Aktionen eines Domain Admins effektiv monitoren
Wie kann man Aktionen eines Domänenadmistrators auf einem Client PC , der Mitglied der Domäne ist, effektiv loggen, bzw. sogar unterbinden ?
Ich arbeite in einem Konzern in welchem es eine relativ hohe Anzahl Domänenadministratoren gibt.
Aufgeschreckt durch einen Artikel in einer Wirtschaftszeitung hat mich mein Vorgesetzter gefragt, welche Möglichkeiten es gibt, einen Domänenadmin am Zugriff oder gar Manipulation von Dateien auf einem Client PC zu hindern.
Szenario : Mitglied des gehobenen Managements fällt in Ungnade, da nichts relevantes nachgewiesen werden kann und die Abfindung zu teuer ist, bekommt ein indischer Domänenadmistrator die Aufgabe, kompromittierende Dateien z.B. Kinderpornos unter dem Benutzeraccount des Managers auf dem PC zu platzieren. Ein anderer Administrator findet dann zufällig beim Nachgehen eines Virusverdachts diese Dateien und macht Meldung - statt mehrerer Millionen kostet das "Abschießen" des Managers dann nur ein paar tausend Euro.
Es geht also darum, wie man jemand, der effektiv uneingeschränkte Rechte als Domänenadministrator hat oder sich diese verschaffen kann und zudem das nötige Knowhow hat, Zugriffe auf Client PCs wirksam verhindern oder manipulationssicher aufzeichnen kann.
Umgebung win2k8, win7, single forest domain
Gefragt sind nur technische Hürden, keine Dinge wie Verpflichtungserklärungen, Überprüfungen Vertrauenswürdigkeit etc.
Es ist auch klar, dass es keine 100 % Lösungen gibt, sondern es geht nur darum , die Hürden soweit zu erhöhen, dass entweder der Anspruch an das Können/die kriminelle Energie des Admins bzw. die Wahrscheinlichkeit, dass verräterische Spuren übrig bleiben, stark ansteigt.
Was könnt ihr vorschlagen ?
Ich arbeite in einem Konzern in welchem es eine relativ hohe Anzahl Domänenadministratoren gibt.
Aufgeschreckt durch einen Artikel in einer Wirtschaftszeitung hat mich mein Vorgesetzter gefragt, welche Möglichkeiten es gibt, einen Domänenadmin am Zugriff oder gar Manipulation von Dateien auf einem Client PC zu hindern.
Szenario : Mitglied des gehobenen Managements fällt in Ungnade, da nichts relevantes nachgewiesen werden kann und die Abfindung zu teuer ist, bekommt ein indischer Domänenadmistrator die Aufgabe, kompromittierende Dateien z.B. Kinderpornos unter dem Benutzeraccount des Managers auf dem PC zu platzieren. Ein anderer Administrator findet dann zufällig beim Nachgehen eines Virusverdachts diese Dateien und macht Meldung - statt mehrerer Millionen kostet das "Abschießen" des Managers dann nur ein paar tausend Euro.
Es geht also darum, wie man jemand, der effektiv uneingeschränkte Rechte als Domänenadministrator hat oder sich diese verschaffen kann und zudem das nötige Knowhow hat, Zugriffe auf Client PCs wirksam verhindern oder manipulationssicher aufzeichnen kann.
Umgebung win2k8, win7, single forest domain
Gefragt sind nur technische Hürden, keine Dinge wie Verpflichtungserklärungen, Überprüfungen Vertrauenswürdigkeit etc.
Es ist auch klar, dass es keine 100 % Lösungen gibt, sondern es geht nur darum , die Hürden soweit zu erhöhen, dass entweder der Anspruch an das Können/die kriminelle Energie des Admins bzw. die Wahrscheinlichkeit, dass verräterische Spuren übrig bleiben, stark ansteigt.
Was könnt ihr vorschlagen ?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188477
Url: https://administrator.de/contentid/188477
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
21 Kommentare
Neuester Kommentar
Ich muss sagen, eine sehr gute Frage.
Leider finde ich hier auch keine vollkommende Antwort, weil wie du auch sagtest: "Es ist auch klar, dass es keine 100 % Lösungen gibt...".
Aber ein Systemadministrator hat einfach sehr viel Macht.
In der Regel sollte man aber auch einem Admin vertrauen können.
Ich freue mich natürlich auch über weitere Antworten.
Mit freundlichen Grüßen,
Maximilian Bundscherer.
Leider finde ich hier auch keine vollkommende Antwort, weil wie du auch sagtest: "Es ist auch klar, dass es keine 100 % Lösungen gibt...".
Aber ein Systemadministrator hat einfach sehr viel Macht.
In der Regel sollte man aber auch einem Admin vertrauen können.
Ich freue mich natürlich auch über weitere Antworten.
Mit freundlichen Grüßen,
Maximilian Bundscherer.
