Nach letztem Firmware-Update kein Gastzugriff (Guest Access) auf Freigaben mehr

    Zitat von frosch2

    Deshalb muss es ja nicht gleich entbehrlich sein


    Ich habe zwar einen Nabel, aber das nicht der Nabel der Welt ... )


    Spass beiseite, hatte das mit den Managmentsystemen überlesen.


    Halte das mit Gast-Zugriff aber immer noch für eine ganz heisse Kiste.

    Zitat von Jagi

    Halte das mit Gast-Zugriff aber immer noch für eine ganz heisse Kiste.

    Ich würde es Risiko nennen.

    Zitat von frosch2

    Betrachten wir mal das Sicherheitsrisiko in Richtung Verschlüssellungs-Trojana:

    Die Einbruchsstelle waren Windows-PCs.

    Der Windows-PC war zu diesem Zeitpunkt mit dem SAMBA-Share verbunden und hat sein Unwesen getrieben.

    Wo ist hier der Unterschied zwischen Gastzugang und per User und Passwort, verbunden ist verbunden?

    Hast du das gelesen?


    Was mir hier aber unangenehm auf stößt, was machen Firmen, die einen Workflow haben, bei denen diese Freigabe wichtig ist?

    Warten auf das nächste Update, bei 100 Rechnungen am Tag?

    2 Mal editiert, zuletzt von frosch2 ()

    Getestet: Firmware

    4.3.6.0993 behebt diesen Fehler.


    Nachtrag:

    Sollte es nicht funktionieren unter:

    Netzwerk>Win/Mac/NFS>Erweiterte Optionen>unten bei Anonymer Benutzer vom Zugriff auf freigegebene SMB-Ordner ausschließen

    die Option auf Aktiviert umschalten dann Übernehmen und wieder auf Deaktiviert schalten dann wieder Übernehmen.


    Geht es immer noch nicht den Gastzugang der Freigabe verweigern und wieder zulassen oder die Freigabe neu anlegen.


    Ende der Durchsage ;P


    p.s. Danke an die Qnapler, dass Ihr an uns denkt :)

    2 Mal editiert, zuletzt von Termalator ()

    öhm

    Zitat von frosch2

    Weiter oben hatten wir erwähnt, dass einige Scanner es brauchen, Dokumentenmanagementsysteme ebenso.

    Öhm ich nutze unix/linux, win10, scanner und dms, ich kann die Notwendigkeit des Guest Accounts nicht erkennen

    @ Xantumaster

    Sobald Du einen Dienst hast der nur über das Systemkonto auf die NAS zugreifen kann wirst Du die Notwendigkeit erkennen und ne AD für zwei Rechner aufbauen schießt übers Ziel hinaus.


    Außerdem geht es nicht um die Notwendigkeit, das ist eine Sache der Anwendung, sondern um die Möglichkeit ;).

    Zitat von nulobez

    Jetzt war ich mal so mutig, den dort vorgeschlagenen Patch bezüglich der smb.sh gaaaanz vorsichtig durchzuführen. Es scheint gehilft zu haben.

    Nachdem ich gestern mein QNAP NAS TS-212 mit der Firmware 4.3.3.0967 versehen hatte, stand ich nun vor dem identischen Problem... Auch mir half diese Anleitung und der Patch!


    Code
    Search for and change the following line in smb.sh located in /etc/init.d

/sbin/setcfg global "invalid users" "guest" -f ${CONFIG}
change to (note the # at the beginning)
# /sbin/setcfg global "invalid users" "guest" -f ${CONFIG}
add the following line below it
/sbin/setcfg global "invalid users" "" -f ${CONFIG}

Save the file and restart SMB with /etc/init.d/smb.sh restart

    (https://forum.qnap.com/viewtop…5a36a3d30a87a5892#p719190)


    Per WinSCP und Notepad++ habe ich die Änderung in der Datei vorgenommen und per Putty SMB neugestartet.


    Jetzt kann ich wieder wie gewohnt ohne Login auf meine Shares zugreifen! Danke! :)


    PS: Leider gibt es für mein NAS-Modell noch keine neue Firmware, die diesen "Fehler" behebt.

    Hallo Leute


    Habe ein sehr kurioses Problem Betreff Gastzugriff bzw. Windows User Zugriff (neuste Firmware ist drauf, heute aktualisiert). Das Problem hat angefangen als ich mein Windows 10 auf 1809 "upgegradet" hab (gestern). Der Windows-User mit dem ich auf die Dateien zugreife ist auch genau so auf dem QNAP Nas angelegt (gleicher Name und PW).


