Synology NAS HowTo

Synology Drive Server und Drive Client einrichten

Home
Schreibe einen Kommentar

Synology Drive Server und Drive Client mit Migration von Cloud Station

Synology Drive ist der Nachfolger der CloudStation, es lassen sich damit Dateien in der eigenen Cloud speichern. Alle die Zugriff gewährt bekommen, können diese Dateien auf einem beliebigen Gerät ansehen und bearbeiten. In diesem Beitrag wird gezeigt, wie man Synology Drive Server unter DSM 7 installiert und wie der Synology Drive Client auf Windows eingerichtet wird.

Wie beim Vorgänger funktioniert auch Synology Drive vereinfacht gesagt wie Offlinedateien die über einen Server synchronisiert werden, man richtet auf dem Synology NAS einen Ordner ein, der dann mit beliebigen Geräten im Netzwerk oder Mobilen Geräte unterwegs synchronisiert wird. Der Sinn und Zweck ist es, dass Dateien auf allen Geräten verfügbar und aktuell vorliegen. Anders als bei einer Public Cloud, hat man dabei 100 % Datenkontrolle und keine zusätzliche Kosten, das Problem der Datenweitergabe besteht also nicht.

Sicherer Online-Zugang zu persönlichen und gemeinsamen Daten über die Synology Drive Mobile App, für Desktop-Clients, per Webbrowser oder über ein anderes Synology NAS, ermöglicht mit granularen Berechtigungseinstellungen und SSL-Verschlüsselung. Auch beinhaltet der Synology Drive Client mit Sicherungsaufgabe eine einfache und schnelle Möglichkeit zur Sicherung der Daten.

INSTALLATION

Die Installation von Synology Drive Server ist schnell gemacht, man öffnet das Paket-Zentrum und gibt drive in das Suchfeld ein, nach Klick auf Installieren ist das Paket in wenigen Sekunden bereitgestellt. Die Systemvoraussetzung ist allerdings, dass die DiskStataion DSM 7 fähig ist, ist dies nicht der Fall, besorgt man sich wie hier in diesem Fall, beispielsweise eine neue DS220.

Beim Windows Client wird das Gegenstück, die Desktop-Anwendung Synology Drive Client benötigt, die man aus DSM 7 per Link „Holen Sie sich jetzt die Synology Drive App“ aus der geöffneten Synology Drive App herunterladen kann.

Der Synology Drive Server auf dem NAS muss noch für den Zugang eingerichtet werden, dazu in der DSM Systemsteuerung bei Synology-Konto ein Konto erstellen, falls bereits eines vorhanden ist, meldet man sich mit diesem bei Synology an, danach kann unter Externer-Zugriff eine QuickConnect ID erstellt werden. Alternativ gibt es die Möglichkeit den DDNS-Dienst zu nutzen, als Serviceanbieter bietet sich Synology gleich selber an, oder wenn man einen anderen Anbieter bevorzugt, kann einer der bekannten DDNS-Anbieter ausgewählt werden.

Weiter beim Client auf dem der Synology Drive Client installiert ist, wird mit der Schaltfläche +Erstellen eine neue Verbindung zum Synology Drive Server hergestellt.

Verbinden mit dem Synology NAS

Bei Anderer Synology NAS gibt man Domainname oder die QuickConnect ID gefolgt vom Benutzer-Account und Passwort ein.

Nach dem die Verbindung zum NAS hergestellt wurde, wählt man den Ordner der zum Synology Drive Server synchronisiert werden soll.

Sollen mehrere Drive Ordner angelegt oder andere vorhandene synchronisiert werden, klickt man oben rechts auf das kleine Ordner Symbol mit dem plus (+). hier gibt man den Ordnername ein, diesen man synchronisieren möchte.

Ein Blick in Erweitert sollte man sich nicht entgehen lassen.

  Ist man mit Linux unterwegs, kann sich den Haken bei „Dateien und Ordner mit dem Präfix (.) synchronisieren“ durchaus lohnen.

Es muss darauf geachtet werden, dass der Ordner diesen man synchronisieren möchte unter dem gewünschten Pfad zu stehen kommt. Standardmässig ist nämlich das Kontrollkästchen „Leeren Ordner Drive erstellen“ aktiviert.

  In der Praxis erweist sich das einfachere vorgehen als bevorzugt, indem man den Ordner zuvor erstellet, diesen man danach nur noch zu selektieren braucht.

Geht man in DSM zu Synology Drive, können mit +Erstellen weitere Ordner erstellt werden, wichtig dabei ist, das man sich mit dem selben Benutzer-Account in DSM anmeldet, wie man sich beim Drive Server anmeldet.

Der Benutzer muss um Synology Drive nutzen zu können, über die Berechtigung verfügen, herzu geht man in DSM zur Systemsteuerung => Benutzer und Gruppen => Dein Benutzer Bearbeiten => Anwendungen, hier Synology Drive Zulassen aktivieren.

