Dirk_privat 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Hi Klaus, das Thema Sicherheit ist ein zweischneidiges Schwert. Was nützt Dir eine Hochsirheitslösung wenn es von den Usern nicht akzeptiert wird. Was passiert wenn die user bei jeder Datei oder Ordner ein Password eingeben müssen? Sie kopieren es sich lokal damit sie damit arbeiten können. Damit ist Dein Sicherheitskonzept für den *****. Sicherheit erreichst Du nur wenn es von den usern auch gelebt wird, und mit dieser Lösung kann garantiert niemand leben. Ein Passwordschutz in dieser Form ist für ein Unternehmen nicht praktikabel, so eine Lösung lasse ich mir im SoHo Bereich gefallen. Wenn Du einen guten Virenschutz mit Firewall hast ist die Wahrscheinlichkeit eher gering Trojaner in Dein Netz zu bekommen. Ausführbare Dateien werden geblockt, Virenscan auch auf Layer7 bei http, etc. pp. Die Wahrscheinlichkeit, daß ein Trojaner Deine Daten ausspioniert und kopiert ist bei einem guten Sicherheitskonzept geringer, wie wenn Mitarbeiter Daten zerstören oder weitergeben. 80% aller Sicherheitsprobleme sind innerhalb des Unternehmens. Wenn Du ansprichst, daß Virensignaturen nicht immer aktuell sind, sprechen wir von einem Delta von wenigen Stunden. D.h. beim Einsatz mehrer Scan Engines müßte innerhalb dieser Zeit ein unbekannter Virus in Dein Netz kommen und Dir die Daten ausspionieren. Ich gehe davon aus, daß typische Dateien wie .vbs, .scr. exe etc. erst gar nicht in Euer Netzwerk Eintritt haben! Ehrlich gesagt, halte ich es für unwahrscheinlich, wenn auch nicht ausgeschlossen, daß in dieser Zeit solch ein Virus entwickelt wird, der den gängigen Virenscannern mit heuristischen Merkmalen durch die Lappen geht. Aber vielleicht bin auch nur zu gutgläubig... Gruß Dirk Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 @Klaus mir ist das Problem und der Gedanke schon klar. Ich kenne keine praktisches builtin dafür. Eine Lösung habe ich nicht. Ich denke, wenn ein User Berechtigung auf eine Datei hat, diese öffnet und sie sich anschaut, dabei jemand hinter ihm jemand durch ein Fenster auf den Bildschirm schaut, dann ist es geschehen. Der Fremde braucht auf die Datei selbst nicht mehr zugreifen. Das ist jedenfall mein Gedanke. das heisst aber nicht, das es niemanden gibt, dem nichts besseres einfällt. Möglicherweise ist nur das nun vorhandene Windows dafür nicht geeignet. Zitieren Link zu diesem Kommentar
Klaus Charlier 10 Geschrieben 20. April 2006 Autor Melden Teilen Geschrieben 20. April 2006 Dirk. Ich stimme Dir zu, dass das Konzept ohne das Mitwirken und die Akzeptanz der betroffenen User in der Tat etwas für den ..dingens.. ist. Jedoch ist es in diesem Fall so, dass es sich nicht um Dateien für die breite Masse der User handelt, sondern um Dateien die vom Management (wir sprechen hier von max. 20 Usern) gemeinsam verwendet werden. Es ist der ausdrückliche Wunsch eben diese 20 Nasen, genau eine solche Lösung haben zu wollen. Ich kenne die Dateien und auch deren Inhalt (Verschwiegenheitserklärung) und kann deren Wunsch vollumfänglich nachhviollziehen. Und Du kennst die Antwort in einer grossen Firma, wenn IT sagt: "datt geht nich". Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Einfach ausgedrück, dein Vorhaben ist unrealistisch. Ausserdem ist dein Denkansatz falsch, denn 70% ohne Signaturen beduetet nich 70% mit! ;) Ausserdem stehen sich Funktion als auch Leistung im wiederspruch zur Sicherheit. Das ist ein ungeschriebenes Gesetzt. Sobald du einem Benutzer etwas ermöglichst, zum Beispiel Read Access, dann kann das jeder Prozess in diesem Benutzerkontext auch. Hohe Sicherheit kann nur duch Kombinationen aller Schutzmechanismen erreicht werden. Zitieren Link zu diesem Kommentar
