wertherg
Goto Top

Aktionen eines Domain Admins effektiv monitoren

Wie kann man Aktionen eines Domänenadmistrators auf einem Client PC , der Mitglied der Domäne ist, effektiv loggen, bzw. sogar unterbinden ?

Ich arbeite in einem Konzern in welchem es eine relativ hohe Anzahl Domänenadministratoren gibt.
Aufgeschreckt durch einen Artikel in einer Wirtschaftszeitung hat mich mein Vorgesetzter gefragt, welche Möglichkeiten es gibt, einen Domänenadmin am Zugriff oder gar Manipulation von Dateien auf einem Client PC zu hindern.


Szenario : Mitglied des gehobenen Managements fällt in Ungnade, da nichts relevantes nachgewiesen werden kann und die Abfindung zu teuer ist, bekommt ein indischer Domänenadmistrator die Aufgabe, kompromittierende Dateien z.B. Kinderpornos unter dem Benutzeraccount des Managers auf dem PC zu platzieren. Ein anderer Administrator findet dann zufällig beim Nachgehen eines Virusverdachts diese Dateien und macht Meldung - statt mehrerer Millionen kostet das "Abschießen" des Managers dann nur ein paar tausend Euro.

Es geht also darum, wie man jemand, der effektiv uneingeschränkte Rechte als Domänenadministrator hat oder sich diese verschaffen kann und zudem das nötige Knowhow hat, Zugriffe auf Client PCs wirksam verhindern oder manipulationssicher aufzeichnen kann.

Umgebung win2k8, win7, single forest domain

Gefragt sind nur technische Hürden, keine Dinge wie Verpflichtungserklärungen, Überprüfungen Vertrauenswürdigkeit etc.
Es ist auch klar, dass es keine 100 % Lösungen gibt, sondern es geht nur darum , die Hürden soweit zu erhöhen, dass entweder der Anspruch an das Können/die kriminelle Energie des Admins bzw. die Wahrscheinlichkeit, dass verräterische Spuren übrig bleiben, stark ansteigt.

Was könnt ihr vorschlagen ?

Content-ID: 188477

Url: https://administrator.de/contentid/188477

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

99496
99496 23.07.2012 um 20:35:59 Uhr
Goto Top
Ich muss sagen, eine sehr gute Frage.

Leider finde ich hier auch keine vollkommende Antwort, weil wie du auch sagtest: "Es ist auch klar, dass es keine 100 % Lösungen gibt...".
Aber ein Systemadministrator hat einfach sehr viel Macht.
In der Regel sollte man aber auch einem Admin vertrauen können.

Ich freue mich natürlich auch über weitere Antworten.

Mit freundlichen Grüßen,
Maximilian Bundscherer.
nEmEsIs
nEmEsIs 23.07.2012 aktualisiert um 21:04:39 Uhr
Goto Top
Hi

Naja also ein Startscript im Rechner hinterlegen, dass die c$ Freigabe gelöscht wird beim Start...
Remote Desktop und Remote Unterstützung deaktivieren.
Zugriff auf Profile dem Administrator via GPO deaktivieren.

Dann musst du aber als Turnschuhadmin agieren und jedesmal wenn ein Problem besteht zum User hinrennen face-smile.
Oder du fragst via Script die Sicherheitslogs des Clients ab und wenn sich ein Domain Admin anmeldet bekommen alle Admins eine Mail ... wäre auch eine Möglichkeit ...

MfG Nemesis

PS Aber warum habt ihr so viele Domainadmins ??? Man kann auch denen Rechte nehmen, was sinnvoll ist!
2hard4you
2hard4you 23.07.2012 um 22:14:16 Uhr
Goto Top
Moin,

welch krude Frage,

wenn ich DomainAdmin bin, sollte ich solche Policies kennen, die auf Clients oder sonstwo wirken, dann schalte ich die Überwachung aus, nehme einen generischen Account, die für die verschiedensten Aktivitäten benutzt werden, mache das, was ich will, grinse, und schalte die Überwachung wieder an

Wegen der Hackerregel hier im Forum, werde ich das weder genauer ausführen, auch nicht auf Nachfrage.

