Jump to content

Sensible Daten nur für einen Mitarbeiter zur Verfügung stellen, ohne das andere darauf Zugriff haben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin, wir würden gerne, dass bestimmte Mitarbeiter in Zukunft mit sensiblen Dateien ("z.B. von Netzlaufwerken") arbeiten, welche andere Mitarbeiter nicht zugreifen dürfen.

Folgende Konstellation ist gegeben. 2 x DC 2019 für die Anmeldung und Rechte, 1 x Fileserver 2019 mit Freigaben und mehrere W10 Clients.

 

Nun ist es aber so, dass sich ja durch die Domäne mehrere Mitarbeiter am selben Client anmelden können (und auch sollen), für den Fall, dass mal der eigene PC ausfällt oder einfach aus praktischen Gründen weil man auf andere physikalische Dinge in dem Büro zugreifen soll.


Folgende Befürchtung wie man trotzdem an die sensiblen Dateien (z.B. von Netzlaufwerken) kommen könnte:
(ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)...


-mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

-robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

-"z.B. von Netzlaufwerken" kann auch ein anderer Speicherort sein...

 

Das Ganze soll eine Art Brainstorming sein.

Ich sehe im Moment noch zu viele "Gefahren", wenn mehrere Mitarbeiter an einem PC arbeiten, wenn jemand auf sensible Dateien zugreifen muss.
Wie seht ihr das? Kann man sich schützen? Habt ihr Ideen? Das Ganze ganz anders angehen? 

bearbeitet von RobDust
Link zu diesem Kommentar
vor 2 Minuten schrieb RobDust:

mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

Wieso als Dienst? Dazu müßte man normalerweise ja Rechte im System besitzen, die ein normaler Nutzer nicht haben darf. Sprich lokaler Admin sein. Keylogger gibts auch als USB Device und dagegen kannst du nur physikalisch vorgehen.

vor 2 Minuten schrieb RobDust:

robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

Wenn der Attacker keinen Zugriff auf den Datenbestand des anderen Nutzers hat, was soll er dann kopieren? Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht.

 

Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. Physikalischer Zugang erfordert dann meiner Meinung nach auch zwingend Disk-Encryption, um eine Offline Boot Attacke zu verhindern usw. usf.

 

bye

Norbert

Link zu diesem Kommentar

Bist mir zuvor gekommen :thumb1: wollte noch ergänzen, ob Ihr weitere Gefahren seht :-)

Physikalische Keylogger genau! Sehr gut, daran hat auch keiner gedacht!

"""Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht."""
Der Ort wurde noch nicht festgelegt, nach dem suchen wir noch. Netzlaufwerk ist ein heißer Kandidat. Aber selbst wenn, man kan sich ja nie sicher sein, dass nicht ein Script (z.B. nur ein beispiel Robocopy, oder was selbst gescriptetes, haben unsere programmierer auch schon geschafft.) im Hintergrund läuft, welches Dateien von A nach B kopiert (Also quasi vom Netzlaufwerk / USB oder sonstwo) in irgendeine Cloud etc, und sobald das Netzlaufwerk verfügbar ist, die Dateien schwups im Hintergrund wegkopiert werden.


""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels - Link entfernt -  in ein paar Minuten.

Ich bin mittlerweile soweit, dass sobald mit sensiblen Dateien gearbeitet wird, dass keine zweite Person physikalischen Zugriff auf den PC haben darf.  Raum muss abgeschloßen sein, und dann wird schon richtig kriminell, wenn einer einbricht. 

Link zu diesem Kommentar
vor 41 Minuten schrieb RobDust:

""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels in ein paar Minuten.

 

Du solltest Dich wirklich etwas intensiver mit der Materie beschäftigen. Mit dem GPOs kann man einen Desktop sehr weit "idotensicher" konfigurieren. Es gibt der Applocker oder die Software Restriction Policies. Damit konfiguriert man, was ein User starten darf. Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). 

Und wenn doch was geht, liegt es i.d.R. an der Person die Admin ist.

Link zu diesem Kommentar

@Dukel Zweiter ist auf dem Weg ;-) hab es oben angepasst.


""Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). ""

,aber wie den? Sobald der Owner den Speicherort mit den Sensiblen Dateien entschlüssel hat, um damit zu arbeiten - kopiert irgendein Script diese dann weg. #

Und das Script läuft als Dienst mit lokalem Systemkonto (z.B. admin) sobald der PC hochfährt, weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat. Oder würde dann sobald man sich als DomainUser anmeldet alle Dienste (Auch lokale Dienste?) und Programme beenden aufgrund der  Applocker oder die Software Restriction Policies?

bearbeitet von RobDust
Link zu diesem Kommentar

@XP-Fan Sorry! Hab ich nicht drauf geachtet. Kommt nicht mehr vor!

 

 

""""Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist."""
Ja okay. Muss ich mal drüber nachdenken und ansehen. Bitlocker Veracrypt sind mir natürlich ein Begriff. Hab nur noch nicht alle Zusammenhänge gemeinsam betrachtet...


Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

bearbeitet von RobDust
Link zu diesem Kommentar

Moin

 

Ich denke, die sensiblen Daten sollten nicht auf einem lokalen PC bearbeitet werden sondern in einer RDP-/Terminalserver-Sitzung.

 

Weiter sollte auf den Ordner mit den sensiblen Daten eben nur der eine Benutzer/(Besitzer?) Rechte haben.

 

Edit: Und niemand sollte sich Rechte darauf verschaffen können. Das Niemand schlösse wohl auch Administratoren ein.

 

Ein Netzlaufwerk ist nur ein Verweis auf einen freigegebenen Ordner.

bearbeitet von lefg
Link zu diesem Kommentar

@Dukel , 

Zitat

Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

gibt es anscheinend...

 

okaay... den Rest könnt ihr euch selbst denken, sonst verstoße ich gegen die Boardrichtlinien,

 

In dem ganzen Szenario geh ich übrigens der Annahme, dass der Angreifer genug Zeit hat. Da er ja ein unverdächtiger Mitarbeiter ist, welcher mit an dem PC arbeitet.

bearbeitet von RobDust
Link zu diesem Kommentar
vor 19 Minuten schrieb RobDust:

Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

Tja wie du siehst, kann man nicht "einfach mal machen" und dann ist sicher, sondern kommt zur berühmt berüchtigten "umfassenden Sicherheitsstrategie". Evtl. ja mal übers OSI Schichtenmodell nachdenken. ;) Layer 1 = Physik und Layer 7 = Applikation und zusätzlich noch Layer 8 = Nutzer. ;)

Link zu diesem Kommentar
vor 9 Minuten schrieb RobDust:

@Dukel , 

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

 

Die fehlen Grundlagen in der Funktionsweise von Bitlocker in Verbindung mit einem TPM-Chip.

Irgendwie beschleicht mich das Gefühl, das Du etwas nicht machen möchtest und nun mit der Brechstange irgendwelche Begründungen suchst.

Benutze doch Thin-Clients.  Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...