10
Server verschlüsseln
Hallo
Ich stehe vor folgendem Problem:
Unsere Firma hat mehrere externe Mitarbeiter, die an verschiedenen Projekten in der Entwicklung arbeiten.
Bisher haben alle externen Mitarbeiter ihre Rechner mit den entsprechenden Programmen und Daten im Homeoffice und überspielen diese dann auf die Server.
Diese Mitarbeiter sollen, so die Planung, zukünftig nur noch auf zentralen Servern (Windows2012R2Enterprice), der in unserem Rechenzentrum steht, arbeiten.
Vorgesehen als Arbeitsplattform für die externen Mitarbeiter wäre HyperV zur Virtualisierung mit z.B. Windows 7/8.1 ect. als Client.
Alle Programme und Daten sollten auf diesen virtualisierten Rechnern liegen.
Frage: kann man solch einen virtualisierten Rechner (neben dem Benutzername/Loginnamen und Passwort) auch so verschlüsseln, dass neben den Daten auch die entsprechenden Programme (z.B. Word, Vision, Projekt und Entwicklungsprogrammen) vom entfernten Client (der natürlich über VPN angeschlossen ist) lauffähig sind?
Für eine Antwort im Voraus besten Dank
ben
Ich stehe vor folgendem Problem:
Unsere Firma hat mehrere externe Mitarbeiter, die an verschiedenen Projekten in der Entwicklung arbeiten.
Bisher haben alle externen Mitarbeiter ihre Rechner mit den entsprechenden Programmen und Daten im Homeoffice und überspielen diese dann auf die Server.
Diese Mitarbeiter sollen, so die Planung, zukünftig nur noch auf zentralen Servern (Windows2012R2Enterprice), der in unserem Rechenzentrum steht, arbeiten.
Vorgesehen als Arbeitsplattform für die externen Mitarbeiter wäre HyperV zur Virtualisierung mit z.B. Windows 7/8.1 ect. als Client.
Alle Programme und Daten sollten auf diesen virtualisierten Rechnern liegen.
Frage: kann man solch einen virtualisierten Rechner (neben dem Benutzername/Loginnamen und Passwort) auch so verschlüsseln, dass neben den Daten auch die entsprechenden Programme (z.B. Word, Vision, Projekt und Entwicklungsprogrammen) vom entfernten Client (der natürlich über VPN angeschlossen ist) lauffähig sind?
Für eine Antwort im Voraus besten Dank
ben
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 254876
Url: https://administrator.de/contentid/254876
Printed on: April 26, 2024 at 17:04 o'clock
10 Comments
Latest comment
Hi.
Du kannst den gesamten Server verschlüsseln und somit alle Maschinen. Bei Hyper-V ist Bitlocker naheliegend. Nimmt man einen Server mit TPM-Modul (Standard bei Serverhardware), dann braucht man nicht einmal ein Kennwort festzulegen.
Möglich ist alles - mir ist jedoch noch nicht klar, was Du erreichen willst mit dieser Verschlüsselung. Gegen welches Szenario wappnest Du Dich?
Du kannst den gesamten Server verschlüsseln und somit alle Maschinen. Bei Hyper-V ist Bitlocker naheliegend. Nimmt man einen Server mit TPM-Modul (Standard bei Serverhardware), dann braucht man nicht einmal ein Kennwort festzulegen.
Möglich ist alles - mir ist jedoch noch nicht klar, was Du erreichen willst mit dieser Verschlüsselung. Gegen welches Szenario wappnest Du Dich?
Hi Ben,
für mich klingt das, wie wenn Du Dich gegen Datenmitnahme/-missbrauch durch die exteren Mitarbeiter schützen willst?
Die Verschlüsselung leuchtet mir in dem Fall auch nicht so ganz ein, da Du die Externen wie es aussieht via VPN/RDesktop arbeiten lassen willst und diese dann ja die unverschlüsselten Daten/Programm zum Arbeiten brauchen.
Eventuell sind die Rechteverwaltungsdienste (AD RMS) das, was Du (wirklich) suchst?
Schau mal rein:
http://technet.microsoft.com/de-de/windowsserver/dd448611.aspx
http://openbook.galileo-press.de/windows_server_2008/windows_server_200 ...
