qf1410640014
Goto Top

PCs abschotten, damit keine Dateien rausgehen (Windows 10-CLients auf Windows-Server 2016 Active Directory-Struktur)?

Frage:

Gibt es Möglichkeiten unter Windows folgende Dinge zu unterbinden - ich meine geben müsste sie sie ja, sonst kann man die EUDSGVO ja gleich wieder vergessen, wenn in sicherheitskritischen Branchen und Unternehmen Daten durchsickern könnten:

  • generell den Upload von Dateien via Browser (z.B. irgendwo in eine Cloud, die sich Mitarbeiter eingerichtet haben)
bzw. FTP selbst / gut, das ließe sich ja auch auf der Firewall sperren.

  • USB-Sticks, damit dort Mitarbeiter nichts mitnehmen können.

  • Speicherung von Dateien auf C: und D: unterbinden (Grund: Laptops könnten da irgendwelche Daten speichern und dann außer Haus "verloren gehen" - Verschlüsselung wäre zwar gut, aber die Daten sind dann trotzdem außer Haus. Besser wäre hier gleich das Server-Laufwerk S: als alleiniges Speicherlaufwerk zuzulassen.

  • Sperren von Attachments in E-Mails, die an externe Adressen gehen, also z.B. nicht an xyz@UNTERNEHMEN.de, sondern xyz@irgendwo.de
wobei letzteres eine erhebliche Einschränkung bedeuten würde und genau dies bereitet mir am meisten Kopfzerbrechen face-sad

Sind zwar drastische Maßnahmen, die mir da vorschweben, ich sehen aber keine andere Möglichkeit, zu gewährleisten, dass jegliche Art von Daten auch im Unternehmen bleiben.

Content-Key: 375269

Url: https://administrator.de/contentid/375269

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 27.05.2018 um 19:58:18 Uhr
Goto Top
Hallo,

einiges kannst Du davon sicher technisch umsetzen, wie z.B. USB sperren, Verschlüsselung nutzen, Firewallregeln. Aber den Rest kannst du nur per Dienstanweisung organisatorisch lösen.
Mitglied: kaiand1
kaiand1 27.05.2018 um 21:13:20 Uhr
Goto Top
Gegen Cloud Upload Hilft nur die Seiten zu Sperren wodurch du quasi mit einer Whitelist mehr erreichst und die Seiten Freigibst die Gebraucht werden und alles andere Blocken.
Aber selbst da gibt es Mittel wie Messanger beim Gesichtsbuch ect wo Daten Abhanden kommen können.

Aber auch das Abfotografieren mit dem Handy ist möglich was keine Spuren Hinterlässt.

Aber Win 10 macht ja eh so schon genug Heimtelefonie....
Mitglied: BassFishFox
BassFishFox 27.05.2018 aktualisiert um 21:28:02 Uhr
Goto Top
Hallo,

Also an den Geraeten die in unseren "sicherheitskritischen" Bereichen stehen gibt es kein Internet, kein Mail nach draussen, kein USB. Die Geraete koennen nur das wofuer sie da sind und die Leute die daran arbeiten koennen nur das damit tun wofuer die Geraete vorgesehen sind. Die Leute haben einigen Papierkrams (da steht auch drin, dass das private Telefon in den Bereichen nix zu suchen hat) unterschreiben duerfen, bevor sie ueberhaupt die Moeglichkeit erhalten in diesen Bereichen die Tuerklinke benutzen zu duerfen.

Klingt zu hart? Finde ich nicht. face-big-smile

BFF
Mitglied: NetzwerkDude
NetzwerkDude 27.05.2018 aktualisiert um 21:30:41 Uhr
Goto Top
Naja, wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.

Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)

Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...

usw. und so fort

Glaube das kämpfst du gegen Windmühlen
Mitglied: BassFishFox
BassFishFox 27.05.2018 um 22:02:46 Uhr
Goto Top
Denke Dein Kommentar war eher fuer @1410640014 gedacht. face-wink

Glaube das kämpfst du gegen Windmühlen

Wenn die Leitung mitspielt ist vieles machbar.

BFF
Mitglied: kaiand1
kaiand1 27.05.2018 um 22:38:33 Uhr
Goto Top
Zitat von @NetzwerkDude:

Naja, wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.

Kein Mailanhang? Dann schreibt man halt den Anhang als Text codiert IN den Textteil der Mail. (In Base64 sollte es genauso ineffizient wie normaler Mailanhang sein :-P)

Alle Verbindungen verboten aber Ping zu Diagnosezwecken gelassen? Dann morst man Daten per ICMP Proxy raus ...

usw. und so fort

Glaube das kämpfst du gegen Windmühlen

Oder ein Raspberry mit 1:1 Lanverbindung am PC das dann per Netzwerkfreigabe erreicht werden kann...

