mheinrich
Goto Top

Verschlüsselter Hochsicherheits-Datenspeicher für wenige Domänen-User im LAN

... (die Domänen-Administratoren gehören nicht dazu).




Hallo,

ich möchte fragen, ob sich schon jemand mit dem Thema befasst hat.

Evtl. gibt es ja Software- und Hardware-Lösungen.

**

Die einfachste Lösung ist vermutlich ein Ordner auf einer Netzfreigabe (dahinter steht ein Windows-Server).

Und das Ding dann verschlüsseln mit irgendeiner Software.

Ca. 5 Domänen-User sollen (auf x-beliebigen Domänen-Clients) Schreibzugriff haben.

Die Domänen-Administratoren gehören nicht dazu.

Grüße

Max

Content-ID: 381793

Url: https://administrator.de/forum/verschluesselter-hochsicherheits-datenspeicher-fuer-wenige-domaenen-user-im-lan-381793.html

Ausgedruckt am: 25.12.2024 um 20:12 Uhr

chgorges
chgorges 31.07.2018 um 10:24:41 Uhr
Goto Top
Moin,

Veracrypt sollte für dich genau passen.
SlainteMhath
SlainteMhath 31.07.2018 um 10:42:46 Uhr
Goto Top
Moin,

das hört sich nach einem Szenario für EFS an...

lg,
Slainte
Th0mKa
Th0mKa 31.07.2018 um 10:58:53 Uhr
Goto Top
Zitat von @MHeinrich:
Die Domänen-Administratoren gehören nicht dazu.
Ich weiß ja nicht was ihr genau erreichen wollt, aber wenn ein Domänen-Admin an Daten rankommen will kommt er da auch ran. Wenn den Admins oder der Putzfrau nicht vertraut wird sollte man sie wechseln.

/Thomas
kaiand1
kaiand1 31.07.2018 um 11:20:44 Uhr
Goto Top
Es gibt ext Festplatten mit Hardwareverschlüssung, RFID Karten ect...
Jedoch seid ihr im Firmenlan wo Admins die Kontrolle haben und auch Fremde Geräte Blocken können.
Sobald ein Gerät am Domäne-PC Hängt hat der Admin Zugriff darauf.
Ein Admin kannst du so nicht Aussperren.

Zudem sind die User eher das Einfallstor wo Daten Abhanden kommen als der Storage Speicher selbst.
Kurz mal Kaffe hohlen und der PC bleibt Entsperrt zurück wo jeder dann Zugriff hat ect...
Eine Absicherung ist was Komplexer und Umfangreicher.

Was bringt es in der Firma eine Tresortüre einbauen zu lassen und davor etliche Kameras + Sicherheitsleute wenn es eine weitere einfache Holztüre zu den Raum gibt + Lüftungsschacht die Unbewacht und Offen sind?
Penny.Cilin
Penny.Cilin 31.07.2018 um 11:38:22 Uhr
Goto Top
Hallo,

was willst Du genau damit erreichen? Kannst Du das Szenario etwas detaillierter beschreiben?
Sollen evtl. Personaldaten oder ähnliches nur für die betroffenen 5 Benutzer möglich sein.

Welches Serverumgebung ist im Einsatz? In Abhängigkeit ist des Betriebssystems ist so etwas mit Boardmitteln machbar.
ABER: Die Administratoren können sich trotzdem Zugriff verschaffen. Wenn auch im Beisein vom Betriebsrat, Datenschutz, Revision.
D.h. einen 100%igen Schutz wirst Du nicht erreichen. Was ist, wenn die verschlüsselten Daten wiederhergestellt werden müssen?
Wie stellt Ihr Euch dieses Szenario vor?

Gruss Penny
DerWoWusste
DerWoWusste 31.07.2018 um 11:57:45 Uhr
Goto Top
Hi.

Betriebsratsdaten?

Die gehören auf einen Rechner, der nicht der Domäne angehört, Festplatte vollverschlüsselt und sowohl Adminkennwörter als auch Versxchlüsselungs-PIN (o.Ä.) hat nur der Betriebsrat. Backups muss der BR dann auch selbst verantworten und aufbewahren. Alles andere ist von Admins manipulierbar.
Penny.Cilin
Penny.Cilin 31.07.2018 um 12:19:36 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi.
Hallo,

Betriebsratsdaten?
Ich glaube Du hast mich mißverstanden. Ich habe nicht behauptet, daß es um Betriebsratdaten geht, sonden daß die Wiederherstellung durch Administratoren im Beisein vom Betriebsrat, Datenschutz oder Revision erfolgen darf.
Die gehören auf einen Rechner, der nicht der Domäne angehört, Festplatte vollverschlüsselt und sowohl Adminkennwörter als auch Versxchlüsselungs-PIN (o.Ä.) hat nur der Betriebsrat. Backups muss der BR dann auch selbst verantworten und aufbewahren. Alles andere ist von Admins manipulierbar.
Da gebe ich Dir Recht bzw. stimme Dir vollkommen zu.
Das versuche ich hier in einem Projekt auch grade dem Betriebsrat verständlich zu machen. Derzeit sind die Daten auf einer NetApp als Freigabe mit entsprechender Berechtigung realisiert. Entweder will der Betriebsrat es verstehen, oder...