Aus der DSM App Synology Drive können zusätzliche Ordner erstellt werden, die man auch für andere Benutzer mit einer Freigabe teilen kann, es lassen sich Ordner und Dateien hochladen und herunterladen, verschieben, umbenennen und kopieren.

Upgrade von Cloud Station auf Synology Drive

Um Synology Drive nutzen zu können, muss das NAS die Anforderungen erfüllen, in der Liste der verfügbaren Modelle sind die Modelle aufgelistet, welche Synology Drive unterstützen.

  Hinweis: Sowohl das Paket Synology Drive Server als auch die Desktop-Anwendung Synology Drive Client können nicht herabgestuft werden. Nachdem sie installiert wurde, wird die ursprüngliche Cloud Station ersetzt, kann man Cloud Station nur dann neu installieren, wenn man zuvor Synology Drive deinstalliert. Synology Drive 3.0 unterstützt keine Cloud Station-Anwendungen (Cloud Station Server, Cloud Station Drive, Cloud Station Backup, Cloud Station ShareSync oder DS cloud). Es sollte auf die entsprechenden Pendants zu Synology Drive 3.0 aktualisiert werden, um die Kompatibilität sicherzustellen. Synology NAS-Modelle, die nach Juli 2019 hergestellt wurden oder Geräte mit DSM 7.0 und höher unterstützen Cloud Station Server nicht mehr.

  Wichtig! Bevor man den Update auf die Desktop-Anwendung Synology Drive Client 3.0 macht, muss sichergestellt werden, ob das NAS Modell Synology Drive 3.0 mit DSM 7.0 unterstützt, ein Downgrade zu Cloud Station ist nicht möglich.

  Wurde bis dahin Cloud Station genutzt, bleiben die Ordner erhalten, die Daten werden bei der deinsallation von Cloud Station nicht entfernt.

Nach der Installation findet man die Synology Drive Admin Console, Synology Drive und Synology Drive ShareSync in DSM. Mit der Synology Drive Admin Console können die Einstellungen konfiguriert und die Client-Liste überprüft werden. Mit Synology Drive ShareSync lassen sich Synchronisierungsaufgaben zwischen Synology Drive-Servern erstellen.

Sysadmin Tutorials

Active Directory Konten mit Protected Users schützen

Home
Schreibe einen Kommentar

Active Directory Konten mit erhöhten Privilegien sind Sensitive Benutzerkonten und sollten daher durch Hinzufügen zur Gruppe Protected Users geschützt werden.

Ab Windows Server 2012 R2 wurde die Sicherheitsgruppe Geschützte Benutzer („Protected Users“) eingeführt. Mit der Mitgliedschaft dieser Gruppe werden Legacy-Funktionen automatisch blockiert. Legacy-Technologien wie die NTLM Authentifizierung können können ausgenutzt werden und erleichtert Angreifer den Diebstahl von Identitäten.

Active Directory Konten schützen

Die Gruppe „Geschützte Benutzer“ wurde mit Windows Server 2012 R2 und Windows 8.1 von Microsoft eingeführt um Konten zu härten. Die Gruppe („Protected Users“) ist standardmäßig im Container Users vorhanden. Konten die Mitglieder dieser Gruppe sind werden geschützt, insbesondere vor Pass-the-Hash und Pass-the-Ticket Angriffen durch Deaktivieren von NT LAN Manager (NTLM). Eine Legacy-Technologie und Authentifizierungsprotokoll, das aus Gründen der Abwärtskompatibilität noch vorhanden ist.

Schutz vor Sicherheitsbedrohungen

Mitgliedern der Gruppe („Protected Users“) wird zusätzlicher Schutz vor Sicherheitsbedrohungen bei der Authentifizierung geboten. Die zusätzlichen Schutzmaßnahmen werden nur bereitgestellt, wenn sich Benutzer bei Windows Server 2012 R2 mit Windows 8.1 und neuer anmelden. Für diese die vollständigen Schutzmaßnahmen die Domänenfunktionsebene auf Windows Server 2012 R2 (oder höher) festgelegt wurde.

Geschützte Benutzer sind in erster Linie für die Verwendung von Domänen- und Unternehmensadministratorkonten gedacht. Die besonders anfällig für Angriffe sind, da sie bei einer Kompromittierung einen weit geöffneten Zugriff auf Systeme ermöglichen. Das heißt nicht, dass andere Benutzerkonten, die als Ziel angesehen werden könnten, nicht zu geschützten Benutzern hinzugefügt werden können. Aufgrund der strengen Beschränkungen, die Mitgliedern von geschützten Benutzern auferlegt werden, ist es jedoch wichtig, vorher gründliche Tests durchzuführen.

NTLM verwendet für die Authentifizierung eines Benutzers einen Hashwert. Dabei handelt es sich um einen komplexen Code, der jedoch am Ende nichts anderes als ein Passwort ist. Wenn nun ein Angreifer in das Netzwerk eindringt, kann er den Hashwert abfangen und sich damit selbst authentifizieren.

