21
Netzwerkfreigabe Verschlüsselung
Moin zusammen,
sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten gespeichert werden, wie bspw. personaldaten, Daten der Geschäftsführung etc. die zwar innerhalb der Serverstruktur und in der Domäne vorhanden sein sollen, aber eben nicht für jedermann lesbar und zugänglich.
Klar gibt es zum einen die Möglichkeit der Berechtigungen, aber, dann kommen Systemadministratoren trotzdem noch an die Dinge ran.
Also sollen die Daten mit Userauthentifizierung o.ä. verschlüsselt sein. Das heißt natürlich, das System muss unterumständen Mehrbenutzerfähig sein, da nicht nur eine Person auf die Daten zugreifen soll.
Ich kenne lediglich das Produkt "HiCrypt" und wollte ganz gerne von euch mal Wissen ob und welche Alternativen ihr so kennt und benutzt.
LG, Manu
Ps: Das ganze sollte in einer Windowsumgebung lauffähig sein
sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten gespeichert werden, wie bspw. personaldaten, Daten der Geschäftsführung etc. die zwar innerhalb der Serverstruktur und in der Domäne vorhanden sein sollen, aber eben nicht für jedermann lesbar und zugänglich.
Klar gibt es zum einen die Möglichkeit der Berechtigungen, aber, dann kommen Systemadministratoren trotzdem noch an die Dinge ran.
Also sollen die Daten mit Userauthentifizierung o.ä. verschlüsselt sein. Das heißt natürlich, das System muss unterumständen Mehrbenutzerfähig sein, da nicht nur eine Person auf die Daten zugreifen soll.
Ich kenne lediglich das Produkt "HiCrypt" und wollte ganz gerne von euch mal Wissen ob und welche Alternativen ihr so kennt und benutzt.
LG, Manu
Ps: Das ganze sollte in einer Windowsumgebung lauffähig sein
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398672
Url: https://administrator.de/forum/netzwerkfreigabe-verschluesselung-398672.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
21 Kommentare
Neuester Kommentar
Hallo.
Die Frage kommt immer wieder, die folgende Diskussion ist fast immer gleich.
Kaum einer sieht ein, dass es doch so ist:
Wenn ein Admin wirklich Interesse an den Daten hat, dann wird er auch mit Keyloggern arbeiten, die Verschlüsselungskennwörter mitschreiben können und ebenso jede Eingabe auf so einem Personalrechner.
Somit muss man genaugenommen den Personalern eine eigene Infrastruktur hinstellen, die sie alleine administrieren und sonst niemand. Diese ganze Augenwischerei mit verschlüsselten Containern, deren Kennwort dann aber auf einem PC eingegeben wird, den der Admin kontrolliert, ist doch ausgemachter Humbug.
Also: entwerder eiskalt durchziehen mit eigener Infrastruktur, oder dem Admin vertrauen und vertraglich mit ihm festlegen, was er nicht darf.
Die Frage kommt immer wieder, die folgende Diskussion ist fast immer gleich.
Kaum einer sieht ein, dass es doch so ist:
Wenn ein Admin wirklich Interesse an den Daten hat, dann wird er auch mit Keyloggern arbeiten, die Verschlüsselungskennwörter mitschreiben können und ebenso jede Eingabe auf so einem Personalrechner.
Somit muss man genaugenommen den Personalern eine eigene Infrastruktur hinstellen, die sie alleine administrieren und sonst niemand. Diese ganze Augenwischerei mit verschlüsselten Containern, deren Kennwort dann aber auf einem PC eingegeben wird, den der Admin kontrolliert, ist doch ausgemachter Humbug.
Also: entwerder eiskalt durchziehen mit eigener Infrastruktur, oder dem Admin vertrauen und vertraglich mit ihm festlegen, was er nicht darf.
3
Wenn man mal den Sys-Admin ausklammert und das ganze auch auf Kollegen und Gleichgestellte bezieht, kann das durchaus sinnvoll sein.
Wir setzen dafür auf ESET Endpoint Encryption. Hier kann ein User Schlüssel generieren und damit Dateien, Mails, Ordner, USB Sticks,... verschlüsseln und den Empfängern den Key oder das Kennwort mitteilen. So kann der User den Empfängerkreis mitbestimmen, ohne das auf NTFS Ebene vom Admin da großartig dran rumgefummelt werden muss.
Geht mit Sicherheit auch mit passwortgeschützten ZIP Archiven o.ä., aber wenn man das Produkt sowieso im Einsatz hat, ist's ein schöner Nebeneffekt und deutlich komfortabler.
@grill-it
Wenn du da mehr Infos möchtest, gerne PN.
VG
T
Wir setzen dafür auf ESET Endpoint Encryption. Hier kann ein User Schlüssel generieren und damit Dateien, Mails, Ordner, USB Sticks,... verschlüsseln und den Empfängern den Key oder das Kennwort mitteilen. So kann der User den Empfängerkreis mitbestimmen, ohne das auf NTFS Ebene vom Admin da großartig dran rumgefummelt werden muss.
