17
OnTheFly Verschluesselung von Ordnern oder Dateien auf Netzlaufwerk?
Hallo, ich muss eine Möglichkeit finden, Dateien auf Netzlaufwerken durch Verschlüsselung zu schützen.
Idealerweise sollte die einmalige Eingabe eines Kennworts auf der Arbeitsstation genügen, um alle betroffenen Dateien öffnen zu können. (Oder per Zertifikat?)
Auch unter gestörten Verbindungen sollten dabei keine Dateien zerstört werden (Beispiel Mobil).
Vielleicht nutzbar für mehrere Anwender mit unterschiedlichen Kennwörtern (Zertifikaten), die auch zurückgezogen werden können?
Mit welchen Tool könnte ich so etwas realisieren? Es soll möglichst nichts auf den Platten der Netzlaufwerke installiert werden.
Ich denke, wegen der möglichen Verteilung der zu verschlüsselnden Dateien in verschiedenen Verzeichnissen, geht dies nicht über die Analge eines "Containers".
Hat jemand dazu Praxiserfahrung? Danke für Eure Ideen.
20152015
Idealerweise sollte die einmalige Eingabe eines Kennworts auf der Arbeitsstation genügen, um alle betroffenen Dateien öffnen zu können. (Oder per Zertifikat?)
Auch unter gestörten Verbindungen sollten dabei keine Dateien zerstört werden (Beispiel Mobil).
Vielleicht nutzbar für mehrere Anwender mit unterschiedlichen Kennwörtern (Zertifikaten), die auch zurückgezogen werden können?
Mit welchen Tool könnte ich so etwas realisieren? Es soll möglichst nichts auf den Platten der Netzlaufwerke installiert werden.
Ich denke, wegen der möglichen Verteilung der zu verschlüsselnden Dateien in verschiedenen Verzeichnissen, geht dies nicht über die Analge eines "Containers".
Hat jemand dazu Praxiserfahrung? Danke für Eure Ideen.
20152015
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315066
Url: https://administrator.de/contentid/315066
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Du kannst doch ganze Partitionen verschlüsseln und bei Zugriff entsperren. Ob das nun mit Passwort, Zertifikat oder Key passiert, ist dabei Dir überlassen. Als Beispiel wäre VeraCrypt zu nennen.
Gruß, LB
Gruß, LB
MS has a solution: Workfolders with efs encryption for local cached data:
https://blogs.technet.microsoft.com/filecab/2015/08/20/work-folders-encr ...
Regards
https://blogs.technet.microsoft.com/filecab/2015/08/20/work-folders-encr ...
Regards
Hi.
Und warum nutzt Du nicht Vollverschlüsselung (z.B. Bitlocker) am Server selbst?
Und warum nutzt Du nicht Vollverschlüsselung (z.B. Bitlocker) am Server selbst?
1
Hallo,
was genau willst Du erreichn mit der Verschlüsselung?
Wie soll der Zugriff abgesichert sein?
Wenn die Serverplatten verschlüsselt sind, sind die Daten verschlüsselt, aber die verschlüsselung hilft nur wenn jemand den Server aus macht und den Server oder die Platten klaut, denn ohne Key keine Entschlüsselung der Daten.
Solange der Server die Daten bereitstellt, kann jeder der Zugriff hat die Dateien einfach auf ein anderes Speichermediup kopieren oder Per Mail verschicken und dann sind die Dateien nicht gesichert.
Wenn Du so eine Funktionalität willst die z.B. MEGA bietet mit der Verschlüsselung der Dateien auf dem Server, ist das aber kein normales netzlaufwerk.
Abhängig vom System kann ggf nextcloud verwendet werden um einen eigenen Dienst bereitzustellen.
Gruß
Chonta
was genau willst Du erreichn mit der Verschlüsselung?
Wie soll der Zugriff abgesichert sein?
