Jump to content
RobDust

Sensible Daten nur für einen Mitarbeiter zur Verfügung stellen, ohne das andere darauf Zugriff haben

Recommended Posts

Moin, wir würden gerne, dass bestimmte Mitarbeiter in Zukunft mit sensiblen Dateien ("z.B. von Netzlaufwerken") arbeiten, welche andere Mitarbeiter nicht zugreifen dürfen.

Folgende Konstellation ist gegeben. 2 x DC 2019 für die Anmeldung und Rechte, 1 x Fileserver 2019 mit Freigaben und mehrere W10 Clients.

 

Nun ist es aber so, dass sich ja durch die Domäne mehrere Mitarbeiter am selben Client anmelden können (und auch sollen), für den Fall, dass mal der eigene PC ausfällt oder einfach aus praktischen Gründen weil man auf andere physikalische Dinge in dem Büro zugreifen soll.


Folgende Befürchtung wie man trotzdem an die sensiblen Dateien (z.B. von Netzlaufwerken) kommen könnte:
(ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)...


-mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

-robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

-"z.B. von Netzlaufwerken" kann auch ein anderer Speicherort sein...

 

Das Ganze soll eine Art Brainstorming sein.

Ich sehe im Moment noch zu viele "Gefahren", wenn mehrere Mitarbeiter an einem PC arbeiten, wenn jemand auf sensible Dateien zugreifen muss.
Wie seht ihr das? Kann man sich schützen? Habt ihr Ideen? Das Ganze ganz anders angehen? 

Edited by RobDust

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb RobDust:

mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters

Wieso als Dienst? Dazu müßte man normalerweise ja Rechte im System besitzen, die ein normaler Nutzer nicht haben darf. Sprich lokaler Admin sein. Keylogger gibts auch als USB Device und dagegen kannst du nur physikalisch vorgehen.

vor 2 Minuten schrieb RobDust:

robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert

Wenn der Attacker keinen Zugriff auf den Datenbestand des anderen Nutzers hat, was soll er dann kopieren? Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht.

 

Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. Physikalischer Zugang erfordert dann meiner Meinung nach auch zwingend Disk-Encryption, um eine Offline Boot Attacke zu verhindern usw. usf.

 

bye

Norbert

Share this post


Link to post
Share on other sites

Bist mir zuvor gekommen :thumb1: wollte noch ergänzen, ob Ihr weitere Gefahren seht :-)

Physikalische Keylogger genau! Sehr gut, daran hat auch keiner gedacht!

"""Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht."""
Der Ort wurde noch nicht festgelegt, nach dem suchen wir noch. Netzlaufwerk ist ein heißer Kandidat. Aber selbst wenn, man kan sich ja nie sicher sein, dass nicht ein Script (z.B. nur ein beispiel Robocopy, oder was selbst gescriptetes, haben unsere programmierer auch schon geschafft.) im Hintergrund läuft, welches Dateien von A nach B kopiert (Also quasi vom Netzlaufwerk / USB oder sonstwo) in irgendeine Cloud etc, und sobald das Netzlaufwerk verfügbar ist, die Dateien schwups im Hintergrund wegkopiert werden.


""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels - Link entfernt -  in ein paar Minuten.

Ich bin mittlerweile soweit, dass sobald mit sensiblen Dateien gearbeitet wird, dass keine zweite Person physikalischen Zugriff auf den PC haben darf.  Raum muss abgeschloßen sein, und dann wird schon richtig kriminell, wenn einer einbricht. 

Share this post


Link to post
Share on other sites
vor 41 Minuten schrieb RobDust:

""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """
Denke daran wird es scheitern, die holt man sich mittels in ein paar Minuten.

 

Du solltest Dich wirklich etwas intensiver mit der Materie beschäftigen. Mit dem GPOs kann man einen Desktop sehr weit "idotensicher" konfigurieren. Es gibt der Applocker oder die Software Restriction Policies. Damit konfiguriert man, was ein User starten darf. Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). 

Und wenn doch was geht, liegt es i.d.R. an der Person die Admin ist.