Hi
Naja also ein Startscript im Rechner hinterlegen, dass die c$ Freigabe gelöscht wird beim Start...
Remote Desktop und Remote Unterstützung deaktivieren.
Zugriff auf Profile dem Administrator via GPO deaktivieren.
Dann musst du aber als Turnschuhadmin agieren und jedesmal wenn ein Problem besteht zum User hinrennen .
Oder du fragst via Script die Sicherheitslogs des Clients ab und wenn sich ein Domain Admin anmeldet bekommen alle Admins eine Mail ... wäre auch eine Möglichkeit ...
MfG Nemesis
PS Aber warum habt ihr so viele Domainadmins ??? Man kann auch denen Rechte nehmen, was sinnvoll ist!
Naja also ein Startscript im Rechner hinterlegen, dass die c$ Freigabe gelöscht wird beim Start...
Remote Desktop und Remote Unterstützung deaktivieren.
Zugriff auf Profile dem Administrator via GPO deaktivieren.
Dann musst du aber als Turnschuhadmin agieren und jedesmal wenn ein Problem besteht zum User hinrennen .
Oder du fragst via Script die Sicherheitslogs des Clients ab und wenn sich ein Domain Admin anmeldet bekommen alle Admins eine Mail ... wäre auch eine Möglichkeit ...
MfG Nemesis
PS Aber warum habt ihr so viele Domainadmins ??? Man kann auch denen Rechte nehmen, was sinnvoll ist!
Moin,
welch krude Frage,
wenn ich DomainAdmin bin, sollte ich solche Policies kennen, die auf Clients oder sonstwo wirken, dann schalte ich die Überwachung aus, nehme einen generischen Account, die für die verschiedensten Aktivitäten benutzt werden, mache das, was ich will, grinse, und schalte die Überwachung wieder an
Wegen der Hackerregel hier im Forum, werde ich das weder genauer ausführen, auch nicht auf Nachfrage.
Man kann allerdings jeden Rassel nachweisen, deswegen werden ja die perfekten Verbrechen nie publik ^^ Logging der Switche, Zugriff remote oder aus dem Firmennetz, aber das sind alles nur Ansatzpunkte für die forensische Aufklärung - keine für die Prävention
Einzigster Ansatzpunkt ist, die Anzahl der DA zu begrenzen - es muß nicht jeder Admin den ganzen Forrest administrieren...
Gruß
24
welch krude Frage,
wenn ich DomainAdmin bin, sollte ich solche Policies kennen, die auf Clients oder sonstwo wirken, dann schalte ich die Überwachung aus, nehme einen generischen Account, die für die verschiedensten Aktivitäten benutzt werden, mache das, was ich will, grinse, und schalte die Überwachung wieder an
Wegen der Hackerregel hier im Forum, werde ich das weder genauer ausführen, auch nicht auf Nachfrage.
Man kann allerdings jeden Rassel nachweisen, deswegen werden ja die perfekten Verbrechen nie publik ^^ Logging der Switche, Zugriff remote oder aus dem Firmennetz, aber das sind alles nur Ansatzpunkte für die forensische Aufklärung - keine für die Prävention
Einzigster Ansatzpunkt ist, die Anzahl der DA zu begrenzen - es muß nicht jeder Admin den ganzen Forrest administrieren...
Gruß
24
Moin,
Nehmen wir an du hast sowas - dann geht der admin in das userprofil des managers, hinterlegt dort den kopiervorgang in ner batch die sich am ende selbst loescht - schon war es der user selbst....
Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein - falls doch ist die frage warum jeder dom-ad sein muss... Die alternative waere nen monitoring der admin-arbeitsplaetze inkl keylogger - und man kann brim zwischenfall sehen wer es war (durch das log oder weil einer den dienst grade im feaglichen zeitraum beendet hatte). Nur wirst du niemals nen admin (oder sonstwen) finden der sich so freiwillig ueberwachen laesst - und der gesetzgeber hat das auch aus gutem grund verboten...
Nehmen wir an du hast sowas - dann geht der admin in das userprofil des managers, hinterlegt dort den kopiervorgang in ner batch die sich am ende selbst loescht - schon war es der user selbst....
Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein - falls doch ist die frage warum jeder dom-ad sein muss... Die alternative waere nen monitoring der admin-arbeitsplaetze inkl keylogger - und man kann brim zwischenfall sehen wer es war (durch das log oder weil einer den dienst grade im feaglichen zeitraum beendet hatte). Nur wirst du niemals nen admin (oder sonstwen) finden der sich so freiwillig ueberwachen laesst - und der gesetzgeber hat das auch aus gutem grund verboten...
