Zugriffsberechtigung nur innerhalb der Domäne
hallo zusammen,
wie kann man verhindern, dass Daten, die innerhalb der Domäne erstellt wurden, ausserhalb der Domäne nicht aufgemacht, oder weiterverarbeitet werden können.
Der Mitarbeiter darf sein Notebook benutzen, sein USB-Stick, brennen und hat natürlich auch Internetzugang,
er darf nur diese Unternehmendaten nicht auf einem nicht authorisierten Rechner verwenden.
Kann man das realisieren, wenn ja wie, mit welcher Software
Danke im voraus für die Ideen
wie kann man verhindern, dass Daten, die innerhalb der Domäne erstellt wurden, ausserhalb der Domäne nicht aufgemacht, oder weiterverarbeitet werden können.
Der Mitarbeiter darf sein Notebook benutzen, sein USB-Stick, brennen und hat natürlich auch Internetzugang,
er darf nur diese Unternehmendaten nicht auf einem nicht authorisierten Rechner verwenden.
Kann man das realisieren, wenn ja wie, mit welcher Software
Danke im voraus für die Ideen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148405
Url: https://administrator.de/contentid/148405
Ausgedruckt am: 13.11.2024 um 12:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo myroot88,
ganz unterbinden kann man das nicht.
Wie wäre denn eine Lösung, in der zuerst protokolliert wird, wenn diese (welche?) Daten ausgelagert (externe Laufwerke, CD, Mail) und die Mitarbeiter darüber informiert werden, dass das gemacht wird.
Natürlich kann man ein Abfotografieren des Bildschirms nicht verhindern.
Ich habe so etwas ähnliches schon mit Symantec Endpoint Protection (integrierte Device and Application Control) realisiert.
ganz unterbinden kann man das nicht.
Wie wäre denn eine Lösung, in der zuerst protokolliert wird, wenn diese (welche?) Daten ausgelagert (externe Laufwerke, CD, Mail) und die Mitarbeiter darüber informiert werden, dass das gemacht wird.
Natürlich kann man ein Abfotografieren des Bildschirms nicht verhindern.
Ich habe so etwas ähnliches schon mit Symantec Endpoint Protection (integrierte Device and Application Control) realisiert.
Vergiss es.
Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).
Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und Türsteher, die jeden kontrollieren.
Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).
Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und Türsteher, die jeden kontrollieren.
Nein.
das habe ich auch schon erwähnt und trotzdem ist es nicht verkehrt, sich über den Verbleib der Firmendaten Gedanken zu machen.
außer abfotografieren (Handy und Digicamverbot helfen hier, fällt mir nichts ein - oh doch, abschreiben.
Am wichtigsten ist es IMHO, die Mitarbeiter entsprechend zu sensibilisieren und zu belehren. Wenn dann noch zusätzliche Hilfsmittel eingesetzt werden, warum nicht.
CD reinlegen, weiter, weiter -> fertigstellen wird hier nicht genügen
Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Hallo Doc,das habe ich auch schon erwähnt und trotzdem ist es nicht verkehrt, sich über den Verbleib der Firmendaten Gedanken zu machen.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).
Naja,außer abfotografieren (Handy und Digicamverbot helfen hier, fällt mir nichts ein - oh doch, abschreiben.
Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und
Türsteher, die jeden kontrollieren.
Türsteher, die jeden kontrollieren.
Am wichtigsten ist es IMHO, die Mitarbeiter entsprechend zu sensibilisieren und zu belehren. Wenn dann noch zusätzliche Hilfsmittel eingesetzt werden, warum nicht.
CD reinlegen, weiter, weiter -> fertigstellen wird hier nicht genügen
Zitat von @myroot88:
und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht
vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Natürlich kann man dies verhindern. Ich habe etwas von Device- and Applicationcontrol geschrieben.und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht
vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Man kann das so konfigurieren, dass das Schreiben auf USB-Stick aus einer bestimmten Application heraus nicht geht, bzw. protokolliert wird.
Aber mit Protokollen ist schon ein guter Ansatz.
Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Das hängt davon ab, wie man das einstellt. Warum sollte man alles (jeden Klogang) protokollieren, bist du bei bei irgend einem Discounter angestellt? Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Und wie groß kann dan so eine ständige protokollierung werden? Erfahrungswerte
Diese Protokolle werden regelmäßig gelöscht, keine Erfahrung bzgl der Größe, hängt doch sehr stark vom Einsatzzweck ab.Danke nochmal
Bitte gerne.
Hi an alle!
Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder gilt für die neu erzeugte sofort der selbe Schutz?
Wie arbeitet SEP? Modifiziert es die Dateien selbst?
Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder gilt für die neu erzeugte sofort der selbe Schutz?
Wie arbeitet SEP? Modifiziert es die Dateien selbst?
Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Hallo zurück,
SQL-Serverdatenbank -> Benutzer haben verschiedene Rechte.
Jetzt ist die Aufgabenstellung, dass User die Daten aus diesem Programm nicht auf externe Datenträger speichern können.
In der ERP-Software selbst gibt es Reporte, die natürlich gedruckt werden können, außer man untersagt es dem Benutzer in der ERP-eigenen Userverwaltung.
Per SEP habe ich konfiguriert, dass Daten nicht auf externe Datenträger gespeichert werden können, die aus dem ERP stammen.
