Zum Inhalt wechseln


Foto

Win Server 2012 R2: Einzelne Disk mit PWD sichern?


  • Bitte melde dich an um zu Antworten
13 Antworten in diesem Thema

#1 TGR

TGR

    Newbie

  • 13 Beiträge

 

Geschrieben 30. Mai 2016 - 11:29

Hallo Spezialisten,

ich habe auf einer VM Win Server 2012 R2 laufen und möchte eine einzelne Disk mit sensiblen Daten auch gegenüber anderen Administratoren mit einem PWD sichern. Wie könnte ich das lösen?

Danke schon im Voraus für eure Tipps!  :)



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.629 Beiträge

 

Geschrieben 30. Mai 2016 - 20:52

Unter welchem Hypervisor?

 

Unter Hyper-V mit Bitlocker so:

http://www.howtogeek...ker-on-windows/

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 TGR

TGR

    Newbie

  • 13 Beiträge

 

Geschrieben 31. Mai 2016 - 08:19

Unter welchem Hypervisor?

 

Unter Hyper-V mit Bitlocker so:

http://www.howtogeek...ker-on-windows/

 

;)

Es wird KVM eingesetzt als Hypervisor.

Ich hatte gehofft, es gäbe eine simple Lösung die anderen Admins & User von einem Zugriff auszusperren.  :( 

Auf jeden Fall "Danke" für deinen Hinweis!  :thumb1:


Ich sinniere die ganze Zeit über eine andere Lösung als der Datenverschlüsselung nach und überlege gerade, ob es nicht einfacher wäre über die Zugriffsberechtigungen des Laufwerks die Objektberechtigungen zu setzen?

Da ich aber keinen Blödsinn machen möchte (z.B. mich dabei selbst aussperren...) frage ich mal in die Runde, was ihr von dieser Vorgangsweise haltet:

A ) Ich füge bei den Gruppen bzw. Benutzernamen meinen Usernamen (ist auch in allen Admin-Gruppen) hinzu

B ) Bei meinem Usernamen und bei "SYSTEM" lasse ich explizit Vollzugriff und alle anderen Möglichkeiten zu 

C ) Bei allen anderen Gruppen bzw. Benutzernamen hake ich explizit jede Möglichkeit mit "Verweigern" an, nur bei "CREATOR OWNER" belasse ich den dzt. Status


Kann das unangenehme Folgen haben, oder bringt es ganz klar nicht das gewünschte Ergebnis? So einfach ausprobieren traue ich es mir nicht....   :suspect:


Bearbeitet von TGR, 31. Mai 2016 - 08:20.


#4 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 31. Mai 2016 - 08:52   Lösung

Moin,

 

der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.

Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.


  • TGR gefällt das

Keep It Small - Keep It Simple


#5 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 31. Mai 2016 - 10:08

Jeder kann immer den Besitz übernehmen und auf die Daten zugreifen. Verschlüsselung ist das einzige. Und in der Zwischenzeit hättest Du schon längst die VHD incl. Verschlüsselung erstellt. ;)


Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 TGR

TGR

    Newbie

  • 13 Beiträge

 

Geschrieben 31. Mai 2016 - 10:10

Moin,

 

der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.

Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Danke für deinen Denkanstoß - dann werde ich wohl um eine Verschlüsselung nicht umhin kommen.  :cry: 

Bzgl. Backup: Kann ein, über eine ACL ausgeschlossener Admin, bei einem Backup auf eine Disk zugreifen?

 


Jeder kann immer den Besitz übernehmen und auf die Daten zugreifen. Verschlüsselung ist das einzige. Und in der Zwischenzeit hättest Du schon längst die VHD incl. Verschlüsselung erstellt. ;)

Momentan plane ich ja noch die beste Lösung....   ;)  Aber danke auch für deinen Beitrag!  :thumb1:



#7 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 31. Mai 2016 - 10:40

Bzgl. Backup: Kann ein, über eine ACL ausgeschlossener Admin, bei einem Backup auf eine Disk zugreifen?

Er kann u.U. die Daten aus dem Backup an einem beliebigen Ort wiederherstellen und so Zugriff erlangen.


Keep It Small - Keep It Simple


#8 TGR

TGR

    Newbie

  • 13 Beiträge

 

Geschrieben 31. Mai 2016 - 11:41

Er kann u.U. die Daten aus dem Backup an einem beliebigen Ort wiederherstellen und so Zugriff erlangen.

OK - danke nochmals!  :thumb1:



#9 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 31. Mai 2016 - 19:56

Moin,

 

der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.

Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Wirksam ist relativ..

Sobald ein lokaler (bosartiger) Administrator ein entsprechendes Tool auf dem Server installieren kann, dann debugged er damit den Prozess, wenn du auf verschlüsselte Daten zugreifst. Dann ist nichts (Passworteingabe, Passwordhash, Credentials) mehr geheim vor ihm. Keylogger sind eine weitere Möglichkeit, um an

Die Anzahl der lokalen Administratoren auf das absolut notwendige Minimum reduzieren sowie penibles Auditing sind bei sensiblen Daten genauso wichtig, wie die Verschlüsselung selbst.


  • TGR gefällt das

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#10 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 31. Mai 2016 - 21:44

Wirksam ist relativ...

Wie das ganze Thema Sicherheit.

 

Ohne Kenntnisse des Bedrohungsszenarios, ist es schwer konkrete Maßnahmen zu empfehlen und zu bewerten.

Ist es nur ein diffuses Bauchgefühl der Unsicherheit, gibt es einen konkreten Verdacht oder gar laufende Ermittlungen. Soetwas sollte natürlich nicht in einem öffentlichen Forum diskutiert werden.

 

Im Extemfall müsste die gasamte Umgebung als unsicher betrachtet werden und es könnte ratsam sein, eine unabhängige Technik zu verwenden. Bspw. Notebook und USB Platten fürs Backup. (natürlich alles verschlüsselt)

Eventuell müsste die Technik außerhalb eines regulären Beschaffungsprozesses besorgt werden. Eine mögliche Zielperson sollte nicht aufgeschreckt werden ;)


  • TGR gefällt das

Keep It Small - Keep It Simple


#11 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 01. Juni 2016 - 07:16

wie schon an anderer Stelle mal geschrieben:

Der GF will die hochsensiblen Daten natürlich auch auf seinem IPhone lesen können...soll heißen, auch Netzwerke und Endgeräte müssen der Sensibilität der Daten angepasst werden.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#12 tesso

tesso

    Board Veteran

  • 2.238 Beiträge

 

Geschrieben 01. Juni 2016 - 07:20

Hochsensible Daten und Iphone passt meiner Meinung nach nicht zusammen.

Das Iphone soll bestimmt auch nicht mit einem langen Kennwort gesichert werden.



#13 blub

blub

    Moderator

  • 7.605 Beiträge

 

Geschrieben 01. Juni 2016 - 07:58

war auch etwas ironisch gemeint


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#14 tesso

tesso

    Board Veteran

  • 2.238 Beiträge

 

Geschrieben 01. Juni 2016 - 08:51

Ich habe früher mal gelernt: Bestes Versteck, Wandzeitung. biggrin.gif

 

Vielleicht solltest du das in Betracht ziehen.smile.gif