yd20152015
Goto Top

OnTheFly Verschluesselung von Ordnern oder Dateien auf Netzlaufwerk?

Hallo, ich muss eine Möglichkeit finden, Dateien auf Netzlaufwerken durch Verschlüsselung zu schützen.
Idealerweise sollte die einmalige Eingabe eines Kennworts auf der Arbeitsstation genügen, um alle betroffenen Dateien öffnen zu können. (Oder per Zertifikat?)
Auch unter gestörten Verbindungen sollten dabei keine Dateien zerstört werden (Beispiel Mobil).

Vielleicht nutzbar für mehrere Anwender mit unterschiedlichen Kennwörtern (Zertifikaten), die auch zurückgezogen werden können?
Mit welchen Tool könnte ich so etwas realisieren? Es soll möglichst nichts auf den Platten der Netzlaufwerke installiert werden.

Ich denke, wegen der möglichen Verteilung der zu verschlüsselnden Dateien in verschiedenen Verzeichnissen, geht dies nicht über die Analge eines "Containers".

Hat jemand dazu Praxiserfahrung? Danke für Eure Ideen.

20152015

Content-ID: 315066

Url: https://administrator.de/forum/onthefly-verschluesselung-von-ordnern-oder-dateien-auf-netzlaufwerk-315066.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

Voiper
Voiper 12.09.2016 um 14:04:59 Uhr
Goto Top
Du kannst doch ganze Partitionen verschlüsseln und bei Zugriff entsperren. Ob das nun mit Passwort, Zertifikat oder Key passiert, ist dabei Dir überlassen. Als Beispiel wäre VeraCrypt zu nennen.

Gruß, LB
129813
129813 12.09.2016 aktualisiert um 14:26:03 Uhr
Goto Top
MS has a solution: Workfolders with efs encryption for local cached data:
https://blogs.technet.microsoft.com/filecab/2015/08/20/work-folders-encr ...

Regards
DerWoWusste
DerWoWusste 12.09.2016 um 14:38:44 Uhr
Goto Top
Hi.

Und warum nutzt Du nicht Vollverschlüsselung (z.B. Bitlocker) am Server selbst?
Chonta
Chonta 12.09.2016 um 14:48:19 Uhr
Goto Top
Hallo,

was genau willst Du erreichn mit der Verschlüsselung?
Wie soll der Zugriff abgesichert sein?

Wenn die Serverplatten verschlüsselt sind, sind die Daten verschlüsselt, aber die verschlüsselung hilft nur wenn jemand den Server aus macht und den Server oder die Platten klaut, denn ohne Key keine Entschlüsselung der Daten.

Solange der Server die Daten bereitstellt, kann jeder der Zugriff hat die Dateien einfach auf ein anderes Speichermediup kopieren oder Per Mail verschicken und dann sind die Dateien nicht gesichert.

Wenn Du so eine Funktionalität willst die z.B. MEGA bietet mit der Verschlüsselung der Dateien auf dem Server, ist das aber kein normales netzlaufwerk.
Abhängig vom System kann ggf nextcloud verwendet werden um einen eigenen Dienst bereitzustellen.


Gruß

Chonta
chrisst84
chrisst84 12.09.2016 um 15:39:26 Uhr
Goto Top
Da fällt mir zum einen ein Domaincontroller ein mit dem man Zugriffsrechte noch strickter differenzieren kann (Preisfrage), oder vielleicht günstiger = eine VServerimplementierung mit Zugriffsrechten.
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?

Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?
Voiper
Voiper 12.09.2016 um 17:54:23 Uhr
Goto Top
Zitat von @chrisst84:

Da fällt mir zum einen ein Domaincontroller ein mit dem man Zugriffsrechte noch strickter differenzieren kann (Preisfrage), oder vielleicht günstiger = eine VServerimplementierung mit Zugriffsrechten.
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?

Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?


Was hat denn das mit der Verschlüsselung zu tun?
chrisst84
chrisst84 13.09.2016 um 08:10:50 Uhr
Goto Top
Zitat von @Voiper:
Was hat denn das mit der Verschlüsselung zu tun?


Grundsätzlich erstmal nichts. Diente als Gedankenanstoß. Irgendwo müssen die gewollten "Zertifikate" ja auch implementiert werden.
Allerdings ist die Frage der gewollten Verschlüsselung, quasi Online-Verschlüsselung, immer noch nicht geklärt.
Chonta
Chonta 13.09.2016 um 08:17:15 Uhr
Goto Top
Allerdings ist die Frage der gewollten Verschlüsselung, quasi Online-Verschlüsselung, immer noch nicht geklärt.
Die kann auch erst geklärt werden, wenn der TO sagt was genau erreicht werden soll und wozu das ganze da ist.
Nachdem was er geschieben hat, das er will, kommt er mit einem Fileserver nicht weit.

Gruß

Chonta
yd20152015
yd20152015 13.09.2016 um 12:14:39 Uhr
Goto Top
Hallo, ich muss das wohl deutlicher erklären.
Auf "der" Serverplatte des Fileservers befinden sich diverse Verzeichnisse als Netzfreigaben. Die Benutzer mappen die Verzeichnisse mit Hilfe eines Skripts und erhalten Zugriff über Ihre Gruppenzugehörigkeit (Active Directory).
Also kann nicht die ganze Platte verschlüsselt werden. Auch das Anlegen von verschlüsselten Partitionen ist im Moment keine Option. Ein Umgestaltung der Server ist nicht möglich.
Es gibt Personen mit Adminrechten, die beispielsweise die Festplatten oder Verzeichnisse aufräumen und so Einblick in sensible Daten der Geschäftsleitung erlangen könnten. Quasi eine Selbstaussperrung auch für mich. Selbst eine einfache Überwachung der Verzeichnisgrößen zieht ja oft die Verschaffung von Zugriffsrechten nach sich.