Zitat von @maretz:
Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account
anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein -
Natuerlich gibt es methoden - z.b. Das man das domain-admin passwort trennt und nie eine person als einzelnes sich mit dem account
anmelden kann (und kein anderer diese rechte hat). Nur duerfte das in den meisten faellen unpraktikabel sein -
Regel 1 - Jeder DA hat einen eigenen DA - Account und einen eigenen (Hiwi) - Account
Regel 2 - Serviceaccounts kennen nur die DA's
(den Rest streiche ich lieber)
Gruß
24
Das ist eine interessante und praktisch sehr relevante Problematik. Ich bin der Ansicht, dass sie sich nicht zufriedenstellend mit präventiven technischen Ansätzen lösen lässt.
Solche Vorkehrungen (neben der sachgerechten Administration und Organisation) hätten vielmehr zwei Nachteile: Sie kosten Geld, das im Erstfall nicht mehr vorhanden ist bzw. nicht "nochmals" ausgegeben werden soll. Und sie sensibilisieren den Saboteur, genau diese bekannte Vorkehrung zu umgehen - was man nicht für jede Person im Unternehmen technisch ausschließen kann. Der Personenkreis, der zu einer wesentlichen Manipulation in der Lage ist, ist in der Regel auch weit größer als die Gruppe der Domainadmins.
Das genannte Beispiel ist aus meiner Sicht daher eine primär computerforensische Herausforderung, die als solche zu lösen ist, wenn sie auftritt. Computerforensik ist zwar prinzipiell anfällig, eine gefälschten Spurenlage nicht als solche zu erkennen. In der Praxis sind dennoch Eingriffe aufgrund begrenzten Wissens oder mangelnder technischer Ressourcen des Verdächtigen mit hoher Wahrscheinlichkeit zu ermitteln. Eine Manipulation, die nur unter Ausnutzung höherer Rechte vorgenommen wird, ergibt ja noch keine plausible Spurenlage auf dem System.
Ich würde entgegen Deiner Einschränkung auf Technik sagen, dass es hier vor allem an organisatorischen Voraussetzungen mangelt. Mitarbeiter sollten durch vorherige Vereinbarungen sicher sein können, dass in solch kritischen Fällen eine Beweissicherung a) durch externes Fachpersonal b) ohne ihr eigenes Zutun, also ohne ein Sich-Berufen auf mögliche Manipulation, c) unabhängig von der jeweiligen nationalen Zivilrechtslage automatisch eingeleitet wird. Und zwar ohne Zögern und ohne dass die eigene IT zuvor die relevanten Systeme beackert, neu startet etc. Je ambitionierter die interne IT-Abteilung ist, desto seltener bekommt man leider als Externer ein valides RAM-Image zu fassen, was heute ein immenser Verlust ist.
Grüße
Richard
Solche Vorkehrungen (neben der sachgerechten Administration und Organisation) hätten vielmehr zwei Nachteile: Sie kosten Geld, das im Erstfall nicht mehr vorhanden ist bzw. nicht "nochmals" ausgegeben werden soll. Und sie sensibilisieren den Saboteur, genau diese bekannte Vorkehrung zu umgehen - was man nicht für jede Person im Unternehmen technisch ausschließen kann. Der Personenkreis, der zu einer wesentlichen Manipulation in der Lage ist, ist in der Regel auch weit größer als die Gruppe der Domainadmins.
Das genannte Beispiel ist aus meiner Sicht daher eine primär computerforensische Herausforderung, die als solche zu lösen ist, wenn sie auftritt. Computerforensik ist zwar prinzipiell anfällig, eine gefälschten Spurenlage nicht als solche zu erkennen. In der Praxis sind dennoch Eingriffe aufgrund begrenzten Wissens oder mangelnder technischer Ressourcen des Verdächtigen mit hoher Wahrscheinlichkeit zu ermitteln. Eine Manipulation, die nur unter Ausnutzung höherer Rechte vorgenommen wird, ergibt ja noch keine plausible Spurenlage auf dem System.
Ich würde entgegen Deiner Einschränkung auf Technik sagen, dass es hier vor allem an organisatorischen Voraussetzungen mangelt. Mitarbeiter sollten durch vorherige Vereinbarungen sicher sein können, dass in solch kritischen Fällen eine Beweissicherung a) durch externes Fachpersonal b) ohne ihr eigenes Zutun, also ohne ein Sich-Berufen auf mögliche Manipulation, c) unabhängig von der jeweiligen nationalen Zivilrechtslage automatisch eingeleitet wird. Und zwar ohne Zögern und ohne dass die eigene IT zuvor die relevanten Systeme beackert, neu startet etc. Je ambitionierter die interne IT-Abteilung ist, desto seltener bekommt man leider als Externer ein valides RAM-Image zu fassen, was heute ein immenser Verlust ist.
Grüße
Richard
Moin.
Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen. Du kannst niemanden entlassen, weil auf dessen Festplatte bestimmte Dateien liegen, deren Herkunft nicht nachvollziehbar ist - kompletter Unsinn, keine rechtliche Grundlage ersichtlich.
