File-Sharing per GPO blockieren und alte Freigaben im Netz finden

    Windows besitzt seit Urzeiten die Fähigkeit für Peer-to-Peer-Networking, so dass Benutzer lokale Ordner und Drucker freigeben können. Das unkontrollierte File-Sharing durch User, die mit dem System der Zugriffsrechte nicht vertraut sind, birgt jedoch Risiken. Daher möchte man dieses Feature auf zentral verwalteten PCs häufig deaktivieren.

    Der Wildwuchs von freigegebenen Ordnern wird in neueren Windows-Versionen dadurch eingedämmt, dass normale Anwender auch ohne lokale Admin-Rechte uneingeschränkt arbeiten können. Aber solche erhöhten Privilegien sind notwendig, um Ordner im Netz freizugeben.

    Freigeben von Ordnern mit GPO verhindern

    In Umgebungen, in denen Benutzer auch unter Windows 7/8 die Rechte eines lokalen Administrators besitzen, kann man sie über Gruppen­richtlinien an der Freigabe von Ordnern und Dateien hindern. Die zuständige Einstellung (unter Administrative Vorlagen => Windows-Komponenten => Netzwerkfreigabe) lässt sich nur auf Benutzer und nicht auf Computer anwenden, so dass man das GPO mit jenen Domänen oder OUs verknüpfen muss, in denen man Anwendern man das Sharing untersagen will.

    GPO-Einstellung, um Benutzer am Freigeben von Dateien und Ordnern zu hindern.

    Die Einrichtung eines solchen GPO bewirkt allerdings nicht, dass bestehende Freigaben entfernt werden. Wenn man sich einen Überblick darüber verschaffen möchte, wie viele solcher Shares in einem Netzwerk existieren, dann bietet Windows dafür keine entsprechenden Tools an.

    Vorhandene Shares aufspüren

    Allerdings gibt es zu diesem Zweck einige kostenlose Programme wie Netscan von Softperfect. Es durchsucht alle Geräte in einem bestimmten Adressbereich und zeigt bei Windows-PCs auch die freigegebenen Ordner an.

    Freigaben im Netzwerk anzeigen mit ShareEnum

    Aus dem Hause Microsoft stammt ShareEnum, das Bestandteil der Sysinternals-Suite ist. Die schlanke Software erfordert keine Installation und prüft alle Windows-Rechner, die Mitglied einer bestimmten Domäne bzw. Workgroup sind oder die sich in einem bestimmten IP-Adressbereich befinden. Es zeigt für jedes Share an, ob es für den lesenden oder den schreibenden Zugriff freigegeben wurde. Die Inhaber der Rechte lassen sich über die Eigenschaften jeder Freigabe abrufen.

    Interessant ist auch die Option, Änderungen beim Sharing nachzuverfolgen. Zu diesem Zweck exportiert man die Liste der gefunden Freigaben und kann sie beim nächsten Scan über die Funktion Compare to saved mit dem aktuellen Zustand vergleichen.

    Keine Kommentare