Windows Server verschlüsseln - Ja oder Nein
Hallo zusammen,
ein Kunde schrieb mich gestern an und meinte, ihm sei dringend empfohlen worden, seinen Server (Server 2008 R2) zu verschlüsseln. Macht das in Euren Augen Sinn?
Wenn ich dass über TPM mache, dann würde ein potentieller Dieb den Server ja auch mit entschlüsselter Platte starten können. Mache ich es mit einem Schlüssel auf einem USB-Stick, kann der Server nicht mehr rebootet werden, ohne dass jemand vor Ort den Stick einsteckt. Und da selbst manche Microsoft-Updates einen Server-Neustart auslösen, finde ich das sehr unpraktikabel.
Danke im Voraus,
Sarek \\//_
ein Kunde schrieb mich gestern an und meinte, ihm sei dringend empfohlen worden, seinen Server (Server 2008 R2) zu verschlüsseln. Macht das in Euren Augen Sinn?
Wenn ich dass über TPM mache, dann würde ein potentieller Dieb den Server ja auch mit entschlüsselter Platte starten können. Mache ich es mit einem Schlüssel auf einem USB-Stick, kann der Server nicht mehr rebootet werden, ohne dass jemand vor Ort den Stick einsteckt. Und da selbst manche Microsoft-Updates einen Server-Neustart auslösen, finde ich das sehr unpraktikabel.
Danke im Voraus,
Sarek \\//_
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378929
Url: https://administrator.de/forum/windows-server-verschluesseln-ja-oder-nein-378929.html
Ausgedruckt am: 22.12.2024 um 16:12 Uhr
35 Kommentare
Neuester Kommentar
Hallo und guten Morgen,
Ein Vertriebler? - Ein Schelm wer böses dabei denkt.
In der Regel steht ein Server in einem abgeschotteten Bereich, wo nur spezielle Personen Zutritt haben. D. h. Nicht jeder Hans Dampf darf an den Server, schon gar nicht physisch.
OK, aus Datenschutzgründen (EU-DSGVO) könnte man damit argumentieren. Und an die Daten des Servers kommen in der Regel auch nur die Domänenmitglieder.
Ich sehe das jetzt mal als Panikmache im Hinblick auf die EU-DSGVO.
Ja man kann den Server verschlüsseln, ob das jetzt sinnvoll ist, sei dahin gestellt. Und das Microsoft-Updates Server-Neustarts ausführen, kann man auch einstellen. Denn das kommt nicht gut, wenn im Tagesbetrieb der Server (z. B.: Fileserver) neustartet. Die Updates können zur Not im Tagesbestrieb installiert werden. Der Neustart sollte aber manuelle initiiert werden.
Nur so meine Meinung.
> Danke im Voraus,
Gruss Penny.
ein Kunde schrieb mich gestern an und meinte, ihm sei dringend empfohlen worden, seinen Server (Server 2008 R2) zu verschlüsseln. Macht das in Euren Augen Sinn?
Frage den Kunden doch mal wer ihm das dringend empfohlen hat?Ein Vertriebler? - Ein Schelm wer böses dabei denkt.
Wenn ich dass über TPM mache, dann würde ein potentieller Dieb den Server ja auch mit entschlüsselter Platte starten können. Mache ich es mit einem Schlüssel auf einem USB-Stick, kann der Server nicht mehr rebootet werden, ohne dass jemand vor Ort den Stick einsteckt. Und da selbst manche Microsoft-Updates einen Server-Neustart auslösen, finde ich das sehr unpraktikabel.
Dann stelle man die Frage, warum soll ein Server verschlüsselt werden?In der Regel steht ein Server in einem abgeschotteten Bereich, wo nur spezielle Personen Zutritt haben. D. h. Nicht jeder Hans Dampf darf an den Server, schon gar nicht physisch.
OK, aus Datenschutzgründen (EU-DSGVO) könnte man damit argumentieren. Und an die Daten des Servers kommen in der Regel auch nur die Domänenmitglieder.
Ich sehe das jetzt mal als Panikmache im Hinblick auf die EU-DSGVO.
