Sind wir uns einig, dass bei Verwendung eines durchdachten Rollenmodells *ohne* Domain Admins, die Aussage "Der Admin schafft es iwie" nicht valide ist? Mehr wollte ich nämlich nicht sagen
Ehrlich gesagt, nein. Mehr wollte ich nämlich auch nicht sagen. Solange es Methoden für den "Admin" gibt, wie auch immer er diese Rechte bezogen hat (rechtmässig oder nicht), gibt es auch immer die Möglichkeit "Der Admin schafft es irgendwie".
Bye
Norbert
PS: Wir können hier aufhören, denn wir drehen uns im Kreis.
dann habe ich mich falsch ausgedrückt: Warum müssen sich manche Umgebungen mit einem solche immensen Aufwand vor ihrem eigenen IT-Personal schützen, dass Administrationsrechner in separaten kameraübewachten, Gitterkäfigen stehen, die man nur nach dreifacher Genehmigung zu zweit betreten darf?
Antwort: weil es wohl rein technisch keine wasserdichte Lösung gibt.
Danke, schöner hätte man es nicht zusammenfassen können.
ich hab mich aus Zufall "in die Höhle der Löwen" begeben.
Aber echt interessant eure Diskussion und das (scheinbare)Ende.
"kannst Du nicht!" ... "kann ich doch!" ... erinnert mich irgendwie
und fördert nur die individuelle Krativität Einzelner oder einer Gruppe.
Aber es zeigt auch die "Problemstellung" von "Sicherheit".
Da "unikate" Menschen vor Bildschirm und Tastatur sitzen,
wird die (scheinbar)begrenzte Lösung immer im "Aufwand" liegen.
Da bin ich als "Theoretiker" im Lizenz- u. Vertragsrecht
echt froh, dass das (scheinbar) doch viel einfacher ist.
ich möchte die originalen Beweggründe für meine Anfrage mal so formulieren:
Es geht in keinster Weise um höchstsensible Daten, es geht auch nicht darum DEN ultimativen uncrackbaren Schutz zu finden.
Es wird eine EINFACHE, günstige Lösung gesucht um sowohl HR, Geschäftsleitung und ext. Auditor (kein IT Fachmann) zu "beruhigen".
Die sind zufrieden damit wenn beim öffenen einer doc eine Passwortabfrage kommt - woher die kommt, wie sicher die ist, wer die wie schnell knacken kann ist erstmal wurscht
Die vorhandene, einfache, total unsichere Abfrage aus Office selber wäre prima - einfach, von Benutzer selber zu verwalten, kostenlos = ideal
ABER es können nicht die vielen vielen bereits vorhandenen Dateien alle einzeln aufgemacht, geschützt, gespeichert werden - einfach wegen dem zeitaufwand (und weils keiner machen will...)
Ich sehe in dieser Anforderung/Beschreibung auch keinen Grund das als Unsinn abzutun und den Beitrag wegen unprofessionalität zu schliessen = die Anfrage besteht und soll so umgesetzt werden
Als Dienstleister, die wir alle sind, haben wir auch diese Anforderung zu reagieren und eine Lösung zu finden... und wenn es morgen heisst wir brauchen alle grüne Monitore, na dann bestellen wir eben grüne Monitore - Sinn oder Unsinn ist nicht IT Sache!
Billigste Lösung wäre das du dir 2x Trextore DataStation maxi z.ul holst und diese bei dir in den Serverraum stellst.
Diese kannst du dann bei den notwendigen Clients per IP ansprechen und nur derjenige der das Passwort hat >>>> Chef der HR <<<< nur er kann diese dann via mitbeigefügter NDAS-Software freischalten.
Zwei Stück weil diese dann ein Raid1 bilden (etwas Ausfallsicherheit sollte schon sein).
Und wenn dann noch einer meckert das es immer noch nicht sicher genug ist dann gibste den Dingern eine andere IP Adresse und den Clients gibste dann auch dementsprechend eine zweite IP-Adresse auf die NW Karte.
PS: verrate keinem das die Dinger einen USB-Anschluß haben ! (ist dann für den Backupserver zum anschliessen gedacht)
Geändert von nawas (09.02.2012 um 14:32 Uhr).
Grund: Link eingefügt
OpenSource tool das sich in die Kontextmenüs vom Explorer setzt, einaches en und de crypten von einzelnen Dateien oder gesamten Inhalt eines Verz. wobeo Verz. und Inhaltstrutur unverändert bleiben - einzelen Dateien werden Stück für Stück encrypted.
Zusammen mit einer Kurzanleitung und einer Richtlinie wirds diese Woche ausgeliefert.
Nur HR und Direktion bekommen das tool, HR verschlüsselt selbst mit für IT unbekanntem Passwort = sollte rel. sicher sein
dazu ist es einfach zu bedienen und kostenlos = Bingo!!!
Nur HR und Direktion bekommen das tool, HR verschlüsselt selbst mit für IT unbekanntem Passwort = sollte rel. sicher sein
Na ich bin mal gespannt was los ist wenn einer der Direktoren sein kennwort verbockt hat und bei der IT um Hilfe ruft weil er nicht mehr an seine Dokumente kommt...
Kann aber sein dass so etwas nicht vorkommt weil der Direktor sich sein Passwort auf einen Zettel geschrieben hat der neben dem Monitor liegt...
Na ich bin mal gespannt was los ist wenn einer der Direktoren sein kennwort verbockt hat und bei der IT um Hilfe ruft weil er nicht mehr an seine Dokumente kommt...
Dann ist natürlich die IT schuld, was denkst du denn und sie muss zusehen, wie sie die Daten wieder beschafft....
Naja, dann hat man hoffentlich eine gute Rainbowtable in der Hinterhand, weil das Kennwort ist ja wahrscheinlich irgendwo zwischen 4 und 100 Zeichen lang :-)
Zitat von Dr.Melzer
Kann aber sein dass so etwas nicht vorkommt weil der Direktor sich sein Passwort auf einen Zettel geschrieben hat der neben dem Monitor liegt...
Nein, nicht neben dem Monitor, unter der Tastatur aufgeschrieben...
