Vertrauliche Dokumente vor Admin schützen

[jarazul]

Um das Service Konto zu ändern muss der USer Mitglied in den Gruppen:

AD RMS Organisationsadmins und der lokalen Admin Gruppe auf dem Server sein.

Changing the AD RMS Service Account

Auditing auf solch elementaren Gruppen sollte mit internen oder externen Tools angestrebt werden.

cheers, Daniel

[MrCocktail]

@jarazul:
Grob, und ich kenne ein oder zwei theoretische Möglichkeiten es auszuhebeln, wie gesagt, wenn ich genügend Rechte habe, kann ich es aushebeln.
Kann ich mir Domänenadmin Rechte besorgen, kann ich auch den Service Account öffnen, es ist nur eine Frage von
- Zeit
- eingesetzten Ressourcen
- krimineller Energie

Und da alles weitere hier aus guten Gründen gegen Boardregeln verstösst, ist für diesen Teilaspekt für mich EOT.

[jarazul]

Ich kann nur auf das FAQ von MS verweisen. Dort wird auf einige Fragen eingangen. U.a die Domain Admin Frage.

http://technet.microsoft.com/en-us/l...57(WS.10).aspxcheers und schönen Abend

Daniel

[MrCocktail]

@jarazul:
und was steht da?

Is it possible for members of the Domain Admins group to read documents intended for someone in their domain? Members of the Domain Admins group can read content protected to a user account if they are a member of the RMS super user group or if they are impersonating the user’s account. Because members of the Domain Admins group have control over the user accounts in the domain, there is no mitigation for the scenario of an untrustworthy member of the Domain Admins group.

[jarazul]

Und was steht da weiter?

As with other groups used to limit access to resources, you should define alerts and perform security checks to help prevent someone from joining the super user group without authorization.

Wie wird denn in so einer High Tech Security Umgebung die Orga Admin oder Enterprise Admin Gruppe überwacht? Gar nicht? Weil jeder Domain Admin ist? Wofür wird der im täglichen Arbeiten gebraucht?

Sicherheit muss immer ganzheitlich betrachtet werden. Richtig implementiert kann mit AD RMS ein Dokumentenschutz gewährleistet werden der beim Vorhandensein von den üblichen Rahmenparametern (Rollenmodell, Auditing auf Orga, Schema, Enterprise Groups etc) dem gewöhnlichen Domänen Admin den Zugriff untersagt.

[MrCocktail]

@jarazul:
Und?
Alles das, kann ich dann umgehen, wenn ich erst mal die rechte habe, die ich brauch, und nichts anderes war mein Kommentar :-)
Ich kann vor einem Admin nichts verstecken, wenn er es nicht will.

[jarazul]

Nein, kannst du nicht. Wenn du nämlich gar kein Domain Admin bist, weil das in einer Umgebung mit Rollenmodell nämlich nicht sein muss Oder AD RMS wird in einem Ressourcenforest implementiert wo die gewöhnlichen Domain Admins gar nichts dürfen.

Da gibt es gaanz viele vers. Ansätze in denen der Admin nicht alles darf. Auch wenn ihm das gegen sein Ego geht

[NorbertFe]

Aber irgendwer ist es immer. Das läßt sich prinzipbedingt ja nicht vermeiden.

[MrCocktail]

@jarazul:
Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?
Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.

[jarazul]

Es gibt durchaus Modelle, in denen gibt es eben keinen Domain Admin. Es ist ein Dienstkonto vorhanden, das ist Domain Admin. Und ein Orga Admin, Schema Admin, Enterprise Admin usw. Diese liegen in einem Safe. Da kommt keiner ran ohne einen Prozess zu durchleben. Eben weil diese Konten von Haus aus mächtig sind. Das habe ich nicht nur einmal gesehen.

Und genau von Theorie sprechen wir. Wer die Anforderung hat Dokumente vor Admins zu schützen (und allen anderen die diese nicht sehen sollen), der hat entweder schon ein ähnliches Rollenmodell, oder dessen Ansatz ist falsch.

Wie oben beschrieben ist das immer eine ganzheitliche Sache, deren Stärke durch das schwächste Glied bestimmt wird. Dokumentenverschlüsselung mit ner offenen Domain Admin Gruppe wo der gesamte 2nd Level Support drin ist, wäre dann eben so eine.

PS. Nette Diskussion

cheers, Daniel