Meine Idee dazu war, einen zusätzlichen Schutz mit einer Verschlüsselung auf ausgewählte Verzeichnisse (Beispiel Gehaltsabrechnungen) oder Dateien über eine Verschlüsselung zu realisieren. Ein Arbeit mit den Dateien soll auch Admins möglich sein, jedoch nicht der Einblick in deren Inhalt.

Gruß
20152015
DerWoWusste
DerWoWusste 13.09.2016 um 12:49:15 Uhr
Goto Top
Hi.

Also... wenn ein Admin an den Inhalt der verschlüsselten Container ran möchte, dann findet er einen Weg, das Kennwort dafür mitzuloggen (Keylogger am Mitarbeiter-PC). Aber, wie das passenden Argument dazu lautet, dazu ist "schon erhebliche (?) kriminelle Energie nötig". Naja... ich sage dazu mal nichts. Wenn Du jedoch mal bedenkst, dass es nun bei Schlüsselverlust keine Backups der Daten mehr gibt, wird dein Konzept schnell zur Gefahr. Ich würde stark davon abraten. Lass den Admin Admin sein. Keiner sonst kann an die Dokumente auf den Freigaben anderer Gruppen.
Chonta
Chonta 13.09.2016 um 13:16:36 Uhr
Goto Top
Wenn man den Admins nicht vertraut hat man eh verloren.
Wenn die einzelnen Benutzer Soooo sensible Daten haben, dann könnten die z.B. mit Veracrypt Conteiner anlegen, die auf dem Fileserver liegen und bei sich diese Kontainer als Laufwerk mappen.

ABER sobald die als Laufwerk gemapt sind, kann der Admin mit \\rechner\laufwersbuchstabe$ auch drauf.

Also kann nicht die ganze Platte verschlüsselt werden.
Doch kann sie, weil wenn die verschlüsselte Platte im Server gemountet ist, sind die Daten für alle die drauf zugreifen können eben unverschlüsselt.
Festplattenverschlüsselung schützt die Daten NUR vor Diebstal der Platte.

Gruß

Chonta
Voiper
Voiper 13.09.2016 um 16:02:16 Uhr
Goto Top
Ich würde vorschlagen, das du Dir mit der GL ein Dokument bastelst, das du unterschreibst (Datenverarbeitung) und Dir dann einfach die Rechte auf das Laufwerk wegnimmst. Lege stattdessen einen allgemeinen Adminaccount an, gib diesem die Rechte und das Thema ist in der Theorie gelöst.

Gruß, LB
mustangdriver
mustangdriver 15.09.2016 aktualisiert um 11:18:52 Uhr
Goto Top
Ich kenne von egosecure eine gute Verschlüsselung für lokale Ordner und Netzwerk Ordner.
Läuft sehr stabil und richtet sich nach Windows bzw. AD/LDAP Benutzer für die Zuordnung der Firmen-, Gruppen- oder Benutzerschlüssel.
Dadurch muss man sich nicht nochmal irgendwo anmelden oder Passwort eingeben.
Die Verschlüsselung läuft automatisch im Hintergrund, also muss man auch keine weitere Anwendung zum Ver- und Entschlüsseln öffnen.
Der File Server ist egal, ob es Windows oder Unix ist. Die Daten werden clientbasiert verschlüsselt.

Schau dir mal die Video's auf Youtube an:
Lokale Ordner: https://www.youtube.com/watch?v=lMOS0hUj59E
Netzwerk Ordner: https://www.youtube.com/watch?v=2EdR2eYkxeM

Ich hoffe ich konnte dir weiterhelfen.
DerWoWusste
DerWoWusste 15.09.2016 um 11:24:47 Uhr
Goto Top
Gestatte die Frage: warum sollte man dafür nicht EFS nutzen, wo's doch schon eingebaut ist?
yd20152015
yd20152015 20.09.2016 um 10:46:54 Uhr
Goto Top
WOW - das liest sich gut, verschlüsselt einzelne Verzeichnisse oder Dateien, Prozess findet aus dem Client statt und erfordert keine Benutzereingaben. Das liest sich gut - Testdownload habe ich gerade gestartet.

Insgesamt war ich bis hierher durch Eure hilfreichen Kommentare nun sehr verunsichert und wollte schon empfehlen auf die Verschlüsselung zu verzichten. Jedoch verstehe ich, dass die Geschäftsleitung einfach besondere Daten ganz besonders schützen möchte.
yd20152015
yd20152015 20.09.2016 um 11:09:32 Uhr
Goto Top
Dank, habe bisher keine Erfahrungen mit EFS gesammelt (=keineAhnung). Ich lese mich mal ein, eventuell ist der Aufwand zu hoch...
129813
129813 20.09.2016 aktualisiert um 11:13:07 Uhr
Goto Top
Zitat von @yd20152015:
Dank, habe bisher keine Erfahrungen mit EFS gesammelt (=keineAhnung). Ich lese mich mal ein, eventuell ist der Aufwand zu hoch...
If you have an AD and a CA, and the user wants to use EFS the first time, a certificate is requested automatically and also saved directly in AD. It's automagical face-smile
I already mentioned EFS in my first post!