de ander is het open/opslaan venster. Deze worden op verschillende manieren en plekken beheerd (voor zover je het beheren kunt noemen).
En ja dit geld dan voor alle bestanden ongeacht waar deze vandaan komen. Daar kan je niet omheen vanuit Windows. Misscien dat er een pakket op de markt te krijgen is dat dit wel voor elkaar kan krijgen maar er schiet mij zo niets te binnen.
03-08-2009, 02:16 door
Ilja. _V V
Accoord. Als het inderdaad allemaal zo simpel was, dan hadden we geen systeembeheerders nodig. Voortaan dus zo'n olijke noot van mij maar met een flinke korrel zout nemen. :-)
Ik heb van het weekend tussen de bedrijven door even mijn virtuele server omgebouwd & er de Active-Directory bij gezet. Kijk, dat zijn handige dingen om te weten voor degene wie je om hulp vraagt. Ik heb er ook een oudere SharePoint Portal Server versie bij geschoven.
Ok, het was een beetje te lastig om 2 domein-controllers plus clienten te simuleren, & ik mag aannemen dat het me niet kwalijk word genomen dat ik daar niet aan begonnen ben, weekend is voor andere dingen.
Wat ik al verwachtte ligt het volgens mij nog steeds niet aan SharePoint. Kenmerk van dat soort programmatuur is ook dat het nooit de bestaande beveiligingsinstellingen zal veranderen, hooguit tijdens de eerste installatie & dan alleen met toestemming, die instellingen nog eens her-bekrachtigd (re-enforced). Ik kan dus met redelijke zekerheid veilig stellen dat het niet aan SharePoint ligt.
Even een zijpad.
Voor degenen die het nog niet weten, ik ben dus geen voorstander van handmatige registerwijzigingen. Pure overkill. Er zijn beheers- & controle-hulpprogramma's voor beschikbaar, al dan wel of niet meegeleverd, die dat op de juiste wijze voor je doen.
Ok, het is er ooit voor ontworpen & gemaakt & het werkt nog steeds, ook in dit geval, echter, ook erkend, het heeft een keerzijde, in dit geval werkt het voor iedereen, wat weer ongewenst is.
Niet voor niets beginnen gerenommeerde sites die oplossingen d.m.v. het register aanbieden met gemiddeld de eerste helft van de pagina met een duidelijke waarschuwing plus het advies om eerst een backup van het register te maken.
Ik denk dat als ik hier een sociaal ingenieus verpakte registersleutel plaats die het systeem onklaar maakt, dat meer dan de helft van de beveiligingsbewusten alhier dat klakkeloos regelrecht het register in klikt.
Zeg nou eerlijk, wie maakt er een backup van het register in de gretigheid om een probleem op te lossen cq. te omzeilen?
Pas als het dan mis gaat word je geconfronteerd met het feit dat de menselijke geest eigenlijk niet kan omgaan met dat soort tekenreeksen.
Terug naar de hoofdweg.
Ik ben gaan kijken of ik in Groepsbeleid iets kon vinden waarmee dit probleem netjes opgelost kan worden. Groepsbeleid verdiend overigens ook wel een waarschuwing, ik heb in het verleden wel eens iets te voortvarend een beleid gezet met als gevolg dat er na de herstart niets, maar dan ook niets door niemand meer veranderd kon worden aan het systeem, dat echter wel perfect functioneerde.
De meest gebruikte methode om bij de Groepsbeleidbewerker (editor?) te komen is in Uitvoeren of Dosdoos te typen: gpedit.msc
In dit geval kan het ook nog via Start, Systeembeheer, Active Directory - Gebruikers en computers, selecteer Domein, RMK, Eigenschappen, Groepsbeleid. Pfff...
Goed. Daar vond ik de volgende mogelijkheden, je moet zelf maar even kijken wat het meest geschikt is. Voordeel van de Groepsbeleidbewerker is dat het niet alleen heel precies de juiste (register-)instelling genereert, maar dat er ook iets van uitleg bij gezet is.