Man kann allerdings jeden Rassel nachweisen, deswegen werden ja die perfekten Verbrechen nie publik ^^ Logging der Switche, Zugriff remote oder aus dem Firmennetz, aber das sind alles nur Ansatzpunkte für die forensische Aufklärung - keine für die Prävention

Einzigster Ansatzpunkt ist, die Anzahl der DA zu begrenzen - es muß nicht jeder Admin den ganzen Forrest administrieren...

Gruß

24
maretz
maretz 23.07.2012 um 22:22:46 Uhr
Goto Top
Moin,

Nehmen wir an du hast sowas - dann geht der admin in das userprofil des managers, hinterlegt dort den kopiervorgang in ner batch die sich am ende selbst loescht - schon war es der user selbst....

Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein - falls doch ist die frage warum jeder dom-ad sein muss... Die alternative waere nen monitoring der admin-arbeitsplaetze inkl keylogger - und man kann brim zwischenfall sehen wer es war (durch das log oder weil einer den dienst grade im feaglichen zeitraum beendet hatte). Nur wirst du niemals nen admin (oder sonstwen) finden der sich so freiwillig ueberwachen laesst - und der gesetzgeber hat das auch aus gutem grund verboten...
2hard4you
2hard4you 23.07.2012 um 22:53:02 Uhr
Goto Top
Zitat von @maretz:

Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account
anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein -

Regel 1 - Jeder DA hat einen eigenen DA - Account und einen eigenen (Hiwi) - Account

Regel 2 - Serviceaccounts kennen nur die DA's

(den Rest streiche ich lieber)

Gruß

24
C.R.S.
C.R.S. 24.07.2012 um 02:13:58 Uhr
Goto Top
Das ist eine interessante und praktisch sehr relevante Problematik. Ich bin der Ansicht, dass sie sich nicht zufriedenstellend mit präventiven technischen Ansätzen lösen lässt.
Solche Vorkehrungen (neben der sachgerechten Administration und Organisation) hätten vielmehr zwei Nachteile: Sie kosten Geld, das im Erstfall nicht mehr vorhanden ist bzw. nicht "nochmals" ausgegeben werden soll. Und sie sensibilisieren den Saboteur, genau diese bekannte Vorkehrung zu umgehen - was man nicht für jede Person im Unternehmen technisch ausschließen kann. Der Personenkreis, der zu einer wesentlichen Manipulation in der Lage ist, ist in der Regel auch weit größer als die Gruppe der Domainadmins.

Das genannte Beispiel ist aus meiner Sicht daher eine primär computerforensische Herausforderung, die als solche zu lösen ist, wenn sie auftritt. Computerforensik ist zwar prinzipiell anfällig, eine gefälschten Spurenlage nicht als solche zu erkennen. In der Praxis sind dennoch Eingriffe aufgrund begrenzten Wissens oder mangelnder technischer Ressourcen des Verdächtigen mit hoher Wahrscheinlichkeit zu ermitteln. Eine Manipulation, die nur unter Ausnutzung höherer Rechte vorgenommen wird, ergibt ja noch keine plausible Spurenlage auf dem System.

Ich würde entgegen Deiner Einschränkung auf Technik sagen, dass es hier vor allem an organisatorischen Voraussetzungen mangelt. Mitarbeiter sollten durch vorherige Vereinbarungen sicher sein können, dass in solch kritischen Fällen eine Beweissicherung a) durch externes Fachpersonal b) ohne ihr eigenes Zutun, also ohne ein Sich-Berufen auf mögliche Manipulation, c) unabhängig von der jeweiligen nationalen Zivilrechtslage automatisch eingeleitet wird. Und zwar ohne Zögern und ohne dass die eigene IT zuvor die relevanten Systeme beackert, neu startet etc. Je ambitionierter die interne IT-Abteilung ist, desto seltener bekommt man leider als Externer ein valides RAM-Image zu fassen, was heute ein immenser Verlust ist.