Ja man kann den Server verschlüsseln, ob das jetzt sinnvoll ist, sei dahin gestellt. Und das Microsoft-Updates Server-Neustarts ausführen, kann man auch einstellen. Denn das kommt nicht gut, wenn im Tagesbetrieb der Server (z. B.: Fileserver) neustartet. Die Updates können zur Not im Tagesbestrieb installiert werden. Der Neustart sollte aber manuelle initiiert werden.
Nur so meine Meinung.
> Danke im Voraus,
Sarek \\//_
Gruss Penny.
Hallo,
Das ganze ist mittlerweile eher ein juristisches Problem. Beispiel Ärzte:
http://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Or ...
Aussage der Ärztekammer als Körperschaft öffentlichen Rechts - die die Rahmenbedingungen der ärztlichen Tätigkeiten definiert:
- Bewegliche IT-System immer
- stationäre Systeme eigentlich auch - wenn sie gestohlen werden können.
Hier muss also eine Abwägung erfolgen, ob der Diebstahlschutz so gut ist, dass auf eine Verschlüsselung verzichtet werden kann und die offizielle Empfehlung der Ärztekammer "in den Wind geschlagen" werden kann.
Ist leider keine IT-Technik-Diskussion, sondern eine juristische Diskussion, der ITler kann da nur die Risiken beschreiben, nicht aber die juristischen Auswirkungen bewerten. Die DSGVO ist halt eine Arbeitsbeschaffungsmaßnahme für mittellose Juristen.
Ist man sich nicht sicher, kann man ja beim Landesdatenschutzbeauftragten anfragen wie er das sieht (Stichwort: Datenschutzfolgen-Abschätzung)
Grüße
lcer
Das ganze ist mittlerweile eher ein juristisches Problem. Beispiel Ärzte:
http://www.bundesaerztekammer.de/fileadmin/user_upload/downloads/pdf-Or ...
Die Datenträger der in der Praxis verwendeten Notebooks oder mobilen Geräte usw. mit Patientendaten, sind vollständig zu verschlüsseln, um bei Diebstahl einen Missbrauch sensibler Daten zu vermeiden. Des Weiteren können auch stationäre Rechner bei einem Einbruch gestohlen werden. Daher ist eine generelle Verschlüsselung der auf einem Datenträger befindlichen Patientendaten der Praxis ausdrücklich zu empfehlen.
Hinweis: Der Dienstleister bzw. PVS-Hersteller muss geeignete Prozeduren und Maßnahmen für das Schlüsselmanagement vorsehen, so dass einerseits die Sicherheit der Daten und andererseits deren Verfügbarkeit gewährleistet werden.
Der Einsatz von Chipkarten wird empfohlen, um den effektiven Schutz von kryptographischen Schlüsseln und somit auch der verschlüsselten Daten zu gewährleisten.
Aussage der Ärztekammer als Körperschaft öffentlichen Rechts - die die Rahmenbedingungen der ärztlichen Tätigkeiten definiert:
- Bewegliche IT-System immer
- stationäre Systeme eigentlich auch - wenn sie gestohlen werden können.
Hier muss also eine Abwägung erfolgen, ob der Diebstahlschutz so gut ist, dass auf eine Verschlüsselung verzichtet werden kann und die offizielle Empfehlung der Ärztekammer "in den Wind geschlagen" werden kann.
Ist leider keine IT-Technik-Diskussion, sondern eine juristische Diskussion, der ITler kann da nur die Risiken beschreiben, nicht aber die juristischen Auswirkungen bewerten. Die DSGVO ist halt eine Arbeitsbeschaffungsmaßnahme für mittellose Juristen.
Ist man sich nicht sicher, kann man ja beim Landesdatenschutzbeauftragten anfragen wie er das sieht (Stichwort: Datenschutzfolgen-Abschätzung)
Grüße
lcer
Hallo @SarekHL,
TPM macht nur beschränkt Sinn, wenn man den kompletten Diebstahl eines Servers vermuten muss. Jedoch darf man nicht vergessen, dass Server in Rack-Bauform fast immer HDD in HotPlug-Wechselrahmen haben. Mal ganz abgesehen davon, dass ein Dieb dann auch Kenntnis vom verwendeten HDD-Controller und konfiguriertem RAID haben müsste, kann jemand also auch "nur mal schnell" die HDD's entwenden. Dann könnte es in der Argumentation hilfreich sein, wenn man darauf verweisen kann, dass die HDD's verschlüsselt sind.