Ronin3058 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Du willst einen sicheren Bereich für hochsensible Daten? Und dir reichen die derzeit üblichen Sicherheitssysteme nicht aus? Dann wird dir nichts anderes übrigbleiben als die betroffenen Rechner physikalisch zu trennen. Wobei selbst dann Sabotage/Spionage nicht ausgeschlossen ist. Im übrigen wäre dies das Äquivalent zu "Tresor abgeschlossen" Vielleicht hilft aber auch ein Application-Switch. Der erkennt Traffic auf Layer 7 und kann entsprechend routen - Trojaner wären ausgeschlossen. Allerdings steckt diese Technik noch in den Anfängen und die Geräte sind noch sehr teuer. Zitieren Link zu diesem Kommentar
Klaus Charlier 10 Geschrieben 20. April 2006 Autor Melden Teilen Geschrieben 20. April 2006 Velius. Das mit den 70% habe ich schon richtig verstanden, vielleicht habe ich nur ungeschickt formuliert. Deiner Philosophischen Abhandlung über Sinn und Zweck der Sache entnehme ich, dass Du das Problem des Prozesses im Benutzerkontext erkannt hast. Aber was genau ist Dein Beitrag zum Thema? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Deiner Philosophischen Abhandlung über Sinn und Zweck der Sache entnehme ich, dass Du das Problem des Prozesses im Benutzerkontext erkannt hast. Aber was genau ist Dein Beitrag zum Thema? Wenn dein Vorhaben ist, eine Technick zu etablieren, die nur den Mausklick des Users als Porzess erlaubt, eingeschlossen aller Folgeprozesse, alles andere was aber sonst noch in deinem Kontext läuft oder laufen kann nicht, dann ist das unmöglich. Das ist mein Beitrag. ;) Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Hallo, ich könnte mir das so vorstellen das man die relevanten Daten auf einem extra TServer speichert. Dieser Server ist entsprechend abgesichert (Firewall) und hat keinen Zugang zum Internet. Auf die Datenbestände wird über eine Terminalsession zugegriffen. Ob RDP oder Citrix wie auch immer. Der Zugriff kann SSL verschlüsselt werden oder eine VPN Verbindung und event. sogar mit einem Zugriffstoken für die jeweiligen Anwender geschützt werden. Nun bekommen halt nur die 20 Manager eine Zugriffsberechtigung , Token , Smartcard wie auch immer. Nur mal so als Ansatz. Kann man bestimmt beliebig weitertüfteln. Gruß tcpip Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Der TS dürfte aber so ziemlich gar nichts können. SSL/VPN reichen nicht aus, da muss schon ein Filter davor sein der nur RDP oder ICA zulässt (sogar dann besteht eine minimale Gefahr), oder vielleicht noch eine outbound rule für's Drucken, alles andere wie Domain Member, Surfen, usw. ist nicht. Weiter müsste das Ding völlig isoliert aufgesetzt worden sein, also ohne Anbindung an ein Netz oder sonstiges, um eine Infektion von vornerein auszuschliessen. Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 20. April 2006 Melden Teilen Geschrieben 20. April 2006 Ja, sagte ich ja. Eine Firewall bzw. eine DMZ wo der TS isoliert steht. Am besten im Panzerschrank oder Atombunker. :-) Dann müssten aber Zugriffe gelogt bzw. täglich ausgewertet werden. Ein Monitoringtool z.b. tcpip Zitieren Link zu diesem Kommentar
Klaus Charlier 10 Geschrieben 20. April 2006 Autor Melden Teilen Geschrieben 20. April 2006 Terminal Server.Ok. Das ginge sogar, und man bräuchte einfach nur alles dicht machen bis auf Port 3389 für RDP. Das wäre eine Variante. Ist aber mit zusätzlicher Hardware, Lizenzen und seperater User-Administration verbunden. Und für den User auch umständlicher, als meine Wunschlösung. Na ja. Noch andere Ideen? Ich habe btw. auch NAS und SAN Lösungen in diesem Zusammenhang angeschaut. Dort gibt es, so weit ich das evaluieren konnte, auch nur die Einmal-logon-alles-offen Varianten. Oder hat eventuell jemand NAS/SAN Lösungen im Einsatz, die so was können? Netgear, Level-One und RaidSonic können es jedenfalls nicht... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.