Grüße
Richard
DerWoWusste
DerWoWusste 24.07.2012 aktualisiert um 02:31:09 Uhr
Goto Top
Moin.

Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen. Du kannst niemanden entlassen, weil auf dessen Festplatte bestimmte Dateien liegen, deren Herkunft nicht nachvollziehbar ist - kompletter Unsinn, keine rechtliche Grundlage ersichtlich.

Nüchterne Fakten:
-NTFS-Überwachung ist genau dann ein großes Hindernis für unerlaubte Zugriffe, wenn gleichzeitig Verschlüsselung genutzt wird und auch die Nutzung von Masterkennwörtern für die Verschlüsselung geloggt wird. Warum Verschlüsselung? Weil Logging (u.a. NTFS-Überwachung) offline umgangen werden kann, Verschlüsselung verhindert dies. Werden Logs abgeschaltet, wird dies als letztes Ereignis geloggt... wird gerne vergessen! Wird das Log gelöscht - dito.
-Will jemand in Deinem Namen kompromittierende Dinge tun, braucht er Dein Kennwort. Um dies zu bekommen, braucht er keine Adminrechte, es gibt mehrere andere Wege, die schwer zu verhindern sind. Geeignete physikalische Absicherung ist hier das Stichwort und erneut Verschlüsselung. Es muss auch klar sein, dass kein "James-Bond-Szenario" hierbei zu abwegig ist: was man sich ausmalen kann, kann mit Geschick auch durchgeführt werden.
-Benutzung von Domänenadminkonten auf Nutzerrechnern kann man loggen
-Sowohl die Anmeldezeiten als auch die Rechner, an denen sich ein Benutzer anmelden kann, kann man einschränken, so kann man Nutzung eines gekaperten Kennwortes durch Dritte erschweren. Erneut ist ein erheblicher Aufwand mit Überwachung/Logs zu treiben - nur was von unabhängiger Stelle regelmäßig kontrolliert wird, ist gewinnbringend geloggt.

Nun zu Deinem Anliegen. Dein Vorgesetzter wurde "aufgeschreckt" durch einen Artikel. Worum ging es und warum bedarf es da eines Artikels? Wer macht denn das Sicherheitskonzept in Eurem "Konzern" (nicht böse nehmen, bitte face-smile )? Das muss doch von vornherein, noch bevor das Netzwerk steht, klar sein. Denk zum Beispiel an das Backup. Nimmt ein wutschnaubender entlassener Admin das Backup mit und kickt es in den Fluss und zerstört gleichzeitig den Server, dann hilft es auch nicht, den zu verklagen - im Regelfall geht die Firma dann nämlich Pleite. Ergo: wenn es wirklich begründetes Misstrauen an diesen Positionen gibt, dann muss eine gegenseitige Kontrolle her, wo es nur geht. Im Falle des Backups dann auch ein zweites, solches, was nur ein zweiter Admin anfassen kann.
C.R.S.
C.R.S. 24.07.2012 um 04:32:28 Uhr
Goto Top
Zitat von @DerWoWusste:
Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein
paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die
Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein
Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen.