HDD-Controller und konfiguriertes RAID kann man ggf. auch vom Servermodell ableiten, zumindest mit erhöter Wahrscheinlichkeit. Man muss beim Diebstahl sich also bloß die Zeit nehmen und sich auch das Servermodell merken/notieren.
PIN, Smartcard und/oder USB-Stick machen bei den meisten Server aus den von Dir bereits genannten Gründen keinen Sinn.
E.
TPM macht nur beschränkt Sinn, wenn man den kompletten Diebstahl eines Servers vermuten muss. Jedoch darf man nicht vergessen, dass Server in Rack-Bauform fast immer HDD in HotPlug-Wechselrahmen haben. Mal ganz abgesehen davon, dass ein Dieb dann auch Kenntnis vom verwendeten HDD-Controller und konfiguriertem RAID haben müsste, kann jemand also auch "nur mal schnell" die HDD's entwenden. Dann könnte es in der Argumentation hilfreich sein, wenn man darauf verweisen kann, dass die HDD's verschlüsselt sind.
HDD-Controller und konfiguriertes RAID kann man ggf. auch vom Servermodell ableiten, zumindest mit erhöter Wahrscheinlichkeit. Man muss beim Diebstahl sich also bloß die Zeit nehmen und sich auch das Servermodell merken/notieren.
PIN, Smartcard und/oder USB-Stick machen bei den meisten Server aus den von Dir bereits genannten Gründen keinen Sinn.
E.
Moin,
nach lcer00 geht es um eine einfache juristische Aussage/Frage. Zumindest bei Ärzten.
Wenn einem der Server, der Praxis in einem Raum steht, gestohlen wird, haftet man dafür dass Jemand Zugriff auf die Daten nehmen könnte.
Also muss der Server so verschlüsselt sein, dass Niemand an die Daten kommt.
Es darf nicht so sein, dass Jemand den Server mitnimmt, an Strom anschliesst und starten kann bzw. auf die Festplatten zugreifen könnte.
Wie schon beschrieben ist eine juristische, keine technische, Frage.
Wenn man z.B. BitLocker benutzt kann man auf die Frage "War der Server verschlüsselt" mit "Ja" antworten und alle sind glücklich.
Das dies technisch für die Tonne sein könnte ist da zweirangig.
Und eine Verschlüsselung bringt ja auch immer Nachteile mit sich
- Aufwand / kosten
- Geschwindigkeit niedriger
- Recovery schwieriger
- Restore schwieriger
Btw. die neue Telematikbox darf wohl nur in Praxen installiert werden wo diese in einem festen Schrank (metall) verschlossen aufbewahrt werden kann.
Stefan
nach lcer00 geht es um eine einfache juristische Aussage/Frage. Zumindest bei Ärzten.
Wenn einem der Server, der Praxis in einem Raum steht, gestohlen wird, haftet man dafür dass Jemand Zugriff auf die Daten nehmen könnte.
Also muss der Server so verschlüsselt sein, dass Niemand an die Daten kommt.
Es darf nicht so sein, dass Jemand den Server mitnimmt, an Strom anschliesst und starten kann bzw. auf die Festplatten zugreifen könnte.
Wie schon beschrieben ist eine juristische, keine technische, Frage.
Wenn man z.B. BitLocker benutzt kann man auf die Frage "War der Server verschlüsselt" mit "Ja" antworten und alle sind glücklich.
Das dies technisch für die Tonne sein könnte ist da zweirangig.
Und eine Verschlüsselung bringt ja auch immer Nachteile mit sich
- Aufwand / kosten
- Geschwindigkeit niedriger
- Recovery schwieriger
- Restore schwieriger
Btw. die neue Telematikbox darf wohl nur in Praxen installiert werden wo diese in einem festen Schrank (metall) verschlossen aufbewahrt werden kann.
Stefan
Hi.
Wenn ich dass über TPM mache, dann würde ein potentieller Dieb den Server ja auch mit entschlüsselter Platte starten können.