Wenn die Serverplatten verschlüsselt sind, sind die Daten verschlüsselt, aber die verschlüsselung hilft nur wenn jemand den Server aus macht und den Server oder die Platten klaut, denn ohne Key keine Entschlüsselung der Daten.
Solange der Server die Daten bereitstellt, kann jeder der Zugriff hat die Dateien einfach auf ein anderes Speichermediup kopieren oder Per Mail verschicken und dann sind die Dateien nicht gesichert.
Wenn Du so eine Funktionalität willst die z.B. MEGA bietet mit der Verschlüsselung der Dateien auf dem Server, ist das aber kein normales netzlaufwerk.
Abhängig vom System kann ggf nextcloud verwendet werden um einen eigenen Dienst bereitzustellen.
Gruß
Chonta
Da fällt mir zum einen ein Domaincontroller ein mit dem man Zugriffsrechte noch strickter differenzieren kann (Preisfrage), oder vielleicht günstiger = eine VServerimplementierung mit Zugriffsrechten.
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?
Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?
Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?
Zitat von @chrisst84:
Da fällt mir zum einen ein Domaincontroller ein mit dem man Zugriffsrechte noch strickter differenzieren kann (Preisfrage), oder vielleicht günstiger = eine VServerimplementierung mit Zugriffsrechten.
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?
Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?
Da fällt mir zum einen ein Domaincontroller ein mit dem man Zugriffsrechte noch strickter differenzieren kann (Preisfrage), oder vielleicht günstiger = eine VServerimplementierung mit Zugriffsrechten.
Stellt sich noch die Frage: Soll nur Drag & Drop stattfinden oder auch eine online-Bearbeitung?
Den Zugang zum VServer möglicherweise über VNC Client als Admin und Anbindung zu den Clients als gemeinsame Cloudlösung. Sowas wie Owncloud auf einem zusätzlich gesicherten VServer?
Was hat denn das mit der Verschlüsselung zu tun?
Grundsätzlich erstmal nichts. Diente als Gedankenanstoß. Irgendwo müssen die gewollten "Zertifikate" ja auch implementiert werden.
Allerdings ist die Frage der gewollten Verschlüsselung, quasi Online-Verschlüsselung, immer noch nicht geklärt.
Allerdings ist die Frage der gewollten Verschlüsselung, quasi Online-Verschlüsselung, immer noch nicht geklärt.
Die kann auch erst geklärt werden, wenn der TO sagt was genau erreicht werden soll und wozu das ganze da ist.Nachdem was er geschieben hat, das er will, kommt er mit einem Fileserver nicht weit.
Gruß
Chonta
Hallo, ich muss das wohl deutlicher erklären.
Auf "der" Serverplatte des Fileservers befinden sich diverse Verzeichnisse als Netzfreigaben. Die Benutzer mappen die Verzeichnisse mit Hilfe eines Skripts und erhalten Zugriff über Ihre Gruppenzugehörigkeit (Active Directory).
Also kann nicht die ganze Platte verschlüsselt werden. Auch das Anlegen von verschlüsselten Partitionen ist im Moment keine Option. Ein Umgestaltung der Server ist nicht möglich.
Es gibt Personen mit Adminrechten, die beispielsweise die Festplatten oder Verzeichnisse aufräumen und so Einblick in sensible Daten der Geschäftsleitung erlangen könnten. Quasi eine Selbstaussperrung auch für mich. Selbst eine einfache Überwachung der Verzeichnisgrößen zieht ja oft die Verschaffung von Zugriffsrechten nach sich.
Meine Idee dazu war, einen zusätzlichen Schutz mit einer Verschlüsselung auf ausgewählte Verzeichnisse (Beispiel Gehaltsabrechnungen) oder Dateien über eine Verschlüsselung zu realisieren. Ein Arbeit mit den Dateien soll auch Admins möglich sein, jedoch nicht der Einblick in deren Inhalt.
