Hochsicherheitstrakt für Dateien und Verzeichnisse unter W2K/W2003 Server?

[Klaus Charlier 10]

Hallo zusammen.

 

Das Sicherheitsproblem:

 

Es geht um die Sicherheit von Dateien speziell im Zusammenhang mit Trojanern, die Dateien verschicken. Diverse Trojaner lesen beispielsweise die Recently opened File List, und kopieren/verschicken alle dort enthaltenen Datein an - na ja weiss der Geier wohin.

 

Nun sollte man die Möglichkeit haben, das zu verhindern, zumindest für eine bestimmte Anzahl von Dateien.

 

Ich habe schon diverse Tools angeschaut, wie z.B. Folder Access, aber die arbeiten alle nach dem Prinzip, wenn der User sich anmeldet am Netz, "loggt" er sich nochmals an einem geschützen Share mit Passwort an, wenn das aber passiert ist, ist der Zugang für einen Trojaner wieder möglich, da die Trojaner ja in den meisten Fällen im Context des angemeldeten Users laufen.

 

Die Lösung wäre, das eine Datei so geschützt werden kann, dass JEDER Zugriff, also egal ob öffnen, kopieren oder was auch immer zunächst nochmals eine Passwort-Abfrage initiiert.

 

Ein solches Tool habe ich leider für W2K oder W2003 Server bisher nicht entdecken können. Auch habe ich im Windows selber nichts ähnliches gefunden.

 

Hat jemand ein gute Idee?

 

Gruss - Klaus

[Dirk_privat 10]

Hi,

 

ich würde das Geld und den Aufwand lieber in den Virenschutz stecken, d.h. mehrstufige Firewall, SMTP Proxies, mehrere Scan Engines.

 

Gruß

Dirk

[Dr.Melzer 191]

Ich sehe das auch so wir Dirk.

Erheblich effizienter wäre es einen vernünftigen Virenschutz und eine gut eHardwarefirewall (optional mit intrusion detection) zu verwenden und die bösen Trojaner erst garnicht in das System reinzulassen.

Wenn er erst einmal drinnen ist hast du noch ganz andere Probleme.

[lefg 276]

Die Lösung wäre, das eine Datei so geschützt werden kann, dass JEDER Zugriff, also egal ob öffnen, kopieren oder was auch immer zunächst nochmals eine Passwort-Abfrage initiiert.

Das ist doch keine praktikable Lösung. Wie sollte die Realisierung geschehen? Wer könnte so arbeiten? Unser Sekretariat würde zum Stillstand kommen, die Damen würden wohl zum Arzt gehen, mir selbst einen empfehlen.

[Klaus Charlier 10]

Dirk und Dr. Melzer.

 

Vielen Dank für die Antworten. Jedoch ist jede noch so gute Antivirus-/Antiotrojaner-Lösung nur so gut wie sie aktuell ist. Und bekannterweise dauert es immer ein wenig vom Auftreten eines Virus/Trijaners bis zur Verfügbarkeit des Antivirus. Und in der Zwischenzeit? Des weiteren kann ich die Beurteilung der Kosten/Zeit so nicht nachvollziehen. Eine wirksam arbeitende Lösung (so es denn eine gäbe) auf der einen Seite gegenüber einer sich ständig ändernden auf der Anderen Seite....??

 

Firewall nützt auch recht wenig, da die heutigen Viren ihren Filetransfer mit HTTP durchführen.

 

Also bisher würde ich sagen, nette Kommentare aber nichts brauchbares. Sorry.

[Klaus Charlier 10]

lefg.

 

ich habe ausdrücklich betont, dass diese Lösung nur für bestimmte Dateien/Folder gewünscht wäre. Daherwürde ich sagen, Deine Antowrt hätte auch vom Microsoft Support selbst sein können. Inhaltlich richtig, aber völlig unbrauchbar.

[Das Urmel 10]

Deine User sollten nicht mit Adminrechten arbeiten, dann hat sich schon einiges erledigt.

Möglicherweise solltest du mal an den Benutzerrechten etwas feilen.

[Klaus Charlier 10]

Hallo Urmel.

 

Meine User sind nicht mit Adminrechten unterwegs. (Bei 1200 Usern wäre das auch ein wenig unüberschaubar - gelle?) Hier wird alles sauber über OU's und Policies und Groups geregelt. Aber für einen Trojaner reicht auch readonly.