Es gibt auch noch den Drucker ;)

Möglichkeiten gibt es viele aber was sind die Daten Wert die du Schützen willst mit welchen Aufwand?
Mitglied: NetzwerkDude
NetzwerkDude 28.05.2018 um 06:33:55 Uhr
Goto Top
Ah sorry, den Post mit dem Handy geschrieben, dabei den Kommentar an falscher Stelle gesetzt
Mitglied: aqui
aqui 28.05.2018 aktualisiert um 08:53:57 Uhr
Goto Top
geben müsste sie sie ja, sonst kann man die EUDSGVO ja gleich wieder vergessen
Du glaubst also noch an solche Märchen das sich US Unternehmen an europäische Gesetze und Vorgaben halten ?!
Träum weiter....
wenn der PC mit dem Internet verbunden ist, dann kann er Daten rausleaken.
Das kann er, wie jederman weiss, auch über einen simplen USB Port !
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.05.2018 um 09:43:34 Uhr
Goto Top
Moin,

Wenn wirklich keine Daten rein und raus sollen, muß Internet abgeklemmt werden und das Heraustragen von Datenträgern (Notebook, Sticks, Mobiltelefone, Zettel, Gehirne, etc.) unterbunden werden.

o.k. Das mit dem Gehirn ist etwas schwieriger zu bewerkstelligen, aber dann muß man halt manche Vorschriften lockern. face-smile

lks
Mitglied: emeriks
emeriks 28.05.2018 um 10:06:40 Uhr
Goto Top
o.k. Das mit dem Gehirn ist etwas schwieriger zu bewerkstelligen, aber dann muß man halt manche Vorschriften lockern. face-smile
Oooch, das geht. Wegwerf- oder Einwegpersonal einführen. Solange da noch kein Pfand vorgeschrieben ist oder irgend ne Steuer drauf fällig wird ...
Mitglied: UnbekannterNR1
Lösung UnbekannterNR1 28.05.2018 um 13:54:49 Uhr
Goto Top
Um mal ein bisschen Produktiv zu sein, ja es ist machbar. Aber wie oben schon erwähnt kann der Aufwand extrem hoch werden.

Ich würde das so angehen.

1. Firewall und alles blocken ist klar.
2. Für Internet z.B. Browser in the Box einsetzen mit dem kann man up und Download komplett verhindern auch die Zwischenabablage. Gibt sicher auch noch andere ähnliche Lösungen.
3. Dann geht's an Clients absichern USB einfach komplett verbieten geht mit entsprechender Software relativ Problemlos. Und auch auf C:\ speichern lässt sich schon per GPO verhindert (NTFS Rechte neu setzen)

Bis dahin alles kein Hexenwerk und relativ leicht umzusetzen und man hat einen riesen Schritt in die richtige Richtung gemacht.

4. Dann Mail ja kann man machen einfach in Exchange eine globale Regel setzen die das senden von Anhängen unterbindet, und ggf. den Admin informiert.
5. Jetzt wird es schwieriger: Netzwerk absichern Thema NAC bzw. IEEE 802.1X komplett umsetzen um eben Sachen wie den Pi im Netzwerk auszuschließen.
6. Wieder die Clients nicht verwendete Sata und PCI Ports blockieren gegen SSD einbau etc.
7. Dann noch Peripherie Drucker etc. Prüfen was die so können je nach Gerät und Status wie die eingebunden sind.


Dann sollte man das meiste erschlagen haben. Aber weiter gehen kann man immer Thema Handys Kamera abkleben etc.
Mitglied: emeriks
emeriks 28.05.2018 aktualisiert um 14:39:15 Uhr
Goto Top
Aber weiter gehen kann man immer Thema Handys Kamera abkleben etc.
Wie ist das gemeint? Willst Du vorschreiben, dass die Mitarbeiter die Kameras Ihrer Handys abzukleben haben, wenn sie die Firmenräume betreten?
Falls ja: Wie verhindert das, dass jemand kurz vorm Abknipsen schnell mal den Aufkleber lüftet?
Mitglied: UnbekannterNR1
UnbekannterNR1 28.05.2018 aktualisiert um 14:14:58 Uhr
Goto Top
Ja es gibt Umgebungen in denen das Pflicht ist, AKW z.B. und das sind so spezielle Aufkleber wie bei Lizenzen die beim abziehen kaputt gehen. Und sollte dein Aufkleber defekt kannst dich auf eine sehr genaue Prüfung einstellen :D
Mitglied: Lochkartenstanzer
Lochkartenstanzer 28.05.2018 aktualisiert um 14:21:35 Uhr
Goto Top
Zitat von @UnbekannterNR1:

Ja es gibt Umgebungen in denen das Pflicht ist, AKW z.B. und das sind so spezielle Aufkleber wie bei Lizenzen die beim abziehen kaputt gehen. Und sollte dein Aufkleber defekt kannst dich auf eine sehr genaue Prüfung einstellen :D

Da ist es einfacher, das private Handy auf dem Gelände zu verbieten, sprich vorne beim Eingang hinterlegen lassen und nach Feierabend wieder aushändigen.

lks

PS. Diese Aufkleber sind ohne Beschädigung ohne weiteres entfernbar und wieder aufzubringen. Man muß nur die richtigen Werkzeuge einsetzen. Aber mal schnell für ein Bild zwischendurch funktioniert das natürlich nicht. face-smile
Mitglied: emeriks
emeriks 28.05.2018 um 14:38:41 Uhr
Goto Top
Zitat von @UnbekannterNR1:
Danke für die Info.
Mitglied: qf1410640014
qf1410640014 28.05.2018 um 23:06:01 Uhr
Goto Top
Hm,

naja, halten werden sie sich nicht, es geht mir aber darum alles menschen- (und maschinenmögliche) zu tun, was machbar ist. Wenn dann was passiert, nicht mein Bier.

LG
Mitglied: qf1410640014
qf1410640014 28.05.2018 um 23:09:28 Uhr
Goto Top
Hallo,

danke für die interessanten Ansätze. Werde mal sehen, was wie wo wann umsetzbar ist. Gute Idee auch das mit den Handys und Kameras. Wird aber wirklich eher auf klassische Dienstverträge und Geheimhaltungsverpflichtungen hinauslaufen. face-sad

LG