Nach letztem Firmware-Update kein Gastzugriff (Guest Access) auf Freigaben mehr

  • Moin!


    Hier läuft ein QNAP TS 851 vornehmlich als Netzwerkspeicher. Um von allen möglichen PCs aus Daten darauf ablegen zu können, habe ich schon von Anfang an den Gastzugriff gestattet. Seit dem aktuellen Firmware-Update auf die 4.3.6.0979 verlangt jeder PC - egal ob Windows oder Linux - Usernamen und Passwort. Bereist beim Verbindungsversuch und nicht erst beim Versuch, einen Freigabeordner zu öffnen. "Guest Access" steht aber überall (wo überall eigentlich? Gibt's da neuerdings neue Stellen?) nachwievor auf "Guest Access Right: Full Access", was wohl damals notwendig war, einzustellen, um ohne User/Passwort darauf zugreifen zu können.


    Was wurde geändert? Wo muss ich schrauben?


    TIA,

    Ulrich


    P.S.: Sollten sich Schreibfehler in diesem Post befinden, werde ich sie diesmal nicht nachträglich korrigieren. Als ich sowas das letzte Mal tat, fing ich mir einen Rüffel wegen vorgebliche Doppelpostings ein.

  • Um von allen möglichen PCs aus Daten darauf ablegen zu können, habe ich schon von Anfang an den Gastzugriff gestattet.


    Absolutes no go. Am besten wäre es noch wenn das NAS aus dem Internet erreichbar ist ... :)



    Bereist beim Verbindungsversuch


    Wie meinst du das ?

  • So:



    Taucht erst nach dem letzen Firmware-Update auf. Bereits beim Verbindungsversuch und nicht vielleicht erst, nachdem ich überhaupt an Freigaben komme und eine solche öffnen wollte. Hier mal ab Linux. Ab Win7 schaut es vergleichbar aus:



    Interessantereweise klappt der Zugriff hier wie dort mit dem QNAP-Administrator als User und dessem Passwort. Das ist aber wohl nicht gerade Sinn der Übung! Dann lieber weider den ursprünglichen "Guest Access".

  • ?

    lm QNAP steht unter Domäne Workgroup.

    Im Anmeldefenster ein anderer Domänenname.

    Gibst Du bei der Anmeldung "Workgroup" vor dem Benutzernamen an um einen NAS Account zu verwenden?

    Oder gibt es sonst eine Art Vertrauensstellung?


    Gruss

  • Dieses Anmeldefenster kommt ja erst seit dem Firmware-Upgrade. Die dort genannte Domäne saugt sich wohl das jeweils anmeldende BS aus seinen eigenen Fingern.


    "Vertrauensstellung"? Vor dem letzten Upgrade ging das halt als "Guest Access" ohne jegliche Anmeldedaten.


    Aufm parallel betriebenen Synology geht es nachwievor wie gewohnt. Ein Windows kommt sofort aufs dortige NAS, das Linux erlaubt ein "anonym verbinden", wie es zuvor auch aufm QNAP ging:



  • Genau das will ich nicht (wie packe ich zum Beispiel eine Linux-Kiste in dieses Szenario?) und habe es bis zum letzten Firmware-Upgrade auch nicht gebraucht. Irgendwas, was einen bisher jahrelang möglichen Gastzugang - Linux nennt es "anonymous" - erlaubt hat, ist da wohl jetzt abgeschaltet worden. Wie schalte ich es wieder ein?


    Vileleicht neue SMB-Version aufm NAS, welche grundsätzlich eine Authorisierung verlangt, selbst wenn nachwievor überall der Gast-Zugriff freigeschaltet ist?

  • Auch in Linux gibt es Netzwerkeinstellungen wo man das Einträgt.


    Gastzugänge auf dem NAS ist Sicherheitstechnisch absoluter Selbstmord.


    Andere Frage, ist dein NAS aus dem Internet erreichbar ?


  • Da sind ein paar neue Einstellungen, die ich auch noch nicht überschaue, aber "Alternative Login Style" könnte für Dich interessant sein.

  • Gastzugänge auf dem NAS ist Sicherheitstechnisch absoluter Selbstmord.

    Hi, auch wenn ich das voll und ganz unterstütze.

    Aber wenn du es, leichtsinniger Weise, wirklich unbedingt brauchst.


    Es gibt immer ein "work arround" lege doch einfach einen Nutzer a, nennen wir ihn "gäste123" das Passwort kannst du ja frei wählen ggf. sogar die Sicherheitseinstellungen übergehen(?).

    Nim dann doch z.B.: "123"


    Das sollte jeder schaffen einzugeben.


    ###

    Dem Nutzer räumst du auch gleich Adminrechte ein und schon bist du alle Sorgen los.

    ###


    VG

    Friis

  • Beim Erstellen eines Users bleibt der Assistent bei Schritt 2 und es geht erst weiter wenn ich die PW-Regeln einhalte.