[lefg 276]

wenn der User sich anmeldet am Netz, "loggt" er sich nochmals an einem geschützen Share mit Passwort an, wenn das aber passiert ist, ist der Zugang für einen Trojaner wieder möglich, da die Trojaner ja in den meisten Fällen im Context des angemeldeten Users laufen.

Nicht das Share ist das Entscheidende, setze mal deinen Fokus auf die Sicherheit und NTFS!

[lefg 276]

Off-Topic:

Inhaltlich richtig, aber völlig unbrauchbar.

Das ist subjektiv völlig richtig :)

[hwimmer 10]

Hallo,

 

schau dir mal den

 

Cisco Security Agent (CSA)

 

an

 

Er bittet schutz gegen bekannte und unbekannte Viren ohne lästige

Signaturupdates !

[Klaus Charlier 10]

lefg.

 

Genau das versuche ich ja. Security und NTFS. Aber wie gesagt, Windows selbst bietet hier nichts, zumindets habe ich nichts gefunden. Und was willst Du anderes machen?

 

- Du hast ein Verzeichnis auf einem File Server.

- Da liegen die heiligen Dateien und Folder drin.

- Du musst das Ganze als Share freigeben, damit die Leute überhaupt damit arbeiten können.

- Du vergibst entsprechend den Gruppen die Rechte

 

... tja und dann? Mehr kann man schon gar nicht tun. Man kann zwar bei z.B. Excel Dateien noch ein Passwort vergeben, aber bitte... Als ob es noch keine Tools gäbe die das knacken können...

 

Aus meiner Sicht wäre es in der Tat die sicherste Lösung, wen man verhindern könnte, dass im Hintergrund und ohne Wissen des angemeldeten Users auf diese Dateien zugegriffen werden kann. Denk mal drüber nach, ob Du Dir immer sicher sein kannst, das im Hintergrund nicht gerade etwas "gestohlen" wird.

 

Und dann noch ein Satz zum Thema "richtig davor schützen, dass Viren und Trojaner gar nicht erst rein kommen." Har har. Wenn es einen hundertprozentigen Schutz davor gäbe, bräuchten wir das Thema hier gar nicht zu diskutieren. Und dabei habe ich noch nicht die User in Betracht gezogen die trotz besserem Wissen meinen, alle Attachments öffnen zu müssen. Und was, wenn es gar nicht mal ein zufällig eingefangener Trojaner ist, was, wenn es Absicht, also Spionage/Sabotage ist....?

 

Ich versuche auch immer ein bisschen weiter zu denken, als ich im Augenblick nur sehen kann...

[Dr.Melzer 191]

Firewall nützt auch recht wenig, da die heutigen Viren ihren Filetransfer mit HTTP durchführen.

 

Deswegen habe ich auch intrusion detection empfohlen. Dann erkennt die Firewall virulente Datenstöme auch wenn sie über Http getunnelt werden, weil der Datenstrom eine für HTTp unübliche Form aufweist.

[Velius 10]

Dirk und Dr. Melzer.

 

Vielen Dank für die Antworten. Jedoch ist jede noch so gute Antivirus-/Antiotrojaner-Lösung nur so gut wie sie aktuell ist. Und bekannterweise dauert es immer ein wenig vom Auftreten eines Virus/Trijaners bis zur Verfügbarkeit des Antivirus.

 

Stichwort Heuristik: Es gibt Scanner die mit abgeschalteten Signaturen noch 70% aller Viren erkennen.

 

Firewall nützt auch recht wenig, da die heutigen Viren ihren Filetransfer mit HTTP durchführen.

 

Also bisher würde ich sagen, nette Kommentare aber nichts brauchbares. Sorry.

 

Schon mal was von application Layer Firewall gehört? Die können auch GET, PUT und diverse Script Commands erkennen, und vieles mehr.

[Klaus Charlier 10]

Ok. Firewall. Überlegen wir doch mal....

 

Ich habe einen Einbrecher im Haus, einen unverschlossenen Tresor, aber stelle eine Armada rund um's Haus auf, um ihn daran zu hindern, das Haus zu verlassen... Hmmm.

 

Also rein vom Aufwand her würde ich sagen, den Safe abschliessen wäre einfacher.....

 

By the way 70% sagst Du - ja??? Das kann ich dem Top-Level Management nicht verkaufen. Die geben lieber etwas Geld für einen besseren Tresor aus...

 

Sicher. Mir sind die Möglichkeiten, die von Cisco und anderen Herstellern angeboten werden bekannt, aber das ist nicht der gewünschte Lösungsansatz.