Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechte eines Netzwerkadministrators eindämmen

Mitglied: BauerKirch

BauerKirch (Level 1) - Jetzt verbinden

04.10.2013 um 12:28 Uhr, 2380 Aufrufe, 22 Kommentare, 3 Danke

Hallo zusammen,

ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.

Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.

Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.

- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?

Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.

Mit freundlichen Grüßen
BauerKirch

PS: Auch Links sind sehr Willkommen!
Mitglied: Cthluhu
04.10.2013 um 12:41 Uhr
Hi,

Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.

mfg

Cthluhu
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 12:44 Uhr
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw

lg,
Slainte
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 12:53 Uhr
Zitat von SlainteMhath:
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als
Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob
remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings
über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie
sieht' mit Dropbox, Skydrive und Konsorten aus? usw

Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine Dienste wie Dropbox erlaubt.


lg,
Slainte

Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 13:02 Uhr
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Naja... man müsste dem "Admin" explizit Recht auf das geben was er können soll,

Fall der Admin auch die AD verwalten soll, dann müssen die User die Zugriff auf die TS-Files haben auch in einer OU stehen auf die der Admin keine Rechte hat (sonst könnte er ein PW zurück setzen und mit der gekaperten Userkennung zugreifen)

Dann der der Admin auch kein Backup Operator sein, sonst kann er die Files einfach (unverschlüsselt) sichern

Andere Server ginge, der dürfte dann aber nicht in der gleichen Domäne sein (falls der Admin Domain-Admin Rechte hat). Aber auch den Server muss dann wiederrum jemand verwalten und sichern...

usw
usw

Kein leichtes Unterfangen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:12 Uhr
Hallo BauerKirch,

das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 13:41 Uhr
Zitat von BauerKirch:
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?


Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 13:46 Uhr
Zitat von Snowman25:
> Zitat von BauerKirch:
> ----
> Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt.
Keine
> Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?

AES Schlüssel den ich nicht besitze, ich könnte mir Datenmüll wiederherstellen der mir gleich Null bringt.



Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den
fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt
wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25

Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:47 Uhr
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?
Bitte warten ..
Mitglied: Snowman25
04.10.2013, aktualisiert um 14:02 Uhr
Zitat von certifiedit.net:
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?

Ja. Merkt man auch...
Bitte warten ..
Mitglied: DerWoWusste
04.10.2013, aktualisiert 06.10.2013
Hi.

Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.

Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.

Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 14:58 Uhr
Mir reicht die Info schon, dass ich mir immer irgendwie Zugriff verschaffen könnte. Denn dann lehnt die Geschäftsführung das sowieso ab.

Meine Arbeit würde darin bestehen, den gesamten Server zu warten, die ADS, WSUS und viele andere integrierte Dienste. Eine Überwachung reicht hier leider nicht aus.

So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut, allerdings schon bekannt und nicht das was ich suche. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.

Vielen Dank euch.

Gruß
BauerKirch
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 15:01 Uhr
Wann verstehen die Chefs endlich, dass ein ADMIN immer Zugriff auf alles hat?
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.

Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 15:21 Uhr
Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013, aktualisiert um 15:27 Uhr
Zitat von SlainteMhath:
> Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
> anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

> . Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.

Da kann man meinem Account die Rechte für bspw. Kaspersky explizit an meinen Benutzer vergeben. ADS, WSUS und Co. habe ich noch nicht installiert, bzw. getestet.

Nachtrag: Die Konsolen sind Lokal auf meinem Rechner installiert.
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 15:38 Uhr
Aber dieses Konzept ist Kopflos. Da du die ganze Herrschaftsgewalt auf mehrere Personen/Firmen aufteilst. Das führt nur dazu, dass im Endeffekt alles teurer wird und zwischen den Schnittstellen Sicherheitslücken entstehen.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 15:44 Uhr
Wir haben da nach den aktuellen Bedingungen garkeine Wahl. Vllt. ändert sich das irgendwann, wenn wir endlich eine neue Serverinfrastruktur haben. Solange muss es halt so gehen.
Bitte warten ..
Mitglied: C.R.S.
04.10.2013 um 17:18 Uhr
Zitat von BauerKirch:
So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst. Niemand zwingt einen Admin, im Explorer herum zu klicken.

Grüße
Richard
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 17:22 Uhr
Dann solltest du
a) den Auftraggeber bitten das nochmal zu durchdenken (unter dem Aspekt)
oder
b) höllisch aufpassen, das Schnittstellenproblematiken nicht auf euch abfärben
oder
c) eine Rentabilitätsanalyse des Unterfangens anstrengen.
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013 um 13:13 Uhr
Moin C.R.S.

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst
Was erfasst es denn nicht, Deiner Meinung nach? Dass es offline-Zugriffe nicht erfasst, ist klar.
Bitte warten ..
Mitglied: C.R.S.
06.10.2013 um 19:14 Uhr
Der Admin hat auch live Blocklevel-Zugriff, den er mit jedem beliebigen Dateisystem-Parser (Sleuth Kit, WinHex etc.) verfeinern kann.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013, aktualisiert um 22:51 Uhr
ok... interessant.
Und es wäre durchaus machbar, damit gezielt einzelne Dateien anzusehen?
Bitte warten ..
Mitglied: DerWoWusste
07.10.2013 um 15:49 Uhr
Ok, für den Fall, dass keine Antwort kommt:
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server

Recht - Ordner Löschen verweigern - wird ignoriert

Frage von Der-PhilWindows Server7 Kommentare

Hallo! Ich möchte gerade folgendes umsetzen: Ordner c:\TEST\Subfolder auf einem Windows 2016 Server soll nicht gelöscht werden können. > ...

Exchange Server

"Senden als" recht verteilen Exchange Online

gelöst Frage von Ex0r2k16Exchange Server2 Kommentare

Hallo zusammen, ich muss ein Senden Als Recht so einfach wie möglich auf diverse Postfächer verteilen. Gibt es hier ...

Windows 10

FYI: Fristen beim Windows 10 Downgrade-Recht

Information von kgbornWindows 101 Kommentar

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 19 StundenHumor (lol)5 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 1 TagWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 1 TagMicrosoft Office10 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 821 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...

Cluster
10gig Karte aber nur 10mbits
Frage von CUPRA56Cluster15 Kommentare

Hallo zusammen, Ich benutze zwei Cluster auf Linux Basis. Beide Server sind identisch. Es handelt sich um eine Hochverfügbarkeitslösung. ...

Linux Tools
Wert aus eine bestimmte Zeile in eine andere Spalte ändern unter Linux Bash
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOOLinux Tools15 Kommentare

Guten Tag, ich sitze gerade wiedermal vor einem Problem und muss unter Zeitdruck ein diesen lösen. Ich muss mit ...