Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechte eines Netzwerkadministrators eindämmen

Mitglied: BauerKirch

BauerKirch (Level 1) - Jetzt verbinden

04.10.2013 um 12:28 Uhr, 2365 Aufrufe, 22 Kommentare, 3 Danke

Hallo zusammen,

ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.

Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.

Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.

- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?

Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.

Mit freundlichen Grüßen
BauerKirch

PS: Auch Links sind sehr Willkommen!
Mitglied: Cthluhu
04.10.2013 um 12:41 Uhr
Hi,

Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.

mfg

Cthluhu
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 12:44 Uhr
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw

lg,
Slainte
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 12:53 Uhr
Zitat von SlainteMhath:
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als
Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob
remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings
über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie
sieht' mit Dropbox, Skydrive und Konsorten aus? usw

Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine Dienste wie Dropbox erlaubt.


lg,
Slainte

Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 13:02 Uhr
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Naja... man müsste dem "Admin" explizit Recht auf das geben was er können soll,

Fall der Admin auch die AD verwalten soll, dann müssen die User die Zugriff auf die TS-Files haben auch in einer OU stehen auf die der Admin keine Rechte hat (sonst könnte er ein PW zurück setzen und mit der gekaperten Userkennung zugreifen)

Dann der der Admin auch kein Backup Operator sein, sonst kann er die Files einfach (unverschlüsselt) sichern

Andere Server ginge, der dürfte dann aber nicht in der gleichen Domäne sein (falls der Admin Domain-Admin Rechte hat). Aber auch den Server muss dann wiederrum jemand verwalten und sichern...

usw
usw

Kein leichtes Unterfangen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:12 Uhr
Hallo BauerKirch,

das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 13:41 Uhr
Zitat von BauerKirch:
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?


Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 13:46 Uhr
Zitat von Snowman25:
> Zitat von BauerKirch:
> ----
> Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt.
Keine
> Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?

AES Schlüssel den ich nicht besitze, ich könnte mir Datenmüll wiederherstellen der mir gleich Null bringt.



Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den
fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt
wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25

Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:47 Uhr
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?
Bitte warten ..
Mitglied: Snowman25
04.10.2013, aktualisiert um 14:02 Uhr
Zitat von certifiedit.net:
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?

Ja. Merkt man auch...
Bitte warten ..
Mitglied: DerWoWusste
04.10.2013, aktualisiert 06.10.2013
Hi.

Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.

Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.

Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 14:58 Uhr
Mir reicht die Info schon, dass ich mir immer irgendwie Zugriff verschaffen könnte. Denn dann lehnt die Geschäftsführung das sowieso ab.

Meine Arbeit würde darin bestehen, den gesamten Server zu warten, die ADS, WSUS und viele andere integrierte Dienste. Eine Überwachung reicht hier leider nicht aus.

So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut, allerdings schon bekannt und nicht das was ich suche. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.

Vielen Dank euch.

Gruß
BauerKirch
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 15:01 Uhr
Wann verstehen die Chefs endlich, dass ein ADMIN immer Zugriff auf alles hat?
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.

Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 15:21 Uhr
Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013, aktualisiert um 15:27 Uhr
Zitat von SlainteMhath:
> Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
> anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

> . Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.

Da kann man meinem Account die Rechte für bspw. Kaspersky explizit an meinen Benutzer vergeben. ADS, WSUS und Co. habe ich noch nicht installiert, bzw. getestet.

Nachtrag: Die Konsolen sind Lokal auf meinem Rechner installiert.
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 15:38 Uhr
Aber dieses Konzept ist Kopflos. Da du die ganze Herrschaftsgewalt auf mehrere Personen/Firmen aufteilst. Das führt nur dazu, dass im Endeffekt alles teurer wird und zwischen den Schnittstellen Sicherheitslücken entstehen.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 15:44 Uhr
Wir haben da nach den aktuellen Bedingungen garkeine Wahl. Vllt. ändert sich das irgendwann, wenn wir endlich eine neue Serverinfrastruktur haben. Solange muss es halt so gehen.
Bitte warten ..
Mitglied: C.R.S.
04.10.2013 um 17:18 Uhr
Zitat von BauerKirch:
So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst. Niemand zwingt einen Admin, im Explorer herum zu klicken.