    Ich habe Transmission am laufen, und egal welche Dateien runtergeladen werden, wenn sie fertig sind kann ich Diese nicht über Windows öffnen. Das passiert nur mit Dateien die ich heute runtergeladen habe, die "alten" Dateien lassen sich ohne Probleme öffnen. In den Transmission settings ist "umask = 18" eingestellt. Wenn ich die Rechte der Dateien im Windows-Eigenschaften anschaue, sieht das wie folgt aus:


    Dateien die sich öffnen lassen:

    Zugriffsrechte_Qnap_Windows_funktionierend.png


    Dateien die sich nicht öffnen lassen:

    Zugriffsrechte_Qnap_Windows.png


    Rechte von Dateien in WINSCP die sich öffnen lassen:

    Zugriffsrechte_Qnap_Winscp.png
    Rechte von Dateien in WINSCP die sich nicht öffnen lassen:

    Zugriffsrechte_Qnap_Winscp_nicht_funktionierend.png


    Es funktioniert, wenn ich manuell oktal auf "0770" stelle und dann in Windows für "everyone" Vollzugriff einstelle (Gruppe "everyone" verschwindet dann auch aus den Rechten, "Everyone" bleibt jedoch bestehen), das ist jedoch absolut suboptimal wie ihr sicherlich nachvollziehen könnt.


    Auf Antworten freue ich mich, und entschuldigt wenn ich hier den falschen Thread dafür ausgewählt habe.

    Da bin ich wieder, mit 4.4.1.1064 scheint das Problem in etwas abgewandelter Form da zu sein.

    Man kann mit Systemkonten also einer anonymen Anmeldung nicht mehr auf die Freigaben zu greifen.


    Es geht zwar wenn man einen nicht in der QNAP existierenden User nimmt aber nicht komplett anonym (z.B. Systemkonto)


    Wenn ich eine praktikable Lösung für das Problem finde werde ich sie hier posten.


    P.S. Das scheint einfach gesagt daran zu liegen, dass die qnap keine leeren Passwörter mehr akzeptiert.


    Nachtrag : Wie mir scheint ist es eine neue ganz tolle Passwortrichtlinie :/

    Vielen Dank das hab ich schon immer gebraucht *Sarkasmus*

    2 Mal editiert, zuletzt von Termalator ()

    Ich habe es aufgegeben.


    Anscheinend ist davon nur ein Teil der Geräte betroffen.


    Die Häufung dieser und ähnlich gelagerter Probleme bedeutet für mich, dass diese Systeme absolut unbrauchbar sind und ich diese nicht mehr produktiv einsetzen werde und diese zu diesem Zweck auch niemandem empfehlen werde.

    Hallo zusammen,

    Hier soll ein in die Jahre gekommenes NAS eines anderen Herstellers ersetzt werden, durch ein TS231P, und damit gibt es ein Problem.

    Zunächst zur Sicherheit: das alte NAS konnte nicht ins Internet. es hatte eine Freigabe, die auf geschätzt 15-20 Arbeitsstationen in der Firma als Laufwerk gemappt war. Auf dieser Freigabe durften alle Benutzer alles.

    Bis hier sehe ich keine Sicherheitsprobleme, denn wenn ich für jeden verbundenen PC einen Benutzer einrichten würde, wären das ja letztendlich die gleichen Zugriffsrechte. Wenn es ein Angreifer bis ins LAN schafft könnte er mir ohne Anmeldung das NAS verschlüsseln oder löschen, aber vermutlich wäre das dann mein geringstes Problem.

    Oder habe ich etwas übersehen?


    OK, jetzt soll das neue TS231P in Betrieb gehen. Auch lediglich als Filestation, nicht von außen erreichbar.

    Um nicht alle Benutzer anlegen zu müssen, auch immer aktuell halten zu müssen, wollte ich auch gern den Gastzugang nutzen. "Geht aber nicht", wie ja im Post schon bemängelt.
    ich habe eine Freigabe eingerichtet, etwa halb so groß wie die Festplattenkapazität.

    Ich habe dafür das Gastzugriffsrecht auf Vollzugriff gestellt.

    Mein Win10-Client meldet: " falscher Parameter" beim Verbindungsversuch mit guest/guest. SMB1 ist eingeschaltet, brauchen wir leider aus Kompatibilitätsgründen einem alten Kopierer/Scanner.


    ein trivialer Workaround wäre natürlich, dass ich eben doch einen Benutzer auf dem NAS einrichte, und sich alle Arbeitsstationen mit genau diesem Benutzer anmelden.


    jetzt bitte ich um Ratschläge, einmal zur Sicherheit, und dann natürlich zur Anmeldung.

    Danke!

    Zitat von Malf

    jetzt bitte ich um Ratschläge, einmal zur Sicherheit, und dann natürlich zur Anmeldung.

    Im Ernst?


    Bevor ich jetzt wieder falsch verstanden werde, oder "das neue Forumsmitglied" angepisst ist ...


