Jump to content

Sicherheitsoptionen im LAN?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Folgende Situation. Ein kleines Netzwerk (~10-15 User) wird über SBS2003 (DC) verwaltet. Die Chefs speichern auf einem Filemitgliedsserver (W2k Server) viele sensible Daten, welche sie über das Netzwerk abrufen. Daher waren auch nur sie bisher für die Verwaltung des Servers zuständig. Nun wird das aber langsam etwas zu viel und ein andere Kollege soll sich um die Administration kümmern.

 

Natürlich darf dieser aber keinen Zugriff auf diese sensiblen Firmeninformationen erhalten. Da die guten Chefs aber auch oft längere Zeit nicht verfügbar sind, muss der Admin Domänenadmin sein (sind noch mehr Server...). Damit ergibt sich ein Sicherheitsproblem....

 

Meine Idee wäre, über Container wie sie z.B. DriveCrypt, oder Archicrypt .NET bieten, diesem Problem zu begegnen. Doch bevor ich Drittsoftware einsetze, wäre ich gespannt wie Ihr dieser Situation Herr werdet und ob nicht vielleicht bereits eingebaute Mechanismen exisiteren, die eine Lösung für das beschriebene Szenario bieten.

 

Danke

Link zu diesem Kommentar

Hallo,

 

ich beobache den Thread schon eine Weile, weil ich gespannt auf ein built-in-feature bin. Mir selbst ist ein Mechanismus, der Deine Wünsche befriedigen könnte nicht bekannt.

 

Ein Admin ist ein Admin ist ein Admin.... sage ich mal. Er kann sich selbst die Zugriffsberechtigung auf Objekte nehmen und wieder geben. Ich meine, gelesen zu haben, dieses sei überwachbar, protokollierbar. Dieses muß dann wohl vom Controller geprüft werden.

 

Noch eine Anmerkung: Das hat meines Erachtens mit Sicherheit im LAN nicht zu tun. Es geht dabei um Sicherheit vor unberechtigten Zugriff auf dem Server.

 

Gruß

Edgar

Link zu diesem Kommentar

Erstmal danke für die Antworten.

 

Ja es gibt einen Server der administriert werden soll, aber der Administrator soll nicht Zugriff auf alle Dateien haben. Diese Dateien haben aber nichts mit der Administration zutun, d.h. es könnten z.B. normale Word, PDFs usw. sein. Es geht im Grunde darum, dass der Administrator sich auch nur um die Administration kümmern soll und nicht auf sensible Firmendaten der Chefetage zugreifen können, bzw. sich diese Rechte beschaffen kann.

Link zu diesem Kommentar

Moin firefighter,

einen Admin von der Administration auszuschließen ist ein Widerspruch an sich. Alles, was eingestellt wird, kann die Administratorin auch wieder neu einstellen.

Insofern kannst Du in der beschriebenen Umgebung auch "nur" die Chefs die Inhalte der Daten/Verzeichnisse verschlüsseln lassen. Das sollte bei sensiblen Daten auch grundsätzlich erfolgen (allein schon, um z.B. bei Personaldaten die Mitarbeiter zu schützen). Bei solcherart Schutz aber immer auch die lokalen Caches (benutze Programme/.TMPs etc!) einbeziehen! Bei den von Dir genannten Dateitypen / Programmen geht das m.W. mit den Bordmitteln der eingesetzten Programme.

Lösungs a n s ä t z e sehe ich drei:

Ein separater Server, den die Chefs dann auch weiterhin administrierten,

Fortbildung für die Chefs in Sachen Zusammenarbeit, Vertrauen und Mitarbeiterführung

Stellenausschreibung für einen Schleudersitzadmin.

Darüber hinaus kann darüber nachgedacht werden, ob die Besitzübernahme an den Daten durch die Chefs (incl. Ausschluß aller anderen Zugriffe plus Log auf Besitzübernahme) im Zusammenhang mit bestehenden Arbeitsverträgen nicht ausreichend ist, weil dann zwar nicht das Ausspähen der Daten an sich, wohl aber das Unbemerkte verhindert wird.

Gegrüßt!