Gruss Penny
DerWoWusste
DerWoWusste 31.07.2018 um 12:44:46 Uhr
Goto Top
Ich glaube Du hast mich mißverstanden
Ich hatte mich auf die Frage bezogen, nicht auf Deinen Kommentar face-smile
Penny.Cilin
Penny.Cilin 31.07.2018 um 12:50:11 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich glaube Du hast mich mißverstanden
Ich hatte mich auf die Frage bezogen, nicht auf Deinen Kommentar face-smile
OK, dann habe ICH es mißverstanden. - Entschuldige.
Spirit-of-Eli
Spirit-of-Eli 31.07.2018 um 13:53:04 Uhr
Goto Top
In dem Fall ist doch eine Sicherung durch das "vier Augen Prinzip" die beste Wahl.

Auf was für ein System man sich dort verständigt ist Damm ein anderes Thema.
n.o.b.o.d.y
n.o.b.o.d.y 31.07.2018 um 14:57:06 Uhr
Goto Top
Hallo,

ich stehe vor einer ähnlichen Herausforderung und bin da auf hicrypt gestoßen. Damit lassen sich Shares für den Anwender transparent verschlüsseln. Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss. So zumindest die Aussagendes Herstellers. Die Datensicherung sichert dann nur die verschlüsselten Dateien weg. Wir werden im Q4/18 einen Testlauf starten.
Th0mKa
Th0mKa 31.07.2018 um 15:34:57 Uhr
Goto Top
Zitat von @n.o.b.o.d.y:
Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss.

Das schützt dich aber auch nicht vor Keyloggern oder automatisierten Screenshots, der Admin eines Rechners kommt immer an die Daten.

/Thomas
AlFalcone
AlFalcone 31.07.2018 um 15:42:11 Uhr
Goto Top
Dafür gibt es Autotask in Verbindung mit der Verschlüsselung und 2FA deiner Wahl.
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/
n.o.b.o.d.y
n.o.b.o.d.y 31.07.2018 um 15:47:40 Uhr
Goto Top
Zitat von @Th0mKa:

Das schützt dich aber auch nicht vor Keyloggern oder automatisierten Screenshots, der Admin eines Rechners kommt immer an die Daten.

Das ist in soweit richtig, solange der Management-"PC" in der Domäne ist. Lasse ich den aber stand-alone und in einer sicheren Umgebung, gehört bei dem Admin schon einen Menge kriminelle Energie dazu.

Bei uns zumindest sind die Anforderungen nicht so hoch. Will man es richtig machen, hilft nur eine physische Trennung der Datenhaltung und -verarbeitung und andere Admins.
Th0mKa
Th0mKa 31.07.2018 um 15:56:30 Uhr
Goto Top
Zitat von @AlFalcone:

Dafür gibt es Autotask in Verbindung mit der Verschlüsselung und 2FA deiner Wahl.
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/

Wenn du mit "sieht" den Dateizugriff meinst mag das sein, es schützt aber eben nicht vor automatischen Screenshots des Bildschirms.Und es gibt je nach Software bestimmt noch mehr Vektoren, Temp Files zum Beispiel.
AlFalcone
AlFalcone 31.07.2018 um 23:18:02 Uhr
Goto Top
Vor Screenshot schützen ist so gut wie unmöglich, Foto mit dem Mobile Device oder einer Digig Cam sind nicht so einfach zu unterbinden.
Spirit-of-Eli
Spirit-of-Eli 31.07.2018 um 23:36:53 Uhr
Goto Top
Zitat von @AlFalcone:

Vor Screenshot schützen ist so gut wie unmöglich, Foto mit dem Mobile Device oder einer Digig Cam sind nicht so einfach zu unterbinden.

Abgeshotteter Bereich mit Security hilft da wohl.
AlFalcone
AlFalcone 01.08.2018 um 00:14:07 Uhr
Goto Top
Klar aber wer setzt das bei 5 Nasen durch?
Penny.Cilin
Penny.Cilin 01.08.2018 um 10:56:22 Uhr
Goto Top
Hallo,

es gibt zwar jede Menge Antworten, aber der Beitragsersteller antwortet nicht.
Und auch auf meine Frage ist bisher KEINE Antwort gekommen.

Gruss Penny
laster
laster 01.08.2018 um 17:29:19 Uhr
Goto Top
Hallo Max,

HiCrypt nutzt eine Freigabe auf einen Windows-Server und verschlüsselt an der Netzwerkkarte des Clients die Daten.
Auf der Freigabe liegen die Dateien wie vorher auch, aber der Inhalt ist verschlüsselt.
Coole Lösung für Daten auf Servern, die nur von bestimmten Usern genutzt werden dürfen, die aber auch ganz normal durch den Admin gesichert und wiederhergestellt werden können, ohne dass el sie lesen kann.

vG
LS
MHeinrich
MHeinrich 11.08.2018 um 20:01:11 Uhr
Goto Top
Hi,

es geht um die Daten der Personaler.

Hardware-basierte Lösung wurde bereits abgelehnt.

Ich schaue mir Eure Vorschläge jetzt alle mal an.

Aktuell liegen die Sachen auf einem normalen Fileserver.
Die Domänen-Admins können daher auch darauf zugreifen.

Grüße
Mastergiz
Mastergiz 13.08.2018 um 10:35:44 Uhr
Goto Top
Ich hatte die selbe Anforderung vor einiger Zeit.
Hatte mich seiner Zeit für SafeGuard Encryption von Sophos entschieden. Allerdings wurde das Projekt dann von der Geschäftsleitung eingestampft. Ich fand den Preis damals wirklich OK und das Produkt hat auch in den Tests einen guten Eindruck hinterlassen.