Geht mit Sicherheit auch mit passwortgeschützten ZIP Archiven o.ä., aber wenn man das Produkt sowieso im Einsatz hat, ist's ein schöner Nebeneffekt und deutlich komfortabler.
@grill-it
Wenn du da mehr Infos möchtest, gerne PN.
VG
T
Moin,
So ist es. Wobei dann die Frage ist, wie hoch die Wahrscheinlichkeit ist, dass Daten vom Admin geklaut werden, und wie hoch, dass sie abfließen, weil die Personaler vollkommen mit der Administration überfordert sind.
Ich persönlich halte es für keine gute Idee, den Admins Zugriffe zu sperren.
Liebe Grüße
Erik
Zitat von @DerWoWusste:
Wenn ein Admin wirklich Interesse an den Daten hat, dann wird er auch mit Keyloggern arbeiten, die Verschlüsselungskennwörter mitschreiben können und ebenso jede Eingabe auf so einem Personalrechner.
Somit muss man genaugenommen den Personalern eine eigene Infrastruktur hinstellen, die sie alleine administrieren und sonst niemand.
Wenn ein Admin wirklich Interesse an den Daten hat, dann wird er auch mit Keyloggern arbeiten, die Verschlüsselungskennwörter mitschreiben können und ebenso jede Eingabe auf so einem Personalrechner.
Somit muss man genaugenommen den Personalern eine eigene Infrastruktur hinstellen, die sie alleine administrieren und sonst niemand.
So ist es. Wobei dann die Frage ist, wie hoch die Wahrscheinlichkeit ist, dass Daten vom Admin geklaut werden, und wie hoch, dass sie abfließen, weil die Personaler vollkommen mit der Administration überfordert sind.
Ich persönlich halte es für keine gute Idee, den Admins Zugriffe zu sperren.Liebe Grüße
Erik
Netz bedeutet dann auch das es ebenfalls verschlüsselt übers Netz gehen muss. Ansonsten lauscht der Admin mit dem Wireshark am Netz und sniffert alles mit
Kollege DWW hat ja eh schon alles zu dem leidigen Thema gesagt !
Kollege DWW hat ja eh schon alles zu dem leidigen Thema gesagt !
Moin,
es geht nicht darum Zugriffe zu sperren, sondern darum Dateien zu verschlüsseln (das ist auch eine Datenschutzrechtliche Sache nach DSGVO!)
Es gibt nunmal Dinge und Daten die auch ein Admin einfach nicht sehen darf und dahingehend muss ein Schutz vorgenommen werden.
Gegen Keylogger hilft die Sicherheitssoftware, zusätzlich eine Mehrfaktor authetifizierung mittel PW + Keycard oder Authenticator Pin.. naja.. das scheint hier wohl eine leider sinnfreie Grundsatzdiskussion zu sein,.
Aber einige Admins sollten sich langsam vom Gedanken verabschieden, dass Sie eben überall hin schauen dürfen/können, nur weil Sie die Admins sind.. Dem ist leider (rechtlich) schon lange nicht mehr so. Möglicherweise noch bei dem ein oder anderen KMU, mangels besserem Wissen der GL..
Es gibt ja schließlich Möglichkeiten dazu, und rein um deren Auswertung und Erfahrungen dazu geht es mir mit dieser Frage. Also, wer keine produktive Antwort oder Erfahrung hinzufügen kann, darf gerne seine Finger still halten und einfach weiterscrollen.
naja.. Trotzdem Danke für eure Ansichten und Meinungen.
Sehe ich das richtig, dass hier dann ein einzelnes/r Passwort/Key geshared werden muss?
LG, Manu
es geht nicht darum Zugriffe zu sperren, sondern darum Dateien zu verschlüsseln (das ist auch eine Datenschutzrechtliche Sache nach DSGVO!)
Es gibt nunmal Dinge und Daten die auch ein Admin einfach nicht sehen darf und dahingehend muss ein Schutz vorgenommen werden.
Gegen Keylogger hilft die Sicherheitssoftware, zusätzlich eine Mehrfaktor authetifizierung mittel PW + Keycard oder Authenticator Pin.. naja..
Aber einige Admins sollten sich langsam vom Gedanken verabschieden, dass Sie eben überall hin schauen dürfen/können, nur weil Sie die Admins sind.. Dem ist leider (rechtlich) schon lange nicht mehr so. Möglicherweise noch bei dem ein oder anderen KMU, mangels besserem Wissen der GL..
Es gibt ja schließlich Möglichkeiten dazu, und rein um deren Auswertung und Erfahrungen dazu geht es mir mit dieser Frage. Also, wer keine produktive Antwort oder Erfahrung hinzufügen kann, darf gerne seine Finger still halten und einfach weiterscrollen.
naja.. Trotzdem Danke für eure Ansichten und Meinungen.