Das Beispiel ist offenbar dem Fall Roland K./HSH Nordbank nachgebildet und alles andere als unrealistisch. In Ländern bzw. unter Konzernmüttern aus Ländern, in denen es dafür keiner Kinderpornografie sondern lediglich "anstößigen Materials" bedarf, würde ich das Szenario so oder ähnlich als alltäglich bezeichnen. Die Rechtsgrundlage der Kündigung steht im Arbeitsvertrag, ansonsten reicht den Initiatoren auch das soziale Abstellgleis.
Meiner Meinung nach wird in manchen Firmenkulturen so ein Vorgehen geradezu herausfordert durch vorheriges, groß angelegtes Deployment von hausinternen Forensik-Lösungen wir EnCase Enterprise oder F-Response. Die Hersteller zertifizieren dafür dankbar ein paar ITler ihrer Abnehmer. Die wiederum sind froh, im Ernstfall überhaupt etwas zu finden, haben aber keinerlei Ermittlungserfahrung oder eine sachkundige Skepsis gegenüber der Ergebnisaufbereitung einer Forensik-Software (die im Fall der EnCase-Plattform unabdingbar ist).
maretz
maretz 24.07.2012 um 05:54:40 Uhr
Goto Top
Ich denke fuer das monitoren muesste man das so umbauen das jeder da nur nen normalen acc hat mit den rechten die er jeden tag benoetigt... Wenn er mehr benoetigt dann eben das 4eyes prinzip... Aber wie gesagt halte ich das im normalen betrieb fuer zimlich schwer umsetzbar... Und eben auch nicht fuer einen wirklichen gewinn, da man idR auch trotzdem genug ueber den benutzer weiss um an dessen passwort zu kommen, den zu bewegen eine aktion auszufuehren oder aehnliches... Ok, kann man halt nicht auf dem rechner was deponieren, dann ins userprofil, im mailpostfach oder ganz oldstyle im urlaub was im schreibtisch hinterlegen wo die sekretaerin ranmuss (und als admin hat man schnell nen grund um in nen buero zu gehen - z.b. Die kaputte netzwerkdose). Falls das nicht ausreicht die mail mit lustigen internetfotos im fremden namen,... Ganz ehrlich - die mittel sind da so vielfaeltig das ne simple technische sperre fuer den grossteil nichts bringt...
wertherg
wertherg 24.07.2012 um 11:56:37 Uhr
Goto Top
Hallo Richard

Das Beispiel ist offenbar dem Fall Roland K./HSH Nordbank nachgebildet ... Treffer !

Die plakativ gewählten Kinderpornos können auch durch Weiterleiten Angebot an Konkurrenz, Ausschleusen Interna an Journalisten, Börsenanalysten etc ersetzt werden.
Bei unserem Konzern ( ~ 20000 User, 200 Standorte weltweit) ist die Gefahr auch realistisch - zwei Jahresgehälter für einen Admin aus einer Billiglohn Region können leicht versteckt werden. Kommt hinzu die andere Arbeitssituation ( z.B Indien, Fluktuation IT Personal 35 % pa) und die fehlende soziale Kontrolle -einem Admin aus China ist es relativ egal, wenn ein deutscher Geschäftsführer seinen Job verliert. In der jetzigen Situation kann eben ein Domainadmin übers Netz von Indien aus auf deutsche PCs unbemerkt zugreifen, dadurch dass lokaler Manipulation durch Netzwerksicherheit / Verhindern Booten anderes OS schon verhindert wird, verschärft sich die Situation für einen von Manipulation Betroffenen sogar noch. Im Übrigen braucht man - wie derWoWusste meint - das Kennwort des Users nicht, um diesem eine Datei in dessen Namen unterzuschieben, das gleiche gilt auch für das Versenden von mail etc.

Daher suche ich Massnahmen um präventiv etwas gegen solchen Mißbrauch zu tun.

Organisatorische Massnahmen wie das Beschränken der Domainadmins oder auch das sofortige Hinzuziehen von externen IT Forensikern ( und aktives Kommunizieren solcher Massnahmen) sind wichtiger Bestandteil und werden flankierend vorgeschlagen- danke für Deine Anregungen hierzu.

Im vorliegenden Forum habe ich die Frage deswegen gestellt, weil ich wissen möchte ob es TECHNISCHE Möglichkeiten gibt, den Mißbrauch zu verhindern oder wenigstens den Forensikern hinterher Spuren zu geben. Das ist genauso zu sehen wie der Bankdirektor, der auch nur mit 4-Augen Prinzip an den Tresor kommt, dieser aber zusätzlich auch noch Kamera überwacht ist.

