37414
20.06.2012
8499
21
0
Verzeichnis auch gegen Administrator absichern
Hallo,
es geht darum, ein Verzeichnis mit sensiblen Daten (Betriebsrat) so abzusichern, dass auch ein Administrator nicht dran kommt.
Zur Erklärung:
Zur Zeit liegt das Verzeichnis auf unserem Dateiserver (Win Server 2003) und wurde gestern auf den neuen Dateiserver (Win Server 2008) übernommen. Es liegt innerhalb eines Unterverzeichnisses, welches in den Sicherheitseinstellungen nur für mich freigegeben ist. Ich bin auch Besitzer dieses Verzeichnisses.
Nun kam mir der Gedanke, dass wahrscheinlich nun auch der Administrator sich den Besitz und auch die Berechtigung zum öffnen des Verzeichnisses über seine Admin-Anmeldung holen könnte.
Vorsichtshalber habe ich nun das komplette Verzeichnis auf meinen PC gezogen und überlege nun, es vom Server zu löschen, um zu vermeiden, dass doch Jemand dran kommt.
Welche Lösung wäre nun die beste?
1) Verzeichnis auf dem neuen Server (Win Server 2008) belassen und so absichern, dass tatsächlich NUR ICH an die Daten komme (auch kein Admin). Wenn ja -> wie sichere ich es so ab?
2) Verzeichnis vom Server löschen und das dann nur noch auf meinem PC befindliche Verzeichnis auch so gegen Zugriff sichern, dass auch dann niemand dran kommt, der sich z.B. an meinem PC mit Admin-Kennung anmeldet. Wenn ja -> wie sichere ich es so ab?
Wichtig ist, dass ich ohne großen Aufwand an die Daten heran komme. Daher bin ich nicht sicher, ob eine Verschlüsselung (z.B. mit "TrueCrypt" etc.) sinnvoll wäre.
Falls jemand fragt... JA, es gibt berechtigte Gründe dafür, dass ich das Verzeichnis auch gegen Admin´s absichern möchte / muss
Danke & schöne Grüße,
imebro
es geht darum, ein Verzeichnis mit sensiblen Daten (Betriebsrat) so abzusichern, dass auch ein Administrator nicht dran kommt.
Zur Erklärung:
Zur Zeit liegt das Verzeichnis auf unserem Dateiserver (Win Server 2003) und wurde gestern auf den neuen Dateiserver (Win Server 2008) übernommen. Es liegt innerhalb eines Unterverzeichnisses, welches in den Sicherheitseinstellungen nur für mich freigegeben ist. Ich bin auch Besitzer dieses Verzeichnisses.
Nun kam mir der Gedanke, dass wahrscheinlich nun auch der Administrator sich den Besitz und auch die Berechtigung zum öffnen des Verzeichnisses über seine Admin-Anmeldung holen könnte.
Vorsichtshalber habe ich nun das komplette Verzeichnis auf meinen PC gezogen und überlege nun, es vom Server zu löschen, um zu vermeiden, dass doch Jemand dran kommt.
Welche Lösung wäre nun die beste?
1) Verzeichnis auf dem neuen Server (Win Server 2008) belassen und so absichern, dass tatsächlich NUR ICH an die Daten komme (auch kein Admin). Wenn ja -> wie sichere ich es so ab?
2) Verzeichnis vom Server löschen und das dann nur noch auf meinem PC befindliche Verzeichnis auch so gegen Zugriff sichern, dass auch dann niemand dran kommt, der sich z.B. an meinem PC mit Admin-Kennung anmeldet. Wenn ja -> wie sichere ich es so ab?
Wichtig ist, dass ich ohne großen Aufwand an die Daten heran komme. Daher bin ich nicht sicher, ob eine Verschlüsselung (z.B. mit "TrueCrypt" etc.) sinnvoll wäre.