Zitat von @Tezzla:
Wenn man mal den Sys-Admin ausklammert und das ganze auch auf Kollegen und Gleichgestellte bezieht, kann das durchaus sinnvoll sein.
Wir setzen dafür auf ESET Endpoint Encryption. Hier kann ein User Schlüssel generieren und damit Dateien, Mails, Ordner, USB Sticks,... verschlüsseln und den Empfängern den Key oder das Kennwort mitteilen. So kann der User den Empfängerkreis mitbestimmen, ohne das auf NTFS Ebene vom Admin da großartig dran rumgefummelt werden muss.
Geht mit Sicherheit auch mit passwortgeschützten ZIP Archiven o.ä., aber wenn man das Produkt sowieso im Einsatz hat, ist's ein schöner Nebeneffekt und deutlich komfortabler.
@grill-it
Wenn du da mehr Infos möchtest, gerne PN.
VG
T
Wenn man mal den Sys-Admin ausklammert und das ganze auch auf Kollegen und Gleichgestellte bezieht, kann das durchaus sinnvoll sein.
Wir setzen dafür auf ESET Endpoint Encryption. Hier kann ein User Schlüssel generieren und damit Dateien, Mails, Ordner, USB Sticks,... verschlüsseln und den Empfängern den Key oder das Kennwort mitteilen. So kann der User den Empfängerkreis mitbestimmen, ohne das auf NTFS Ebene vom Admin da großartig dran rumgefummelt werden muss.
Geht mit Sicherheit auch mit passwortgeschützten ZIP Archiven o.ä., aber wenn man das Produkt sowieso im Einsatz hat, ist's ein schöner Nebeneffekt und deutlich komfortabler.
@grill-it
Wenn du da mehr Infos möchtest, gerne PN.
VG
T
Sehe ich das richtig, dass hier dann ein einzelnes/r Passwort/Key geshared werden muss?
LG, Manu
Zitat von @aqui:
Netz bedeutet dann auch das es ebenfalls verschlüsselt übers Netz gehen muss. Ansonsten lauscht der Admin mit dem Wireshark am Netz und sniffert alles mit
Kollege DWW hat ja eh schon alles zu dem leidigen Thema gesagt !
Netz bedeutet dann auch das es ebenfalls verschlüsselt übers Netz gehen muss. Ansonsten lauscht der Admin mit dem Wireshark am Netz und sniffert alles mit
Kollege DWW hat ja eh schon alles zu dem leidigen Thema gesagt !
Deswegen nannte ich das Produkt HiCrypt...
Un nochmals.. um Alternativen dazu geht das.
Was man alles bedenken muss/sollte/könnte ist mir bewusst.
LG, Manu
das scheint hier wohl eine leider sinnfreie Grundsatzdiskussion zu sein
Komm, das ist nicht fair.Wir haben die gleiche Anforderung bei uns durch den Betriebsrat (Personal konnten wir von der Unsinningkeit (weil unwirksam) der Maßnahmen überzeugen) Wir haben den Betriebsratlern eine Freigabe gegeben, wo sie einen verschlüsselten Container liegen haben. Die Freigabe ist SMBv3 mit Verschlüsselung. Das Kennwort für den Container jedoch geben sie an einem PC ein, den ich administriere und dessen gemountete (Crypto-)Laufwerke ich jederzeit kopieren könnte. Wenn Du nun schreibst "gegen Keylogger helfen Sicherheitssoftware und/oder MFA", dann frage ich Dich: können die denn diese beiden Komponenten alleine administrieren? Oder soll ich das machen, gerade ich, der Admin, dem sie nicht trauen?
Wenn Du nach einer Komponente suchst, die so einfach ist, das Personaler sie alleine administrieren können, dann wirst Du vermutlich irgendwann fündig werden, aber diese Komponente ist dann kaum noch leistungsfähig. Ich halte das für aussichtslos, werde aber die Diskussion weiter verfolgen. Nur bitte lass mal das "sinnfrei" hier weg, denn das ist es nicht.
Moin DWW,
habe den text mal angepasst.. war in dem Moment was verstimmt, da ich eben keine Grundsatzdisskussion auslösen wollte.. ;)
BTT: Sicher ist es so, dass man einem Admin natürlich bis zu einem Gewissen Grad vertrauen muss. Aber evtl. vertraut man dem einen Admin auch mehr als dem anderen, gewissen Aufgaben können dementsprechend strukturiert sein. Trotzdem muss und gibt es bereits Möglichkeiten wie bspw. HiCrypt die solche Anforderungen bereits ziemlich gut erfüllen.
Und um deren Alternativen geht es mir. Wie bereits gesagt. und um Nichts anderes.
Sicher kann ein Admin, welcher will, sehr sehr vieles in einer Infrastruktur. Aber es geht auch nicht darum immer 110% abzusichern, sondern eben 99,9%.