Weil die IT gerne gleich mit Behauptungen "geht nicht" oder "inpraktikabel" bei der Hand ist, würde ich mich über weitere Vorschläge freuen, die ich auch im Sinne "nicht zufriedenstellend technisch zu lösen" als zusätzliche Massnahmen sehe.
DerWoWusste
DerWoWusste 24.07.2012 aktualisiert um 12:41:55 Uhr
Goto Top
Hallo wertherg!

Evtl. schreibst Du ja noch... dennoch schonmal vorab: Du suchst Anregungen und bekommst von mir einen ganzen Haufen davon. Als Antwort (auch wenn nicht direkt an mich) kommt zu diesen kein Kommentar außer einer vermeintlichen Richtigstellung. Nun gut, dies soll nur ein Hinweis sein, dass Du TECHNISCHE (um es jetzt auch mal so schön groß zu schreiben) Hinweise bekommen hast, aber dazu keine Stellung beziehst.
Ich halte eine Stellungnahme (auch zu meinen Fragen) für notwendig.

Zu dem realistisch/unrealistisch von Beispielen: ich denke nicht, dass die Größe etwas damit zu tun hat. Verschwören können sich Kollegen unabhängig vom Umfeld, hier braucht es nur ein kleines Schweigegeld, da ein großes neues Auto, kommt auf's selbe raus. Ich wollte vor Augen führen, dass folglich im Vorfeld festzulegen gewesen wäre, was sich auf den Rechnern befinden darf und welche Konsequenzen bei Nichteinhaltung passieren, sonst entsteht daraus kein Kündigungsgrund, sondern allenfalls Mobbing. Angenommen, so etwas wäre bei Euch gegeben, jeder wäre also für die Legalität der Dateien auf seinem Rechner soweit verantwortlich, dass "illegal=fliegen" bedeutet, dann müsste der Unterzeichner eines Arbeitsvertrages dumm sein, keine Überwachung einzufordern, die er selbst vollständig kontrollieren kann ("Ihr überwacht mich, ich Euch") - ist das technisch möglich? Natürlich nicht, außerhalb jeder Diskussion.
wertherg
wertherg 24.07.2012 um 16:37:47 Uhr
Goto Top
Hallo DerWoWusste,

Nachdem Du eine Stellungnahme zu Deinen Statements/Fragen einforderst, mach ich dies gerne, ich hoffe nur, dass die anderen Teilnehmer dieser Diskussion es mir nachsehen, wenn ich nicht jedem direkt die Rückmeldung gebe- üblicherweise nehme ich die Antworten anderer in einem Forum gerne als Anregung auf.

Nun denn :

NTFS Überwachung mit Verschlüsselung :
könnte ich mir für einzelne besonders "gefährdete" Rechner vorstellen für sehr viele wird das sicher schwierig

"-Will jemand in Deinem Namen kompromittierende Dinge tun braucht er Dein Kennwort" :
Das gilt wenn man ein Programm unter dem fremden User ausführen will, nicht jedoch wenn es darum geht, den Besitz an einem File zu ändern. Die System/Sicherheitsprotokollierung hilft, kann aber auch schon Wochen vorher ausgeschaltet werden.

"Benutzung von Domänenadminkonten auf Nutzerrechnern kann man loggen" :
das sehe ich als Vorschlag , welchen ich prüfen kann. Wohin wird geloggt ? Zentraler Server ?

"Sowohl die Anmeldezeiten als auch die Rechner, an denen sich ein Benutzer anmelden kann, kann man einschränken" :
Das ist auch für den Domainadmin möglich, wird wohl auch gelegentlich im Zusammenhang mit 4-Augenprinzip praktiziert.