Falls jemand fragt... JA, es gibt berechtigte Gründe dafür, dass ich das Verzeichnis auch gegen Admin´s absichern möchte / muss
Danke & schöne Grüße,
imebro
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186739
Url: https://administrator.de/forum/verzeichnis-auch-gegen-administrator-absichern-186739.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
21 Kommentare
Neuester Kommentar
HeyHo,
naja - als Admin kannst du den Besitz eines Ordner's übernehmen.
Danach die Rechte geben bzw. verändern und erledigt das Thema ...
In deinem Fall würde ich die Freigabe so anpassen (NTFS Rechte) das wirklich nur du Zugriff hast.
Danach würde ich einen Unterordner erstellen - alle Daten rein ziehen - und danach verschlüsseln.
Das gleiche mit dem Ordner auf deinem PC ...
... denn wenn der Ordner verschlüsselt ist braucht es ein PW um darauf zuzugreifen ...
... wenn der Admin das PW nicht hat - kann er nicht viel damit anfangen
EDIT: ansonsten SUFU benutzen
Greetz
fabian (zanko)
naja - als Admin kannst du den Besitz eines Ordner's übernehmen.
Danach die Rechte geben bzw. verändern und erledigt das Thema ...
In deinem Fall würde ich die Freigabe so anpassen (NTFS Rechte) das wirklich nur du Zugriff hast.
Danach würde ich einen Unterordner erstellen - alle Daten rein ziehen - und danach verschlüsseln.
Das gleiche mit dem Ordner auf deinem PC ...
... denn wenn der Ordner verschlüsselt ist braucht es ein PW um darauf zuzugreifen ...
... wenn der Admin das PW nicht hat - kann er nicht viel damit anfangen
EDIT: ansonsten SUFU benutzen
Greetz
fabian (zanko)
Ich selber habe etwas ähnliches mit Truecrypt gelöst. Theoretischer Nachteil: Es kann immer nur einer sinnvoll darauf zugreifen. Hört sich bei deiner Beschreibung nicht als Einschränkung an.
Die Dateien auf deinem lokalen Firmenrechner sind auch nicht vor Zugriff sicher.
Vorteil bei Truecrypt ist: Die Dateien werden mitgesichert (aber nur im Block) und sind zudem weiterhin verschiebbar und trotzdem gesichert. Gegen kriminelle Energie (Kamera, Keylogger) hast du natürlich auf fremden Rechner überhaupt keine Chance, aber die Hürde ist mit Truecrypt schon sehr hoch. Das bitte auch bedenken, wenn man bei Passwortverlust auf den Admin hofft: In dem Fall sind die Daten einfach futsch. Endgültig. Sicherung hilft bei Schusseligkeit nicht weiter.
Im übrigen könntest du den Truecrypt-Container auch selber sichern und bräuchtest dafür keinen Stahlschrank.
Eine Alternative bei wenigen Dateien könnte AXCrypt sein.
Die Dateien auf deinem lokalen Firmenrechner sind auch nicht vor Zugriff sicher.
Vorteil bei Truecrypt ist: Die Dateien werden mitgesichert (aber nur im Block) und sind zudem weiterhin verschiebbar und trotzdem gesichert. Gegen kriminelle Energie (Kamera, Keylogger) hast du natürlich auf fremden Rechner überhaupt keine Chance, aber die Hürde ist mit Truecrypt schon sehr hoch. Das bitte auch bedenken, wenn man bei Passwortverlust auf den Admin hofft: In dem Fall sind die Daten einfach futsch. Endgültig. Sicherung hilft bei Schusseligkeit nicht weiter.
Im übrigen könntest du den Truecrypt-Container auch selber sichern und bräuchtest dafür keinen Stahlschrank.
Eine Alternative bei wenigen Dateien könnte AXCrypt sein.
Im Prinzip, wenn Du hier fragen musst, dann hast Du gegen einen guten Admin sowieso keine Chance.