Dann hast Du den Sinn der Sache nicht verstanden. Er kann ihn hochfahren, ja, aber er kann sich nicht anmelden. Ebenso kann der die Platten nicht lesen wenn er sie ausbaut. Gegen den hochgefahrenen Server kann er auch keine Netzwerkangriffe fahren, wenn sinnvollerweise die Firewall an ist ohne Ausnahmen im non-Domainprofil.Zitat von @SarekHL:
Gleichwohl ist der Hinweis für sie interessant. ein normaler 19"-Schrank reicht also für die Kocobox (oder welchen Konnektor auch immer) nicht?
Er muss "abschlliesbar" sein. Die Aussage kommt von einem Zahnarzt wo der Techniker sich zuerst geweigert hat die Box überhaupt zu installieren. Erst nach der Zusage des Arztes einen kleinen abschließbaren 19" Schrank zu kaufen, hat er die Box installiert.Gleichwohl ist der Hinweis für sie interessant. ein normaler 19"-Schrank reicht also für die Kocobox (oder welchen Konnektor auch immer) nicht?
Die meisten "meiner" Praxen haben den Server eher im Büro oder am Empfang unter dem Schreibttisch.
Stefan
Keine IT-Beratung, aber grundsätzlich:
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Ich als Dienstleister habe bereits bei dem einen oder anderen Kunden Verschlüsselte Systeme aufgesetzt, hier lag dies allerdings meist an der (ggf. berechtigten) Paranoia des Kunden und seltener am Juristischen. Ganz abwegig ist das ganze natürlich nicht, wie man verschlüsselt kommt stark auf die Umgebung des Kunden an und das muss in ein fundiertes Sicherheitskonzept eingebettet werden.
Viele Grüße,
Christian
certifiedit.net
HDD-Controller und konfiguriertes RAID kann man ggf. auch vom Servermodell ableiten, zumindest mit erhöter Wahrscheinlichkeit. Man muss beim Diebstahl sich also bloß die Zeit nehmen und sich auch das Servermodell merken/notieren.
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Ich als Dienstleister habe bereits bei dem einen oder anderen Kunden Verschlüsselte Systeme aufgesetzt, hier lag dies allerdings meist an der (ggf. berechtigten) Paranoia des Kunden und seltener am Juristischen. Ganz abwegig ist das ganze natürlich nicht, wie man verschlüsselt kommt stark auf die Umgebung des Kunden an und das muss in ein fundiertes Sicherheitskonzept eingebettet werden.
Viele Grüße,
Christian
certifiedit.net
Zitat von @certifiedit.net:
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
VG,
Thomas
Zitat von @Th0mKa:
Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
VG,
Thomas
Zitat von @certifiedit.net:
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Nein, du kannst bei einem Dell deine Platten weiterbetreiben, solange du eben die Mindestanzahl mitnimmst, egal ob das ein H310 oder ein H740p Controller ist, da die allerdings im weiteren alle LSI Chipsätze haben ist das im Prinzip schnuppe. Die Gefahr ist also nicht, wie hier dargestellt, durch den unpassenden Raid Controller entkräftet.
Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
VG,
Thomas
exakt das hab ich gesagt - die meisten Controller sind LSI.
Hallo,
Technikerseits wird ein Kensington-Schloss auch akzeptiert. Das "Hardwareinterface" der Box läßt nur wenige Einstellungen direkt zu. Der Rest geht dann über Onlinekonfiguration. Da muss halt sichergestellt sein, dass Unbefugte keine Verbindung zur Box herstellen können.
Eine Nebenbemerkung, aber vielleicht doch ganz interessant zum Vergleich:
EC-Cash-Geräte enthalten Sicherheitszertifikate, die nicht in fremde Hände gelangen sollen. Dafür haben die ein Sicherheitssigel an der Seite. Technisch ist ganze durchaus vergleichbar mit der Telematik-Box. Es würde definitiv wenig Sinn machen, EC-Geräte in verschließbaren Schränken aufzubewahren. Es gibt sogar WLAN-Geräte....
Die DSGVO geht im übrigen nicht davon aus, das jede Firma alles technisch mögliche unternimmt, um Datenverlust / Datenmissbrauch zu vermeiden.
Art. 32 DSGVO Sicherheit der Verarbeitung:
Bitte wortwörtlich lesen. Da steht nichts von "muss immer".