"so kann man Nutzung eines gekaperten Kennwortes durch Dritte erschweren":
Es geht nicht um das Kapern eines Kennwortes, sondern um das was ein Domainadmin ganz einfach durch seine Rechtezuordnung darf. Natürlich tut sich ein Domainadmin auch mit dem Kapern des Passworts eines Users einfacher als ein nichtprivilegierter User

"Worum ging es":
Wie schon an Richard mitgeteilt, war es in der Tat der Fall Roland K./HSH Nordbank, über welchen unter anderem im Spiegel und in der Wirtschaftswoche berichtet wurde. Für Details google : roland k. hsh nordbank

Im Falle schädigendem Verhalten dem Arbeitgeber gegenüber muß in offensichtlichen Fällen nicht im Arbeitsvertrag geklärt sein, was zulässig ist und was nicht. Kinderpornos oder eben auch das Übergeben von Angebotsunterlagen an die Konkurrenz gehören zu diesen offensichtlichen Fällen, bei der katholischen Kirche kann schon das Lästern über den Papst in der Öffentlichkeit zur zulässigen fristlosen Kündigung führen, ohne das dies im Arbeitsvertrag aufgeführt sein müsste.
2hard4you
2hard4you 24.07.2012 um 17:13:51 Uhr
Goto Top
Zitat von @wertherg:


"-Will jemand in Deinem Namen kompromittierende Dinge tun braucht er Dein Kennwort" :
Das gilt wenn man ein Programm unter dem fremden User ausführen will, nicht jedoch wenn es darum geht, den Besitz an einem
File zu ändern. Die System/Sicherheitsprotokollierung hilft, kann aber auch schon Wochen vorher ausgeschaltet werden.


Ich werfe nur mal in den Raum, sowas wie Mutterschaftsurlaub, Wehrdienst, Elternzeit - in der Zeit kann man das Userpasswort getrost neu setzen, bei nächsten Verfallen isses weg, wenn mans nicht gleich danach zum Ändern markiert - und nach nem Jahr kriegen die eh wieder ein neues Paßwort...

Gruß

24
maretz
maretz 24.07.2012 um 19:45:14 Uhr
Goto Top
naja - eine Sache die mir grade noch einfällt: Es gibt ja sog. Wächterkarten die *eigentlich* dafür sorgen sollen die Konfig z.B. an Schul-PCs zu sichern. So kann nicht jeder Schüler gleich mal eben den Win-PC killen weil er ne Datei erzeugt o.ä. Damit kannst du natürlich auch verhindern das jemand etwas auf den PC kopiert während der läuft - beim nächsten Reboot wäre das eh wieder weg...

Alternativ wäre natürlich auch der Umstieg auf Thin-Clients ne Option, schon hast du auch da den Faktor "lokale Manipulation" erledigt...

Ein Problem bei der Verschlüsselung kann ich persönlich als Argument nicht gelten lassen... Zum einen sind Verschlüsselungen wie Bitlocker usw. heute ziemlich transparent für den User. Zum anderen: Wenn ich Sicherheit haben will muss ich Arbeit investieren! Lässt du zuhause deine Tür offenstehen wenn du dein Haus verlässt? Das Abschließen macht ja auch Umstände! Versendest du jeden Brief ohne Umschlag? Das "einpacken" macht ja auch Mühe (frag mal eure Poststelle, bei der Größenordnung vermutlich vorhanden!). Wer mir jetzt sagt das es zuviel Aufwand ist wenn man 2 Passwörter eintragen muss - der sollte sich fragen wie hoch der Aufwand ist nen neuen Job zu suchen... (Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem Rechnerpasswort verschiedenes Kennwort...
C.R.S.
C.R.S. 24.07.2012 um 22:07:48 Uhr
Goto Top
Zitat von @wertherg:
Im vorliegenden Forum habe ich die Frage deswegen gestellt, weil ich wissen möchte ob es TECHNISCHE Möglichkeiten gibt,
den Mißbrauch zu verhindern oder wenigstens den Forensikern hinterher Spuren zu geben. Das ist genauso zu sehen wie der
Bankdirektor, der auch nur mit 4-Augen Prinzip an den Tresor kommt, dieser aber zusätzlich auch noch Kamera überwacht
ist.

Weil die IT gerne gleich mit Behauptungen "geht nicht" oder "inpraktikabel" bei der Hand ist, würde ich
mich über weitere Vorschläge freuen, die ich auch im Sinne "nicht zufriedenstellend technisch zu lösen"
als zusätzliche Massnahmen sehe.

