Zum Inhalt wechseln


Foto

Vertrauliche Dokumente vor Admin schützen


  • Bitte melde dich an um zu Antworten
42 Antworten in diesem Thema

#16 MrCocktail

MrCocktail

    Board Veteran

  • 1.214 Beiträge

 

Geschrieben 08. Februar 2012 - 21:14

@jarazul:
Und?
Alles das, kann ich dann umgehen, wenn ich erst mal die rechte habe, die ich brauch, und nichts anderes war mein Kommentar :-)
Ich kann vor einem Admin nichts verstecken, wenn er es nicht will.

#17 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 08. Februar 2012 - 21:18

Nein, kannst du nicht. Wenn du nämlich gar kein Domain Admin bist, weil das in einer Umgebung mit Rollenmodell nämlich nicht sein muss :) Oder AD RMS wird in einem Ressourcenforest implementiert wo die gewöhnlichen Domain Admins gar nichts dürfen.

Da gibt es gaanz viele vers. Ansätze in denen der Admin nicht alles darf. Auch wenn ihm das gegen sein Ego geht :)
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#18 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 08. Februar 2012 - 21:42

Aber irgendwer ist es immer. Das läßt sich prinzipbedingt ja nicht vermeiden. ;)

Make something i***-proof and they will build a better i***.


#19 MrCocktail

MrCocktail

    Board Veteran

  • 1.214 Beiträge

 

Geschrieben 08. Februar 2012 - 21:47

@jarazul:
Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?
Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.

#20 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 09. Februar 2012 - 06:53

Es gibt durchaus Modelle, in denen gibt es eben keinen Domain Admin. Es ist ein Dienstkonto vorhanden, das ist Domain Admin. Und ein Orga Admin, Schema Admin, Enterprise Admin usw. Diese liegen in einem Safe. Da kommt keiner ran ohne einen Prozess zu durchleben. Eben weil diese Konten von Haus aus mächtig sind. Das habe ich nicht nur einmal gesehen.

Und genau von Theorie sprechen wir. Wer die Anforderung hat Dokumente vor Admins zu schützen (und allen anderen die diese nicht sehen sollen), der hat entweder schon ein ähnliches Rollenmodell, oder dessen Ansatz ist falsch.

Wie oben beschrieben ist das immer eine ganzheitliche Sache, deren Stärke durch das schwächste Glied bestimmt wird. Dokumentenverschlüsselung mit ner offenen Domain Admin Gruppe wo der gesamte 2nd Level Support drin ist, wäre dann eben so eine.

PS. Nette Diskussion :)

cheers, Daniel
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#21 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 09. Februar 2012 - 06:55

@jarazul:
Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?
Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.


Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen.

Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen.
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#22 MrCocktail

MrCocktail

    Board Veteran

  • 1.214 Beiträge

 

Geschrieben 09. Februar 2012 - 08:15

Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen.

Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen.


Ich denke wir sind uns einig, ich kann sie so gut es geht verbergen, aber im Zweifel hat irgendwer immer das Recht / die Möglichkeit auf diese Daten zu zugreifen (ausser man risikiert sie zu verlieren)
Daher ja ganz am Anfang der Einwand, es kommt auch auf die kriminelle Energie an, die man aufwenden möchte.

#23 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 09. Februar 2012 - 08:50

Das Recht besitzt der Inhaber des Prozesses, der steuert, dass im Notfall zwei Personen notwendig sind um den Account aus dem Safe zu holen. Der Inhaber ist meist jmd dem sehr großes Vertrauen entgegengebracht wird. Prokurist o.ä

Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen.
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#24 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Februar 2012 - 08:57

Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen.


Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#25 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 09. Februar 2012 - 09:09

Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

Bye
Norbert


wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht.

Gruß
carni

#26 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Februar 2012 - 09:12

wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht.

Gruß
carni


Keine Angst, ich war schon in solchen Umgebungen. ;) Und darum sagte ich, es ist ne Grundsatzdiskussion.
1. Sind die Umgebungen die hier diskutiert wurden (Gelddruckereien usw.) sicher nicht das, was der TO eigentlich hat
2. Die Lösungen, die in solchen Umgebungen, die der TO nicht hat auch in Budgetregionen, die der TO nicht haben will
3. Auch in solchen Umgebungen wird es immer eine Möglichkeit geben. Ist die Frage von krimineller Energie und menschlichen Fehlern. ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#27 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 09. Februar 2012 - 09:13

Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

Bye
Norbert


Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS.

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#28 NorbertFe

NorbertFe

    Expert Member

  • 30.605 Beiträge

 

Geschrieben 09. Februar 2012 - 09:18

Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS.


Also der Domain Admin hat per Default also das Recht mehr oder weniger alles in der Domain zu tun. Er hat im Allgemeinen sogar "physikalischen" Zugang zu den DCs. Und was lernen wir mit als erstes?
10 Immutable Laws of Security
Natürlich kann man es mit Verschlüsselung und Rechtemodell und Monitoring entsprechend immer enger ziehen, es ändert aber im Allgemeinen trotzdem nichts daran.

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.


Naja, ob das ein Grund ist? ;)

Bye
Norbert

Make something i***-proof and they will build a better i***.


#29 jarazul

jarazul

    Board Veteran

  • 636 Beiträge

 

Geschrieben 09. Februar 2012 - 09:21

Richtig, und wie weiter oben beschrieben, ist es deshalb oft notwendig, die Mitglieder dieser Gruppe auf *ein* Dienstkonto zubeschränken. Die Zugangsdaten liegen im Safe. Dann gibt es keine Domain Admins. Nur im Notfall. Denn für welche täglichen Admin Tasks braucht es einen Domain Admin?

Sind wir uns einig, dass bei Verwendung eines durchdachten Rollenmodells *ohne* Domain Admins, die Aussage "Der Admin schafft es iwie" nicht valide ist? Mehr wollte ich nämlich nicht sagen :)

cheers, Daniel
MCTS: ConfigMgr 2007
MCITP EA / SA / EDA
ITIL v3 Foundation

#30 carnivore

carnivore

    Member

  • 340 Beiträge

 

Geschrieben 09. Februar 2012 - 09:23

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.


dann habe ich mich falsch ausgedrückt: Warum müssen sich manche Umgebungen mit einem solche immensen Aufwand vor ihrem eigenen IT-Personal schützen, dass Administrationsrechner in separaten kameraübewachten, Gitterkäfigen stehen, die man nur nach dreifacher Genehmigung zu zweit betreten darf?
Antwort: weil es wohl rein technisch keine wasserdichte Lösung gibt.