Und nur weil er Admin ist und einen entsprechenden Vertrag unterschrieben hat, der sagt, er darf nicht in Ordner \\pfad\x \z\y schauen, habe ich damit aus rechtlicher Sicht eben noch nicht alle Möglichen (technischen) Maßnahmen zum Schutz getroffen und ich muss die Daten trotzdem Verschlüsseln. Auch wenn aus NTFS Sicht nur Er und Ich darauf zugreifen könnten. Denn, es geht nicht nur um den Admin, sondern auch um andere potentielle Sicherheitslücken durch die Möglicherweise jemand Zugriff auf die unverschlüsselten/ungeschützten Daten erhalten könnte..
BTW: Sicher geht es hier auch in einem Gewissen Maß um "Gewissensberuhigung". Wenn einer wirklich will, wird er immer Irgendwie Mittel und Wege finden.. Aber darum soll es in dieser Diskussion nicht gehen.
LG, Manu
habe den text mal angepasst.. war in dem Moment was verstimmt, da ich eben keine Grundsatzdisskussion auslösen wollte.. ;)
BTT: Sicher ist es so, dass man einem Admin natürlich bis zu einem Gewissen Grad vertrauen muss. Aber evtl. vertraut man dem einen Admin auch mehr als dem anderen, gewissen Aufgaben können dementsprechend strukturiert sein. Trotzdem muss und gibt es bereits Möglichkeiten wie bspw. HiCrypt die solche Anforderungen bereits ziemlich gut erfüllen.
Und um deren Alternativen geht es mir. Wie bereits gesagt. und um Nichts anderes.
Sicher kann ein Admin, welcher will, sehr sehr vieles in einer Infrastruktur. Aber es geht auch nicht darum immer 110% abzusichern, sondern eben 99,9%.
Und nur weil er Admin ist und einen entsprechenden Vertrag unterschrieben hat, der sagt, er darf nicht in Ordner \\pfad\x \z\y schauen, habe ich damit aus rechtlicher Sicht eben noch nicht alle Möglichen (technischen) Maßnahmen zum Schutz getroffen und ich muss die Daten trotzdem Verschlüsseln. Auch wenn aus NTFS Sicht nur Er und Ich darauf zugreifen könnten. Denn, es geht nicht nur um den Admin, sondern auch um andere potentielle Sicherheitslücken durch die Möglicherweise jemand Zugriff auf die unverschlüsselten/ungeschützten Daten erhalten könnte..
BTW: Sicher geht es hier auch in einem Gewissen Maß um "Gewissensberuhigung". Wenn einer wirklich will, wird er immer Irgendwie Mittel und Wege finden.. Aber darum soll es in dieser Diskussion nicht gehen.
LG, Manu
Das System ist ähnlich zu einem Schließsystem mit Schlüsselkreisen.
Über die Management Oberfläche kannst du Usern Keys zuteilen oder entziehen (z.B. Projekt 1, 2, 3,...). Wenn es erlaubt ist, kann der User aber auch eigene Keys generieren und damit Verschlüsseln.
Über die Management Oberfläche kannst du Usern Keys zuteilen oder entziehen (z.B. Projekt 1, 2, 3,...). Wenn es erlaubt ist, kann der User aber auch eigene Keys generieren und damit Verschlüsseln.
Hallo,
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Ich war vor kurzer Zeit in einer ähnlichen Situation, in einer relativ flachen Netzwerk-Umgebung sollten zwei Mitarbeiter auf Daten zugreifen können, auf die andere keinen Zugriff erhalten sollten. Das ganze sollte sich über ein Netzwerklaufwerk abspielen, auf welche ALLE Mitarbeiter Zugriff haben.
Durch eine Internetrecherche bin ich dann auf Veracrypt (https://www.veracrypt.fr/) gestoßen. Open-Source Software mit pre-compiled ausführbaren Versionen für unterschiedliche Plattformen.
Du kannst mit Veracrypt unterschiedliche Modi fahren, das geht von Verschlüsselung eines kompletten Laufwerks über einzelne Partitionen bis hin zum verschlüsselten Container.
In deinem speziellen Fall würde ich einen verschlüsselten Container auf die Netzwerkfreigabe geben und am Desktop des Users einen Hyperlink mit einem Mount einrichten, der den Container mit Doppelklick und Eingabe der Passphrase lokal einrichtet.
lG
Areanod
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Ich war vor kurzer Zeit in einer ähnlichen Situation, in einer relativ flachen Netzwerk-Umgebung sollten zwei Mitarbeiter auf Daten zugreifen können, auf die andere keinen Zugriff erhalten sollten. Das ganze sollte sich über ein Netzwerklaufwerk abspielen, auf welche ALLE Mitarbeiter Zugriff haben.
Durch eine Internetrecherche bin ich dann auf Veracrypt (https://www.veracrypt.fr/) gestoßen. Open-Source Software mit pre-compiled ausführbaren Versionen für unterschiedliche Plattformen.
