Onedrive, Dropbox, Google Drive und Co. sperren?

Hallo,

wir haben folgendes Problem: die oben gennannten Cloud-Storages.

Die wollen wir für Mitarbeiter sperren, damit kein Wildwuchs entsteht, was wo gespeichert ist und v.a. niemand betriebsinterne Daten da draufkopiert.

Offizielle Downloads sollen aber sehr wohl angeboten werden, d.h. ein Sperren der Domains auf der Firewall kommt nicht in Frage.

Lassen sich daher irgendwie diese Sperren für ausgewählte Accounts setzen und für andere freischalten?

Clients sind dabei Windows 10 Enterprise.

LG,
holliknolli

Please also mark the comments that contributed to the solution of the article

Content-Key: 495318

Url: https://administrator.de/contentid/495318

Printed on: April 16, 2024 at 06:04 o'clock

10 Comments

Latest comment

Jede NGFW mit Application Control sollte die Richtung erkennen können. Ansonsten gibt es noch für Hochsicherheitsnetzwerke Datendioden, aber das wäre sicher weit übers Ziel hinaus.

Mir fällt jetzt gerade nur kein Dienst ein, der offizielle Downloads über Cloudspeicher anbietet. Wenn sind das nur Privatpersonen und unfähige Kleinstklitschen.

Hi
Du kannst nur für alle Sperren oder für alle Freigeben.
Wenn jemand ein Privaten Account hat kann er sich ebenso Anmelden wie mit dem Firmenaccount.
Du kannst aber ggfs eine eigene Cloud zb Nextcloud machen und darüber eure Firmendaten Verwalten.
Aber selbst mit einen Firmenaccount kann ein Mitarbeiter Daten Freigeben und Privat Runterladen da du ja vorher nie Unterscheiden kannst ob es Geschäftlich ist oder Missbraucht wird...
Mit einer Privaten Cloud hast du nur mehr Kontrolle und Logfiles (Datenschutz) Wer wann was wo Erstellt/Download hat...

Geht sehr einfach und schnell über IP Access Listen auf Router oder Firewall. Z.B.:
https://support.symantec.com/us/en/article.TECH245193.html
Oder über einen DNS Proxy wie z.B. PiHole diese DNS Namen auf die Blacklist setzen !
Raspberry Pi Zero W als Pi-hole Adblocker

Moin,

Offizielle Downloads sollen aber sehr wohl angeboten werden, d.h. ein Sperren der Domains auf der Firewall kommt nicht in Frage.

Ist wie wenn ich sage, ich möchte von Berlin nach München mit dem Auto fahren, aber nicht tanken. Aus meiner Sicht sind euere Planungen nicht zu Ende gedacht.

@aqui

Geht sehr einfach und schnell über IP Access Listen auf Router oder Firewall. Z.B.:
https://support.symantec.com/us/en/article.TECH245193.html

Das kann man machen, wenn man einen Praktikanten hat. Da wirst du dank CDN nicht mit anlegen/ändern/löschen von IP-Adressen fertig.

@tikayevent

Jede NGFW mit Application Control sollte die Richtung erkennen können. Ansonsten gibt es noch für Hochsicherheitsnetzwerke Datendioden, aber das wäre sicher weit übers Ziel hinaus.

Das musst du uns bzw. mir etwas genauer erklären. Wie soll die Application Control erkennen, ob es ein Upload oder Downlad ist? Der Verbindungsaufbau scheidet aus, da dieser immer initial vom Rechner ausgeht.

Gruß,
Dani

Lösungsweg: IP basiert Zugriff von den normalen Clients auf alle Cloudlaufwerke sperren. Einen Terminalserver bereitstellen, auf dem der Cloudlaufwerkzugriff erlaubt ist, der aber keinen Zugriff auf die normalen Netzlaufwerke hat, sondern nur auf ein internes Austausch-Laufwerk, auf das nur ein begrenzter Benutzerkreis schreiben kann.

So lässt es sich zwar nicht gänzlich verhindern, aber der Nutzerkreis erheblich einschränken.

Desweiteren sollte regelmäßig (stündlich?) protokolliert werden, was auf dem Austauschlaufwerk liegt, und mit etwas größerem Abstand Dateien die älter als X Stunden sind, wieder gelöscht werden. So wird der Transfer von/zu den Cloudlaufwerken stark erschwert, wäre aber nicht unmöglich, und auf eine vertrauenswürdige Benutzergruppe (z.B. Abteilungsleiter?) beschränkt.

Oder eine eigene Owncloud, auf die per Einladung von Außen Sachen hoch- oder runtergeladen werden.

@Dani

Da das fast alles über HTTPS läuft, kann man hier einfach anhand des Verbs unterscheiden. Download ist GET, Upload muss POST oder PUT sein. Die Fortinet Application Control hat entsprechende Signaturen enthalten.

@tikayevent

Da das fast alles über HTTPS läuft, kann man hier einfach anhand des Verbs unterscheiden. Download ist GET, Upload muss POST oder PUT sein. Die Fortinet Application Control hat entsprechende Signaturen enthalten.

D.h. ihr brecht die SSL-Verschlüsselung (SSL Inception) an der Firewall auf? Weil sonst siehst du innerhalb einer Verbindung ja nicht, was der Benutzer gerade anfordert?!

Ja, ohne geht es nicht.

Ohne sieht man mit etwas Glück HTTPS, vermutlich aber nur Datenkompost mit Ziel tcp/443.

Moin,

Ja, ohne geht es nicht.

schon interessant, wie Datenschützer das selbe Thema unterschiedlich bewerten. Wir arbeiten schon mehrere Jahre sowohl technisch, organisatorisch und administrativ daran, dies umgesetzt zu bekommen. Mit der EU-DSGVO wurde das Thema seitens Datenschutz und Gewerkschaft bis auf weiteres auf Eis gelegt. Es geht zwar weitestgehend am Thema vorbei, aber mit welchen Argumenten und Komprissen habt ihr die Funktion durchgedrückt bekommen?

Gruß,
Dani

In unseren Filialen gibt es eh keine Internetnutzung sondern nur ein paar Seiten in der Whitelist, dazu keine Möglichkeit, irgendeinen Benutzer zuzuordnen. Unsere Filialen arbeiten alle mit dem gleichen lokalen Benutzer. Sprich wir sehen nur die IP des Rechners und an diesem können 20 Personen dran gewesen sein. In der Verwaltung hat sich da keiner dran gestört, die entsprechenden Personen haben da noch nicht mal nachgefragt.

Da es ja auch vollautomatisiert läuft, wir keinen Einblick in die Inhalte nehmen können und die Personen doch ihren Privat### bitte zuhause machen sollen, sehen wir aktuell auch keinen Grund, es zu ändern.

Im Zweifelsfall beziehen wir uns auf den Bestandsschutz, war schon sechs Jahre vor der Machtübernahme durch die Datenschutz###s da.

German Question Data privacy Security