Grüße
lcer
Er muss "abschlliesbar" sein. Die Aussage kommt von einem Zahnarzt wo der Techniker sich zuerst geweigert hat die Box überhaupt zu installieren. Erst nach der Zusage des Arztes einen kleinen abschließbaren 19" Schrank zu kaufen, hat er die Box installiert.
Die meisten "meiner" Praxen haben den Server eher im Büro oder am Empfang unter dem Schreibttisch.
Stefan
Die meisten "meiner" Praxen haben den Server eher im Büro oder am Empfang unter dem Schreibttisch.
Stefan
Technikerseits wird ein Kensington-Schloss auch akzeptiert. Das "Hardwareinterface" der Box läßt nur wenige Einstellungen direkt zu. Der Rest geht dann über Onlinekonfiguration. Da muss halt sichergestellt sein, dass Unbefugte keine Verbindung zur Box herstellen können.
Eine Nebenbemerkung, aber vielleicht doch ganz interessant zum Vergleich:
EC-Cash-Geräte enthalten Sicherheitszertifikate, die nicht in fremde Hände gelangen sollen. Dafür haben die ein Sicherheitssigel an der Seite. Technisch ist ganze durchaus vergleichbar mit der Telematik-Box. Es würde definitiv wenig Sinn machen, EC-Geräte in verschließbaren Schränken aufzubewahren. Es gibt sogar WLAN-Geräte....
Die DSGVO geht im übrigen nicht davon aus, das jede Firma alles technisch mögliche unternimmt, um Datenverlust / Datenmissbrauch zu vermeiden.
Art. 32 DSGVO Sicherheit der Verarbeitung:
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
Grüße
lcer
Zitat von @Th0mKa:
Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
Das ist aber eine gefährliche Aussage. Auf die meisten Systeme wird es vermutlich zutreffen.Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
Bei Storage-Systemen wird die Config in der Regel ausschliesslich auf einem Config-Chip gespeichert.
Zitat von @StefanKittel:
Bei Storage-Systemen wird die Config in der Regel ausschliesslich auf einem Config-Chip gespeichert.
Zitat von @Th0mKa:
Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
Das ist aber eine gefährliche Aussage. Auf die meisten Systeme wird es vermutlich zutreffen.Meines Wissens nach ist die RAID Config bei allen Markenherstellern / Markencontrollern sowohl auf dem Controller als auch auf den Platten gespeichert, es sollte also regelmäßig reichen nur die (HotPlug-) Platten mitzunehmen.
Bei Storage-Systemen wird die Config in der Regel ausschliesslich auf einem Config-Chip gespeichert.
Wie ist das bei Space Shuttles (um auch den Fall noch mit ein zu beziehen) immerhin könnte im Weltall jeder mal kurz die Büchse aufschrauben...
Wir sprachen von Servern und je nach dem, wie das Storage System aufgezogen wurde arbeiten dort auch Raid Controller, die ggf. sogar die Config auf beiden Endpunkten ablegen...
Für Spaceshuttle gibt es ja die angepasste Form der DSGVO die unter SSDSGVO seit dem 06.01.18 gültigkeit hat.
Sie beschreibt die angepassge Vorschriften zum speichern von Namen. Besonders die Namensrechte der Planeten und sonstiger Himmelskörper.
Diese dürfen aus den der gennanten Verordnung natürlich auch nicht mehr mit Klarnamen verwendet werden.
Sie beschreibt die angepassge Vorschriften zum speichern von Namen. Besonders die Namensrechte der Planeten und sonstiger Himmelskörper.
Diese dürfen aus den der gennanten Verordnung natürlich auch nicht mehr mit Klarnamen verwendet werden.
Zitat von @StefanKittel:
Das ist aber eine gefährliche Aussage. Auf die meisten Systeme wird es vermutlich zutreffen.
Bei Storage-Systemen wird die Config in der Regel ausschliesslich auf einem Config-Chip gespeichert.
Das ist aber eine gefährliche Aussage. Auf die meisten Systeme wird es vermutlich zutreffen.
Bei Storage-Systemen wird die Config in der Regel ausschliesslich auf einem Config-Chip gespeichert.
Negativ, bei ordentlichen Storagesystemen , wie z. B. von Dell oder HP, steht die Config auf den Platten und je nach Preisklasse ist sogar das ganze Storage OS auf (einigen der) Platten.