Hoffe ich konnte Dir schon ein bisschen helfen, ansonsten einfach nochmal melden und evtl. mal ein Anwendungsszenario schildern.
Viele Grüße!
für mich klingt das, wie wenn Du Dich gegen Datenmitnahme/-missbrauch durch die exteren Mitarbeiter schützen willst?
Die Verschlüsselung leuchtet mir in dem Fall auch nicht so ganz ein, da Du die Externen wie es aussieht via VPN/RDesktop arbeiten lassen willst und diese dann ja die unverschlüsselten Daten/Programm zum Arbeiten brauchen.
Eventuell sind die Rechteverwaltungsdienste (AD RMS) das, was Du (wirklich) suchst?
Schau mal rein:
http://technet.microsoft.com/de-de/windowsserver/dd448611.aspx
http://openbook.galileo-press.de/windows_server_2008/windows_server_200 ...
Hoffe ich konnte Dir schon ein bisschen helfen, ansonsten einfach nochmal melden und evtl. mal ein Anwendungsszenario schildern.
Viele Grüße!
Danke für die schnellen Antworten.
Folgendes Szenario:
unser externen Entwickler sollen nur noch auf dem Server arbeiten und auf den lokalen Clients keine oder nur wenige Anwendungen laufen haben (z.B. die Drucker oder z.B. Zeichenbrett über den COM/USB-Port)
Alle anderen Programme sollen auf dem Server laufen, ebenso sollen alle Daten auf dem Server liegen, so dass eigentlich keine Daten und Programme mehr nach außen gelangen könnten.
Das Ganze läuft selbstverständlich in einem VPN gesicherten Netzwerk.
Wir möchten uns sozusagen gegen einen "event. korrupten Administrator" absichern. Reine Vorsichtsmaßnahme)
Nur die externen Mitarbeiter hätten Zugang zu ihren Programmen und Daten, für die Sie ja auch die Verantwortung tragen.
Das Problem ist, wir hatten den Verlust eines Laptops mit eben solchen Daten und Programmen eines externen Mitarbeiter (Diebstahl in der Bahn) sowie vor einiger Zeit auch den Verdacht, dass ein Mitarbeiter, der Administrationsrechte hat Daten abgezogen haben könnte, was sich aber Gott sei Dank nicht bestätigt hat.
Dadurch, dass alles auf den Servern liegt, hat der Diebstahl eines Laptops keine Auswirkung.
Der Admin kann, da er die Zugangsdaten für die Verschlüsselung nicht kennt aber eben nur seinen Bereich (Betriebssystem) bedienen und hätte somit keine Möglichkeit, vertrauliche Daten abzuziehen.
viele Grüße !
Folgendes Szenario:
unser externen Entwickler sollen nur noch auf dem Server arbeiten und auf den lokalen Clients keine oder nur wenige Anwendungen laufen haben (z.B. die Drucker oder z.B. Zeichenbrett über den COM/USB-Port)
Alle anderen Programme sollen auf dem Server laufen, ebenso sollen alle Daten auf dem Server liegen, so dass eigentlich keine Daten und Programme mehr nach außen gelangen könnten.
Das Ganze läuft selbstverständlich in einem VPN gesicherten Netzwerk.
Wir möchten uns sozusagen gegen einen "event. korrupten Administrator" absichern. Reine Vorsichtsmaßnahme)
Nur die externen Mitarbeiter hätten Zugang zu ihren Programmen und Daten, für die Sie ja auch die Verantwortung tragen.
Das Problem ist, wir hatten den Verlust eines Laptops mit eben solchen Daten und Programmen eines externen Mitarbeiter (Diebstahl in der Bahn) sowie vor einiger Zeit auch den Verdacht, dass ein Mitarbeiter, der Administrationsrechte hat Daten abgezogen haben könnte, was sich aber Gott sei Dank nicht bestätigt hat.
Dadurch, dass alles auf den Servern liegt, hat der Diebstahl eines Laptops keine Auswirkung.
Der Admin kann, da er die Zugangsdaten für die Verschlüsselung nicht kennt aber eben nur seinen Bereich (Betriebssystem) bedienen und hätte somit keine Möglichkeit, vertrauliche Daten abzuziehen.
viele Grüße !
