22
Verschlüsselter Hochsicherheits-Datenspeicher für wenige Domänen-User im LAN
... (die Domänen-Administratoren gehören nicht dazu).
Hallo,
ich möchte fragen, ob sich schon jemand mit dem Thema befasst hat.
Evtl. gibt es ja Software- und Hardware-Lösungen.
**
Die einfachste Lösung ist vermutlich ein Ordner auf einer Netzfreigabe (dahinter steht ein Windows-Server).
Und das Ding dann verschlüsseln mit irgendeiner Software.
Ca. 5 Domänen-User sollen (auf x-beliebigen Domänen-Clients) Schreibzugriff haben.
Die Domänen-Administratoren gehören nicht dazu.
Grüße
Max
Hallo,
ich möchte fragen, ob sich schon jemand mit dem Thema befasst hat.
Evtl. gibt es ja Software- und Hardware-Lösungen.
**
Die einfachste Lösung ist vermutlich ein Ordner auf einer Netzfreigabe (dahinter steht ein Windows-Server).
Und das Ding dann verschlüsseln mit irgendeiner Software.
Ca. 5 Domänen-User sollen (auf x-beliebigen Domänen-Clients) Schreibzugriff haben.
Die Domänen-Administratoren gehören nicht dazu.
Grüße
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 381793
Url: https://administrator.de/contentid/381793
Printed on: April 25, 2024 at 23:04 o'clock
22 Comments
Latest comment
Moin,
Veracrypt sollte für dich genau passen.
Veracrypt sollte für dich genau passen.
Moin,
das hört sich nach einem Szenario für EFS an...
lg,
Slainte
das hört sich nach einem Szenario für EFS an...
lg,
Slainte
Ich weiß ja nicht was ihr genau erreichen wollt, aber wenn ein Domänen-Admin an Daten rankommen will kommt er da auch ran. Wenn den Admins oder der Putzfrau nicht vertraut wird sollte man sie wechseln.
/Thomas
/Thomas
Es gibt ext Festplatten mit Hardwareverschlüssung, RFID Karten ect...
Jedoch seid ihr im Firmenlan wo Admins die Kontrolle haben und auch Fremde Geräte Blocken können.
Sobald ein Gerät am Domäne-PC Hängt hat der Admin Zugriff darauf.
Ein Admin kannst du so nicht Aussperren.
Zudem sind die User eher das Einfallstor wo Daten Abhanden kommen als der Storage Speicher selbst.
Kurz mal Kaffe hohlen und der PC bleibt Entsperrt zurück wo jeder dann Zugriff hat ect...
Eine Absicherung ist was Komplexer und Umfangreicher.
Was bringt es in der Firma eine Tresortüre einbauen zu lassen und davor etliche Kameras + Sicherheitsleute wenn es eine weitere einfache Holztüre zu den Raum gibt + Lüftungsschacht die Unbewacht und Offen sind?
Jedoch seid ihr im Firmenlan wo Admins die Kontrolle haben und auch Fremde Geräte Blocken können.
Sobald ein Gerät am Domäne-PC Hängt hat der Admin Zugriff darauf.
Ein Admin kannst du so nicht Aussperren.
Zudem sind die User eher das Einfallstor wo Daten Abhanden kommen als der Storage Speicher selbst.
Kurz mal Kaffe hohlen und der PC bleibt Entsperrt zurück wo jeder dann Zugriff hat ect...
Eine Absicherung ist was Komplexer und Umfangreicher.
Was bringt es in der Firma eine Tresortüre einbauen zu lassen und davor etliche Kameras + Sicherheitsleute wenn es eine weitere einfache Holztüre zu den Raum gibt + Lüftungsschacht die Unbewacht und Offen sind?
Hallo,
was willst Du genau damit erreichen? Kannst Du das Szenario etwas detaillierter beschreiben?
Sollen evtl. Personaldaten oder ähnliches nur für die betroffenen 5 Benutzer möglich sein.
Welches Serverumgebung ist im Einsatz? In Abhängigkeit ist des Betriebssystems ist so etwas mit Boardmitteln machbar.
ABER: Die Administratoren können sich trotzdem Zugriff verschaffen. Wenn auch im Beisein vom Betriebsrat, Datenschutz, Revision.
D.h. einen 100%igen Schutz wirst Du nicht erreichen. Was ist, wenn die verschlüsselten Daten wiederhergestellt werden müssen?
Wie stellt Ihr Euch dieses Szenario vor?
Gruss Penny
was willst Du genau damit erreichen? Kannst Du das Szenario etwas detaillierter beschreiben?