Also wenn Du Stimmen anderer Forensiker suchst, würde ich Dir eher dieses Forum empfehlen: http://www.forensicfocus.com/

Ich kann aus meiner Praxis nur den genannten Standpunkt bekräftigen. Das Vorhandensein/Nichtvorhandensein von Spuren, technische Konsistenz, logische Konsistenz etc. sind alles grundlegende Probleme, die sich in ausnahmslos jedem denkbaren Setup unter jeder denkbaren Konfiguration neu stellen. Man kann sie nicht durch eine technische Einrichtung im Vorhinein entscheiden, sondern diese Vorkehrung wird nur die neue Frage nach ihrer Manipulation bzw. ihrer spezifischen Spurenlage aufwerfen.

Nehmen wir das Beispiel Verschlüsselung. Wie DerWoWusste schon anmerkte, ist sie zwingend erforderlich, wenn Daten an Benutzer gebunden werden sollen. Ich würde auch sagen, dass davon viel zu wenig Gebrauch gemacht wird, insbesondere von etwas komplizierten, aber höchst effektiven Bordmitteln wie EFS. Die Frage ist: Was bringt das in dem Zusammenhang wirklich? Auch verschlüsselte Systeme müssen administriert werden. Selbst Externen sollte es möglich sein, Dateien oder Prozesse dennoch in einen fremden Benutzerkontext zu bringen. Die Verschlüsselung bekräftigt dann gerade den gewünschten Anschein.
Es wäre sogar an Policies zu denken, um möglichen intransparenten Einsatz von Verschlüsselung zu unterbinden. Teilweise werden z.B. verschlüsselte ZIP-Archive als Mail-Anhang gebraucht. Das Passwort wird telefonisch durchgegeben und weder vom Absender noch vom Empfänger behalten (oder im Bedarfsfall vergessen). Im Mail-Archiv des Unternehmens stehen dann äußerst relevante Inhalte, die nur noch schwer objektiv nachvollziehbar sind. Die Auftrennbarkeit von Sicherheitsvorkehrungen spielt also eine Rolle und sollte nicht kompromisslos zugunsten einer Abschottung aufgegeben werden.

Die Frage nach technischen Möglichkeiten könnte man auch mit "im Prinzip, Ja" beantworten. Ich baue für Kunden z.B. Laptops um, mit dem Ziel, sie manipulationssicher durch ausländische Zollkontrollen o.ä. zu befördern. Das wäre mithin ein System, von dem man sagen kann, dass die Daten darauf auch nur dem jeweiligen Mitarbeiter zuzuordnen sind. Darauf kann man aber keine Unternehmens-IT aufbauen. Es bedeutet Einbußen an (Hardware-)Funktionen, Benutzbarkeit, Administrierbarkeit, Reparaturfähigkeit etc. und ist teuer. Und die Manipulationssicherheit des Ausgangszustandes hängt u.a. wieder an meiner Person.

Daher: Wenn Du die Wahrscheinlichkeit maximieren möchtest, mit der ein Forensiker zu zutreffenden Ergebnissen kommt, dann gib ihm ein möglichst konventionelles System in einer konventionellen Umgebung. Schon die Fülle an dort vorhandenen Artefakten wird leider in den seltensten Fällen umfassend analysiert werden. Man kann sich auch streiten, was dabei jeweils erforderlich ist. Jeder weitere Stolperdraht erhöht aber nur die Fehleranfälligkeit der Befunde.

Grüße
Richard


PS: Der Fernzugriff aus einem Nicht-EU-Land in der Rolle eines Domainadmins scheint mir schon datenschutzrechtlich problematisch.
wertherg
wertherg 25.07.2012 um 09:05:03 Uhr
Goto Top
Hallo zusammen,

danke für euren Input, er hat mir wertvolle Anregungen gegeben, um meinem Vorgesetzten eine nicht ganz aus der Nase gezogene Stellungnahme geben zu können.