In telegramstijl:
Groepsbeleidobjectbewerker:
Computerconfiguratie, Beheerssjablonen, Windows-onderdelen, Internet Explorer, Beveiliging
> Downloaden van bestanden beperken
> Vergrendeling van netwerkprotocollen
Dan moet je hetzelfde even nakijken in deze afdeling.
Gebruikersconfiguratie, Beheerssjablonen, Windows-onderdelen, Internet Explorer, Beveiligingskenmerken
> Downloaden van bestanden beperken
> Vergrendeling van netwerkprotocollen
Als in beide afdelingen iets naar boven gaat, zie je ook de mogelijkheid om het gedrag bij binaire bestanden te wijzigen.
Ander voordeel van deze methode is dat je heel precies verschillend beleid kan zetten van domein tot gebruiker. Eenmaal ingesteld word een beleid ook automatisch ingesteld als er een groep of gebruiker bij gemaakt word. Ook kan je een individuele gebruiker van een specifiek beleid voorzien, tot aan permissies op registersleutelniveau. Bv. de secretaresse die altijd overal bovenop zit wat extra vrijheden, of voor de baas die je systeem keer op keer overhoop gooit zet je alles op deny. NAK. ;-)
Overigens word in de MS-leer deny afgeraden & is eigenlijk bedoeld voor als iets echt niet anders kan.
Ok, nu moet het probleem op de server opgelost moeten zijn voor gebruikers & niet voor iedereen.
Mogelijk moet er op de clienten dan nog iets soortgelijks ingesteld worden.
Ik had de volgende Beheerssjablonen in gebruik: conf.adm, inetres.adm, system.adm, wmplayer.adm, wuau.adm & er zitten er standaard nog een aantal in. Op TechNet kan je nog veel meer sjablonen & help vinden, even spitten.
Misschien is het handig om er de Windows Server 2003 Resource Kit bij te pakken, zit ook een gereedschapje bij waarmee je zelf sjablonen kan schrijven, behalve op de cd kan je het hier ophalen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
Nou, voldoende??? ;-)
Ik heb van het weekend tussen de bedrijven door even mijn virtuele server omgebouwd & er de Active-Directory bij gezet. Kijk, dat zijn handige dingen om te weten voor degene wie je om hulp vraagt. Ik heb er ook een oudere SharePoint Portal Server versie bij geschoven.
Ok, het was een beetje te lastig om 2 domein-controllers plus clienten te simuleren, & ik mag aannemen dat het me niet kwalijk word genomen dat ik daar niet aan begonnen ben, weekend is voor andere dingen.
Wat ik al verwachtte ligt het volgens mij nog steeds niet aan SharePoint. Kenmerk van dat soort programmatuur is ook dat het nooit de bestaande beveiligingsinstellingen zal veranderen, hooguit tijdens de eerste installatie & dan alleen met toestemming, die instellingen nog eens her-bekrachtigd (re-enforced). Ik kan dus met redelijke zekerheid veilig stellen dat het niet aan SharePoint ligt.
Even een zijpad.
Voor degenen die het nog niet weten, ik ben dus geen voorstander van handmatige registerwijzigingen. Pure overkill. Er zijn beheers- & controle-hulpprogramma's voor beschikbaar, al dan wel of niet meegeleverd, die dat op de juiste wijze voor je doen.
Ok, het is er ooit voor ontworpen & gemaakt & het werkt nog steeds, ook in dit geval, echter, ook erkend, het heeft een keerzijde, in dit geval werkt het voor iedereen, wat weer ongewenst is.
Niet voor niets beginnen gerenommeerde sites die oplossingen d.m.v. het register aanbieden met gemiddeld de eerste helft van de pagina met een duidelijke waarschuwing plus het advies om eerst een backup van het register te maken.
Ik denk dat als ik hier een sociaal ingenieus verpakte registersleutel plaats die het systeem onklaar maakt, dat meer dan de helft van de beveiligingsbewusten alhier dat klakkeloos regelrecht het register in klikt.
Zeg nou eerlijk, wie maakt er een backup van het register in de gretigheid om een probleem op te lossen cq. te omzeilen?