Zu den Rechten: Ein Admin kann IMMER den Besitz übernehmen und dann die Rechte ändern. Macht auch Sinn, denn ansonsten könnte jemand einfach den Server zumüllen und der Admin hätte keine Chance zum Aufräumen.
Wenn man es schwerer machen will, nimm z.B. Truecrypt zum Verschlüsseln.
Das ist auch für Nicht-Geeks bedienbar.
Wobei, wenn Du Dir nicht sicher sein kannst, daß der Admin auf Deinem PC keine Spionagesoftware installiert, hilft Verschlüsselung auch nur minimal.
Und über die Suche zu Betriebsrat solltest Du tatsächlich weiteres finden.
Und Sicherheit und Praktisch sind nur bedingt vereinbar.
Zu den Rechten: Ein Admin kann IMMER den Besitz übernehmen und dann die Rechte ändern. Macht auch Sinn, denn ansonsten könnte jemand einfach den Server zumüllen und der Admin hätte keine Chance zum Aufräumen.
Wenn man es schwerer machen will, nimm z.B. Truecrypt zum Verschlüsseln.
Das ist auch für Nicht-Geeks bedienbar.
Wobei, wenn Du Dir nicht sicher sein kannst, daß der Admin auf Deinem PC keine Spionagesoftware installiert, hilft Verschlüsselung auch nur minimal.
Und über die Suche zu Betriebsrat solltest Du tatsächlich weiteres finden.
Und Sicherheit und Praktisch sind nur bedingt vereinbar.
HeyHo,
bist du der Admin - wenn ja auf den Ordner mit der rechten Maustaste klicken - Eigenschaften und dann auf den Punkt Sicherheit wechseln.
Dort schauen das nur noch du drinnen stehst bzw. dein Benutzer.
Aber am schnellsten und einfachsten ist es wirklich mit TrueCrypt oder ähnliches ...
... aber wie gesagt - durchforste mal die anderen Threads (Suchfunktion)
... da ist sicher auch was für dich dabei
Greetz
fabian (zanko)
bist du der Admin - wenn ja auf den Ordner mit der rechten Maustaste klicken - Eigenschaften und dann auf den Punkt Sicherheit wechseln.
Dort schauen das nur noch du drinnen stehst bzw. dein Benutzer.
Aber am schnellsten und einfachsten ist es wirklich mit TrueCrypt oder ähnliches ...
... aber wie gesagt - durchforste mal die anderen Threads (Suchfunktion)
... da ist sicher auch was für dich dabei
Greetz
fabian (zanko)
Truecrypt muss nur dort installiert sein, wo du die Daten nutzen willst.
Mögliches Szenario: TC auf deinem Rechner installiert, aber Container liegt auf Server. Der ist dort auch wirklich sicher. Angriffziel bleibt weiterhin nur dein Rechner mit oben genannten Methoden.
Gleiches mit AXCrypt: Installiert auf deinem Rechner, wo die verschlüsselten Daten dann liegen ist vollkommen unerheblich.
Mögliches Szenario: TC auf deinem Rechner installiert, aber Container liegt auf Server. Der ist dort auch wirklich sicher. Angriffziel bleibt weiterhin nur dein Rechner mit oben genannten Methoden.
Gleiches mit AXCrypt: Installiert auf deinem Rechner, wo die verschlüsselten Daten dann liegen ist vollkommen unerheblich.
imebro, lass mich mal Deinen Blick erweitern.
Wenn der Betriebsrat dem Admin nicht tratuen kann, dann brauchen sie einen PC (oder mehrere), den sie selbst administratieren und sonst niemand. Auf jedem anderen PC kann der Admin Software installieren, die Screenshots des Bildschirms macht oder Kennwörter für Cryptoverzeichnisse einfach mitloggt, was Verschlüsselung aushebelt.