Nüchterne Fakten:
-NTFS-Überwachung ist genau dann ein großes Hindernis für unerlaubte Zugriffe, wenn gleichzeitig Verschlüsselung genutzt wird und auch die Nutzung von Masterkennwörtern für die Verschlüsselung geloggt wird. Warum Verschlüsselung? Weil Logging (u.a. NTFS-Überwachung) offline umgangen werden kann, Verschlüsselung verhindert dies. Werden Logs abgeschaltet, wird dies als letztes Ereignis geloggt... wird gerne vergessen! Wird das Log gelöscht - dito.
-Will jemand in Deinem Namen kompromittierende Dinge tun, braucht er Dein Kennwort. Um dies zu bekommen, braucht er keine Adminrechte, es gibt mehrere andere Wege, die schwer zu verhindern sind. Geeignete physikalische Absicherung ist hier das Stichwort und erneut Verschlüsselung. Es muss auch klar sein, dass kein "James-Bond-Szenario" hierbei zu abwegig ist: was man sich ausmalen kann, kann mit Geschick auch durchgeführt werden.
-Benutzung von Domänenadminkonten auf Nutzerrechnern kann man loggen
-Sowohl die Anmeldezeiten als auch die Rechner, an denen sich ein Benutzer anmelden kann, kann man einschränken, so kann man Nutzung eines gekaperten Kennwortes durch Dritte erschweren. Erneut ist ein erheblicher Aufwand mit Überwachung/Logs zu treiben - nur was von unabhängiger Stelle regelmäßig kontrolliert wird, ist gewinnbringend geloggt.
Nun zu Deinem Anliegen. Dein Vorgesetzter wurde "aufgeschreckt" durch einen Artikel. Worum ging es und warum bedarf es da eines Artikels? Wer macht denn das Sicherheitskonzept in Eurem "Konzern" (nicht böse nehmen, bitte )? Das muss doch von vornherein, noch bevor das Netzwerk steht, klar sein. Denk zum Beispiel an das Backup. Nimmt ein wutschnaubender entlassener Admin das Backup mit und kickt es in den Fluss und zerstört gleichzeitig den Server, dann hilft es auch nicht, den zu verklagen - im Regelfall geht die Firma dann nämlich Pleite. Ergo: wenn es wirklich begründetes Misstrauen an diesen Positionen gibt, dann muss eine gegenseitige Kontrolle her, wo es nur geht. Im Falle des Backups dann auch ein zweites, solches, was nur ein zweiter Admin anfassen kann.
Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen. Du kannst niemanden entlassen, weil auf dessen Festplatte bestimmte Dateien liegen, deren Herkunft nicht nachvollziehbar ist - kompletter Unsinn, keine rechtliche Grundlage ersichtlich.
Nüchterne Fakten:
-NTFS-Überwachung ist genau dann ein großes Hindernis für unerlaubte Zugriffe, wenn gleichzeitig Verschlüsselung genutzt wird und auch die Nutzung von Masterkennwörtern für die Verschlüsselung geloggt wird. Warum Verschlüsselung? Weil Logging (u.a. NTFS-Überwachung) offline umgangen werden kann, Verschlüsselung verhindert dies. Werden Logs abgeschaltet, wird dies als letztes Ereignis geloggt... wird gerne vergessen! Wird das Log gelöscht - dito.
-Will jemand in Deinem Namen kompromittierende Dinge tun, braucht er Dein Kennwort. Um dies zu bekommen, braucht er keine Adminrechte, es gibt mehrere andere Wege, die schwer zu verhindern sind. Geeignete physikalische Absicherung ist hier das Stichwort und erneut Verschlüsselung. Es muss auch klar sein, dass kein "James-Bond-Szenario" hierbei zu abwegig ist: was man sich ausmalen kann, kann mit Geschick auch durchgeführt werden.
-Benutzung von Domänenadminkonten auf Nutzerrechnern kann man loggen
-Sowohl die Anmeldezeiten als auch die Rechner, an denen sich ein Benutzer anmelden kann, kann man einschränken, so kann man Nutzung eines gekaperten Kennwortes durch Dritte erschweren. Erneut ist ein erheblicher Aufwand mit Überwachung/Logs zu treiben - nur was von unabhängiger Stelle regelmäßig kontrolliert wird, ist gewinnbringend geloggt.
Nun zu Deinem Anliegen. Dein Vorgesetzter wurde "aufgeschreckt" durch einen Artikel. Worum ging es und warum bedarf es da eines Artikels? Wer macht denn das Sicherheitskonzept in Eurem "Konzern" (nicht böse nehmen, bitte )? Das muss doch von vornherein, noch bevor das Netzwerk steht, klar sein. Denk zum Beispiel an das Backup. Nimmt ein wutschnaubender entlassener Admin das Backup mit und kickt es in den Fluss und zerstört gleichzeitig den Server, dann hilft es auch nicht, den zu verklagen - im Regelfall geht die Firma dann nämlich Pleite. Ergo: wenn es wirklich begründetes Misstrauen an diesen Positionen gibt, dann muss eine gegenseitige Kontrolle her, wo es nur geht. Im Falle des Backups dann auch ein zweites, solches, was nur ein zweiter Admin anfassen kann.
