2K3 - Sicherheitsoptionen im LAN?

[holgi_man]

Hallo firefighter

"Es geht im Grunde darum, dass der Administrator sich auch nur um die Administration kümmern soll und nicht auf sensible Firmendaten der Chefetage zugreifen können, bzw. sich diese Rechte beschaffen kann."

ich glaub das ist das Problem, Verschlüsselung ist eine gute sache aber es gibt einen Wiederherstellungsagent meist steht der Admin drin.

Also: LW oder Ordner, Verschlüsselung aktivieren, überwachung aktivieren und hoffen das der Admin nur administriert und vor allem hoffen das die Cheffs ihr Passwort nie vergessen.

mit den freundlichsten

holgi

[Finanzamt]

@Holgi_man & others
Vielleicht sollte man den Chefs raten, Ihre Paßwörter beim Admin zu hinterlegen *grins*.
Aber im Ernst: Verschlüsselung/Paßwörter werden bei nicht mehr greifbarem PW zu einem extremen Problem. Gründe gibts viele. Wenn ich wo ein Netz betreue und einziger Admin bin, packe ich das Paßwort in einen versiegelten Umschlag und laß den beim Kunden in den Tresor o.ä. packen.
@firefighter: Bespreche bloß mit Deinen Chefs diese Problematik, bevor Du die Verschlüsselung aktivierst und stelle sicher, daß die es auch wirklich verstanden haben!
Gegrüßet!

[Willow]

Hallo

Ich halte die Dateiverschlüsselung auch für einen Lösungsansatz.

Der Administrator muß nicht der Wiederherstellungsagent sein!

Legt einen User an der Wiederherstellungsagent wird, Name und Password sowie die Key's wandern für den Fall der Fälle in den Tresor.

Zudem auch die Keys der Chefs in den Tresor.

Das wäre für mich genug Sicherheit, eventuell noch die entsprechenden Benutzerkonten überwachen.

Gruß
Willow

[firefighter]

Original geschrieben von JollyJumper Wiso verwendet ihr nicht EFS?

EFS ist doch nichts anderes, als in den Ordner Eigenschaften die Verschlüsselung zu aktivieren. Für den Serveradmin ist das doch aber aufgrund seiner Rechte völlig transparent? Was bringt mir eine Verschlüsslung auf die der Admin jederzeit zugreifen kann? Oder gibts da noch Erweiterungen und Anpassungsmöglichkeiten. Falls ja - wie?

Das der Schlüssel zusätzlich im Tressor aufgehoben wird ist sicherlich eine sehr sehr gute Idee.

@Willow: Benutzerkonten überwachen nützt doch nichts, wenn der "Feind" der Admin selber ist Ich suche nur ein Konzept bei dem man Administration und Dateninhalt trennen kann.

[holgi_man]

Hallo

"EFS ist doch nichts anderes, als in den Ordner Eigenschaften die Verschlüsselung zu aktivieren. Für den Serveradmin ist das doch aber aufgrund seiner Rechte völlig transparent? Was bringt mir eine Verschlüsslung auf die der Admin jederzeit zugreifen kann? Oder gibts da noch Erweiterungen und Anpassungsmöglichkeiten."

nein nicht der admin, sondern der user der seine daten schützen will muß die verschlüsselung aktivieren.

Achtung: kein zugriff für Multiuser

mit den freundlichsten

holgi

[firefighter]

Original geschrieben von holgi_man Hallo "EFS ist doch nichts anderes, als in den Ordner Eigenschaften die Verschlüsselung zu aktivieren. Für den Serveradmin ist das doch aber aufgrund seiner Rechte völlig transparent? Was bringt mir eine Verschlüsslung auf die der Admin jederzeit zugreifen kann? Oder gibts da noch Erweiterungen und Anpassungsmöglichkeiten." nein nicht der admin, sondern der user der seine daten schützen will muß die verschlüsselung aktivieren. Achtung: kein zugriff für Multiuser mit den freundlichsten holgi

Ich habe das gerade mal getestet:

Dummy User -> greift über Netzwerk auf sein User Verzeichnis zurück und erstellt einen Ordner.

Ordner Eigenschaft -> Verschlüsselung aktivieren.

Daraufhin ändert sich die Ordnerbeschreibungsfarbe auf grün (verschlüsselt).

Ich gehe an den Server und logge mich als Admin ein. Nun kann ich in den User Verzeichnisse surfen wie ich möchte. Das grün markierte Verzeichnis stellt dabei keine Hürde dar. Was mache ich falsch?

[holgi_man]

Hallo firefighter

ich Denke mal das das nicht Online geht, sondern am Server selber.

mfg

holgi

[Candy]

Hi,

ich hoffe das Problem mit den Chefs ist geregelt.
Aber weil es hier um EFS geht, poste ich einmal weiter.

Auch ich habe vor kurzem mit EFS herumexperimentiert. Und bin bis jetzt zu dem Ergebnis gekommen, dass es theoretisch eine gute Idee von MS ist, aber praktisch nicht funktioniert(auf jeden Fall nicht so wie MS es niedergeschrieben und gelobt hat).
Es steht geschrieben, dass EFS beim Einsatz auf Laptops mit zu den besten Verschlüsselungen gehören soll, wenn der PC abhanden kommt. Also geht man von dem Grundsatz aus:"Wenn meine Daten verschlüsselt sind(EFS) und der Laptop abhanden kommt, hat der Dieb keine Möglichkeit meine Daten zu lesen(laut MS soll es so sein).
So nun verschlüssele ich meine Daten, entferne für den Wiederherstellungsagenten den Schlüssel vom Laptop und die Sache ist erledigt.
Wenn man das Szenario aber weiterspinnt und das PW vom Laptop(auf welchem Weg auch immer) zurücksetzt, kommt der Dieb auch mit zurückgesetztem PW an die Daten heran. Hmm
O.k. das liegt denn wohl am privaten Schlüssel der sich noch auf dem Laptop befindet.
Auch diesen müsste ich dann exportieren um das gewünschte Ziel zu erreichen.
Aber wie umständlich soll das denn sein, den privaten Schlüssel jedes Mal wenn ich meine Daten lesen oder bearbeiten will, wieder zu importieren (z.B. USB-Stick). Und wehe man lässt den USB Stick in der Laptop Tasche.

Des Weiteren bin ich auf die dumme Idee gekommen Systemdateien mit Hilfe von EFS zu verschlüsseln. Das war nicht gut, denn danach ging nix mehr

Auch größere Dateien(z.B. Videodateien) lassen sich nicht fehlerfrei verschlüsseln, weil EFS wohl nur mit einer Größe von 4kb(Cluster) ordentlich arbeitet.

Dazu kommt noch der Test bei der Erstellung von Backups. Auch das funktioniert mit EFS nicht sauber. So wie es aussieht, zuerst alles entschlüsseln, dann sichern und wieder verschlüsseln.
Und was aus meiner Sicht noch am schlimmsten ist, dass EFS bei jeder neuen Verschlüsselung einen neuen Wiederherstellungsagentenschlüssel erzeugt. Da hat ein Administrator der auf EFS aufbauen will, wohl zum Ende einen ganzen Schrank voll mit Schüsseln.

Die hier nieder geschriebenen Punkte, sind nur persönliche Erfahrungen aus verschiedenen Tests. Und ich lasse mich gerne vom Gegenteil überzeugen.
Vielleicht gibt es doch sinnvolle Funktionen unter EFS die ich noch nicht entdeckt habe.
Also lasst was hören...

cya