Der Tenor wird wahrscheinlich in folgende Richtung gehen :

es gibt Möglichkeiten, Mißbrauch zu verhindern, die sind aber sowohl teuer zu implementieren und zu betreiben und haben auch Einschränkungen/Komforteinbussen für den Nutzer zur Folge. Danach eine Auflistung der Möglichkeiten mit Folgenabschätzung.
Auch das Argument von Richard, dass die Komplexität eines Setup die Fehleranfälligkeit eines Befundes oder gar den Erfolg einer bösartigen Manipulation erhöhen kann (.. Die Verschlüsselung bekräftigt dann gerade den gewünschten Anschein ..) werde ich prominent in meiner Stellungnahme einbauen


Gruß wertherg
bioperiodik
bioperiodik 25.07.2012 um 09:53:43 Uhr
Goto Top
Moin,

Wie hier schon sehr viele geschrieben haben, ist es nicht trivial Domänenadmins zu überwachen, da diese ihr System sehr gut kennen und somit evtl. Spuren auch gut verwischen könnten.

Des weiteren finde ich, sollte gegenüber einem IT-Mitarbeiter der Domänenadmin ist, auch ein gewisses Vertrauen bestehen. Ich würde nie jemandem diese Rechte geben, wenn ich nicht das Gefühl hätte, er ist der Firma gegen über loyal (klar das dass keine 100% Sicherheit ist).

Ein Ziel sollte sein, die Anzahl der DAs auf das absolute Minimum zu reduzieren und nur dann mit DA Rechten zu arbeiten, wenn dies auch zwingend erforderlich ist.

Ich würde bei soviele Benutzer in unterschiedlichen Ländern wahrscheinlich auch keine Singleroot Domäne fahren, sondern evtl, für jedes Land oder sonst wie eine eigene Domäne erstellen und diese dann zu einer Rootdomäne zusammenfassen. Dann kann auch der Admin aus Indien nicht so einfach was auf nem Rechner in Deutschland oder sonst so drehen.
Invisan
Invisan 26.07.2012 um 11:45:03 Uhr
Goto Top
Hallo werthberg,

eine weitere Lösung wäre die Domainadmins der anderen Niederlassungen generell nicht auf lokale Rechner zugreifen zu lassen bzw sie aus dem lokalen Netzwerk auszusperren so das jeder DA nur für sein eigenes Netzwerk zuständig ist.


So wird es zum Beispiel bei uns in der Firma gehandhabt. Das ist zwar nicht ganz das was von dir gewollt ist aber es sichert immerhin zum Beispiel den Zugriff gegen DA`s anderer Standorte.

Mfg Invisan
DerWoWusste
DerWoWusste 26.07.2012 um 18:52:57 Uhr
Goto Top
"Benutzung von Domänenadminkonten auf Nutzerrechnern kann man loggen" :
das sehe ich als Vorschlag , welchen ich prüfen kann. Wohin wird geloggt ? Zentraler Server ?

Klar. Sicherheitsprotokoll am DC. Einzuschalten über die Überwachungsrichtlinie.
2hard4you
2hard4you 26.07.2012 um 22:05:09 Uhr
Goto Top
Kann aber jeder DA, da er an den DC ran kann, ausschalten.... (muß ja nicht seinen eigenen Acc nehmen...)
whatever
whatever 30.07.2012 aktualisiert um 12:53:34 Uhr
Goto Top
Zitat von @maretz:
...
(Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal
ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem
Rechnerpasswort verschiedenes Kennwort...

Das schützt aber lediglich davor, wenn "von außen" jemand in Deiner Abwesenheit etwas aufspielen möchte. Wenn Du am Arbeiten bist, kann ich Dir allen möglichen Kram unterjubeln.
Sofern Du der einzig Wissende des Passworts bist, hast Du natürlich klar den Vorteil, dass Dir niemand die Daten auf Deinem Rechner nachweisen kann, wenn Du Dich weigerst das Passwort zur Einsicht zu verraten face-wink