Du kannst mit Veracrypt unterschiedliche Modi fahren, das geht von Verschlüsselung eines kompletten Laufwerks über einzelne Partitionen bis hin zum verschlüsselten Container.
In deinem speziellen Fall würde ich einen verschlüsselten Container auf die Netzwerkfreigabe geben und am Desktop des Users einen Hyperlink mit einem Mount einrichten, der den Container mit Doppelklick und Eingabe der Passphrase lokal einrichtet.
lG
Areanod
Zitat von @grill-it:
es geht nicht darum Zugriffe zu sperren, sondern darum Dateien zu verschlüsseln (das ist auch eine Datenschutzrechtliche Sache nach DSGVO!)
es geht nicht darum Zugriffe zu sperren, sondern darum Dateien zu verschlüsseln (das ist auch eine Datenschutzrechtliche Sache nach DSGVO!)
Sorry, aber die Aussage dass man firmeninterne Daten vor dem Zugriff durch einen Administrator verschlüsseln muss um die DSGVO einzuhalten ist quatsch.
Zitat von @areanod:
Hallo,
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Ich war vor kurzer Zeit in einer ähnlichen Situation, in einer relativ flachen Netzwerk-Umgebung sollten zwei Mitarbeiter auf Daten zugreifen können, auf die andere keinen Zugriff erhalten sollten. Das ganze sollte sich über ein Netzwerklaufwerk abspielen, auf welche ALLE Mitarbeiter Zugriff haben.
Durch eine Internetrecherche bin ich dann auf Veracrypt (https://www.veracrypt.fr/) gestoßen. Open-Source Software mit pre-compiled ausführbaren Versionen für unterschiedliche Plattformen.
Du kannst mit Veracrypt unterschiedliche Modi fahren, das geht von Verschlüsselung eines kompletten Laufwerks über einzelne Partitionen bis hin zum verschlüsselten Container.
In deinem speziellen Fall würde ich einen verschlüsselten Container auf die Netzwerkfreigabe geben und am Desktop des Users einen Hyperlink mit einem Mount einrichten, der den Container mit Doppelklick und Eingabe der Passphrase lokal einrichtet.
lG
Areanod
Hallo,
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Ich war vor kurzer Zeit in einer ähnlichen Situation, in einer relativ flachen Netzwerk-Umgebung sollten zwei Mitarbeiter auf Daten zugreifen können, auf die andere keinen Zugriff erhalten sollten. Das ganze sollte sich über ein Netzwerklaufwerk abspielen, auf welche ALLE Mitarbeiter Zugriff haben.
Durch eine Internetrecherche bin ich dann auf Veracrypt (https://www.veracrypt.fr/) gestoßen. Open-Source Software mit pre-compiled ausführbaren Versionen für unterschiedliche Plattformen.
Du kannst mit Veracrypt unterschiedliche Modi fahren, das geht von Verschlüsselung eines kompletten Laufwerks über einzelne Partitionen bis hin zum verschlüsselten Container.
In deinem speziellen Fall würde ich einen verschlüsselten Container auf die Netzwerkfreigabe geben und am Desktop des Users einen Hyperlink mit einem Mount einrichten, der den Container mit Doppelklick und Eingabe der Passphrase lokal einrichtet.
lG
Areanod
Selbst ein einfaches Tool wie Veracrypt muss man auch bedienen können. Und selbst hier kenne ich Fälle bei denen das gehörig schief gelaufen ist da sich die Leute einfach nicht auskannten.
Ich kann mich noch gut an den Fall in unserem Unternehmen erinnern in dem ein Vorgesetzter mit ausreichenden Berechtigungen um etwas auf dem Terminalserver zu installieren Veracrypt für sich als ganz tolles Tool gesehen hat und für sich selbst auf den Terminalserver installiert hat mit Container für seine Dateien.
Das nach dem Mounten des Containers nicht nur er, sondern jeder Nutzer des Terminalservers sein gemountetes Laufwerk sehen als auch darauf zugreifen konnte, hat er erst bemerkt nachdem ich ihm per Wink mit dem Zaunpfahl darauf aufmerksam gemacht habe.
Hallo,
wie sieht es denn aus mit dem Einsatz von EFS oder Bitlocker? Das sind doch Verschlüsselungstechnologien?
Wenn man dann dazu Privileged Access Management für Active Directory-Domänendienste nutzt, ist es zum einen verschlüsselt und man hat ein Werkzeug für den privilegierten Zugriff im Einsatz.
Gruss Penny
wie sieht es denn aus mit dem Einsatz von EFS oder Bitlocker? Das sind doch Verschlüsselungstechnologien?
Wenn man dann dazu Privileged Access Management für Active Directory-Domänendienste nutzt, ist es zum einen verschlüsselt und man hat ein Werkzeug für den privilegierten Zugriff im Einsatz.