Zitat von @DerWoWusste:
Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein
paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die
Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein
Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen.
Zunächst mal ein Kommentar zu Deinem konstruierten Managerszenario: Warum sollten nicht heute Abend Eure Putzfrauen mit ein
paar Bootdisks anrücken und allen PCs Pornos offline aufspielen? Morgen entlasst Ihr Euch dann alle gegenseitig und die
Putzen schmeißen den Laden, der, dank der gesparten Abfindungen sicherlich noch ein paar Groschen wert ist... - Dein
Beispiel ist unpassend. Wenn Du nach nüchternen technischen Dingen fragst, dann musst Du auch realistische Fälle nehmen.
Das Beispiel ist offenbar dem Fall Roland K./HSH Nordbank nachgebildet und alles andere als unrealistisch. In Ländern bzw. unter Konzernmüttern aus Ländern, in denen es dafür keiner Kinderpornografie sondern lediglich "anstößigen Materials" bedarf, würde ich das Szenario so oder ähnlich als alltäglich bezeichnen. Die Rechtsgrundlage der Kündigung steht im Arbeitsvertrag, ansonsten reicht den Initiatoren auch das soziale Abstellgleis.
Meiner Meinung nach wird in manchen Firmenkulturen so ein Vorgehen geradezu herausfordert durch vorheriges, groß angelegtes Deployment von hausinternen Forensik-Lösungen wir EnCase Enterprise oder F-Response. Die Hersteller zertifizieren dafür dankbar ein paar ITler ihrer Abnehmer. Die wiederum sind froh, im Ernstfall überhaupt etwas zu finden, haben aber keinerlei Ermittlungserfahrung oder eine sachkundige Skepsis gegenüber der Ergebnisaufbereitung einer Forensik-Software (die im Fall der EnCase-Plattform unabdingbar ist).
Ich denke fuer das monitoren muesste man das so umbauen das jeder da nur nen normalen acc hat mit den rechten die er jeden tag benoetigt... Wenn er mehr benoetigt dann eben das 4eyes prinzip... Aber wie gesagt halte ich das im normalen betrieb fuer zimlich schwer umsetzbar... Und eben auch nicht fuer einen wirklichen gewinn, da man idR auch trotzdem genug ueber den benutzer weiss um an dessen passwort zu kommen, den zu bewegen eine aktion auszufuehren oder aehnliches... Ok, kann man halt nicht auf dem rechner was deponieren, dann ins userprofil, im mailpostfach oder ganz oldstyle im urlaub was im schreibtisch hinterlegen wo die sekretaerin ranmuss (und als admin hat man schnell nen grund um in nen buero zu gehen - z.b. Die kaputte netzwerkdose). Falls das nicht ausreicht die mail mit lustigen internetfotos im fremden namen,... Ganz ehrlich - die mittel sind da so vielfaeltig das ne simple technische sperre fuer den grossteil nichts bringt...
Hallo wertherg!
Evtl. schreibst Du ja noch... dennoch schonmal vorab: Du suchst Anregungen und bekommst von mir einen ganzen Haufen davon. Als Antwort (auch wenn nicht direkt an mich) kommt zu diesen kein Kommentar außer einer vermeintlichen Richtigstellung. Nun gut, dies soll nur ein Hinweis sein, dass Du TECHNISCHE (um es jetzt auch mal so schön groß zu schreiben) Hinweise bekommen hast, aber dazu keine Stellung beziehst.
Ich halte eine Stellungnahme (auch zu meinen Fragen) für notwendig.
Zu dem realistisch/unrealistisch von Beispielen: ich denke nicht, dass die Größe etwas damit zu tun hat. Verschwören können sich Kollegen unabhängig vom Umfeld, hier braucht es nur ein kleines Schweigegeld, da ein großes neues Auto, kommt auf's selbe raus. Ich wollte vor Augen führen, dass folglich im Vorfeld festzulegen gewesen wäre, was sich auf den Rechnern befinden darf und welche Konsequenzen bei Nichteinhaltung passieren, sonst entsteht daraus kein Kündigungsgrund, sondern allenfalls Mobbing. Angenommen, so etwas wäre bei Euch gegeben, jeder wäre also für die Legalität der Dateien auf seinem Rechner soweit verantwortlich, dass "illegal=fliegen" bedeutet, dann müsste der Unterzeichner eines Arbeitsvertrages dumm sein, keine Überwachung einzufordern, die er selbst vollständig kontrollieren kann ("Ihr überwacht mich, ich Euch") - ist das technisch möglich? Natürlich nicht, außerhalb jeder Diskussion.