/Thomas
Hallo,
Der Server steht in einem Metallschrank mit Plexiglastür....
Entscheidende Frage ist hier : Wo steht der Metallschrank... wer kommt in den Raum?
Nur der Admin mit gesonderter Zutrittsregelung? oder steht der Schrank im Durchgang und nach Feierabend steigt der Stromverbrauch weil das Reinigungsgeschwader den Staubsauger anschließt`?
brammer
Der Server steht in einem Metallschrank mit Plexiglastür....
Entscheidende Frage ist hier : Wo steht der Metallschrank... wer kommt in den Raum?
Nur der Admin mit gesonderter Zutrittsregelung? oder steht der Schrank im Durchgang und nach Feierabend steigt der Stromverbrauch weil das Reinigungsgeschwader den Staubsauger anschließt`?
brammer
Zitat von @SarekHL:
Welcher Admin? Das ist ein Fünf-Mann-Betrieb. Da gibt es keinen Admin und natürlich auch keinen dedizierten Serverraum. Der steht im Büro des Chefs, zu dem selbstverständlich auch die Putzfrau (die es tatsächlich gibt) Zutritt hat - sonst müsste der gute seinen Mülleimer ja selber leeren.
Dann ist die Putzfrau die Administratorin Zitat von @brammer:
Entscheidende Frage ist hier : Wo steht der Metallschrank... wer kommt in den Raum?
Nur der Admin mit gesonderter Zutrittsregelung? oder steht der Schrank im Durchgang und nach Feierabend steigt der Stromverbrauch weil das Reinigungsgeschwader den Staubsauger anschließt`?
Entscheidende Frage ist hier : Wo steht der Metallschrank... wer kommt in den Raum?
Nur der Admin mit gesonderter Zutrittsregelung? oder steht der Schrank im Durchgang und nach Feierabend steigt der Stromverbrauch weil das Reinigungsgeschwader den Staubsauger anschließt`?
Welcher Admin? Das ist ein Fünf-Mann-Betrieb. Da gibt es keinen Admin und natürlich auch keinen dedizierten Serverraum. Der steht im Büro des Chefs, zu dem selbstverständlich auch die Putzfrau (die es tatsächlich gibt) Zutritt hat - sonst müsste der gute seinen Mülleimer ja selber leeren.
Hallo,
Dann ist die Diskussion ob die Daten verschlüsselz werden müssen erledigt...
Das wie ist abhängig von der gegebenen Hardware und dem Budget und im kleineren Rahmen auch von @SarekHL... Du musst es für die Anwender so Narrensicher wie möglich machen...
Brammer
P.S.: an den Serverschrank kommt eine Stahltür und ein anständiges Schloss. Und eine Mail melde System wenn der Server runter gefahren wird oder nicht mehr erreichbar ist....
Brammer
Dann ist die Diskussion ob die Daten verschlüsselz werden müssen erledigt...
Das wie ist abhängig von der gegebenen Hardware und dem Budget und im kleineren Rahmen auch von @SarekHL... Du musst es für die Anwender so Narrensicher wie möglich machen...
Brammer
P.S.: an den Serverschrank kommt eine Stahltür und ein anständiges Schloss. Und eine Mail melde System wenn der Server runter gefahren wird oder nicht mehr erreichbar ist....
Brammer
Ich habe meinen Heimserver vor kurzem verschlüsselt aufgrund eines eher unschönen "Gefühls".
Im Server werkelt ein Raid 1. Eine Platte ging kaputt und hatte noch Garantie, ich musste sie zum Hersteller einschicken.
Leider kam ich aber nicht mehr so weit dran dass ich die Daten hätte löschen können. Raid 1 Platten sind ja nicht
wirklich schwer auszulesen, die Techniker beim Hersteller werden da Möglichkeiten haben.
Da sich viele persönliche Daten darauf befanden (ich scanne meine gesamte Post ein) war das Gefühl die Platte einzuschicken
nicht besonders angenehm für mich.
Im Server werkelt ein Raid 1. Eine Platte ging kaputt und hatte noch Garantie, ich musste sie zum Hersteller einschicken.