Gruß
20152015
Auf "der" Serverplatte des Fileservers befinden sich diverse Verzeichnisse als Netzfreigaben. Die Benutzer mappen die Verzeichnisse mit Hilfe eines Skripts und erhalten Zugriff über Ihre Gruppenzugehörigkeit (Active Directory).
Also kann nicht die ganze Platte verschlüsselt werden. Auch das Anlegen von verschlüsselten Partitionen ist im Moment keine Option. Ein Umgestaltung der Server ist nicht möglich.
Es gibt Personen mit Adminrechten, die beispielsweise die Festplatten oder Verzeichnisse aufräumen und so Einblick in sensible Daten der Geschäftsleitung erlangen könnten. Quasi eine Selbstaussperrung auch für mich. Selbst eine einfache Überwachung der Verzeichnisgrößen zieht ja oft die Verschaffung von Zugriffsrechten nach sich.
Meine Idee dazu war, einen zusätzlichen Schutz mit einer Verschlüsselung auf ausgewählte Verzeichnisse (Beispiel Gehaltsabrechnungen) oder Dateien über eine Verschlüsselung zu realisieren. Ein Arbeit mit den Dateien soll auch Admins möglich sein, jedoch nicht der Einblick in deren Inhalt.
Gruß
20152015
Hi.
Also... wenn ein Admin an den Inhalt der verschlüsselten Container ran möchte, dann findet er einen Weg, das Kennwort dafür mitzuloggen (Keylogger am Mitarbeiter-PC). Aber, wie das passenden Argument dazu lautet, dazu ist "schon erhebliche (?) kriminelle Energie nötig". Naja... ich sage dazu mal nichts. Wenn Du jedoch mal bedenkst, dass es nun bei Schlüsselverlust keine Backups der Daten mehr gibt, wird dein Konzept schnell zur Gefahr. Ich würde stark davon abraten. Lass den Admin Admin sein. Keiner sonst kann an die Dokumente auf den Freigaben anderer Gruppen.
Also... wenn ein Admin an den Inhalt der verschlüsselten Container ran möchte, dann findet er einen Weg, das Kennwort dafür mitzuloggen (Keylogger am Mitarbeiter-PC). Aber, wie das passenden Argument dazu lautet, dazu ist "schon erhebliche (?) kriminelle Energie nötig". Naja... ich sage dazu mal nichts. Wenn Du jedoch mal bedenkst, dass es nun bei Schlüsselverlust keine Backups der Daten mehr gibt, wird dein Konzept schnell zur Gefahr. Ich würde stark davon abraten. Lass den Admin Admin sein. Keiner sonst kann an die Dokumente auf den Freigaben anderer Gruppen.
Wenn man den Admins nicht vertraut hat man eh verloren.
Wenn die einzelnen Benutzer Soooo sensible Daten haben, dann könnten die z.B. mit Veracrypt Conteiner anlegen, die auf dem Fileserver liegen und bei sich diese Kontainer als Laufwerk mappen.
ABER sobald die als Laufwerk gemapt sind, kann der Admin mit \\rechner\laufwersbuchstabe$ auch drauf.
Festplattenverschlüsselung schützt die Daten NUR vor Diebstal der Platte.
Gruß
Chonta
Wenn die einzelnen Benutzer Soooo sensible Daten haben, dann könnten die z.B. mit Veracrypt Conteiner anlegen, die auf dem Fileserver liegen und bei sich diese Kontainer als Laufwerk mappen.
ABER sobald die als Laufwerk gemapt sind, kann der Admin mit \\rechner\laufwersbuchstabe$ auch drauf.
Also kann nicht die ganze Platte verschlüsselt werden.
Doch kann sie, weil wenn die verschlüsselte Platte im Server gemountet ist, sind die Daten für alle die drauf zugreifen können eben unverschlüsselt.Festplattenverschlüsselung schützt die Daten NUR vor Diebstal der Platte.
