Jump to content

Vertrauliche Dokumente vor Admin schützen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Darf ich nach ein paar Sichworten oder Ideen Freagen wie man höchst vertrauliche Daten (zB HR) vor unberechtigtem Zugriff, auch durch Sysadmins, schützen kann.

 

Es gibt Daten die auch für die EDV Abteilung unzugänglich sein sollen, aber trotzdem natürlich gesichert werden müssen.

 

Vertrauens/Mistrauensdiskussionen nützen hier nicht, die Daten sind zu schützen.

 

Danke

Link zu diesem Kommentar

Mittels ADRMS bzw. EFS (not preferred) kann bei vorhandenem Rechte Modell ein Administrator administrieren ohne Zugriff auf die geschützten Dokumente zu haben. Es können aber nicht alle Filetypen geschützt werden.

 

AD RMS Supported Files - Active Directory Rights Management Services - AD RMS - Site Home - MSDN Blogs

 

Ein Dienstkonto das analog zu einem DRA (Data Recovery Agent) die Files im Notfall natürlich öffnen sollte, ist vielleicht ebenso notwendig wie ein Dienstkonto zum Backup / Restore.

 

Auch Lösungen die heikle Files in ein Archiv-System aufnehmen (inkl. Retention Policies etc) und mit Berechtigungen des Archiv-Systems vor Admins / unerwünschten Personen schützen, habe ich schon im Einsatz gesehen.

 

Und nein, nur weil jemand "Admin" ist (welche Rolle ist das bei der Definition eigt), muss diese Person nicht immer Zugriff auf alles bekommen bzw. die Möglichkeit haben sich diesen Zugriff zu beschaffen.

 

Ebenso, wie ein Vorredner anmerkte, kann auch der Einsatz von organisatorischen Richtlinien sinnvoll sein. Nach dem Motto "Vertrauen ist gut, Kontrolle ist besser" sollte aber auch ein geeigneter technologischer Schutz auf Basis von den Anforderungen (wie lauten die eigt genau) umgesetzt werden.

Link zu diesem Kommentar

Das gilt nicht für AD RMS. Diese Daten sind über ein Public Key Verfahren verschlüsselt.

 

Der DRA Serviceaccount muss auch nicht von einem Admin abgebildet werden. Hochsensible Daten werden oft durch den Einsatz eines Kontos geschützt, das voraussetzt, dass zwei User notwendig sind für eine Authentifizierung / Authorisierung.

 

Es gibt genügend Unternehmen, die genau solche Anforderungen haben müssen und diese auch umsetzen. Diese vertrauen die ganz heiklen Daten auch keinem Admin an :)

Link zu diesem Kommentar

Und glaube mir, wenn ich Admin bin, kann ich es lesen....

Der Aufwand dieses zu tun, geht vielleicht in die Hoehe, aber ich habe noch kein System gesehen, was einen Admin (ausser man riskiert den Verlust von Daten) wirklich aussperren kann.

Und ja, ich arbeite in einem Unternehmen, welches bestimmte Daten so ablegt, dass es erschwert ist, auf diese zuzugreifen und dieses auch zertifizieren lässt....

 

Aber ein Admin kann sich die Rechte verschaffen, welche er benötigt.

Link zu diesem Kommentar

Sehr geehrte Damen und Herren hier an Board,

 

ich verfolge mit großem Interesse die Diskussion hier zum Thema "Daten schützen".

 

Desweiteren habe ich mich schon durch viele Seiten bezgl AD RMS gelesen aber eine Aussage konnte ich bisher nicht finden.

 

Wie ist der Account "Dienstkonto AD RMS" gegen Änderungen / Modifikationen des Admins geschützt ?

 

Es wäre sehr nett wenn ich hier eine Antwort erhalten könnte.

 

Mit freundlichen Grüßen

Schmittchen

Link zu diesem Kommentar

@jarazul:

Grob, und ich kenne ein oder zwei theoretische Möglichkeiten es auszuhebeln, wie gesagt, wenn ich genügend Rechte habe, kann ich es aushebeln.

Kann ich mir Domänenadmin Rechte besorgen, kann ich auch den Service Account öffnen, es ist nur eine Frage von

- Zeit

- eingesetzten Ressourcen

- krimineller Energie

 

Und da alles weitere hier aus guten Gründen gegen Boardregeln verstösst, ist für diesen Teilaspekt für mich EOT.

Link zu diesem Kommentar

@jarazul:

und was steht da?

Is it possible for members of the Domain Admins group to read documents intended for someone in their domain?

 

Members of the Domain Admins group can read content protected to a user account if they are a member of the RMS super user group or if they are impersonating the user’s account. Because members of the Domain Admins group have control over the user accounts in the domain, there is no mitigation for the scenario of an untrustworthy member of the Domain Admins group.

Link zu diesem Kommentar

Und was steht da weiter?

 

As with other groups used to limit access to resources, you should define alerts and perform security checks to help prevent someone from joining the super user group without authorization.

 

 

Wie wird denn in so einer High Tech Security Umgebung die Orga Admin oder Enterprise Admin Gruppe überwacht? Gar nicht? Weil jeder Domain Admin ist? Wofür wird der im täglichen Arbeiten gebraucht?

 

Sicherheit muss immer ganzheitlich betrachtet werden. Richtig implementiert kann mit AD RMS ein Dokumentenschutz gewährleistet werden der beim Vorhandensein von den üblichen Rahmenparametern (Rollenmodell, Auditing auf Orga, Schema, Enterprise Groups etc) dem gewöhnlichen Domänen Admin den Zugriff untersagt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...