2
Admin Berechtigungen entziehen
Hallo,
im Rahmen der BSI Zertifizierung wird ein File Intigritäts Check gefordert, d.h, ein Programm checkt gegen eine vorhandene XML Datei.
Diese XML Datei darf NUR von einem Auditor Account verändert werden.
So, hier also die Frage:
Wie kann ich verhindern, das ein Administrator Account Schreibrecht auf ein Verzeichnis hat ?
Natürlich kann ich die Dateirechte für die Administratoren entziehen. Leider kann ich aber jederzeit als Admin die Berechtigungen wieder neu setzen.... ?
Idealerweise wäre eine kleine Anleitung, wie hier das "Doing" ausschaut.
Also so z.B:
vererbte Rechte blocken, Admin Account löschen uw.
Vielen Dank für Ideen und Lösungvorschläge
Gruß Ingo
Ingo v. Itter
Ratingen/Germany
im Rahmen der BSI Zertifizierung wird ein File Intigritäts Check gefordert, d.h, ein Programm checkt gegen eine vorhandene XML Datei.
Diese XML Datei darf NUR von einem Auditor Account verändert werden.
So, hier also die Frage:
Wie kann ich verhindern, das ein Administrator Account Schreibrecht auf ein Verzeichnis hat ?
Natürlich kann ich die Dateirechte für die Administratoren entziehen. Leider kann ich aber jederzeit als Admin die Berechtigungen wieder neu setzen.... ?
Idealerweise wäre eine kleine Anleitung, wie hier das "Doing" ausschaut.
Also so z.B:
vererbte Rechte blocken, Admin Account löschen uw.
Vielen Dank für Ideen und Lösungvorschläge
Gruß Ingo
Ingo v. Itter
Ratingen/Germany
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32767
Url: https://administrator.de/contentid/32767
Printed on: April 25, 2024 at 00:04 o'clock
2 Comments
Latest comment
Das ist in allen Betriebssystem ziemlich schlecht gelöst (Auch Linux ist da nicht viel besser).
Ich würde in diesem Fall eine Verschlüsselung der Datei (ggf. mit einem Externen Tool) in Betracht ziehen. Du solltest außerdem klären ob das System Zugriff auf die Datei benötigt (z.B. für Backup)!
Ansonsten kannst Du es wie folgt machen (aber eben nicht ganz sauber):
1. Überwachungsrichtlinien für den Ordner hinterlegen (Damit werden Berechtigungsänderungen im Sicherheitslog protokolliert)
2. Auditor Besitz und volle Berechtigung erteilen
3. Dem Administrator zunächst den Besitz, anschließend die restlichen Zugriffrechte entziehen.
Du kannst Dir zwar die Berechtigungen wieder zurückholen, dieses würde aber im Sicherheitsprotokoll vermerkt werden.
Wie gesagt, die bessere Methode ist die Verschlüsselung mit eine passwort das der Admin nicht hat.
Ich würde in diesem Fall eine Verschlüsselung der Datei (ggf. mit einem Externen Tool) in Betracht ziehen. Du solltest außerdem klären ob das System Zugriff auf die Datei benötigt (z.B. für Backup)!
Ansonsten kannst Du es wie folgt machen (aber eben nicht ganz sauber):
1. Überwachungsrichtlinien für den Ordner hinterlegen (Damit werden Berechtigungsänderungen im Sicherheitslog protokolliert)
2. Auditor Besitz und volle Berechtigung erteilen
3. Dem Administrator zunächst den Besitz, anschließend die restlichen Zugriffrechte entziehen.
Du kannst Dir zwar die Berechtigungen wieder zurückholen, dieses würde aber im Sicherheitsprotokoll vermerkt werden.
Wie gesagt, die bessere Methode ist die Verschlüsselung mit eine passwort das der Admin nicht hat.
Hi,
dem Administrator irgendwo die Berechtigungen zu verweigern halte ich für ein sehr heisses Eisen.
Ein Admin hat ja theoretisch auch Zugriff auf die geheimen Daten der Geschäftsleitung und er wird diese trotzdem nicht anfassen.
Verschlüsselung von Daten ist in so einem Falle die einzig praktikable Lösung. Denn auch ein Logfile lässt sich manipulieren. Und wenn ein Admin sich nicht an Regeln hält und "schnüffelt", dann wird ihn auch ein Logfile nicht abhalten.
Irgend ein Admin muss alle Rechte haben, denn wer soll sonst in den Bereichen die Möglichkeit haben, etwas zu richten, in denen kein Admin Rechte hat?
Gruß,
Thomas
dem Administrator irgendwo die Berechtigungen zu verweigern halte ich für ein sehr heisses Eisen.
Ein Admin hat ja theoretisch auch Zugriff auf die geheimen Daten der Geschäftsleitung und er wird diese trotzdem nicht anfassen.
Verschlüsselung von Daten ist in so einem Falle die einzig praktikable Lösung. Denn auch ein Logfile lässt sich manipulieren. Und wenn ein Admin sich nicht an Regeln hält und "schnüffelt", dann wird ihn auch ein Logfile nicht abhalten.
Irgend ein Admin muss alle Rechte haben, denn wer soll sonst in den Bereichen die Möglichkeit haben, etwas zu richten, in denen kein Admin Rechte hat?
Gruß,
Thomas