Gruss Penny
Hi
Wie setzen
https://www.apsec.de/de/produkte/verschluesselung/datei-verschluesselung ...
Ein.
Ist nicht billig.
Läuft auf Windows Fileservern und du hast einen Token, sowie eine Software am Rechner.
Mit freundlichen Grüßen Nemesis
Wie setzen
https://www.apsec.de/de/produkte/verschluesselung/datei-verschluesselung ...
Ein.
Ist nicht billig.
Läuft auf Windows Fileservern und du hast einen Token, sowie eine Software am Rechner.
Mit freundlichen Grüßen Nemesis
Zitat von @Bem0815:
Selbst ein einfaches Tool wie Veracrypt muss man auch bedienen können. Und selbst hier kenne ich Fälle bei denen das gehörig schief gelaufen ist da sich die Leute einfach nicht auskannten.
Selbst ein einfaches Tool wie Veracrypt muss man auch bedienen können. Und selbst hier kenne ich Fälle bei denen das gehörig schief gelaufen ist da sich die Leute einfach nicht auskannten.
Naja, wenn der Administrator seine Sache gut macht muss der betreffende User nichts anderes mehr machen als ein Passwort einzutippen und OK zu drücken (oder Enter). Ich habe auch schon einige unfähige User gehabt, aber wirklich nur einen Arbeitsschritt auszuführen hat bis dato eigentlich jeder zusammengebracht.
Ich kann mich noch gut an den Fall in unserem Unternehmen erinnern in dem ein Vorgesetzter mit ausreichenden Berechtigungen um etwas auf dem Terminalserver zu installieren Veracrypt für sich als ganz tolles Tool gesehen hat und für sich selbst auf den Terminalserver installiert hat mit Container für seine Dateien.
Abgesehen von dem Tool Veracrypt, welchen Zusammenhang hat das mit der ursprünglichen Fragestellung? Es ging um die Möglichkeit Daten verschlüsselt auf einem Server abzulegen, von einer Remote-Maschine habe ich, auch nach nochmaligem Durchlesen, nichts gefunden.
lG
Zitat von @areanod:
Abgesehen von dem Tool Veracrypt, welchen Zusammenhang hat das mit der ursprünglichen Fragestellung? Es ging um die Möglichkeit Daten verschlüsselt auf einem Server abzulegen, von einer Remote-Maschine habe ich, auch nach nochmaligem Durchlesen, nichts gefunden.
Abgesehen von dem Tool Veracrypt, welchen Zusammenhang hat das mit der ursprünglichen Fragestellung? Es ging um die Möglichkeit Daten verschlüsselt auf einem Server abzulegen, von einer Remote-Maschine habe ich, auch nach nochmaligem Durchlesen, nichts gefunden.
Es war ein Beispiel und nicht 1:1 auf das Szenario vom OP bezogen.
Aber wenn du einen besseren Zusammenhang zum ganzen willst hätte ich dir diesen hier:
Zitat von @DerWoWusste:
Das Kennwort für den Container jedoch geben sie an einem PC ein, den ich administriere und dessen gemountete (Crypto-)Laufwerke ich jederzeit kopieren könnte. Wenn Du nun schreibst "gegen Keylogger helfen Sicherheitssoftware und/oder MFA", dann frage ich Dich: können die denn diese beiden Komponenten alleine administrieren? Oder soll ich das machen, gerade ich, der Admin, dem sie nicht trauen?
Das Kennwort für den Container jedoch geben sie an einem PC ein, den ich administriere und dessen gemountete (Crypto-)Laufwerke ich jederzeit kopieren könnte. Wenn Du nun schreibst "gegen Keylogger helfen Sicherheitssoftware und/oder MFA", dann frage ich Dich: können die denn diese beiden Komponenten alleine administrieren? Oder soll ich das machen, gerade ich, der Admin, dem sie nicht trauen?
Genau das schienen die User bei uns alleine eben nicht zu können.
Wenn Du nach einer Komponente suchst, die so einfach ist, das Personaler sie alleine administrieren können, dann wirst Du vermutlich irgendwann fündig werden, aber diese Komponente ist dann kaum noch leistungsfähig. Ich halte das für aussichtslos, werde aber die Diskussion weiter verfolgen. Nur bitte lass mal das "sinnfrei" hier weg, denn das ist es nicht.
Und du kommst de Fakto also wieder wie DerWoWusste schrieb bei einem Tool raus das dann wenig Leistungsfähig ist wenn du den Admin da komplett außen vor lässt.
Zitat von @Bem0815:
Es war ein Beispiel und nicht 1:1 auf das Szenario vom OP bezogen.
Aber wenn du einen besseren Zusammenhang zum ganzen willst hätte ich dir diesen hier:
Zitat von @areanod:
Abgesehen von dem Tool Veracrypt, welchen Zusammenhang hat das mit der ursprünglichen Fragestellung? Es ging um die Möglichkeit Daten verschlüsselt auf einem Server abzulegen, von einer Remote-Maschine habe ich, auch nach nochmaligem Durchlesen, nichts gefunden.
