myroot88
Goto Top

Zugriffsberechtigung nur innerhalb der Domäne

hallo zusammen,

wie kann man verhindern, dass Daten, die innerhalb der Domäne erstellt wurden, ausserhalb der Domäne nicht aufgemacht, oder weiterverarbeitet werden können.
Der Mitarbeiter darf sein Notebook benutzen, sein USB-Stick, brennen und hat natürlich auch Internetzugang,
er darf nur diese Unternehmendaten nicht auf einem nicht authorisierten Rechner verwenden.
Kann man das realisieren, wenn ja wie, mit welcher Software

Danke im voraus für die Ideen

Content-ID: 148405

Url: https://administrator.de/contentid/148405

Ausgedruckt am: 23.11.2024 um 10:11 Uhr

goscho
goscho 05.08.2010 um 12:40:19 Uhr
Goto Top
Hallo myroot88,
ganz unterbinden kann man das nicht.

Wie wäre denn eine Lösung, in der zuerst protokolliert wird, wenn diese (welche?) Daten ausgelagert (externe Laufwerke, CD, Mail) und die Mitarbeiter darüber informiert werden, dass das gemacht wird.

Natürlich kann man ein Abfotografieren des Bildschirms nicht verhindern.

Ich habe so etwas ähnliches schon mit Symantec Endpoint Protection (integrierte Device and Application Control) realisiert.
myroot88
myroot88 05.08.2010 um 13:12:44 Uhr
Goto Top
Hallo goscho,

danke für die Idee. wir werden ein endprot-program von apsec testen, damit kann man angeblich auch dateien als kritisch definieren
und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Aber mit Protokollen ist schon ein guter Ansatz.
Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Und wie groß kann dan so eine ständige protokollierung werden? Erfahrungswerte
Danke nochmal
dog
dog 05.08.2010 um 16:31:41 Uhr
Goto Top
Vergiss es.

Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).

Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und Türsteher, die jeden kontrollieren.
goscho
goscho 05.08.2010 um 17:03:03 Uhr
Goto Top
Zitat von @dog:
Vergiss es.
Nein.
Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Hallo Doc,
das habe ich auch schon erwähnt und trotzdem ist es nicht verkehrt, sich über den Verbleib der Firmendaten Gedanken zu machen. face-wink
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).
Naja,
außer abfotografieren (Handy und Digicamverbot helfen hier, fällt mir nichts ein - oh doch, abschreiben.

Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und
Türsteher, die jeden kontrollieren.

Am wichtigsten ist es IMHO, die Mitarbeiter entsprechend zu sensibilisieren und zu belehren. Wenn dann noch zusätzliche Hilfsmittel eingesetzt werden, warum nicht.

CD reinlegen, weiter, weiter -> fertigstellen wird hier nicht genügen face-wink
goscho
goscho 05.08.2010 um 17:33:58 Uhr
Goto Top
Zitat von @myroot88:
und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht
vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Natürlich kann man dies verhindern. Ich habe etwas von Device- and Applicationcontrol geschrieben.
Man kann das so konfigurieren, dass das Schreiben auf USB-Stick aus einer bestimmten Application heraus nicht geht, bzw. protokolliert wird.
Aber mit Protokollen ist schon ein guter Ansatz.
Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Das hängt davon ab, wie man das einstellt. Warum sollte man alles (jeden Klogang) protokollieren, bist du bei bei irgend einem Discounter angestellt? face-smile
Und wie groß kann dan so eine ständige protokollierung werden? Erfahrungswerte
Diese Protokolle werden regelmäßig gelöscht, keine Erfahrung bzgl der Größe, hängt doch sehr stark vom Einsatzzweck ab.
Danke nochmal

Bitte gerne.
DerWoWusste
DerWoWusste 05.08.2010 um 23:48:18 Uhr
Goto Top
Hi an alle!

Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder gilt für die neu erzeugte sofort der selbe Schutz?
Wie arbeitet SEP? Modifiziert es die Dateien selbst?

Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
goscho
goscho 06.08.2010 um 00:37:52 Uhr
Goto Top
Zitat von @DerWoWusste:
Hi an alle!
Hallo zurück,
Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder
gilt für die neu erzeugte sofort der selbe Schutz?
Ich habe das testweise für eine ERP-Software eingerichtet.
SQL-Serverdatenbank -> Benutzer haben verschiedene Rechte.
Jetzt ist die Aufgabenstellung, dass User die Daten aus diesem Programm nicht auf externe Datenträger speichern können.
In der ERP-Software selbst gibt es Reporte, die natürlich gedruckt werden können, außer man untersagt es dem Benutzer in der ERP-eigenen Userverwaltung.
Per SEP habe ich konfiguriert, dass Daten nicht auf externe Datenträger gespeichert werden können, die aus dem ERP stammen.
Koppelung von Application mit Device Control
Wie arbeitet SEP? Modifiziert es die Dateien selbst?
Das denke ich nicht.
Man kann das Öffnen, bearbeiten oder speichern unterbinden bzw. protokollieren (was ich am sinnvollsten halte)
Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels
Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Genau das macht es meines Wissens auch, ohne Verschlüsselungsfunktion, dazu benötigt man noch ein Tool (Gibt es auch von Symantec, heißt Endpoint Encryption).
In SEP kann man über Regeln festlegen, dass bspw. nur auf verschlüsselte USB-Sticks geschrieben wird.

Ich hatte folgendes eingerichtet (für ein KMU):
Im LAN darf der User normal arbeiten und Daten speichern (Kontrolle bzw. Vertrauen ist vorhanden). Sobald das Gerät per VPN mit der Firma verbunden ist, wird jeder Schreibversuch auf extrene Medien protokolliert.
Nach einiger Zeit wurde aus protokollieren dann unterbunden.

Ich habe dem mobilen User nicht unterbunden, Texte/Tabellen zu öffnen und zu kopieren, sondern das Schreiben auf externe Medien, wenn ernicht im Haus ist.

Für mich hatte ich folgendes eingerichtet:
2008 hatte ich einen UMTS-Vertrag mit Volumenbeschränkung (300 MB in GER) und wollte auch noch ins Ausland (100 MB kosteten dabei so viel wie ein Kleinwagen).
Keine Windows-Updates (auch keine SEP-Updates) wenn Notebook per HSDPA-Modem im Internet ist. Muss aber für viele weitere Programme auch eingerichtet werden (Adobe, Java, etc).
DerWoWusste
DerWoWusste 06.08.2010 um 00:54:59 Uhr
Goto Top
Oh, das ist mal eine ausführliche Antwort.
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
goscho
goscho 06.08.2010 um 01:38:30 Uhr
Goto Top
Zitat von @DerWoWusste:
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause
nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen
Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit
kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Das ist auch meine Theorie. Wo ein Wille ist, da ist auch ein Gebüsch. face-big-smile
Dein beschriebenerText ist aber dann auch von dem User erstellt und keine Ansammlung von Firmengeheimnissen, wie Kontodaten aller Kunden..

Wenn der User aber aus einer Firmensoftware Dokumente öffnet, dann kann man dafür sorgen, dass er den Inhalt nicht kopieren kann. Dies muss natürlich zuerst in der Software geschehen.
So wie man bei bei PDF-Dokumenten, das Recht zum Kopieren und/oder Drucken verbieten kann, geht das sicherlich auch für andere Dokumenttypen.

Das Drucken komplett unterbinden, sollte aber nicht der Weisheit letzter Schluss sein, Toner + Papier will ja auch verkauft werden. face-wink

Letztlich ist die Variante mit Vertrauen und Belehrung auch unter Zuhilfenahme einer eventuellen Protokollierung unerlaubter Kopiervorgänge garantiert der bessere Schritt.

Ich denke, dass mehr als 98% der normalen Anwender damit ausscheiden. Der Rest hat wahrscheinlich so viel kriminelle Energie oder finanzielle Hoffnungen, dass auch die besten technischen Vorkehrungen nicht helfen werden.
Wie sonst sollten die Daten der dt. Steuersünder gebündelt aus 'ner Schweizer oder Lichtensteiner Bank kommen?