Evtl. schreibst Du ja noch... dennoch schonmal vorab: Du suchst Anregungen und bekommst von mir einen ganzen Haufen davon. Als Antwort (auch wenn nicht direkt an mich) kommt zu diesen kein Kommentar außer einer vermeintlichen Richtigstellung. Nun gut, dies soll nur ein Hinweis sein, dass Du TECHNISCHE (um es jetzt auch mal so schön groß zu schreiben) Hinweise bekommen hast, aber dazu keine Stellung beziehst.
Ich halte eine Stellungnahme (auch zu meinen Fragen) für notwendig.
Zu dem realistisch/unrealistisch von Beispielen: ich denke nicht, dass die Größe etwas damit zu tun hat. Verschwören können sich Kollegen unabhängig vom Umfeld, hier braucht es nur ein kleines Schweigegeld, da ein großes neues Auto, kommt auf's selbe raus. Ich wollte vor Augen führen, dass folglich im Vorfeld festzulegen gewesen wäre, was sich auf den Rechnern befinden darf und welche Konsequenzen bei Nichteinhaltung passieren, sonst entsteht daraus kein Kündigungsgrund, sondern allenfalls Mobbing. Angenommen, so etwas wäre bei Euch gegeben, jeder wäre also für die Legalität der Dateien auf seinem Rechner soweit verantwortlich, dass "illegal=fliegen" bedeutet, dann müsste der Unterzeichner eines Arbeitsvertrages dumm sein, keine Überwachung einzufordern, die er selbst vollständig kontrollieren kann ("Ihr überwacht mich, ich Euch") - ist das technisch möglich? Natürlich nicht, außerhalb jeder Diskussion.
Zitat von @wertherg:
"-Will jemand in Deinem Namen kompromittierende Dinge tun braucht er Dein Kennwort" :
Das gilt wenn man ein Programm unter dem fremden User ausführen will, nicht jedoch wenn es darum geht, den Besitz an einem
File zu ändern. Die System/Sicherheitsprotokollierung hilft, kann aber auch schon Wochen vorher ausgeschaltet werden.
"-Will jemand in Deinem Namen kompromittierende Dinge tun braucht er Dein Kennwort" :
Das gilt wenn man ein Programm unter dem fremden User ausführen will, nicht jedoch wenn es darum geht, den Besitz an einem
File zu ändern. Die System/Sicherheitsprotokollierung hilft, kann aber auch schon Wochen vorher ausgeschaltet werden.
Ich werfe nur mal in den Raum, sowas wie Mutterschaftsurlaub, Wehrdienst, Elternzeit - in der Zeit kann man das Userpasswort getrost neu setzen, bei nächsten Verfallen isses weg, wenn mans nicht gleich danach zum Ändern markiert - und nach nem Jahr kriegen die eh wieder ein neues Paßwort...
Gruß
24
naja - eine Sache die mir grade noch einfällt: Es gibt ja sog. Wächterkarten die *eigentlich* dafür sorgen sollen die Konfig z.B. an Schul-PCs zu sichern. So kann nicht jeder Schüler gleich mal eben den Win-PC killen weil er ne Datei erzeugt o.ä. Damit kannst du natürlich auch verhindern das jemand etwas auf den PC kopiert während der läuft - beim nächsten Reboot wäre das eh wieder weg...
Alternativ wäre natürlich auch der Umstieg auf Thin-Clients ne Option, schon hast du auch da den Faktor "lokale Manipulation" erledigt...
Ein Problem bei der Verschlüsselung kann ich persönlich als Argument nicht gelten lassen... Zum einen sind Verschlüsselungen wie Bitlocker usw. heute ziemlich transparent für den User. Zum anderen: Wenn ich Sicherheit haben will muss ich Arbeit investieren! Lässt du zuhause deine Tür offenstehen wenn du dein Haus verlässt? Das Abschließen macht ja auch Umstände! Versendest du jeden Brief ohne Umschlag? Das "einpacken" macht ja auch Mühe (frag mal eure Poststelle, bei der Größenordnung vermutlich vorhanden!). Wer mir jetzt sagt das es zuviel Aufwand ist wenn man 2 Passwörter eintragen muss - der sollte sich fragen wie hoch der Aufwand ist nen neuen Job zu suchen... (Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem Rechnerpasswort verschiedenes Kennwort...
Alternativ wäre natürlich auch der Umstieg auf Thin-Clients ne Option, schon hast du auch da den Faktor "lokale Manipulation" erledigt...
Ein Problem bei der Verschlüsselung kann ich persönlich als Argument nicht gelten lassen... Zum einen sind Verschlüsselungen wie Bitlocker usw. heute ziemlich transparent für den User. Zum anderen: Wenn ich Sicherheit haben will muss ich Arbeit investieren! Lässt du zuhause deine Tür offenstehen wenn du dein Haus verlässt? Das Abschließen macht ja auch Umstände! Versendest du jeden Brief ohne Umschlag? Das "einpacken" macht ja auch Mühe (frag mal eure Poststelle, bei der Größenordnung vermutlich vorhanden!). Wer mir jetzt sagt das es zuviel Aufwand ist wenn man 2 Passwörter eintragen muss - der sollte sich fragen wie hoch der Aufwand ist nen neuen Job zu suchen... (Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem Rechnerpasswort verschiedenes Kennwort...