Abgesehen von dem Tool Veracrypt, welchen Zusammenhang hat das mit der ursprünglichen Fragestellung? Es ging um die Möglichkeit Daten verschlüsselt auf einem Server abzulegen, von einer Remote-Maschine habe ich, auch nach nochmaligem Durchlesen, nichts gefunden.
Es war ein Beispiel und nicht 1:1 auf das Szenario vom OP bezogen.
Aber wenn du einen besseren Zusammenhang zum ganzen willst hätte ich dir diesen hier:
Zitat von @DerWoWusste:
Das Kennwort für den Container jedoch geben sie an einem PC ein, den ich administriere und dessen gemountete (Crypto-)Laufwerke ich jederzeit kopieren könnte. Wenn Du nun schreibst "gegen Keylogger helfen Sicherheitssoftware und/oder MFA", dann frage ich Dich: können die denn diese beiden Komponenten alleine administrieren? Oder soll ich das machen, gerade ich, der Admin, dem sie nicht trauen?
Das Kennwort für den Container jedoch geben sie an einem PC ein, den ich administriere und dessen gemountete (Crypto-)Laufwerke ich jederzeit kopieren könnte. Wenn Du nun schreibst "gegen Keylogger helfen Sicherheitssoftware und/oder MFA", dann frage ich Dich: können die denn diese beiden Komponenten alleine administrieren? Oder soll ich das machen, gerade ich, der Admin, dem sie nicht trauen?
Mhhh, nein. Nicht zum Zitat von DerWoWusste sondern zu deinem Zusammenhang.
Ich habe explizit geschrieben, dass ich die Diskussion darum, was ein Admin darf oder nicht darf, nicht berühre und habe deswegen für den Anwendungsfall, ich zitiere mich selbst:
Zitat von @areanod:
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Ich gehe jetzt wirklich nur auf die spezifische Frage verschlüsselter Daten ein, ohne an der Diskussion, was Admins können und/oder dürfen oder eben nicht.
Und du kommst de Fakto also wieder wie DerWoWusste schrieb bei einem Tool raus das dann wenig Leistungsfähig ist wenn du den Admin da komplett außen vor lässt.
Mal ganz abgesehen davon, dass sich DerWoWusste auf die Diskussion "Administratoren können / dürfen / sollen (nicht)" bezogen hat und nicht das eigentlich Thema stimmt die Aussage einfach nicht.
Selbstverständlich werde ich in einer produktiven Umgebung, in der ich für IT-Sicherheit zuständig bin, einem User keine Administrationsrechte geben. Das heißt jedoch noch lange nicht, dass ich passende Software auf der Maschine des Users (als Administrator) installieren werde, die der User dann auch entsprechend nutzen kann.
Wenn ich das Beispiel von Veracrypt wieder her nehme kann ich dem User den Container einrichten, ich kann den Container verschlüsseln mit einer Dummy-Passphrase und ich kann nach Abschluss der Arbeiten dem User ein Drei-Klick-Tutorial erstellen (Aufwand max. 10 Minuten) in der er die Passphrase verändern kann.
Die Diskussion darüber, wie sehr man Administratoren vertrauen kann/darf oder nicht finde ich generell sehr abstrus, schließlich lässt man sich auch nicht vom Fahrer eines Autobusses Führerschein und Unfallstatistik zeigen... man vertraut darauf, dass er einen nicht gegen eine Wand sondern an das gewünschte Ziel fährt....
Du kannst da dem User sonst noch was einrichten.
Es hätte genauso gut sein können, dass der Administrator dem User Veracrypt installiert und den Container einrichtet und trotzdem wäre der Container dann für alle auf dem Terminalserver sichtbar gewesen. Wenn das nicht ausreichend vorher getestet worden wäre.
Ich wollte damit nur grundsätzlich sagen, dass bei der Verwendung solcher Tools ohne dauerhafte Unterstützung durch einen Administrator schnell mal was nach hinten losgehen kann. Das hätte aber auch einem Admin beim einrichten nicht auffallen können. Nur der hätte das sicher danach schnell bemerkt.
Der User bei uns hat das gar nicht mitbekommen. Da ich zeitgleich im Urlaub war, konnten andere theoretisch mehrere Tage lang auf den Container zugreifen.
Und da wir zwei auch nicht wissen ob OP vielleicht ja einen Terminalserver hat und das ganze evtl. darauf installieren möchte war die Warnung also meiner Meinung nach dennoch sinnvoll.
Wo also ist dein Problem?
Ich hab mit meinem Kommentar zu Veracrypt auch nicht mal aussagen wollen, dass es nicht auch ohne Admin geht. Nur dass man mit solchen Tools auch aufpassen sollte. Du scheinst mir hier also Worte in den Mund legen zu wollen die ich so gar nicht gesagt habe.