  Es ist ratsam. Sicherzustellen dass wenn hochprivilegierte Konten wie Domänen- und Unternehmensadministratoren hinzugefügt werden, mindestens ein Konto, das nicht für reguläre Verwaltungsaufgaben verwendet wird, außerhalb der Gruppe bleibt.

Active Directory Konten schützen mit Protected Users

Die folgenden Schutzmaßnahmen werden für Mitglieder der Gruppe („Protected Users“) aktiviert. Wenn sie sich von einem unterstützten Gerät aus anmelden, und die Domänenfunktionsebene auf Windows Server 2012 R2 oder höher sichergestellt ist:

  • Zwischengespeicherte Anmeldeinformationen werden blockiert. Zur Authentifizierung muss ein Domänencontroller verfügbar sein.
  • Langzeit-Kerberos-Schlüssel beim Anmelden werden nicht unterstützt.
  • Klartextkennwörter werden für die Windows-Digest-Authentifizierung oder die standardmäßige Delegierung von Anmeldeinformationen (CredSSP) nicht zwischengespeichert, selbst wenn die entsprechenden Richtlinien aktiviert sind.
  • Die maximale Lebensdauer für das Kerberos-Ticket des Benutzers liegt bei 240 Minuten.
  • Die Offline-Anmeldung an einem Gerät ist nicht mehr möglich.
  • NTLM und NTLM-Einwegfunktion (NTOWF) ist gesperrt.
  • Kerberos-Ticket-Granting-Tickets (TGT) können nicht länger als 4 Stunden Time-to-Live (TTL) verlängert werden.
  • Data Encryption Standard (DES) und RC4 können für die Kerberos-Vorauthentifizierung nicht verwendet werden.
  • Die constrained und unconstrained Kerberos-Delegation wird nicht unterstützt (kann zu Einschränkungen bei Administration führen).
  • Eingeschränkte und uneingeschränkte Delegierung ist blockiert.

Gruppen­richtlinien für geschützte Benutzer

Grundsätzlich können einige dieser Einschränkungen auch per Gruppen­richtlinien konfiguriert werden. Durch die Mitgliedschaft in der Gruppe der geschützten Benutzer werden diese aber automatisch wirksam und es besteht keine Gefahr, sie durch eine Fehlkonfiguration wieder aufzuheben.

Penetration Testing mit Mimikatz

Überprüfung auf Wirksamkeit der Einschränkungen durch die Sicherheitsgruppe, ermöglicht das Penetration-Hacking-Tool Mimikatz. Wenn das Konto nicht Mitglied der Gruppe („Protected Users“) ist, zeigt es unter anderem den NTLM-Hash an.

Mimikatz ist ein sehr leistungsstarkes Tool um Angriffe auf das Active Directory auszuführen. Es ermöglicht auf Klartextpasswörter, Passwort-Hashes sowie Kerberos Tickets zugreifen zu können, und um die Rechte in fremden Systemen auszuweiten und so die Kontrolle über ganze Firmennetzwerke zu übernehmen.

Das Tool kann im interaktiven Modus ausgeführt werden, indem man einfach mimikatz.exe aufruft, oder in der PowerShell mit Übergabe von Parameter und der Option exit um die Abfrage zu beenden.

.\mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit

Hier zu erkennen ist der NTLM-Hash in der Ausgabe, dies wenn das Konto nicht Mitglied von Protected Users ist.

Authentication Id : 0 ; 643260 (00000000:0009cc96)
 Session           : RemoteInteractive from 2
 User Name         : adadmin
 Domain            : COMPANY
 Logon Server      : ADDC01
 Logon Time        : 12/24/2019 11:43:56 AM
 SID               : S-1-5-21-1581655573-3923512380-696547694-500
 msv :
 [00000003] Primary
 * Username : ADAdmin
 * Domain   : COMPANY
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f
 [00010000] CredentialKeys
 * NTLM     : 5164b9a0fda665d56739954bbcc26833
 * SHA1     : f8db297cb5ae403f8915675ceae78643d0d3b09f

 tspkg :
 wdigest :
 * Username : ADAdmin
 * Domain   : COMPANY
 * Password : (null)
 kerberos :
 * Username : adadmin
 * Domain   : AD.COMPANY.LOCAL
 * Password : (null)
 ssp :   KO

Nach Aufnahme der Mitgliedschaft zur Gruppe Geschützte Benutzer („Protected Users“) erscheint der NTLM-Hash nicht mehr.

  Die Mimikatz Binary kann man von Github: gentilkiwi/mimikatz herunterladen, beim Download wird der Browser eine Sicherheitswarnung ausgeben, wie etwa „Diese Datei enthält einen Virus oder Malware„, mit Klick auf Download erlauben kann der Download vorgesetzt werden.

Copy
Die mobile Version verlassen