Jump to content
RobDust

Sensible Daten nur für einen Mitarbeiter zur Verfügung stellen, ohne das andere darauf Zugriff haben

Empfohlene Beiträge

Moin, wir würden gerne, dass bestimmte Mitarbeiter in Zukunft mit sensiblen Dateien ("z.B. von Netzlaufwerken") arbeiten, welche andere Mitarbeiter nicht zugreifen dürfen.

Folgende Konstellation ist gegeben. 2 x DC 2019 für die Anmeldung und Rechte, 1 x Fileserver 2019 mit Freigaben und mehrere W10 Clients.

 

Nun ist es aber so, dass sich ja durch die Domäne mehrere Mitarbeiter am selben Client anmelden können (und auch sollen), für den Fall, dass mal der eigene PC ausfällt oder einfach aus praktischen Gründen weil man auf andere physikalische Dinge in dem Büro zugreifen soll.


Folgende Befürchtung wie man trotzdem an die sensiblen Dateien (z.B. von Netzlaufwerken) kommen könnte:
(ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)...


-mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

-robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

-"z.B. von Netzlaufwerken" kann auch ein anderer Speicherort sein...

 

Das Ganze soll eine Art Brainstorming sein.

Ich sehe im Moment noch zu viele "Gefahren", wenn mehrere Mitarbeiter an einem PC arbeiten, wenn jemand auf sensible Dateien zugreifen muss.
Wie seht ihr das? Kann man sich schützen? Habt ihr Ideen? Das Ganze ganz anders angehen? 

bearbeitet von RobDust

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb RobDust:

mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

Wieso als Dienst? Dazu müßte man normalerweise ja Rechte im System besitzen, die ein normaler Nutzer nicht haben darf. Sprich lokaler Admin sein. Keylogger gibts auch als USB Device und dagegen kannst du nur physikalisch vorgehen.

vor 2 Minuten schrieb RobDust:

robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

Wenn der Attacker keinen Zugriff auf den Datenbestand des anderen Nutzers hat, was soll er dann kopieren? Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht.

 

Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. Physikalischer Zugang erfordert dann meiner Meinung nach auch zwingend Disk-Encryption, um eine Offline Boot Attacke zu verhindern usw. usf.

 

bye

Norbert

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Bist mir zuvor gekommen :thumb1: wollte noch ergänzen, ob Ihr weitere Gefahren seht :-)

Physikalische Keylogger genau! Sehr gut, daran hat auch keiner gedacht!

"""Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht."""
Der Ort wurde noch nicht festgelegt, nach dem suchen wir noch. Netzlaufwerk ist ein heißer Kandidat. Aber selbst wenn, man kan sich ja nie sicher sein, dass nicht ein Script (z.B. nur ein beispiel Robocopy, oder was selbst gescriptetes, haben unsere programmierer auch schon geschafft.) im Hintergrund läuft, welches Dateien von A nach B kopiert (Also quasi vom Netzlaufwerk / USB oder sonstwo) in irgendeine Cloud etc, und sobald das Netzlaufwerk verfügbar ist, die Dateien schwups im Hintergrund wegkopiert werden.


""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels - Link entfernt -  in ein paar Minuten.

Ich bin mittlerweile soweit, dass sobald mit sensiblen Dateien gearbeitet wird, dass keine zweite Person physikalischen Zugriff auf den PC haben darf.  Raum muss abgeschloßen sein, und dann wird schon richtig kriminell, wenn einer einbricht. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 41 Minuten schrieb RobDust:

""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels in ein paar Minuten.

 

Du solltest Dich wirklich etwas intensiver mit der Materie beschäftigen. Mit dem GPOs kann man einen Desktop sehr weit "idotensicher" konfigurieren. Es gibt der Applocker oder die Software Restriction Policies. Damit konfiguriert man, was ein User starten darf. Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). 

Und wenn doch was geht, liegt es i.d.R. an der Person die Admin ist.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Dukel Zweiter ist auf dem Weg ;-) hab es oben angepasst.


""Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). ""

,aber wie den? Sobald der Owner den Speicherort mit den Sensiblen Dateien entschlüssel hat, um damit zu arbeiten - kopiert irgendein Script diese dann weg. #

Und das Script läuft als Dienst mit lokalem Systemkonto (z.B. admin) sobald der PC hochfährt, weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat. Oder würde dann sobald man sich als DomainUser anmeldet alle Dienste (Auch lokale Dienste?) und Programme beenden aufgrund der  Applocker oder die Software Restriction Policies?

bearbeitet von RobDust

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Da  er keinen lokalen Zugriff bekommt, also nicht ohne Windows zu booten auf C: kommt, kann er auch kein Password ändern.

Einfach mal drüber  nachdenken.

Für den Rest gibt es GPOs.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@RobDust

 

Ich möchte dich an die Boardregeln erinnern !

 

8.

Keine Hinweise oder Beiträge zum Thema: Wie knacke ich Windows oder ein Benutzerkonto.

 

Ich habe den Link oben entfernt da dieser dagegen verstoßen hatte.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
10 minutes ago, RobDust said:

weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat.

Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@XP-Fan Sorry! Hab ich nicht drauf geachtet. Kommt nicht mehr vor!

 

 

""""Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist."""
Ja okay. Muss ich mal drüber nachdenken und ansehen. Bitlocker Veracrypt sind mir natürlich ein Begriff. Hab nur noch nicht alle Zusammenhänge gemeinsam betrachtet...


Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

bearbeitet von RobDust

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin

 

Ich denke, die sensiblen Daten sollten nicht auf einem lokalen PC bearbeitet werden sondern in einer RDP-/Terminalserver-Sitzung.

 

Weiter sollte auf den Ordner mit den sensiblen Daten eben nur der eine Benutzer/(Besitzer?) Rechte haben.

 

Edit: Und niemand sollte sich Rechte darauf verschaffen können. Das Niemand schlösse wohl auch Administratoren ein.

 

Ein Netzlaufwerk ist nur ein Verweis auf einen freigegebenen Ordner.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Dukel , 

Zitat

Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

gibt es anscheinend...

 

okaay... den Rest könnt ihr euch selbst denken, sonst verstoße ich gegen die Boardrichtlinien,

 

In dem ganzen Szenario geh ich übrigens der Annahme, dass der Angreifer genug Zeit hat. Da er ja ein unverdächtiger Mitarbeiter ist, welcher mit an dem PC arbeitet.

bearbeitet von RobDust

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 19 Minuten schrieb RobDust:

Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

Tja wie du siehst, kann man nicht "einfach mal machen" und dann ist sicher, sondern kommt zur berühmt berüchtigten "umfassenden Sicherheitsstrategie". Evtl. ja mal übers OSI Schichtenmodell nachdenken. ;) Layer 1 = Physik und Layer 7 = Applikation und zusätzlich noch Layer 8 = Nutzer. ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ne Ne "Tja wie du siehst, kann man nicht "einfach mal machen"" ... habe ich schon gemerkt :-) Hatten schon in der Firma großes Brainstorming. Wollte mir hier noch andere Ideen holen.
 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 9 Minuten schrieb RobDust:

@Dukel , 

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

 

Die fehlen Grundlagen in der Funktionsweise von Bitlocker in Verbindung mit einem TPM-Chip.

Irgendwie beschleicht mich das Gefühl, das Du etwas nicht machen möchtest und nun mit der Brechstange irgendwelche Begründungen suchst.

Benutze doch Thin-Clients.  Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×