Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Rechte eines Netzwerkadministrators eindämmen

Frage Microsoft Windows Userverwaltung

Mitglied: BauerKirch

BauerKirch (Level 1) - Jetzt verbinden

04.10.2013 um 12:28 Uhr, 2258 Aufrufe, 22 Kommentare, 3 Danke

Hallo zusammen,

ich hoffe das uns Jemand helfen kann, denn wir finden hierzu keine effektive oder präzise Lösung.

Wir betreiben ein domänenbasiertes Netzwerk mit einem Windows Server 2003, auf dem eigentlich soweit alles läuft. Auf diesen Server haben momentan nur Zwei Benutzer Zugriff, damit keiner an die Firmen-Internen Daten kommt, der nicht explizit dafür ausgewählt wurde.

Somit habe ich keine Rechte um auf dem Server zu arbeiten und das nur wegen diesen kritischen Daten. Als Netzwerkadministrator besteht die Gefahr das ich mir Zugriff auf diese Daten verschaffe.

- Meine Frage, wie könnten wir dieses Problem lösen?
- Könnte man meinen Account irgendwie so einschränken dass ich auf den Server arbeiten kann, aber auf bestimmte Ordner absolut keinen Zugriff mehr erhalte?

Über Ratschläge, Vorschläge, Lösung und Tipps jeder Art wäre ich sehr dankbar.

Mit freundlichen Grüßen
BauerKirch

PS: Auch Links sind sehr Willkommen!
Mitglied: Cthluhu
04.10.2013 um 12:41 Uhr
Hi,

Naja, wenn du physikalischen Zugang zum Rechner hast, könntest du ja immer eine Live-CD einlegen und die Zugriffsrechte auf die Dateien umgehen.
Als Admin am Rechner kannst du auch immer die Dateiberechtigungen zurücksetzen bzw den Besitz übernehmen.
Als mögliche Lösung wäre hier das vier Augen Prinzip geeignet. D.h. du darfst nur am Server arbeiten, wenn dir jemand dabei über die Schultern schaut und aufpasst, dass du nichts unrechtmäßiges machst.

Mit freundlichen Grüßen

Cthluhu
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 12:44 Uhr
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie sieht' mit Dropbox, Skydrive und Konsorten aus? usw

lg,
Slainte
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 12:53 Uhr
Zitat von SlainteMhath:
Moin,

natürlich kannst Du einem User (auch dem Admin) die Rechte für Verzeichnisse Dateien entziehen und somit hat er auch als
Domänen oder Lokaler Admin am Server keinen Zugriff darauf. (Wenn die NTFS Rechte richtig sitzen ist es übrigens egal ob
remote oder Lokal zugegriffen wird)

Aber er kann jederzeit den Besitz übernehmen und hat dadurch dann Zugriff auf alle Daten. Das lässt sich allerdings
über die Zugriffsprotokolierung von Windows überwachen bzw aufzeichnen.

Wenn die Daten schon so brisant sind noch ein paar Fragen zum nachdenken
Frage am Rande wie macht ihr Datensicherung? Wo liegen die Bänder? Werden externe (USB) Devices regelemntiert? Wie
sieht' mit Dropbox, Skydrive und Konsorten aus? usw

Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine Dienste wie Dropbox erlaubt.


lg,
Slainte

Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 13:02 Uhr
Also ist ein absolutes aussperren nicht möglich? Auch nicht wenn wir die Daten auf einen anderen Server legen würden?
Naja... man müsste dem "Admin" explizit Recht auf das geben was er können soll,

Fall der Admin auch die AD verwalten soll, dann müssen die User die Zugriff auf die TS-Files haben auch in einer OU stehen auf die der Admin keine Rechte hat (sonst könnte er ein PW zurück setzen und mit der gekaperten Userkennung zugreifen)

Dann der der Admin auch kein Backup Operator sein, sonst kann er die Files einfach (unverschlüsselt) sichern

Andere Server ginge, der dürfte dann aber nicht in der gleichen Domäne sein (falls der Admin Domain-Admin Rechte hat). Aber auch den Server muss dann wiederrum jemand verwalten und sichern...