Koppelung von Application mit Device Control
Man kann das Öffnen, bearbeiten oder speichern unterbinden bzw. protokollieren (was ich am sinnvollsten halte)
In SEP kann man über Regeln festlegen, dass bspw. nur auf verschlüsselte USB-Sticks geschrieben wird.
Ich hatte folgendes eingerichtet (für ein KMU):
Im LAN darf der User normal arbeiten und Daten speichern (Kontrolle bzw. Vertrauen ist vorhanden). Sobald das Gerät per VPN mit der Firma verbunden ist, wird jeder Schreibversuch auf extrene Medien protokolliert.
Nach einiger Zeit wurde aus protokollieren dann unterbunden.
Ich habe dem mobilen User nicht unterbunden, Texte/Tabellen zu öffnen und zu kopieren, sondern das Schreiben auf externe Medien, wenn ernicht im Haus ist.
Für mich hatte ich folgendes eingerichtet:
2008 hatte ich einen UMTS-Vertrag mit Volumenbeschränkung (300 MB in GER) und wollte auch noch ins Ausland (100 MB kosteten dabei so viel wie ein Kleinwagen).
Keine Windows-Updates (auch keine SEP-Updates) wenn Notebook per HSDPA-Modem im Internet ist. Muss aber für viele weitere Programme auch eingerichtet werden (Adobe, Java, etc).
Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder
gilt für die neu erzeugte sofort der selbe Schutz?
Ich habe das testweise für eine ERP-Software eingerichtet.Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder
gilt für die neu erzeugte sofort der selbe Schutz?
SQL-Serverdatenbank -> Benutzer haben verschiedene Rechte.
Jetzt ist die Aufgabenstellung, dass User die Daten aus diesem Programm nicht auf externe Datenträger speichern können.
In der ERP-Software selbst gibt es Reporte, die natürlich gedruckt werden können, außer man untersagt es dem Benutzer in der ERP-eigenen Userverwaltung.
Per SEP habe ich konfiguriert, dass Daten nicht auf externe Datenträger gespeichert werden können, die aus dem ERP stammen.
Koppelung von Application mit Device Control
Wie arbeitet SEP? Modifiziert es die Dateien selbst?
Das denke ich nicht.Man kann das Öffnen, bearbeiten oder speichern unterbinden bzw. protokollieren (was ich am sinnvollsten halte)
Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels
Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Genau das macht es meines Wissens auch, ohne Verschlüsselungsfunktion, dazu benötigt man noch ein Tool (Gibt es auch von Symantec, heißt Endpoint Encryption).Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
In SEP kann man über Regeln festlegen, dass bspw. nur auf verschlüsselte USB-Sticks geschrieben wird.
Ich hatte folgendes eingerichtet (für ein KMU):
Im LAN darf der User normal arbeiten und Daten speichern (Kontrolle bzw. Vertrauen ist vorhanden). Sobald das Gerät per VPN mit der Firma verbunden ist, wird jeder Schreibversuch auf extrene Medien protokolliert.
Nach einiger Zeit wurde aus protokollieren dann unterbunden.
Ich habe dem mobilen User nicht unterbunden, Texte/Tabellen zu öffnen und zu kopieren, sondern das Schreiben auf externe Medien, wenn ernicht im Haus ist.
Für mich hatte ich folgendes eingerichtet:
2008 hatte ich einen UMTS-Vertrag mit Volumenbeschränkung (300 MB in GER) und wollte auch noch ins Ausland (100 MB kosteten dabei so viel wie ein Kleinwagen).
Keine Windows-Updates (auch keine SEP-Updates) wenn Notebook per HSDPA-Modem im Internet ist. Muss aber für viele weitere Programme auch eingerichtet werden (Adobe, Java, etc).
Oh, das ist mal eine ausführliche Antwort.
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Zitat von @DerWoWusste:
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause
nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen
Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit
kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Das ist auch meine Theorie. Wo ein Wille ist, da ist auch ein Gebüsch. ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause
nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen
Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit
kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Dein beschriebenerText ist aber dann auch von dem User erstellt und keine Ansammlung von Firmengeheimnissen, wie Kontodaten aller Kunden..
Wenn der User aber aus einer Firmensoftware Dokumente öffnet, dann kann man dafür sorgen, dass er den Inhalt nicht kopieren kann. Dies muss natürlich zuerst in der Software geschehen.
So wie man bei bei PDF-Dokumenten, das Recht zum Kopieren und/oder Drucken verbieten kann, geht das sicherlich auch für andere Dokumenttypen.
Das Drucken komplett unterbinden, sollte aber nicht der Weisheit letzter Schluss sein, Toner + Papier will ja auch verkauft werden.
Letztlich ist die Variante mit Vertrauen und Belehrung auch unter Zuhilfenahme einer eventuellen Protokollierung unerlaubter Kopiervorgänge garantiert der bessere Schritt.
Ich denke, dass mehr als 98% der normalen Anwender damit ausscheiden. Der Rest hat wahrscheinlich so viel kriminelle Energie oder finanzielle Hoffnungen, dass auch die besten technischen Vorkehrungen nicht helfen werden.
Wie sonst sollten die Daten der dt. Steuersünder gebündelt aus 'ner Schweizer oder Lichtensteiner Bank kommen?