    Du setzt das NAS beruflich ein und erwartest in einem "privatem" Userforum Sicherheitsvorschläge, die den Sicherheitsrichtlinien deiner Firma gerecht werden?

    Oder willst du dir die Kosten einer professionellen Beratung sparen, falls deine Firma dazu keinen Plan hat?


    1. Geh zu deiner IT-Abteilung, bzw. zu deinem "Sicherheitsbeauftragtem" und lasse dir dort das Konzept erstellen/erklären.

    2. Du bist selber die IT und hast keine Plan? Dann hol dir professionelle Hilfe!!!


    Es geht womöglich um geschäftskritische Daten, um Kundendaten, um gesetzlich vorgeschriebene Aufbewahrungsfristen (bis 30 Jahre!), um DSGVO, etc.


    Wenn ich da lese, was dein "Anfangskonzept" ist, User ohne eigene Berechtigung zu verwenden, dann sind wir, zumindest ICH, hier schon wieder fertig.

    In 2-3 Wochen lese ich dann, dass die Daten weg sind, du kein Backup hast (warum denn auch) und das es plötzlich SEHR WICHTIG ist, weil Kundendaten betroffen sind ...


    Nein Danke! Überlege dir (oder deine IT) was die VORGABEN sind, DIE EINZUHALTEN SIND, und dann kannst du gerne nochmals fragen, wie du die mit genau deinem Modell umsetzen kannst (oder eben nicht, wenn es das falsche NAS, bzw. die falschen Anforderungen sind).

    es geht nicht um geschäftskritische Daten, es sind auch keine Kundendaten drauf, irgendwas DSVGO-relevantes oder Daten mit Aufbewahrungsfristen.
    Es existieren auch 2 Backups, eins verschlüsselt auf einen externen, portablen Datenträger und eins mit Wechselplan auf einen Datenträger im Gebäude.


    Nachtrag: ich habe den gesamten post noch einmal gelesen....ich hatte eine Einstellung übersehen.

    Das war die Lösung für mein Problem:

    Netzwerk>Win/Mac/NFS>Erweiterte Optionen>unten bei Anonymer Benutzer vom Zugriff auf freigegebene SMB-Ordner ausschließen
    die Option auf Aktiviert umschalten dann Übernehmen und wieder auf Deaktiviert schalten dann wieder Übernehmen.


    Das Thema mit den Sicherheitsbedenken haben wir trotzdem noch.

    M.


    2 Mal editiert, zuletzt von Malf () aus folgendem Grund: ergänzt

    Ich habe noch zu berichten, daß ich alle Gastzugänge abgeschaltet habe, und für jeden Benutzer ein eigenes Konto angelegt habe. Dabei auch festgestellt, daß eigentlich gar nicht JEDER auch Zugriff aufs Gerät braucht. :)

    Außerdem habe ich nur NIC1 angeschlossen, auf diesem eine statische IP vergeben, und sowohl Gateway als auch DNS geklaut. Da telefoniert jetzt nix mehr rein oder raus.
    Daß keine updates kommen toleriere ich... daß das Betriebssystem rein für Dateiablage richtig funktioniert, setze ich bei einem Gerät voraus, was schon paar Jahre auf dem Markt ist.
    NIC2 steht auf DHCP, und wenn ich tatsächlich mal Bock auf updates habe, stecke ich das Netzwerkkabel kurz um.

    Zitat von Termalator

    Sollte es nicht funktionieren unter:

    Netzwerk>Win/Mac/NFS>Erweiterte Optionen>unten bei Anonymer Benutzer vom Zugriff auf freigegebene SMB-Ordner ausschließen

    die Option auf Aktiviert umschalten dann Übernehmen und wieder auf Deaktiviert schalten dann wieder Übernehmen.


    Geht es immer noch nicht den Gastzugang der Freigabe verweigern und wieder zulassen oder die Freigabe neu anlegen.

    Ich greife das Thema nochmals auf. Musste gerade feststellen, das die Lösung bei dem Zugriff von einem Client geholfen hat, beim anderen kurzfristig auch, nun aber wieder vom einen nicht klappt und beim anderen ohne Probleme.

    Ich hatte das damals selbst vom Mac aus, das es nicht ging.

    Bei dem klappt es aber nach wie vor. Nur ein Win-PC zickt rum.

    Und es hilft selbst mit beiden Lösungen nicht.

    Gut die Freigabe neu anlegen, so weit wollte ich jetzt nicht wegen dem einen Client nicht gehen...

    Nervig...

    Update: Problem gefunden, sind die Clients auf denen kein passwortgeschützter User vorhanden ist. Die Guest-Freigabe benötigt also zwingend einen User der Passwortgeschützt ist.

    Einmal editiert, zuletzt von Microby ()