@Onlein
Wenn der Betriebsrat dem Admin nicht tratuen kann, dann brauchen sie einen PC (oder mehrere), den sie selbst administratieren und sonst niemand. Auf jedem anderen PC kann der Admin Software installieren, die Screenshots des Bildschirms macht oder Kennwörter für Cryptoverzeichnisse einfach mitloggt, was Verschlüsselung aushebelt.
@Onlein
Der ist dort auch wirklich sicher
Mitnichten.
Entschuldige Onnlein, wenn wir uns missverstehen. Wenn Du meinen Beitrag gelesen hast, müsstest Du verstehen, wie ich das meine.
Man kann hier mit verschlüsselten ordnern keine Sicherheit erreichen, da der Admin immer die eingegebenen Kennwörter abfangen kann mit Keyloggern oder ähnlichem. Somit ist es auch egal, wo der verschl. Ordner liegt, solange der Rechner nicht vom BR selbst administriert wird, bleibt er unsicher.
Man kann hier mit verschlüsselten ordnern keine Sicherheit erreichen, da der Admin immer die eingegebenen Kennwörter abfangen kann mit Keyloggern oder ähnlichem. Somit ist es auch egal, wo der verschl. Ordner liegt, solange der Rechner nicht vom BR selbst administriert wird, bleibt er unsicher.
Nein, nein, wir verstehen uns. Du hast recht und genau das habe ich geschrieben (das meinte ich mit sinnentstellend, weil du den entscheidenden Nachsatz unterschlagen hast, der auf genau diese Angriffe verweist).
Leider kann man da noch einen drauf setzen: Ein (Windows-) Rechner, auf den ein anderer physikalischen Zugriff hat, ist nicht sicher. Die Hürde wäre halt noch ein Stückchen höher als bei der TC-Variante, aber das Prinzip der Verwundbarkeit bleibt. Dafür müsste dann schon der gesamte Rechner in den Stahlschrank.
Leider kann man da noch einen drauf setzen: Ein (Windows-) Rechner, auf den ein anderer physikalischen Zugriff hat, ist nicht sicher. Die Hürde wäre halt noch ein Stückchen höher als bei der TC-Variante, aber das Prinzip der Verwundbarkeit bleibt. Dafür müsste dann schon der gesamte Rechner in den Stahlschrank.
Ok, verstehe.
a) Hardware-Keylogger
b) Abstrahlung
Ein (Windows-) Rechner, auf den ein anderer physikalischen Zugriff hat, ist nicht sicher
Nein, das stimmt nicht wirklich. Wenn Du einen Rechner als alleiniger Admin aufsetzt und den dann vollverschlüsselst, kommt da keiner ran ohne zu entschlüsseln, die Boot-CDs zum Kennwortrücksetzen prallen an der Verschlüsselung ab. Das einzige, was dann wirklich noch passieren kann sind Angriffe übera) Hardware-Keylogger
b) Abstrahlung
Hast du eigentlich kein Vertrauen in deinen Admin?
1. wär das sowieso ein Kündigungsgrund (für den Admin)
2. Ist eurem Admin so langweilg das er für soeinen blödsinn zeit hat?
3. würd ich mich nicht wundern wenn du irgendwann mal zum Admin rennst weil du keinen Zugriff mehr auf deine Daten hast.
(z.b. Sicherung hat nichtFunktioniert, PW vergessen...)
4. Auch die Daten des Betriebsrat gehören der Firma und diese geören nun mal auf den Server wo sie auch anständig gesichert werden!
--> Hab ich alles schon erlebt.
Da gibts genug Hobbyadmins wo ich Arbeite die solche Probleme haben weil sie meinen sie wissen alles besser XD
1. wär das sowieso ein Kündigungsgrund (für den Admin)
2. Ist eurem Admin so langweilg das er für soeinen blödsinn zeit hat?
3. würd ich mich nicht wundern wenn du irgendwann mal zum Admin rennst weil du keinen Zugriff mehr auf deine Daten hast.
(z.b. Sicherung hat nichtFunktioniert, PW vergessen...)
