webdav med isolerade användarkonton

[Dollarone]

Har frågat tidigare men inte fått svar. Kan man i IIS 6 skapa isolerade användarkonton för webdav? Allternativt kan man mounta ftp konton i windows xp?

 

[nordie]

Jag har sett dina inlägg men inte riktigt haft någon bra lösning.

 

Är problemet att komma åt mapparna, att skapa mapparna eller att skapa användarna?

 

IIS kan använda serverns lokala användarkonton eller användarkonton från en ev. Active Directory-domän.

 

[Dollarone]

Med FTP kan man skapa isolerade hemma mappar, alltså att användarna inte kommer åt varandras filer. Detta vill jag göra med IIS

 

ex webdav.goretaget.se anv namn kalle så kommer kalle åt mina dokument hemifrån.

 

Givetvis med active directory.

 

MVH

 

 

Oskar

 

[nordie]

Jag känner inte till någon sådan lösning, utan kalle får nog knappa in http://webdav.foretag.se/users/kalle och du får se till att ntfs-behörigheterna på mapparna inte ger kalle tillgång till någon annans mapp.

 

Sen tycker jag det låter lite läskigt att öppna port 80 från Internet och rakt in i filservern...

 

[Dollarone]

Givetvis hade jag tänkt kryptera (https), Det finns ju alltid olika modeller för att öka säkerheten, man kan ju ställa in vilka IP adresser som accepteras, och skulle det inte vara en ansultning från en sådan ip adress kanske man kan använda krypteringsdosa?..

 

Vad är de största fällorna?

 

[nordie]

Spärra på IP-nivå är ju bra, men det kan vara svårt med hemanvändare med dynamiska ip-adresser. Det gäller också att hålla ett öga på om det kommer uppdateringar för brandväggen. Det händer ju att hackers hittar sätt att kringgå saker...

 

Även om du krypterar med https så hindrar krypteringen i sig ingen att sätta upp en krypterad session och börja gissa lösenord. Gissar man då rätt så är det bara att hämta ner filer från servern. Och frågan är, skulle ni märka det? Och skulle det vara negativt för er verksamhet om dokument kom på villovägar?

 

Med det här resonemanget skulle man inte kunna sätta upp någon som helst inloggning från Internet och in, men jag skulle föreslå att man först möts av en vpn-funktioin där du har större möjlighet att styra hur användare ska autentisera sig.

 

Ett annat skräckscenario med port 80 på filservern öppen mot Internet är en denial of service-attack. Lyckas man utifrån Internet få servern att gå på knäna så blir det inte lätt att jobba inne på kontoret.

 

IT-säkerhet är ju ett relativt begrepp. Det går inte säga att något är absolut säkert, utan alla lösningar befinner sig någonstans på skalan mellan mindre säkert och mer säkert. Så det uppgift man ställs inför är att välja var på skalan man vill lägga sig, vilken funktionalitet man vill ha och vilka risker man är beredda att ta för att nå dit.

 

Du bör också informera ledningen/chefen om vilka teoretiska risker som finns med den lösning du sätter upp. Går dom inte med på det så får de antingen betala för en dyrare lösning, avskaffa funktionen eller acceptera riskerna. Men då är det dom och inte du som bär skulden om något skulle hända.

 

Sedan är det naturligtvis din uppgift att patcha och underhålla systemen så att de inte har säkerhetsluckor som gör att man kan ta sig in på andra sätt än ni har tänkt.