Pas als het dan mis gaat word je geconfronteerd met het feit dat de menselijke geest eigenlijk niet kan omgaan met dat soort tekenreeksen.
Terug naar de hoofdweg.
Ik ben gaan kijken of ik in Groepsbeleid iets kon vinden waarmee dit probleem netjes opgelost kan worden. Groepsbeleid verdiend overigens ook wel een waarschuwing, ik heb in het verleden wel eens iets te voortvarend een beleid gezet met als gevolg dat er na de herstart niets, maar dan ook niets door niemand meer veranderd kon worden aan het systeem, dat echter wel perfect functioneerde.
De meest gebruikte methode om bij de Groepsbeleidbewerker (editor?) te komen is in Uitvoeren of Dosdoos te typen: gpedit.msc
In dit geval kan het ook nog via Start, Systeembeheer, Active Directory - Gebruikers en computers, selecteer Domein, RMK, Eigenschappen, Groepsbeleid. Pfff...
Goed. Daar vond ik de volgende mogelijkheden, je moet zelf maar even kijken wat het meest geschikt is. Voordeel van de Groepsbeleidbewerker is dat het niet alleen heel precies de juiste (register-)instelling genereert, maar dat er ook iets van uitleg bij gezet is.
In telegramstijl:
Groepsbeleidobjectbewerker:
Computerconfiguratie, Beheerssjablonen, Windows-onderdelen, Internet Explorer, Beveiliging
> Downloaden van bestanden beperken
> Vergrendeling van netwerkprotocollen
Dan moet je hetzelfde even nakijken in deze afdeling.
Gebruikersconfiguratie, Beheerssjablonen, Windows-onderdelen, Internet Explorer, Beveiligingskenmerken
> Downloaden van bestanden beperken
> Vergrendeling van netwerkprotocollen
Als in beide afdelingen iets naar boven gaat, zie je ook de mogelijkheid om het gedrag bij binaire bestanden te wijzigen.
Ander voordeel van deze methode is dat je heel precies verschillend beleid kan zetten van domein tot gebruiker. Eenmaal ingesteld word een beleid ook automatisch ingesteld als er een groep of gebruiker bij gemaakt word. Ook kan je een individuele gebruiker van een specifiek beleid voorzien, tot aan permissies op registersleutelniveau. Bv. de secretaresse die altijd overal bovenop zit wat extra vrijheden, of voor de baas die je systeem keer op keer overhoop gooit zet je alles op deny. NAK. ;-)
Overigens word in de MS-leer deny afgeraden & is eigenlijk bedoeld voor als iets echt niet anders kan.
Ok, nu moet het probleem op de server opgelost moeten zijn voor gebruikers & niet voor iedereen.
Mogelijk moet er op de clienten dan nog iets soortgelijks ingesteld worden.
Ik had de volgende Beheerssjablonen in gebruik: conf.adm, inetres.adm, system.adm, wmplayer.adm, wuau.adm & er zitten er standaard nog een aantal in. Op TechNet kan je nog veel meer sjablonen & help vinden, even spitten.
Misschien is het handig om er de Windows Server 2003 Resource Kit bij te pakken, zit ook een gereedschapje bij waarmee je zelf sjablonen kan schrijven, behalve op de cd kan je het hier ophalen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
Nou, voldoende??? ;-)
10-08-2009, 21:20 door
Ilja. _V V
Is het probleem ondertussen opgelost???...
a: Ik neem mijn kansen met de Registerwijzigingen
b: Ik neem mijn kansen met de Geavanceerde Map-opties
c: Ik heb alles terug gezet naar de standaard-instellingen
d: Ik heb de Groepsbeleid mogelijkheden in onderzoek
e: Ik heb een andere methode ontdekt
f: Ik weet het niet meer & ben ermee op gehouden
???...
a: Ik neem mijn kansen met de Registerwijzigingen
b: Ik neem mijn kansen met de Geavanceerde Map-opties
c: Ik heb alles terug gezet naar de standaard-instellingen
d: Ik heb de Groepsbeleid mogelijkheden in onderzoek
e: Ik heb een andere methode ontdekt
f: Ik weet het niet meer & ben ermee op gehouden
???...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.