Leider kam ich aber nicht mehr so weit dran dass ich die Daten hätte löschen können. Raid 1 Platten sind ja nicht
wirklich schwer auszulesen, die Techniker beim Hersteller werden da Möglichkeiten haben.
Da sich viele persönliche Daten darauf befanden (ich scanne meine gesamte Post ein) war das Gefühl die Platte einzuschicken
nicht besonders angenehm für mich.
Hallo,
selbstverständlich sollte jedweder Datenträger chiffriert sein!
Auf den ersten Blick macht das bei einem Server keinen Sinn, BL anzuwenden. Der Server läuft und damit ist BL geöffnet! Aber: Sind ALLE Platten des Servers BL chiffriert und C kann bei einem Neustart nur per PW oder USB freigeschalten werden (NICHT TPM), muss der Server im laufenden Betrieb geklaut werden. Denn Strom weg, schlägt BL zu. Bums!
Wenn dann alle Dateien auf dem Server per EFS chiffriert sind (PW größer 20 Stellen und komplex) wird selbiges benötigt, um bei einem laufenden Server an die Daten zu kommen. Bei Diebstahl wirkt dann BL und EFS. In der Praxis das AUS auch für NSA und CO. Uwe
selbstverständlich sollte jedweder Datenträger chiffriert sein!
Auf den ersten Blick macht das bei einem Server keinen Sinn, BL anzuwenden. Der Server läuft und damit ist BL geöffnet! Aber: Sind ALLE Platten des Servers BL chiffriert und C kann bei einem Neustart nur per PW oder USB freigeschalten werden (NICHT TPM), muss der Server im laufenden Betrieb geklaut werden. Denn Strom weg, schlägt BL zu. Bums!
Wenn dann alle Dateien auf dem Server per EFS chiffriert sind (PW größer 20 Stellen und komplex) wird selbiges benötigt, um bei einem laufenden Server an die Daten zu kommen. Bei Diebstahl wirkt dann BL und EFS. In der Praxis das AUS auch für NSA und CO. Uwe
lol
Ha,ha! Der war gut!
Ha,ha! Der war gut!
lol
Ha,ha! Der war gut!
Aussage von E. Snoden: Gute Chiffrierung ist für die NSA unbrechbar. Bis jetzt (seit gute 5 Jahre) hat noch keiner eine Schwachstelle in BL und EFS gefunden.
Ich weiß von einem BKA beamten, dass an BL geschützte Systeme kein rankommen ist. Vorausgesetzt, das gesamte System ist sauber konfiguriert.
Uwe
Ha,ha! Der war gut!
Aussage von E. Snoden: Gute Chiffrierung ist für die NSA unbrechbar. Bis jetzt (seit gute 5 Jahre) hat noch keiner eine Schwachstelle in BL und EFS gefunden.
Ich weiß von einem BKA beamten, dass an BL geschützte Systeme kein rankommen ist. Vorausgesetzt, das gesamte System ist sauber konfiguriert.
Uwe
Zitat von @UweGri:
lol
Ha,ha! Der war gut!
Aussage von E. Snoden: Gute Chiffrierung ist für die NSA unbrechbar. Bis jetzt (seit gute 5 Jahre) hat noch keiner eine Schwachstelle in BL und EFS gefunden.
Ich weiß von einem BKA beamten, dass an BL geschützte Systeme kein rankommen ist. Vorausgesetzt, das gesamte System ist sauber konfiguriert.
Uwe
lol
Ha,ha! Der war gut!
Aussage von E. Snoden: Gute Chiffrierung ist für die NSA unbrechbar. Bis jetzt (seit gute 5 Jahre) hat noch keiner eine Schwachstelle in BL und EFS gefunden.
Ich weiß von einem BKA beamten, dass an BL geschützte Systeme kein rankommen ist. Vorausgesetzt, das gesamte System ist sauber konfiguriert.
Uwe
Ich kenne auch die guten BKA Beamten, die sowas auf der Straße streuen
Und E.Snowden Leistung war afaik nicht unbedingt das Eindringen in Fremde Systeme, sondern das Drag'n'Drop von CIA Servern. Klar, erfordert eine gewisse Furchtlosigkeit, aber was Hacking und Verschlüsselung angeht ggf. gar nicht mal so viel mehr.
VG