mpdingo
Goto Top

Problem Gruppenrichtlinie Windows Server 2003

Abend Leute, ich hoffe Euch nicht bei Euren wohl verdienten Feierabend zu stören, habe aber ein dringendes Problem

Ich habe folgendes Problem

In einem Netzordner befinden sich Dateien --> User haben "lese-Rechte" auf diesen Ordner. Nun beinhalten lese-Rechte ja leider auch die Möglichkeit die Dateien zu kopieren. Dies soll verhindert werden.

Dahingehend meine Frage:

1. gibt es die Möglichkeit o.g. Fall mit Bordmitteln einzustellen?
2. wenn keine Bordmittel kennt jemand ein Programm? (die Lösung sollte nach Möglichkeit nichts kosten)

Danke und Gruß

Christian

Content-ID: 115255

Url: https://administrator.de/forum/problem-gruppenrichtlinie-windows-server-2003-115255.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

maretz
maretz 04.05.2009 um 20:56:54 Uhr
Goto Top
Wie möchtest du das machen? Denn: Die Daten müssen mind. 1x kopiert werden (von dem Netzlaufwerk in den RAM) -> und entsprechend wäre das komplette unterbinden vom Kopieren nicht so einfach...

Wenn du jedoch so sensible Daten hast lässt sich das über ein Thin-Client-System lösen... Hier hat der lokale Client keine Möglichkeiten die Daten nach Extern zu kopieren -> diese Thin clients benötigen keine Laufwerke mehr. Die Daten bleiben also auf dem Server und somit können die nich per USB-Stick o.ä. rausgetragen werden...
mpdingo
mpdingo 04.05.2009 um 21:27:25 Uhr
Goto Top
Es gibt eine Softwarelösung von Cisco, CSA. diese Software würde es ermöglichen. Allerdings kostet die Software 30000 Euro.

Es muss gewährleistet sein dass die Dateien angezeigt werden können mit einem bestimmten Programm, allerdings darf das kopieren auf ein anderes Laufwerk nicht möglich sein. Ich denke unsere Firma dürfte nicht die einzige sein mit diesem Problem.
dog
dog 05.05.2009 um 02:10:52 Uhr
Goto Top
Irgendwie habe ich das Gefühl die Frage taucht mittlerweile hier jede zweite Woche auf.
Die Antwort ist ganz klar: Es geht nicht.

Um dir das zu vergegenwärtigen mach mal folgendes: Öffne eine Word-Datei und wähle dann "Speichern unter.." - schon hast du die Datei kopiert.

Das zugrundeliegende OS kann nicht erkennen, was mit einer Datei passiert, da jedes Programm, dass eine Datei öffnen kann (und das geht nur über einen Weg) auch beliebige Dinge mit ihr anstellen kann, u.A. eben auch, dass es die eingelesenen Daten wieder an einen anderen Ort abwirft (nichts anderes ist kopieren).

Deine einzige Chance ist es zu verhindern, dass die Daten überhaupt anfangen aus euren Netzwerk zu wandern, und das bedeutet:

  • Garkein Internetzugriff für Benutzer
  • Keine CD-Laufwerke etc. in den PCs
  • USB-Slots im BIOS (was natürlich auch zu sichern ist) deaktivieren oder mit Heißklebepistole sichern ;) (selbiges gilt auch für andere Datenports)
  • Gehäuse der PCs sichern (z.B. mit Schloss)
  • Verhindern, dass sich jemand mit selbst mitgebrachten Geräten ans Netzwerk anstecken kann (hier schreien normalerweise alle sofort 802.1x, das nützt aber bei kabelgebundenen Netzwerken wenig - da müsste schon VPN her)
  • Lockdown der PCs, so dass keine eigenen Programme gestartet werden können

Du siehst, die einzig wirksame Lösung kostet nicht 30k Euro, ist aber mit einer Menge Aufwand verbunden.

Alle anderen fertigen Softwarelösungen sind Augenwischerei, weil sie zum einen darauf beruhen, dass sie selbst von "unten" nicht angegriffen werden können und weil sie zum anderen nicht überwachen können welchen Weg ein Byte im PC nimmt und warum (z.B. könnte man ein VBA-Plugin für Word schreiben, dass die Datei verschlüsselt und so unauffällig eine Kopie rausschmuggelt).

DIe Frage ist aber, was willst du schützen?
Word und Excel Dokumente -> du hast keine reele Chance.
Daten die sich in eurer eigenen Software befinden -> Wenn man APIs erstellt (Server-Client-Anwendung vorausgesetzt) und gegenseitige Zertifikatvalidation zusammen mit Kerberos und Softwarepolicies verwendet hat man eine gewisse Chance.

Wenn du aber wenig Wert auf eine wirklich sichere Lösung legst und nur USB-Sticks lahmlegen willst, das geht ganz einfach:

http://www.petri.co.il/disable_usb_disks_with_gpo.htm

Oh, und dann müsstest du natürlich noch verhindern, dass deine User mit der Handycam einfach den Bildschirm abfotografieren ;)

http://xkcd.com/538/

Grüße

Max
mpdingo
mpdingo 17.05.2009 um 21:46:28 Uhr
Goto Top
1. Zu Deiner Aussage

Deine einzige Chance ist es zu verhindern, dass die Daten überhaupt anfangen aus euren Netzwerk zu wandern, und das bedeutet:

          • Garkein Internetzugriff für Benutzer
          • Keine CD-Laufwerke etc. in den PCs
          • USB-Slots im BIOS (was natürlich auch zu sichern ist) deaktivieren oder mit Heißklebepistole sichern ;) (selbiges gilt auch für andere Datenports)
          • Gehäuse der PCs sichern (z.B. mit Schloss)
          • Verhindern, dass sich jemand mit selbst mitgebrachten Geräten ans Netzwerk anstecken kann (hier schreien normalerweise alle sofort 802.1x, das nützt aber bei kabelgebundenen Netzwerken wenig - da müsste schon VPN her)
          • Lockdown der PCs, so dass keine eigenen Programme gestartet werden können

--> Gebe Dir dabei in einigen Dingen Recht, die Aussage zeigt mir aber trotzdem dass Du dir nicht besonders viele Gedanken über ein Sicherheitskonzept gemacht hast. Die o.g. Möglichkeiten für User (z.B. kein Internetzugriff sind gleich mal gar nicht notwendig.
Verhinder dass jemand mit selbst..... --> Lösung "PortSecurity" bei Routern bzw. Switchen
und einige andere Dinge die selbst ein unerfahrener Admin auf die Reihe bekommt.

Ganz nebenbei habe icht trotzdem ein Programm gefunden dass meine Vorgaben erfüllt. "NetSupport Protect" ermöglicht das Ausführen von Dateien z.B. PDF Datei, verhindert aber nach entsprechender Konfiguration dass diese Datei kopiert, verschoben, gelöscht o.ä. wird.
Sogar Strg +c, oder "ziehen" mit der Maus usw. wird verhindert.

Bildschirm abfotografieren ist natürlich immer noch möglich! face-smile

Man sieht wer suchet der findet!

Gruß

Christian
dog
dog 18.05.2009 um 00:02:07 Uhr
Goto Top
Verhinder dass jemand mit selbst..... --> Lösung "PortSecurity"

802.1x (ob jetzt MAC-ID-Blockade oder Computer-Authentifizierung) oder unter Marketing-Namen "Port-Security" ist für kabelgebundene Netzwerke technisch ungeeignet. Das habe ich auch angesprochen.

Die o.g. Möglichkeiten für User (z.B. kein Internetzugriff sind gleich mal gar nicht notwendig.

Das stimmt auch nicht.
Bereits Zugriff auf das DNS-Protokoll und die Möglichkeit eigene Programme auszuführen würde das Daten-Schmuggeln ermöglichen.
Und zur Definition von eigene Programme: Auch Java-Anwendungen haben Zugriff auf Dateisystem und Internet und Flash auf Websites nach Erlaubnis durch den User auch...

NetSupport Protect

Habe ich mal kurz überflogen. 90% sind Standardfeatures von Active Directory und GPO.
Und noch mal: Das Kopieren von Dateien im Explorer zu verhindern ist kein ausreichender Schutz.
Du musst mindestens auch noch sicherstellen, dass
  • keine eigenen Programme ausgeführt werden können
  • der PC nicht mit Live-CDs gestartet werden kann
  • copy, xcopy, robocopy, etc. per Batch nicht zugänglich sind

Grüße

Max
maretz
maretz 18.05.2009 um 06:09:30 Uhr
Goto Top
Moin,

ich nehme jetzt mal an du hast da die Datei "geheim.doc" -> und dein User öffnet die. Was hindert den jetzt daran z.B. mittels Prt. Screen den Inhalt schön in eine neue Word-File zu kopieren? (Dafür brauche ich kein strg+c). Schon habe ich die Datei ohne Qualitätsverlust und kann damit machen was ich will... Oder ich mache halt direkt nen Ausdruck - ok, einmal Abtippen. Aber wenn das z.B. die Kundenliste eines Unternehmens ist und ihr den Vertriebsmitarbietern das Kopieren abstellen wollt (was sinn macht - die würde ja beim Wechsel zur Konkurrenz gerne mitgenommen werden) wären beide Dinge ok -> einmal Arbeit und gut is...

Alternativ kann man sich beim Anzeigen auch die wichtigsten Daten eben kurz abschreiben (je nach inhalt der Dateien). Für Kundenlisten bietet sich ja ein kleines Papier-Register eh an -> und da is mir deine Technische Sperre zimlich egal...

Und zu guter letzt: Nehmen wir an das Cisco diese Software hat und in den MS-Betriebssystemkern kommen darf. Da könnte es durchaus feststellen ob eine Datei gespeichert (d.h. kopiert) werden soll, es könnte Druckfunktionen usw. alles abfangen. Nun - dann würden die auch zu recht 30kEuro dafür verlangen da die einen zimlichen Aufwand haben würden. Wie hoch ist jetzt die Chance das jemand anders bei MS vernünftig ins Betriebssystem eingreifen darf? Und ich rede jetzt nicht von einer Lösung die grad mal Strg+C o.ä. untersagt -> sondern WIRKLICH den Schutz bietet... Allerdings hätte eine wirklich sichere Lösung immer den kleinen Nachteil das der PC nicht mehr zum Arbeiten genutzt werden kann -> denn man dürfte ja generell nichts mehr speichern...

Die einzige (wirklich sinnvolle) Alternative die mir grad so einfallen würde wäre ein selbstprogrammiertes Verwaltungsprogramm... Hier kann jeder Sachbearbeiter dann ggf. nur die Daten sehen die er selbst eingegeben hat (dies ist unkritisch - ich kann ihm das Hirn ja eh nicht löschen!). Nur Abteilungsleiter u.ä. dürfen sehen was die "untergebenen" insgesamt eingegeben haben. Hier ist das Kopieren dann unkritisch - soll er sich seine eigenen Daten doch kopieren... Jetzt musst du nur noch den Menschen das Reden verbieten - dann hast du ne gute Chance das keiner "fremde" Informationen aus dem Betrieb klaut...