Share this post


Link to post
Share on other sites

@Dukel Zweiter ist auf dem Weg ;-) hab es oben angepasst.


""Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). ""

,aber wie den? Sobald der Owner den Speicherort mit den Sensiblen Dateien entschlüssel hat, um damit zu arbeiten - kopiert irgendein Script diese dann weg. #

Und das Script läuft als Dienst mit lokalem Systemkonto (z.B. admin) sobald der PC hochfährt, weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat. Oder würde dann sobald man sich als DomainUser anmeldet alle Dienste (Auch lokale Dienste?) und Programme beenden aufgrund der  Applocker oder die Software Restriction Policies?

Edited by RobDust

Share this post


Link to post
Share on other sites

Da  er keinen lokalen Zugriff bekommt, also nicht ohne Windows zu booten auf C: kommt, kann er auch kein Password ändern.

Einfach mal drüber  nachdenken.

Für den Rest gibt es GPOs.

Share this post


Link to post
Share on other sites

@RobDust

 

Ich möchte dich an die Boardregeln erinnern !

 

8.

Keine Hinweise oder Beiträge zum Thema: Wie knacke ich Windows oder ein Benutzerkonto.

 

Ich habe den Link oben entfernt da dieser dagegen verstoßen hatte.

Share this post


Link to post
Share on other sites
10 minutes ago, RobDust said:

weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat.

Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.

 

Share this post


Link to post
Share on other sites

@XP-Fan Sorry! Hab ich nicht drauf geachtet. Kommt nicht mehr vor!

 

 

""""Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist."""
Ja okay. Muss ich mal drüber nachdenken und ansehen. Bitlocker Veracrypt sind mir natürlich ein Begriff. Hab nur noch nicht alle Zusammenhänge gemeinsam betrachtet...


Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

Edited by RobDust

Share this post


Link to post
Share on other sites

Moin

 

Ich denke, die sensiblen Daten sollten nicht auf einem lokalen PC bearbeitet werden sondern in einer RDP-/Terminalserver-Sitzung.

 

Weiter sollte auf den Ordner mit den sensiblen Daten eben nur der eine Benutzer/(Besitzer?) Rechte haben.

 

Edit: Und niemand sollte sich Rechte darauf verschaffen können. Das Niemand schlösse wohl auch Administratoren ein.

 

Ein Netzlaufwerk ist nur ein Verweis auf einen freigegebenen Ordner.

Edited by lefg

Share this post


Link to post
Share on other sites

@Dukel , 

Zitat

Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

gibt es anscheinend...

 

okaay... den Rest könnt ihr euch selbst denken, sonst verstoße ich gegen die Boardrichtlinien,

 

In dem ganzen Szenario geh ich übrigens der Annahme, dass der Angreifer genug Zeit hat. Da er ja ein unverdächtiger Mitarbeiter ist, welcher mit an dem PC arbeitet.

Edited by RobDust

Share this post


Link to post
Share on other sites
vor 19 Minuten schrieb RobDust:

Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port :-)

Tja wie du siehst, kann man nicht "einfach mal machen" und dann ist sicher, sondern kommt zur berühmt berüchtigten "umfassenden Sicherheitsstrategie". Evtl. ja mal übers OSI Schichtenmodell nachdenken. ;) Layer 1 = Physik und Layer 7 = Applikation und zusätzlich noch Layer 8 = Nutzer. ;)

Share this post


Link to post
Share on other sites

Ne Ne "Tja wie du siehst, kann man nicht "einfach mal machen"" ... habe ich schon gemerkt :-) Hatten schon in der Firma großes Brainstorming. Wollte mir hier noch andere Ideen holen.
 

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb RobDust:

@Dukel , 

Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten.
Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe...

 

 

Die fehlen Grundlagen in der Funktionsweise von Bitlocker in Verbindung mit einem TPM-Chip.

Irgendwie beschleicht mich das Gefühl, das Du etwas nicht machen möchtest und nun mit der Brechstange irgendwelche Begründungen suchst.

Benutze doch Thin-Clients.  Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...