Rechte eines Netzwerkadministrators eindämmen
Hallo zusammen,
ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.
Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.
Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.
- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?
Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.
Mit freundlichen Grüßen
BauerKirch
PS: Auch Links sind sehr Willkommen!
ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.
Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.
Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.
- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?
Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.
Mit freundlichen Grüßen
BauerKirch
PS: Auch Links sind sehr Willkommen!
Please also mark the comments that contributed to the solution of the article
Content-Key: 218508
Url: https://administrator.de/contentid/218508
Printed on: April 25, 2024 at 06:04 o'clock
22 Comments
Latest comment
Hi,
Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.
mfg
Cthluhu
Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.
mfg
Cthluhu
Moin,
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw
lg,
Slainte
natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)
Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.
Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw
lg,
Slainte
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Naja... man müsste dem "Admin" explizit Recht auf das geben was er können soll,Fall der Admin auch die AD verwalten soll, dann müssen die User die Zugriff auf die TS-Files haben auch in einer OU stehen auf die der Admin keine Rechte hat (sonst könnte er ein PW zurück setzen und mit der gekaperten Userkennung zugreifen)
Dann der der Admin auch kein Backup Operator sein, sonst kann er die Files einfach (unverschlüsselt) sichern
Andere Server ginge, der dürfte dann aber nicht in der gleichen Domäne sein (falls der Admin Domain-Admin Rechte hat). Aber auch den Server muss dann wiederrum jemand verwalten und sichern...
usw
usw
Kein leichtes Unterfangen.
lg,
Slainte
Hallo BauerKirch,
das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.
Beste Grüße,
Christian
certified IT
das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.
Beste Grüße,
Christian
certified IT
Zitat von @BauerKirch:
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt wirst du IMMER Zugriff auf die Dateien haben können.
Gruß,
@Snowman25
Zitat von @BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Heute ist Freitag, oder?
Zitat von @falscher-sperrstatus:
Heute ist Freitag, oder?
Zitat von @BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Heute ist Freitag, oder?
Ja. Merkt man auch...
Hi.
Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.
Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.
Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.
Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.
Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Wann verstehen die Chefs endlich, dass ein ADMIN immer Zugriff auf alles hat?
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.
Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.
Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst. Niemand zwingt einen Admin, im Explorer herum zu klicken.
Grüße
Richard
Ok, für den Fall, dass keine Antwort kommt:
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.