Grüße
Richard
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 17:22 Uhr
Dann solltest du
a) den Auftraggeber bitten das nochmal zu durchdenken (unter dem Aspekt)
oder
b) höllisch aufpassen, das Schnittstellenproblematiken nicht auf euch abfärben
oder
c) eine Rentabilitätsanalyse des Unterfangens anstrengen.
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013 um 13:13 Uhr
Moin C.R.S.

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst
Was erfasst es denn nicht, Deiner Meinung nach? Dass es offline-Zugriffe nicht erfasst, ist klar.
Bitte warten ..
Mitglied: C.R.S.
06.10.2013 um 19:14 Uhr
Der Admin hat auch live Blocklevel-Zugriff, den er mit jedem beliebigen Dateisystem-Parser (Sleuth Kit, WinHex etc.) verfeinern kann.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013, aktualisiert um 22:51 Uhr
ok... interessant.
Und es wäre durchaus machbar, damit gezielt einzelne Dateien anzusehen?
Bitte warten ..
Mitglied: DerWoWusste
07.10.2013 um 15:49 Uhr
Ok, für den Fall, dass keine Antwort kommt:
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Windows Server

Recht - Ordner Löschen verweigern - wird ignoriert

Frage von Der-PhilWindows Server7 Kommentare

Hallo! Ich möchte gerade folgendes umsetzen: Ordner c:\TEST\Subfolder auf einem Windows 2016 Server soll nicht gelöscht werden können. > ...

Exchange Server

"Senden als" recht verteilen Exchange Online

gelöst Frage von Ex0r2k16Exchange Server2 Kommentare

Hallo zusammen, ich muss ein Senden Als Recht so einfach wie möglich auf diverse Postfächer verteilen. Gibt es hier ...

Windows Userverwaltung

NTFS-Berechtigungen: Das Recht "löschen" nicht erlauben

Frage von TiTuxWindows Userverwaltung2 Kommentare

Hallo, wir haben hier einen Windows Server 2012R2 und arbeiten mit normalen Dateifreigaben. In einer Ordnerstruktur gibt es z.B. ...

Neue Wissensbeiträge
Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 6 StundenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Windows 10

Windows 10 - Programme laufen schneller, wenn Sie mit Administratorrechten ausgeführt werden

Erfahrungsbericht von 1Werner1 vor 1 TagWindows 1011 Kommentare

Moin, das wollte ich erst nicht glauben, aber es ist so. Wenn Ihr ein Programm mit Administratorrechten unter Windows ...

Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 2 TagenSicherheits-Tools8 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 5 TagenOff Topic21 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Heiß diskutierte Inhalte
Hardware
Telefonanlagen - Welche gibt es
Frage von Xaero1982Hardware34 Kommentare

Nabend Zusammen, ich suche eine neue TK Anlage und mein Auftraggeber will jetzt was völlig neues - State of ...

Outlook & Mail
Office 365 mit Email-Profil installieren
Frage von Carat2121Outlook & Mail18 Kommentare

Hallo, kurz zu meiner Person: Vor ungefahr 10 Jahren habe ich eine Umschuldung zum Fachinformatiker für Systemintegration gemacht aber ...

LAN, WAN, Wireless
Intel(R) PRO Wireless 3945ABG
gelöst Frage von Leon509LAN, WAN, Wireless15 Kommentare

Hallo, habe ein Laptop Fujitsu (Intel, 4GB, 2GHz, Windos10, Intel(R) PRO/Wireless 3945ABG ) ein O2 DSL Anschluss Home50. Leider ...

Microsoft Office
Excel Such- und Vergleichsfunktion
gelöst Frage von oesi1989Microsoft Office15 Kommentare

Hallo zusammen, ich habe 2 Tabellen mit Name, Vorname und Arbeitgeber. 1. Tabelle Name Vorname Geb-Datum Arbeitgeber Straße Ort ...