Es hätte genauso gut sein können, dass der Administrator dem User Veracrypt installiert und den Container einrichtet und trotzdem wäre der Container dann für alle auf dem Terminalserver sichtbar gewesen. Wenn das nicht ausreichend vorher getestet worden wäre.
Ich wollte damit nur grundsätzlich sagen, dass bei der Verwendung solcher Tools ohne dauerhafte Unterstützung durch einen Administrator schnell mal was nach hinten losgehen kann. Das hätte aber auch einem Admin beim einrichten nicht auffallen können. Nur der hätte das sicher danach schnell bemerkt.
Der User bei uns hat das gar nicht mitbekommen. Da ich zeitgleich im Urlaub war, konnten andere theoretisch mehrere Tage lang auf den Container zugreifen.
Und da wir zwei auch nicht wissen ob OP vielleicht ja einen Terminalserver hat und das ganze evtl. darauf installieren möchte war die Warnung also meiner Meinung nach dennoch sinnvoll.
Wo also ist dein Problem?
Ich hab mit meinem Kommentar zu Veracrypt auch nicht mal aussagen wollen, dass es nicht auch ohne Admin geht. Nur dass man mit solchen Tools auch aufpassen sollte. Du scheinst mir hier also Worte in den Mund legen zu wollen die ich so gar nicht gesagt habe.
Im Bezug auf deinen Kommentar oder generell? ;)
Mein Problem war, dass ich meinen Kommentar explizit aus der Diskussion, was ein Admin kann oder darf ausgeklinkt habe und der erste Kommentar darunter (deiner) meinen Kommentar zur originalen Problemstellung (verschlüsselte Daten auf einem Netzwerklaufwerk) mit genau dieser Diskussion vermischt hat (Terminalserver und jeder hatte Zugriff auf die Daten) und damit suggeriert hat, dass die Information schlecht oder falsch ist, was einfach nicht gestimmt hat.
Ich weiß schon, dass es aufgrund des Aufbaus dieser Seite so aussieht, als hätte jeder auf das Post des Vorgängers geantwortet, nur habe ich bewusst explizit auf die ursprüngliche Frage von grill-it geantwortet, um eben NICHT an der Diskussion teilzunehmen.
Und ja, mir ist die Ironie, nicht an der Diskussion teilzunehmen und sie dann doch zu kommentieren, durchaus bewusst....
Mein Problem war, dass ich meinen Kommentar explizit aus der Diskussion, was ein Admin kann oder darf ausgeklinkt habe und der erste Kommentar darunter (deiner) meinen Kommentar zur originalen Problemstellung (verschlüsselte Daten auf einem Netzwerklaufwerk) mit genau dieser Diskussion vermischt hat (Terminalserver und jeder hatte Zugriff auf die Daten) und damit suggeriert hat, dass die Information schlecht oder falsch ist, was einfach nicht gestimmt hat.
Ich weiß schon, dass es aufgrund des Aufbaus dieser Seite so aussieht, als hätte jeder auf das Post des Vorgängers geantwortet, nur habe ich bewusst explizit auf die ursprüngliche Frage von grill-it geantwortet, um eben NICHT an der Diskussion teilzunehmen.
Ich hab mit meinem Kommentar zu Veracrypt auch nicht mal aussagen wollen, dass es nicht auch ohne Admin geht. Nur dass man mit solchen Tools auch aufpassen sollte. Du scheinst mir hier also Worte in den Mund legen zu wollen die ich so gar nicht gesagt habe.
Nein, das hast du falsch verstanden. Meine Aussagen am Schluss zum Thema "Administrator kann/darf/soll (nicht)" bezog sich nicht auf deinen Kommentar sondern die allgemeine Diskussion.Und ja, mir ist die Ironie, nicht an der Diskussion teilzunehmen und sie dann doch zu kommentieren, durchaus bewusst....
Zitat von @nEmEsIs:
Hi
Wie setzen
https://www.apsec.de/de/produkte/verschluesselung/datei-verschluesselung ...
Ein.
Ist nicht billig.
Läuft auf Windows Fileservern und du hast einen Token, sowie eine Software am Rechner.
Mit freundlichen Grüßen Nemesis
Hi
Wie setzen
https://www.apsec.de/de/produkte/verschluesselung/datei-verschluesselung ...
Ein.
Ist nicht billig.
Läuft auf Windows Fileservern und du hast einen Token, sowie eine Software am Rechner.
Mit freundlichen Grüßen Nemesis
Haben wir auch im Einsatz. Und mit dem internen Audit-Protokoll von FideAS wird auch der DSGVO Rechnung getragen. Kann es empfehlen.
Moin,
Danke, das sieht erstmal vernünftig aus.
LG, Manu
Danke, das sieht erstmal vernünftig aus.
LG, Manu