4. Auch die Daten des Betriebsrat gehören der Firma und diese geören nun mal auf den Server wo sie auch anständig gesichert werden!
--> Hab ich alles schon erlebt.
Da gibts genug Hobbyadmins wo ich Arbeite die solche Probleme haben weil sie meinen sie wissen alles besser XD
Moin Imebro.
Es soll nicht wirken, als wolle ich hier zwangsläufig das letzte Wort sprechen. ABER...
Bei uns kam diese Frage vor Jahren ebenso auf. Der BR wollte verschlüsselte Verzeichnisse. Daraufhin hat der GF den BR-Vorsitzenden mal ins Gebet genommen und ihn gefragt, wogegen er schützen möchte. Klar, gegen Einsichtnahme Dritter, auch GF - soweit legitim.
GF: "Und wie sollte diese Einsichtnahme erfolgen?" ->BR: "Durch Hilfe der Admins". GF: "und wie wollt Ihr verhindern, dass die Admins mit Keyloggern oder anderer Software die Verschlüsselung aushebeln?"
BR: ---keine Antwort---
Du hast nun eine Möchtegern-Lösung.
Es soll nicht wirken, als wolle ich hier zwangsläufig das letzte Wort sprechen. ABER...
Bei uns kam diese Frage vor Jahren ebenso auf. Der BR wollte verschlüsselte Verzeichnisse. Daraufhin hat der GF den BR-Vorsitzenden mal ins Gebet genommen und ihn gefragt, wogegen er schützen möchte. Klar, gegen Einsichtnahme Dritter, auch GF - soweit legitim.
GF: "Und wie sollte diese Einsichtnahme erfolgen?" ->BR: "Durch Hilfe der Admins". GF: "und wie wollt Ihr verhindern, dass die Admins mit Keyloggern oder anderer Software die Verschlüsselung aushebeln?"
BR: ---keine Antwort---
Du hast nun eine Möchtegern-Lösung.
Wie bist du auf "WinMend Folder Hidden" gekommen? Wieso glaubst du, dass das zuverlässig ist? Überhaupt mal eine Minute lesen investiert oder nur geguckt, wo man bequem klicken kann?
"However, please keep in mind that this application is for home use only. It’s not recommended for commercial settings where more strict confidentiality is required."
Da es wahrscheinlich eh Perlen vor die Säue ist, habe ich mir nicht die Zeit genommen, das Programm wirklich zu bewerten. Aber alleine der Grundansatz Security by Obscurity steckt das Progrämmelchen sofort in die Kategorie "für Ahnungslose".
Du kannst gar nicht testen, ob man als Admin an die Daten kommt, da du offensichtlich keine Ahnung davon hast. Bloß, weil du es nicht hinbekommst, heißt das noch lange nicht, dass jemand anderes >3 Minuten dafür braucht.
Hier ist die Sache auch für mich erledigt, da es dir offensichtlich primär um bequem geht und du dich zwar für die Antworten bedankst, dir aber nicht die Mühe machst, sie auch zu verstehen.
"However, please keep in mind that this application is for home use only. It’s not recommended for commercial settings where more strict confidentiality is required."
Da es wahrscheinlich eh Perlen vor die Säue ist, habe ich mir nicht die Zeit genommen, das Programm wirklich zu bewerten. Aber alleine der Grundansatz Security by Obscurity steckt das Progrämmelchen sofort in die Kategorie "für Ahnungslose".
Du kannst gar nicht testen, ob man als Admin an die Daten kommt, da du offensichtlich keine Ahnung davon hast. Bloß, weil du es nicht hinbekommst, heißt das noch lange nicht, dass jemand anderes >3 Minuten dafür braucht.
Hier ist die Sache auch für mich erledigt, da es dir offensichtlich primär um bequem geht und du dich zwar für die Antworten bedankst, dir aber nicht die Mühe machst, sie auch zu verstehen.