22
Rechte eines Netzwerkadministrators eindämmen
Hallo zusammen,
ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.
Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.
Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.
- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?
Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.
Mit freundlichen Grüßen
BauerKirch
PS: Auch Links sind sehr Willkommen!
ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.
Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.
Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.
- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?
Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.
Mit freundlichen Grüßen
BauerKirch
PS: Auch Links sind sehr Willkommen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 218508
Url: https://administrator.de/contentid/218508
Printed on: April 25, 2024 at 06:04 o'clock
22 Comments
Latest comment
Hi,
Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.
mfg
Cthluhu
Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.
mfg
Cthluhu
1
Moin,
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw
lg,
Slainte
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw
lg,
Slainte
1Zitat von @SlainteMhath:
Moin,
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als
Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob
remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings
über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie
sieht' mit Dropbox, Skydrive und Konsorten aus? usw
Moin,
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als
Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob
remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings
über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie
sieht' mit Dropbox, Skydrive und Konsorten aus? usw
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine Dienste wie Dropbox erlaubt.
lg,
Slainte
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Naja... man müsste dem "Admin" explizit Recht auf das geben was er können soll,Fall der Admin auch die AD verwalten soll, dann müssen die User die Zugriff auf die TS-Files haben auch in einer OU stehen auf die der Admin keine Rechte hat (sonst könnte er ein PW zurück setzen und mit der gekaperten Userkennung zugreifen)
Dann der der Admin auch kein Backup Operator sein, sonst kann er die Files einfach (unverschlüsselt) sichern
Andere Server ginge, der dürfte dann aber nicht in der gleichen Domäne sein (falls der Admin Domain-Admin Rechte hat). Aber auch den Server muss dann wiederrum jemand verwalten und sichern...
usw
usw
Kein leichtes Unterfangen.
lg,
Slainte
1
Hallo BauerKirch,
das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.
Beste Grüße,
Christian
certified IT
das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.
Beste Grüße,
Christian
certified IT
2
Zitat von @BauerKirch:
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt wirst du IMMER Zugriff auf die Dateien haben können.
Gruß,
@Snowman25
1Zitat von @Snowman25:
> Zitat von @BauerKirch:
> ----
> Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt.
Keine
> Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?
> Zitat von @BauerKirch:
> ----
> Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt.
Keine
> Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?
AES Schlüssel den ich nicht besitze, ich könnte mir Datenmüll wiederherstellen der mir gleich Null bringt.
Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den
fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt
wirst du IMMER Zugriff auf die Dateien haben können.
Gruß,
@Snowman25
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Zitat von @BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Heute ist Freitag, oder?
1Zitat von @falscher-sperrstatus:
Heute ist Freitag, oder?
Zitat von @BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Heute ist Freitag, oder?
Ja. Merkt man auch...
1
Hi.
Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.
Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.
Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.
Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.
Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
1
Mir reicht die Info schon, dass ich mir immer irgendwie Zugriff verschaffen könnte. Denn dann lehnt die Geschäftsführung das sowieso ab.
Meine Arbeit würde darin bestehen, den gesamten Server zu warten, die ADS, WSUS und viele andere integrierte Dienste. Eine Überwachung reicht hier leider nicht aus.
So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut, allerdings schon bekannt und nicht das was ich suche. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Vielen Dank euch.
Gruß
BauerKirch
Meine Arbeit würde darin bestehen, den gesamten Server zu warten, die ADS, WSUS und viele andere integrierte Dienste. Eine Überwachung reicht hier leider nicht aus.
So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut, allerdings schon bekannt und nicht das was ich suche. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Vielen Dank euch.
Gruß
BauerKirch
Wann verstehen die Chefs endlich, dass ein ADMIN immer Zugriff auf alles hat?
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.
Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.
Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
2Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.Zitat von @SlainteMhath:
> Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
> anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.
> . Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.
> Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
> anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.
> . Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.
Da kann man meinem Account die Rechte für bspw. Kaspersky explizit an meinen Benutzer vergeben. ADS, WSUS und Co. habe ich noch nicht installiert, bzw. getestet.
Nachtrag: Die Konsolen sind Lokal auf meinem Rechner installiert.
Aber dieses Konzept ist Kopflos. Da du die ganze Herrschaftsgewalt auf mehrere Personen/Firmen aufteilst. Das führt nur dazu, dass im Endeffekt alles teurer wird und zwischen den Schnittstellen Sicherheitslücken entstehen.
1
Wir haben da nach den aktuellen Bedingungen garkeine Wahl. Vllt. ändert sich das irgendwann, wenn wir endlich eine neue Serverinfrastruktur haben. Solange muss es halt so gehen.
Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst. Niemand zwingt einen Admin, im Explorer herum zu klicken.
Grüße
Richard
Dann solltest du
a) den Auftraggeber bitten das nochmal zu durchdenken (unter dem Aspekt)
oder
b) höllisch aufpassen, das Schnittstellenproblematiken nicht auf euch abfärben
oder
c) eine Rentabilitätsanalyse des Unterfangens anstrengen.
a) den Auftraggeber bitten das nochmal zu durchdenken (unter dem Aspekt)
oder
b) höllisch aufpassen, das Schnittstellenproblematiken nicht auf euch abfärben
oder
c) eine Rentabilitätsanalyse des Unterfangens anstrengen.
1
Moin C.R.S.
Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst
Was erfasst es denn nicht, Deiner Meinung nach? Dass es offline-Zugriffe nicht erfasst, ist klar.
Der Admin hat auch live Blocklevel-Zugriff, den er mit jedem beliebigen Dateisystem-Parser (Sleuth Kit, WinHex etc.) verfeinern kann.
Grüße
Richard
Grüße
Richard
ok... interessant.
Und es wäre durchaus machbar, damit gezielt einzelne Dateien anzusehen?
Und es wäre durchaus machbar, damit gezielt einzelne Dateien anzusehen?
Ok, für den Fall, dass keine Antwort kommt:
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