Zitat von @wertherg:
Im vorliegenden Forum habe ich die Frage deswegen gestellt, weil ich wissen möchte ob es TECHNISCHE Möglichkeiten gibt,
den Mißbrauch zu verhindern oder wenigstens den Forensikern hinterher Spuren zu geben. Das ist genauso zu sehen wie der
Bankdirektor, der auch nur mit 4-Augen Prinzip an den Tresor kommt, dieser aber zusätzlich auch noch Kamera überwacht
ist.
Weil die IT gerne gleich mit Behauptungen "geht nicht" oder "inpraktikabel" bei der Hand ist, würde ich
mich über weitere Vorschläge freuen, die ich auch im Sinne "nicht zufriedenstellend technisch zu lösen"
als zusätzliche Massnahmen sehe.
Im vorliegenden Forum habe ich die Frage deswegen gestellt, weil ich wissen möchte ob es TECHNISCHE Möglichkeiten gibt,
den Mißbrauch zu verhindern oder wenigstens den Forensikern hinterher Spuren zu geben. Das ist genauso zu sehen wie der
Bankdirektor, der auch nur mit 4-Augen Prinzip an den Tresor kommt, dieser aber zusätzlich auch noch Kamera überwacht
ist.
Weil die IT gerne gleich mit Behauptungen "geht nicht" oder "inpraktikabel" bei der Hand ist, würde ich
mich über weitere Vorschläge freuen, die ich auch im Sinne "nicht zufriedenstellend technisch zu lösen"
als zusätzliche Massnahmen sehe.
Also wenn Du Stimmen anderer Forensiker suchst, würde ich Dir eher dieses Forum empfehlen: http://www.forensicfocus.com/
Ich kann aus meiner Praxis nur den genannten Standpunkt bekräftigen. Das Vorhandensein/Nichtvorhandensein von Spuren, technische Konsistenz, logische Konsistenz etc. sind alles grundlegende Probleme, die sich in ausnahmslos jedem denkbaren Setup unter jeder denkbaren Konfiguration neu stellen. Man kann sie nicht durch eine technische Einrichtung im Vorhinein entscheiden, sondern diese Vorkehrung wird nur die neue Frage nach ihrer Manipulation bzw. ihrer spezifischen Spurenlage aufwerfen.
Nehmen wir das Beispiel Verschlüsselung. Wie DerWoWusste schon anmerkte, ist sie zwingend erforderlich, wenn Daten an Benutzer gebunden werden sollen. Ich würde auch sagen, dass davon viel zu wenig Gebrauch gemacht wird, insbesondere von etwas komplizierten, aber höchst effektiven Bordmitteln wie EFS. Die Frage ist: Was bringt das in dem Zusammenhang wirklich? Auch verschlüsselte Systeme müssen administriert werden. Selbst Externen sollte es möglich sein, Dateien oder Prozesse dennoch in einen fremden Benutzerkontext zu bringen. Die Verschlüsselung bekräftigt dann gerade den gewünschten Anschein.
Es wäre sogar an Policies zu denken, um möglichen intransparenten Einsatz von Verschlüsselung zu unterbinden. Teilweise werden z.B. verschlüsselte ZIP-Archive als Mail-Anhang gebraucht. Das Passwort wird telefonisch durchgegeben und weder vom Absender noch vom Empfänger behalten (oder im Bedarfsfall vergessen). Im Mail-Archiv des Unternehmens stehen dann äußerst relevante Inhalte, die nur noch schwer objektiv nachvollziehbar sind. Die Auftrennbarkeit von Sicherheitsvorkehrungen spielt also eine Rolle und sollte nicht kompromisslos zugunsten einer Abschottung aufgegeben werden.
Die Frage nach technischen Möglichkeiten könnte man auch mit "im Prinzip, Ja" beantworten. Ich baue für Kunden z.B. Laptops um, mit dem Ziel, sie manipulationssicher durch ausländische Zollkontrollen o.ä. zu befördern. Das wäre mithin ein System, von dem man sagen kann, dass die Daten darauf auch nur dem jeweiligen Mitarbeiter zuzuordnen sind. Darauf kann man aber keine Unternehmens-IT aufbauen. Es bedeutet Einbußen an (Hardware-)Funktionen, Benutzbarkeit, Administrierbarkeit, Reparaturfähigkeit etc. und ist teuer. Und die Manipulationssicherheit des Ausgangszustandes hängt u.a. wieder an meiner Person.