Gruß
Chonta
Ich würde vorschlagen, das du Dir mit der GL ein Dokument bastelst, das du unterschreibst (Datenverarbeitung) und Dir dann einfach die Rechte auf das Laufwerk wegnimmst. Lege stattdessen einen allgemeinen Adminaccount an, gib diesem die Rechte und das Thema ist in der Theorie gelöst.
Gruß, LB
Gruß, LB
Ich kenne von egosecure eine gute Verschlüsselung für lokale Ordner und Netzwerk Ordner.
Läuft sehr stabil und richtet sich nach Windows bzw. AD/LDAP Benutzer für die Zuordnung der Firmen-, Gruppen- oder Benutzerschlüssel.
Dadurch muss man sich nicht nochmal irgendwo anmelden oder Passwort eingeben.
Die Verschlüsselung läuft automatisch im Hintergrund, also muss man auch keine weitere Anwendung zum Ver- und Entschlüsseln öffnen.
Der File Server ist egal, ob es Windows oder Unix ist. Die Daten werden clientbasiert verschlüsselt.
Schau dir mal die Video's auf Youtube an:
Lokale Ordner: https://www.youtube.com/watch?v=lMOS0hUj59E
Netzwerk Ordner: https://www.youtube.com/watch?v=2EdR2eYkxeM
Ich hoffe ich konnte dir weiterhelfen.
Läuft sehr stabil und richtet sich nach Windows bzw. AD/LDAP Benutzer für die Zuordnung der Firmen-, Gruppen- oder Benutzerschlüssel.
Dadurch muss man sich nicht nochmal irgendwo anmelden oder Passwort eingeben.
Die Verschlüsselung läuft automatisch im Hintergrund, also muss man auch keine weitere Anwendung zum Ver- und Entschlüsseln öffnen.
Der File Server ist egal, ob es Windows oder Unix ist. Die Daten werden clientbasiert verschlüsselt.
Schau dir mal die Video's auf Youtube an:
Lokale Ordner: https://www.youtube.com/watch?v=lMOS0hUj59E
Netzwerk Ordner: https://www.youtube.com/watch?v=2EdR2eYkxeM
Ich hoffe ich konnte dir weiterhelfen.
Gestatte die Frage: warum sollte man dafür nicht EFS nutzen, wo's doch schon eingebaut ist?
2
WOW - das liest sich gut, verschlüsselt einzelne Verzeichnisse oder Dateien, Prozess findet aus dem Client statt und erfordert keine Benutzereingaben. Das liest sich gut - Testdownload habe ich gerade gestartet.
Insgesamt war ich bis hierher durch Eure hilfreichen Kommentare nun sehr verunsichert und wollte schon empfehlen auf die Verschlüsselung zu verzichten. Jedoch verstehe ich, dass die Geschäftsleitung einfach besondere Daten ganz besonders schützen möchte.
Insgesamt war ich bis hierher durch Eure hilfreichen Kommentare nun sehr verunsichert und wollte schon empfehlen auf die Verschlüsselung zu verzichten. Jedoch verstehe ich, dass die Geschäftsleitung einfach besondere Daten ganz besonders schützen möchte.
Dank, habe bisher keine Erfahrungen mit EFS gesammelt (=keineAhnung). Ich lese mich mal ein, eventuell ist der Aufwand zu hoch...
Zitat von @yd20152015:
Dank, habe bisher keine Erfahrungen mit EFS gesammelt (=keineAhnung). Ich lese mich mal ein, eventuell ist der Aufwand zu hoch...
If you have an AD and a CA, and the user wants to use EFS the first time, a certificate is requested automatically and also saved directly in AD. It's automagical Dank, habe bisher keine Erfahrungen mit EFS gesammelt (=keineAhnung). Ich lese mich mal ein, eventuell ist der Aufwand zu hoch...
I already mentioned EFS in my first post!