usw
usw

Kein leichtes Unterfangen.

lg,
Slainte
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:12 Uhr
Hallo BauerKirch,

das ist ein Henne-Ei Problem. Folgendes: IT ist Vertrauenssache. Vertraut der AG euch nicht müsst ihr entsprechend die Dinge anders regeln. Allerdings ist dann auch die Frage, in wie weit eine Zusammenarbeit praktikabel ist und ob nicht ggf. mit einem Internen ITler zusammengearbeitet werden muss in Hinsicht: Er vergibt Zugänge oder ist eure "kontrollierende" Hand.

Beste Grüße,

Christian
certified IT
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 13:41 Uhr
Zitat von BauerKirch:
Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt. Keine
Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?


Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 13:46 Uhr
Zitat von Snowman25:
> Zitat von BauerKirch:
> ----
> Über unsere Datensicherung komme ich ohne AES-Key auch nicht an die Daten, denn das wird hochgradig verschlüsselt.
Keine
> Dienste wie Dropbox erlaubt.
Und was hindert dich daran, die Daten an einer Stelle wiederherzustellen, wo du Zugriff darauf hast?

AES Schlüssel den ich nicht besitze, ich könnte mir Datenmüll wiederherstellen der mir gleich Null bringt.



Pack deinen eigenen Account in eine neue Gruppe der Domäne. Dann füge ein Verweigern-Recht für diese Gruppe zu den
fraglichen Ordnern hinzu.
Verweigern steht immer ÜBER zulassen, weshalb du dann keinen Zugriff mehr hast.
Allerdings kannst du dir einen neuen Account anlegen, ihn mitAdminrechten ausstatten und du hast wieder Zugriff. Im Endeffekt
wirst du IMMER Zugriff auf die Dateien haben können.

Gruß,
Snowman25

Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 13:47 Uhr
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?
Bitte warten ..
Mitglied: Snowman25
04.10.2013, aktualisiert um 14:02 Uhr
Zitat von certifiedit.net:
Zitat von BauerKirch:
Das man dass nicht verhindern kann ist echt ärgerlich. Warum muss der Netzwerkadministrator so Gottgleich sein

Heute ist Freitag, oder?

Ja. Merkt man auch...
Bitte warten ..
Mitglied: DerWoWusste
04.10.2013, aktualisiert 06.10.2013
Hi.

Du hast doch schon einen Ansatz bekommen: die NTFS-Überwachung. Überwacht die Zugriffe auf den Ordner und alles ist gut. Wenn Du nun die Logs löschen würdest, wird das ebenfalls geloggt - es fällt also zwangsläufig auf.

Aber: Sobald Du Adminrechte auf einem Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts mehr.

Du solltest also, damit wir Dich beraten können, definieren, was Du auf dem Server machen möchtest - worin genau besteht denn Deine Arbeit und welche Rechte brauchst Du dafür?
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 14:58 Uhr
Mir reicht die Info schon, dass ich mir immer irgendwie Zugriff verschaffen könnte. Denn dann lehnt die Geschäftsführung das sowieso ab.

Meine Arbeit würde darin bestehen, den gesamten Server zu warten, die ADS, WSUS und viele andere integrierte Dienste. Eine Überwachung reicht hier leider nicht aus.

So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut, allerdings schon bekannt und nicht das was ich suche. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.

Vielen Dank euch.

Gruß
BauerKirch
Bitte warten ..
Mitglied: Snowman25
04.10.2013 um 15:01 Uhr
Wann verstehen die Chefs endlich, dass ein ADMIN immer Zugriff auf alles hat?
Die Frage, wie sich der Admin "einsperren" lässt, taucht hier mindestens 1 mal im Monat auf.