Link zu diesem Kommentar

Mir ist schon klar, dass die Daten verschlüsselt werden müssen. Und genau darum habe ich dieses Thread ja eröffnet. Die Frage die sich mir stellte ist, welche Möglichkeiten hierfür existieren.

Jede Datei einzeln zu verschlüsseln finde ich indiskutabel, deshalb kam mir die Container Idee. Die Frage die sich mir stellte war, ob

 

a) W2k3 ein bultin Feature diesbezüglich mitbringt, welches ich nicht kenne

b) Wie andere Firmen diesem Problem begegnen.

 

@Finanzamt: Danke für Deine Lösungsansätze, aber so richtig das Wahre für die Praxis sind die in meinem Falle nicht :)

Link zu diesem Kommentar

Hallo firefighter

 

"Es geht im Grunde darum, dass der Administrator sich auch nur um die Administration kümmern soll und nicht auf sensible Firmendaten der Chefetage zugreifen können, bzw. sich diese Rechte beschaffen kann."

 

ich glaub das ist das Problem, Verschlüsselung ist eine gute sache aber es gibt einen Wiederherstellungsagent meist steht der Admin drin.

 

Also: LW oder Ordner, Verschlüsselung aktivieren, überwachung aktivieren und hoffen das der Admin nur administriert und vor allem hoffen das die Cheffs ihr Passwort nie vergessen.

 

mit den freundlichsten

 

holgi :)

Link zu diesem Kommentar

@Holgi_man & others

Vielleicht sollte man den Chefs raten, Ihre Paßwörter beim Admin zu hinterlegen *grins*.

Aber im Ernst: Verschlüsselung/Paßwörter werden bei nicht mehr greifbarem PW zu einem extremen Problem. Gründe gibts viele. Wenn ich wo ein Netz betreue und einziger Admin bin, packe ich das Paßwort in einen versiegelten Umschlag und laß den beim Kunden in den Tresor o.ä. packen.

@firefighter: Bespreche bloß mit Deinen Chefs diese Problematik, bevor Du die Verschlüsselung aktivierst und stelle sicher, daß die es auch wirklich verstanden haben!

Gegrüßet!

Link zu diesem Kommentar

Hallo

 

Ich halte die Dateiverschlüsselung auch für einen Lösungsansatz.

 

Der Administrator muß nicht der Wiederherstellungsagent sein!

 

Legt einen User an der Wiederherstellungsagent wird, Name und Password sowie die Key's wandern für den Fall der Fälle in den Tresor.

 

Zudem auch die Keys der Chefs in den Tresor.

 

Das wäre für mich genug Sicherheit, eventuell noch die entsprechenden Benutzerkonten überwachen.

 

Gruß

Willow

Link zu diesem Kommentar
Original geschrieben von JollyJumper

Wiso verwendet ihr nicht EFS?

EFS ist doch nichts anderes, als in den Ordner Eigenschaften die Verschlüsselung zu aktivieren. Für den Serveradmin ist das doch aber aufgrund seiner Rechte völlig transparent? Was bringt mir eine Verschlüsslung auf die der Admin jederzeit zugreifen kann? Oder gibts da noch Erweiterungen und Anpassungsmöglichkeiten. Falls ja - wie? :suspect:

 

Das der Schlüssel zusätzlich im Tressor aufgehoben wird ist sicherlich eine sehr sehr gute Idee. ;)

 

@Willow: Benutzerkonten überwachen nützt doch nichts, wenn der "Feind" der Admin selber ist ;) Ich suche nur ein Konzept bei dem man Administration und Dateninhalt trennen kann.

Link zu diesem Kommentar

Hallo

 

"EFS ist doch nichts anderes, als in den Ordner Eigenschaften die Verschlüsselung zu aktivieren. Für den Serveradmin ist das doch aber aufgrund seiner Rechte völlig transparent? Was bringt mir eine Verschlüsslung auf die der Admin jederzeit zugreifen kann? Oder gibts da noch Erweiterungen und Anpassungsmöglichkeiten."

 

nein nicht der admin, sondern der user der seine daten schützen will muß die verschlüsselung aktivieren.

 

Achtung: kein zugriff für Multiuser

 

mit den freundlichsten

 

holgi :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...