Wolke2k4 11 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Hallo zusammen, ich suche nach einem Weg einen bestimmten Ordner auf einem Server (aktuell freigegeben und via DFS als Unterordner in einem Netzlaufwerk angebunden) für die Nutzer: A. zu verschlüsseln (Cryptotrojaner Schutz und Schutz vor unerlaubtem Datenexport bspw. von Mitarbeitern) B. nur zugreifbar zu machen, wenn man den Schlüssel für die Entschlüsselung besitzt... Damit würde selbst beim simplen kopieren der Daten auf ein USB Stick die Daten nur dann lesbar, wenn man den Schlüssel/das Passwort dazu kennt/besitzt. Bitlocker wollte ich eigentlich nicht einsetzen. Könnt Ihr Alternativen empfehlen? Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Moin, was spricht dagegen, einfach die Berechtigungen passend zu setzen? Gruß, Nils PS. Bitlocker verschlüsselt ausschließlich ganze Datenträger, um Offline-Angriffen vorzubeugen, und wäre hier schon grundsätzlich nicht geeignet. Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 (bearbeitet) vor 21 Minuten schrieb Wolke2k4: A. zu verschlüsseln (Cryptotrojaner Schutz Wie schützt denn die Verschlüsselung davor? Die verschlüsseln das dann nochmal. Grundsätzlich "könnte" man sowas per EFS (@NilsK - ich habs _gesagt_!) erledigen, aber das will man eigentlich aufgrund des Handlings gerade mit mehreren Usern definitiv nicht verwalten. https://www.minitool.com/lib/efs.html Das was du mit Passwort usw. erwartest geht mit Boardmitteln definitiv nicht. Früher gabs da mal irgendwelche Zusatztools von 3rd Party Anbietern, aber obs noch aktuell irgendwas gibt, kann ich dir nicht sagen. bearbeitet 20. April 2023 von NorbertFe 2 Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Neben den NTF-Rechten würde natürlich EFS die Anforderungen abdecken. Aber den Aufwand und das Risiko möchtest Du eher nicht. EFS ist z.B. ungeeignet, User Ihr Password oft vergessen. Ansonsten gibt es noch Windows RMS bzw. irgendein Cloud-Gedöns dazu von Microsoft als Alternative. Das kostes extra Geld und muss gut geplant werden, von Leuten, die sich damit auskennen. Zitieren Link zu diesem Kommentar
teletubbieland 139 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Wenn immer nur eine Person zugreifen will, könntest Du das auch mit Veracrypt erledigen. Funktioniert eben dann nur sauber, wenn der Tresor immer nach Verwendung geschlossen wird. Zitieren Link zu diesem Kommentar
winmadness 78 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 (bearbeitet) Ich denke das Tool boxcryptor ist genau das richtige zur Lösung Deines Problems. bearbeitet 20. April 2023 von winmadness Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. April 2023 Autor Melden Teilen Geschrieben 20. April 2023 vor 1 Stunde schrieb NilsK: Moin, was spricht dagegen, einfach die Berechtigungen passend zu setzen? Das hier: ...vor unerlaubtem Datenexport bspw. von Mitarbeitern... Das Setzen von NTFS Berechtigungen (was selbstverständlich bereits der Fall ist) heißt doch noch lange nicht, dass ich den Leuten auch ermöglichen möchte die Daten beliebig oft zu kopieren... Fragen wir mal so: Wie machen es Unternehmen, die hoch kritische Geschäftsgeheimnisse auf den Platten haben. Wie stellen die Sicher, dass die Daten nicht auf externe Datenträger gehen, wenn sie trotzdem Datenträger für die Arbeit erlauben müssen... Einfaches Beispiel wäre eine Visio Doku... vor 1 Stunde schrieb NorbertFe: Wie schützt denn die Verschlüsselung davor? Die verschlüsseln das dann nochmal. Hab mich da etwas unglücklich ausgedrückt... Daher zieh ich das mal anders auf: Backup Software wie Veeam und Backup Exec werben doch doch damit, dass sie bei B2D die Sicherungsfiles sicher vor Cryptoangriffen ablegen... sowas in der Art schwebt mir auch vor, wobei sich die Frage nach dem "Spagat" zwischen gewollter und notwendiger Veränderung der Dateien durch die Benutzer und ungewollter Veränderungen durch Cryptoangriffe stellt... vor einer Stunde schrieb winmadness: Ich denke das Tool boxcryptor ist genau das richtige zur Lösung Deines Problems. Danke, schau ich mir mal an! Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Gegen Copy & Paste der Inhalte oder abfotografieren wird das auch nicht helfen. Hier sollte man sich das mit einem Konzept sauber und umfassend überlegen und nicht einfach nur ein Tool zum verschlüsseln von Dateien suchen. Data Loss Prevention ist hier ein passender Begriff. 1 Zitieren Link zu diesem Kommentar
NilsK 2.786 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 (bearbeitet) Moin, ich kann dir nicht folgen. Wenn die Leute den Schlüssel haben, können sie die Daten doch auch nach Belieben exportieren. Da ist dann kein Vorteil der Verschlüsselung gegenüber Berechtigungen. (Ich meinte damit auch nicht "Berechtigung erteilen", sondern eher "Berechtigung verweigern" ...) Wie immer in solchen Fällen müssen auch hier die Anforderungen genau definiert werden. "Verschlüsselung" ist fast nie ein passender Lösungsvorschlag. Es wird mindestens viel komplizierter, vielleicht aber auch ganz ungeeignet. Das erlebt man eigentlich jedes Mal, wenn so ein Thema aufkommt. Boxcryptor verhindert übrigens auch nicht, dass jemand, der an die Daten rankommt, damit beliebige Dinge anstellen kann. Gruß, Nils PS. die "Unternehmen, die hoch kritische Geschäftsgeheimnisse auf den Platten haben", haben auch keine wasserdichten Lösungen. Wie man an den Ukraine Leaks sehen konnte. bearbeitet 20. April 2023 von NilsK 1 1 Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. April 2023 Autor Melden Teilen Geschrieben 20. April 2023 Kam vielleicht nicht ganz richtig rüber: Selbstverständlich sollte das hier erstmal "Input sammeln" sein um das Thema zu beleuchten. Ob es dann umgesetzt wird/praktikabel ist, steht auf einem anderen Blatt und hängt natürlich von der anzuwendenden Umgebung ab. Die Konstellation bei den Ukraine Leaks ist hier doch etwas kleinteiliger, weil der Kreis der Personen mit den betreffenden Daten doch deutlich kleiner ist. Danke erstmal für's erste Feedback an alle! Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Was ich schon gesehen habe: Die "heiklen" Daten werden per Remotedesktop bearbeitet, mit deaktivierter Zwischenablage und Screenshotfunktion. Du könntest Dir das Information Rights Management von Microsoft anschauen. Damit kann man Dokumente schützen, sodass sie nur auf Firmenrechnern geöffnet und daraus nichts kopiert werden kann. Es ist aber nicht trivial in Einrichtung und Betrieb. 1 Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Der Vorteil vom RMS-Service ist, dass die Zugriffrechte bei entsprechenden Dateien immer erhalten bleiben. Allerdings muss die Anwendung RMS unterstützen und in der Lage sein, sich von so einem Service die notwendigen Zertifikate zum Entschlüsseln zu "besorgen". Die eigentliche Datei liegt nur verschlüsselt vor. Wie aber geschrieben: Riesen Aufwand inkl. Fach- und DV-Konzept. 1 Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 BTW: Die Alternative zu Boxcryptor, die verkauft worden sind an Dropbox, wäre das hier: https://cryptomator.org/de/ Zitieren Link zu diesem Kommentar
daabm 1.186 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 vor 3 Stunden schrieb mwiederkehr: deaktivierter Zwischenablage und Screenshotfunktion. Security by obscurity... Macht's nur unkomfortabler, verhindert aber nichts. Abfotografieren geht immer. Oder um's mal allgemeiner zu formulieren: "If you don't trust your admins, don't make them admins". Läßt sich auf jede andere Funktion im Unternehmen übertragen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.