Sollen evtl. Personaldaten oder ähnliches nur für die betroffenen 5 Benutzer möglich sein.
Welches Serverumgebung ist im Einsatz? In Abhängigkeit ist des Betriebssystems ist so etwas mit Boardmitteln machbar.
ABER: Die Administratoren können sich trotzdem Zugriff verschaffen. Wenn auch im Beisein vom Betriebsrat, Datenschutz, Revision.
D.h. einen 100%igen Schutz wirst Du nicht erreichen. Was ist, wenn die verschlüsselten Daten wiederhergestellt werden müssen?
Wie stellt Ihr Euch dieses Szenario vor?
Gruss Penny
Hi.
Betriebsratsdaten?
Die gehören auf einen Rechner, der nicht der Domäne angehört, Festplatte vollverschlüsselt und sowohl Adminkennwörter als auch Versxchlüsselungs-PIN (o.Ä.) hat nur der Betriebsrat. Backups muss der BR dann auch selbst verantworten und aufbewahren. Alles andere ist von Admins manipulierbar.
Betriebsratsdaten?
Die gehören auf einen Rechner, der nicht der Domäne angehört, Festplatte vollverschlüsselt und sowohl Adminkennwörter als auch Versxchlüsselungs-PIN (o.Ä.) hat nur der Betriebsrat. Backups muss der BR dann auch selbst verantworten und aufbewahren. Alles andere ist von Admins manipulierbar.
Hallo,
Betriebsratsdaten?
Ich glaube Du hast mich mißverstanden. Ich habe nicht behauptet, daß es um Betriebsratdaten geht, sonden daß die Wiederherstellung durch Administratoren im Beisein vom Betriebsrat, Datenschutz oder Revision erfolgen darf.
Das versuche ich hier in einem Projekt auch grade dem Betriebsrat verständlich zu machen. Derzeit sind die Daten auf einer NetApp als Freigabe mit entsprechender Berechtigung realisiert. Entweder will der Betriebsrat es verstehen, oder...
Gruss Penny
Betriebsratsdaten?
Die gehören auf einen Rechner, der nicht der Domäne angehört, Festplatte vollverschlüsselt und sowohl Adminkennwörter als auch Versxchlüsselungs-PIN (o.Ä.) hat nur der Betriebsrat. Backups muss der BR dann auch selbst verantworten und aufbewahren. Alles andere ist von Admins manipulierbar.
Da gebe ich Dir Recht bzw. stimme Dir vollkommen zu.Das versuche ich hier in einem Projekt auch grade dem Betriebsrat verständlich zu machen. Derzeit sind die Daten auf einer NetApp als Freigabe mit entsprechender Berechtigung realisiert. Entweder will der Betriebsrat es verstehen, oder...
Gruss Penny
Ich glaube Du hast mich mißverstanden
Ich hatte mich auf die Frage bezogen, nicht auf Deinen Kommentar 
Zitat von @DerWoWusste:
OK, dann habe ICH es mißverstanden. - Entschuldige.Ich glaube Du hast mich mißverstanden
Ich hatte mich auf die Frage bezogen, nicht auf Deinen Kommentar 
In dem Fall ist doch eine Sicherung durch das "vier Augen Prinzip" die beste Wahl.
Auf was für ein System man sich dort verständigt ist Damm ein anderes Thema.
Auf was für ein System man sich dort verständigt ist Damm ein anderes Thema.
Hallo,
ich stehe vor einer ähnlichen Herausforderung und bin da auf hicrypt gestoßen. Damit lassen sich Shares für den Anwender transparent verschlüsseln. Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss. So zumindest die Aussagendes Herstellers. Die Datensicherung sichert dann nur die verschlüsselten Dateien weg. Wir werden im Q4/18 einen Testlauf starten.
ich stehe vor einer ähnlichen Herausforderung und bin da auf hicrypt gestoßen. Damit lassen sich Shares für den Anwender transparent verschlüsseln. Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss. So zumindest die Aussagendes Herstellers. Die Datensicherung sichert dann nur die verschlüsselten Dateien weg. Wir werden im Q4/18 einen Testlauf starten.
Zitat von @n.o.b.o.d.y:
Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss.
Die Rechtevergabe erfolgt in einer Managementconsole, die nicht von den Admins administriert werden muss.
Das schützt dich aber auch nicht vor Keyloggern oder automatisierten Screenshots, der Admin eines Rechners kommt immer an die Daten.
/Thomas
Dafür gibt es Autotask in Verbindung mit der Verschlüsselung und 2FA deiner Wahl.