Es ist zwar schön, dass sich die Leute Gedanken um Datenschutz und -Sicherheit machen, aber da sollte man doch zuerst die externen ausschließen bevor man intern die Arbeit erschwert.
Bitte warten ..
Mitglied: SlainteMhath
04.10.2013 um 15:21 Uhr
Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

. Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013, aktualisiert um 15:27 Uhr
Zitat von SlainteMhath:
> Aber: Sobald Du Adminrechte auf einen Rechner bekommst, kannst Du dort auch Keylogger installieren, Kennwörter
> anderer damit abgreifen und in deren Namen handeln - schon bringt die ganze Überwachung nichts me
Naja, da könnte man mit Login per Smardcard oder Two-Factor-Auth was dagegen tun.

> . Ich werde wohl erstmal alles relativ umständlich über die verschiedenen Administrationskonsolen machen.
Hä? Wie machen die Adminkonsolen die Files am Server sicherer? Versteh ich jetzt nicht.

Da kann man meinem Account die Rechte für bspw. Kaspersky explizit an meinen Benutzer vergeben. ADS, WSUS und Co. habe ich noch nicht installiert, bzw. getestet.

Nachtrag: Die Konsolen sind Lokal auf meinem Rechner installiert.
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 15:38 Uhr
Aber dieses Konzept ist Kopflos. Da du die ganze Herrschaftsgewalt auf mehrere Personen/Firmen aufteilst. Das führt nur dazu, dass im Endeffekt alles teurer wird und zwischen den Schnittstellen Sicherheitslücken entstehen.
Bitte warten ..
Mitglied: BauerKirch
04.10.2013 um 15:44 Uhr
Wir haben da nach den aktuellen Bedingungen garkeine Wahl. Vllt. ändert sich das irgendwann, wenn wir endlich eine neue Serverinfrastruktur haben. Solange muss es halt so gehen.
Bitte warten ..
Mitglied: C.R.S.
04.10.2013 um 17:18 Uhr
Zitat von BauerKirch:
So Ansätze wie NTFS Rechte- und Überwachung sind schön und gut

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst. Niemand zwingt einen Admin, im Explorer herum zu klicken.

Grüße
Richard
Bitte warten ..
Mitglied: certifiedit.net
04.10.2013 um 17:22 Uhr
Dann solltest du
a) den Auftraggeber bitten das nochmal zu durchdenken (unter dem Aspekt)
oder
b) höllisch aufpassen, das Schnittstellenproblematiken nicht auf euch abfärben
oder
c) eine Rentabilitätsanalyse des Unterfangens anstrengen.
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013 um 13:13 Uhr
Moin C.R.S.

Beides vollkommen nutzlos, weil es nur den bordeigenen Dateisystemzugriff erfasst
Was erfasst es denn nicht, Deiner Meinung nach? Dass es offline-Zugriffe nicht erfasst, ist klar.
Bitte warten ..
Mitglied: C.R.S.
06.10.2013 um 19:14 Uhr
Der Admin hat auch live Blocklevel-Zugriff, den er mit jedem beliebigen Dateisystem-Parser (Sleuth Kit, WinHex etc.) verfeinern kann.

Grüße
Richard
Bitte warten ..
Mitglied: DerWoWusste
06.10.2013, aktualisiert um 22:51 Uhr
ok... interessant.
Und es wäre durchaus machbar, damit gezielt einzelne Dateien anzusehen?
Bitte warten ..
Mitglied: DerWoWusste
07.10.2013 um 15:49 Uhr
Ok, für den Fall, dass keine Antwort kommt:
die Idee NTFS-Überwachung gegen einen Admin einzusetzen ist in der Tat schwieriger als gedacht. Was mir noch einfiel, als ich C.R.S' Gedanken folgte, waren Hotimagingprogramme, die auch an der Überwachung vorbeifahren. Wenn man das also machen wollte, so müsste weiteren Aufwand betreiben und nur bestimmte Programme per Applocker-Whitelisting für diesen Admin zulassen.
--
Hoffe, dass ich diesen Gedanken nun nicht überstrapaziert habe.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Userverwaltung
Benötigte Rechte für PC Domjoin (2)

Frage von Phill93 zum Thema Windows Userverwaltung ...

Linux Userverwaltung
Enter-Taste verschafft Angreifern Root-Rechte auf verschlüsselten Systemen (1)

Link von magicteddy zum Thema Linux Userverwaltung ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...