    Einen User ohne komplexes Passwort anzulegen geht wie?

    Oder wo kann man die Anforderungen ändern?

  • Alle PC und und NAS in eine Arbeitsgruppe packen. Standard ist Workgroup.

    Geht die Arbeitsgruppe in Win10 überhaupt noch?


    Bei mir ist sie nicht mehr vorhanden: Heimnetzgruppe wurde aus Windows 10 (Version 1803) entfernt


    Bin mir da nicht mehr so recht sicher, was jetzt richtig ist, beim NAS kann ich noch die Arbeitsgruppe angeben, beim Win10 aber nicht mehr. Keine Ahnung, ob die zwei dann noch "zusammen finden". :/

    D.h. funktionieren tut es schon, zumindest bei zwei NAS(en) beim dritten bekomme ich es ums verrecken nicht hin, obwohl ich alles gleich eingestellt habe ... Kann aber damit leben, da das dritte NAS nur als Backup vom 1. dient und nicht wirklich die Freigaben am PC benötigt werden ...

  • Die Passwortrichtline wirkt sich nur auf die QNAP-User aus, nicht auf die im Samba.
    Das Menü unter Domänen Controller/Benutzer/Erstellen geht da nicht weiter...

  • Die QNAP-User sind Samba-User.

    Was du meinst und anfangs nicht geschrieben hast ist, dass es sich bei dir um Domain-Accounts eines Domain Controllers handelt. Das sind zwei unterschiedliche Paar Schuhe.

  • Nochmal an alle. Ich finde hier in diesem Forum leider ad hoc keinen Button, um auf jede Antwort getrennt eingehen zu können:


    1. Mögliche(!) Sicherheitsrisiken sind mir bewusst, jedoch lief das NAS hier über Jahre(!) problemlos mit Gastzugriff auf die Shared Folders. Damit von außen jemand drankäme, müsste er erst einen Weg durch meinen Router/meine Firewall aufs lokale Netz finden. Und wenn der gefunden wäre, hätte ich weiß Gott andere Probleme, als einen Gastzugang zu den Shared Folders des QNAP!


    2. Ich will und kann nicht in allen Clients hier eine SMB-Anmeldung verhackstückeln. Solange der Gastzugang auf die Shared-Folders noch möglich war, war das die Lösung schlechthin.


    3. Nachwievor würde ich eigentlich gerne nur wissen, was genau mit dem letzten Firmwareupdate geschehen ist, weswegen der Gastzugang auf die Shared Folders nicht mehr möglich ist. Liest hier vielleicht jemand von QNAP mit, und möchte mir das verraten?


    4. Gibt es eventuell eine Firmware Downgrade-Möglichkeit auf die Version vor 4.3.6.0979? Damit ging der Gastzugriff ja noch.

  • Ich finde hier in diesem Forum leider ad hoc keinen Button,


    Nennt sich Zitieren ...


    Clients hier eine SMB-Anmeldung verhackstückeln


    Nochmal zum Mitschreiben. Die müssen sich nicht anmelden.

    Wenn Benutzer und Passwort von Windows/Linux = Benutzer und Passwort auf de NAS entsprechen, brauchst du dem Benutzer auf dem NAS nur die entsprechenden Rechte für die Ordner geben und sie haben sofort zugriff darauf.



    Ich will und kann nicht


    genau ich auch nicht. Bin hier raus.

  • Nachwievor würde ich eigentlich gerne nur wissen, was genau mit dem letzten Firmwareupdate geschehen ist,

    Zitat aus dem Changelog:

    Zitat von Changelog QTS 4.3.6.0979 build 20190620

    [Fixed Issues]


    - Fixed a default credential vulnerability.


    - Fixed an improper access control vulnerability (CVE-2019-7189).


    - Fixed an XML injection vulnerability (CVE-2019-7190).


    - Fixed an improper input validation vulnerability (CVE-2019-7191).



    Ich finde hier in diesem Forum leider ad hoc keinen Button, um auf jede Antwort getrennt eingehen zu können:

    :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

  • Zitiere mich ungern selber: "Geht die Arbeitsgruppe in Win10 überhaupt noch?"

    Ja, geht noch.


    Dass sie noch "angezeigt" wird, ist mir klar, ich meinte ja ob sie auch noch funktioniert?


    Zumindest verunsichert mich folgender Absatz, aber vielleicht verstehe ich ihn nur falsch und es ist alles so wie es sein soll?

    Die Optionen Heimnetzgruppe (anzeigen) und Heimnetzgruppe (anzeigen und bearbeiten) werden weiterhin in Windows 10 (Version 1803 oder höher) angezeigt, wenn Sie im Datei-Explorer mit der rechten Maustaste auf einen Ordner klicken und dann auf Zugriff gewähren auf zeigen. Mit keiner der Optionen geschieht jedoch etwas.