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/
Zitat von @Th0mKa:
Das schützt dich aber auch nicht vor Keyloggern oder automatisierten Screenshots, der Admin eines Rechners kommt immer an die Daten.
Das schützt dich aber auch nicht vor Keyloggern oder automatisierten Screenshots, der Admin eines Rechners kommt immer an die Daten.
Das ist in soweit richtig, solange der Management-"PC" in der Domäne ist. Lasse ich den aber stand-alone und in einer sicheren Umgebung, gehört bei dem Admin schon einen Menge kriminelle Energie dazu.
Bei uns zumindest sind die Anforderungen nicht so hoch. Will man es richtig machen, hilft nur eine physische Trennung der Datenhaltung und -verarbeitung und andere Admins.
Zitat von @AlFalcone:
Dafür gibt es Autotask in Verbindung mit der Verschlüsselung und 2FA deiner Wahl.
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/
Dafür gibt es Autotask in Verbindung mit der Verschlüsselung und 2FA deiner Wahl.
Da sieht jeder nur was er sehen soll.
https://www.autotask.com/
Wenn du mit "sieht" den Dateizugriff meinst mag das sein, es schützt aber eben nicht vor automatischen Screenshots des Bildschirms.Und es gibt je nach Software bestimmt noch mehr Vektoren, Temp Files zum Beispiel.
Vor Screenshot schützen ist so gut wie unmöglich, Foto mit dem Mobile Device oder einer Digig Cam sind nicht so einfach zu unterbinden.
Zitat von @AlFalcone:
Vor Screenshot schützen ist so gut wie unmöglich, Foto mit dem Mobile Device oder einer Digig Cam sind nicht so einfach zu unterbinden.
Vor Screenshot schützen ist so gut wie unmöglich, Foto mit dem Mobile Device oder einer Digig Cam sind nicht so einfach zu unterbinden.
Abgeshotteter Bereich mit Security hilft da wohl.
Klar aber wer setzt das bei 5 Nasen durch?
Hallo,
es gibt zwar jede Menge Antworten, aber der Beitragsersteller antwortet nicht.
Und auch auf meine Frage ist bisher KEINE Antwort gekommen.
Gruss Penny
es gibt zwar jede Menge Antworten, aber der Beitragsersteller antwortet nicht.
Und auch auf meine Frage ist bisher KEINE Antwort gekommen.
Gruss Penny
Hallo Max,
HiCrypt nutzt eine Freigabe auf einen Windows-Server und verschlüsselt an der Netzwerkkarte des Clients die Daten.
Auf der Freigabe liegen die Dateien wie vorher auch, aber der Inhalt ist verschlüsselt.
Coole Lösung für Daten auf Servern, die nur von bestimmten Usern genutzt werden dürfen, die aber auch ganz normal durch den Admin gesichert und wiederhergestellt werden können, ohne dass el sie lesen kann.
vG
LS
HiCrypt nutzt eine Freigabe auf einen Windows-Server und verschlüsselt an der Netzwerkkarte des Clients die Daten.
Auf der Freigabe liegen die Dateien wie vorher auch, aber der Inhalt ist verschlüsselt.
Coole Lösung für Daten auf Servern, die nur von bestimmten Usern genutzt werden dürfen, die aber auch ganz normal durch den Admin gesichert und wiederhergestellt werden können, ohne dass el sie lesen kann.
vG
LS
Hi,
es geht um die Daten der Personaler.
Hardware-basierte Lösung wurde bereits abgelehnt.
Ich schaue mir Eure Vorschläge jetzt alle mal an.
Aktuell liegen die Sachen auf einem normalen Fileserver.
Die Domänen-Admins können daher auch darauf zugreifen.
Grüße
es geht um die Daten der Personaler.
Hardware-basierte Lösung wurde bereits abgelehnt.
Ich schaue mir Eure Vorschläge jetzt alle mal an.
Aktuell liegen die Sachen auf einem normalen Fileserver.
Die Domänen-Admins können daher auch darauf zugreifen.
Grüße
Ich hatte die selbe Anforderung vor einiger Zeit.
Hatte mich seiner Zeit für SafeGuard Encryption von Sophos entschieden. Allerdings wurde das Projekt dann von der Geschäftsleitung eingestampft. Ich fand den Preis damals wirklich OK und das Produkt hat auch in den Tests einen guten Eindruck hinterlassen.
Hatte mich seiner Zeit für SafeGuard Encryption von Sophos entschieden. Allerdings wurde das Projekt dann von der Geschäftsleitung eingestampft. Ich fand den Preis damals wirklich OK und das Produkt hat auch in den Tests einen guten Eindruck hinterlassen.