Daher: Wenn Du die Wahrscheinlichkeit maximieren möchtest, mit der ein Forensiker zu zutreffenden Ergebnissen kommt, dann gib ihm ein möglichst konventionelles System in einer konventionellen Umgebung. Schon die Fülle an dort vorhandenen Artefakten wird leider in den seltensten Fällen umfassend analysiert werden. Man kann sich auch streiten, was dabei jeweils erforderlich ist. Jeder weitere Stolperdraht erhöht aber nur die Fehleranfälligkeit der Befunde.
Grüße
Richard
PS: Der Fernzugriff aus einem Nicht-EU-Land in der Rolle eines Domainadmins scheint mir schon datenschutzrechtlich problematisch.
Moin,
Wie hier schon sehr viele geschrieben haben, ist es nicht trivial Domänenadmins zu überwachen, da diese ihr System sehr gut kennen und somit evtl. Spuren auch gut verwischen könnten.
Des weiteren finde ich, sollte gegenüber einem IT-Mitarbeiter der Domänenadmin ist, auch ein gewisses Vertrauen bestehen. Ich würde nie jemandem diese Rechte geben, wenn ich nicht das Gefühl hätte, er ist der Firma gegen über loyal (klar das dass keine 100% Sicherheit ist).
Ein Ziel sollte sein, die Anzahl der DAs auf das absolute Minimum zu reduzieren und nur dann mit DA Rechten zu arbeiten, wenn dies auch zwingend erforderlich ist.
Ich würde bei soviele Benutzer in unterschiedlichen Ländern wahrscheinlich auch keine Singleroot Domäne fahren, sondern evtl, für jedes Land oder sonst wie eine eigene Domäne erstellen und diese dann zu einer Rootdomäne zusammenfassen. Dann kann auch der Admin aus Indien nicht so einfach was auf nem Rechner in Deutschland oder sonst so drehen.
Wie hier schon sehr viele geschrieben haben, ist es nicht trivial Domänenadmins zu überwachen, da diese ihr System sehr gut kennen und somit evtl. Spuren auch gut verwischen könnten.
Des weiteren finde ich, sollte gegenüber einem IT-Mitarbeiter der Domänenadmin ist, auch ein gewisses Vertrauen bestehen. Ich würde nie jemandem diese Rechte geben, wenn ich nicht das Gefühl hätte, er ist der Firma gegen über loyal (klar das dass keine 100% Sicherheit ist).
Ein Ziel sollte sein, die Anzahl der DAs auf das absolute Minimum zu reduzieren und nur dann mit DA Rechten zu arbeiten, wenn dies auch zwingend erforderlich ist.
Ich würde bei soviele Benutzer in unterschiedlichen Ländern wahrscheinlich auch keine Singleroot Domäne fahren, sondern evtl, für jedes Land oder sonst wie eine eigene Domäne erstellen und diese dann zu einer Rootdomäne zusammenfassen. Dann kann auch der Admin aus Indien nicht so einfach was auf nem Rechner in Deutschland oder sonst so drehen.
Hallo werthberg,
eine weitere Lösung wäre die Domainadmins der anderen Niederlassungen generell nicht auf lokale Rechner zugreifen zu lassen bzw sie aus dem lokalen Netzwerk auszusperren so das jeder DA nur für sein eigenes Netzwerk zuständig ist.
So wird es zum Beispiel bei uns in der Firma gehandhabt. Das ist zwar nicht ganz das was von dir gewollt ist aber es sichert immerhin zum Beispiel den Zugriff gegen DA`s anderer Standorte.
Mfg Invisan
eine weitere Lösung wäre die Domainadmins der anderen Niederlassungen generell nicht auf lokale Rechner zugreifen zu lassen bzw sie aus dem lokalen Netzwerk auszusperren so das jeder DA nur für sein eigenes Netzwerk zuständig ist.
So wird es zum Beispiel bei uns in der Firma gehandhabt. Das ist zwar nicht ganz das was von dir gewollt ist aber es sichert immerhin zum Beispiel den Zugriff gegen DA`s anderer Standorte.
Mfg Invisan
Zitat von @maretz:
...
(Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal
ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem
Rechnerpasswort verschiedenes Kennwort...
...
(Bei mir ist JEDER Datenträger verschlüsselt soweit das erste Bit an privaten oder beruflichen Daten drauf kommt - egal
ob USB-HDD, Laptop-Festplatte oder was immer du willst...). Und dabei haben externe Datenträger immer ein von meinem
Rechnerpasswort verschiedenes Kennwort...
Das schützt aber lediglich davor, wenn "von außen" jemand in Deiner Abwesenheit etwas aufspielen möchte. Wenn Du am Arbeiten bist, kann ich Dir allen möglichen Kram unterjubeln.
Sofern Du der einzig Wissende des Passworts bist, hast Du natürlich klar den Vorteil, dass Dir niemand die Daten auf Deinem Rechner nachweisen kann, wenn Du Dich weigerst das Passwort zur Einsicht zu verraten