Als Admin kannst du dich selbst "Freischalten" oder Änderungen am System machen wodurch du eh an die Verschlüsselten Daten kommst.
Auch brauchst du das Passwort nichtmal kennen sondern musst nur warten bis ein User sich Anmeldet und die Daten entschlüsselt....
VPN sichert ja nur den Verkehr von Client zu Server.
Und der RDP bietet dir ja die Möglichkeit Geräte durchzureichen, USB Stick ect...
Dazu sobal der Server wo du dich Anmeldest Internet hast kannst du auch Daten raussenden....
Per Mail, FTB ect...
Und du kannst nicht alles Sperren da die Leute ja auch Kommunizieren sollen wenn Probleme sind, Änderungen ect...
Und ein Admin der sich auskennt weiß auch wie er seine Spuren verwischen kann bzw auch die Logs Manipulieren kann.
Und eine 100% Sicherheit wirst du nie erreichen können.
Auch brauchst du das Passwort nichtmal kennen sondern musst nur warten bis ein User sich Anmeldet und die Daten entschlüsselt....
VPN sichert ja nur den Verkehr von Client zu Server.
Und der RDP bietet dir ja die Möglichkeit Geräte durchzureichen, USB Stick ect...
Dazu sobal der Server wo du dich Anmeldest Internet hast kannst du auch Daten raussenden....
Per Mail, FTB ect...
Und du kannst nicht alles Sperren da die Leute ja auch Kommunizieren sollen wenn Probleme sind, Änderungen ect...
Und ein Admin der sich auskennt weiß auch wie er seine Spuren verwischen kann bzw auch die Logs Manipulieren kann.
Und eine 100% Sicherheit wirst du nie erreichen können.
Deine Sicherheitsbemühungen von Dir und deiner Firma sind sicherlich gut gemeint aber im Detail lückenhaft. Schau dir mal die Lösungen von CITRIX an und lass dich dort am besten einmal beraten...http://www.citrix.de/solutions/small-business/overview.html?posit=glnav
1
Es geht um eine Absicherung gegen einen Admin? Du willst verhindern, dass der Admin Zugriff hat zu Daten in diesen virtuellen Maschinen?
Verschlüsselung schützt nur so lange, bis die Daten (die virtuelle Festplatte) durch Eingabe des Schlüssels gemountet werden.
Für eine Antwort, die dich weiterbringt, musst Du also überlegen, wie die Schlüsseleingabe dabei erfolgen kann, so dass der Admin weder diese Schlüssel jemals sieht, noch auf gemountete virtuelle Festplatten je Zugriff bekommen kann.
Um die Möglichkeiten des Admins auszuloten, musst Du schon sehr genau sagen, worauf er Rechte hat, was dieses "Amt" auf den beteiligten Komponenten umfasst - bisher ist das doch lediglich ungenau erfolgt.
Verschlüsselung schützt nur so lange, bis die Daten (die virtuelle Festplatte) durch Eingabe des Schlüssels gemountet werden.
Für eine Antwort, die dich weiterbringt, musst Du also überlegen, wie die Schlüsseleingabe dabei erfolgen kann, so dass der Admin weder diese Schlüssel jemals sieht, noch auf gemountete virtuelle Festplatten je Zugriff bekommen kann.
Um die Möglichkeiten des Admins auszuloten, musst Du schon sehr genau sagen, worauf er Rechte hat, was dieses "Amt" auf den beteiligten Komponenten umfasst - bisher ist das doch lediglich ungenau erfolgt.
Zitat von @Ben2703:
Dadurch, dass alles auf den Servern liegt, hat der Diebstahl eines Laptops keine Auswirkung.
Der Admin kann, da er die Zugangsdaten für die Verschlüsselung nicht kennt aber eben nur seinen Bereich (Betriebssystem)
bedienen und hätte somit keine Möglichkeit, vertrauliche Daten abzuziehen.
Dadurch, dass alles auf den Servern liegt, hat der Diebstahl eines Laptops keine Auswirkung.
Der Admin kann, da er die Zugangsdaten für die Verschlüsselung nicht kennt aber eben nur seinen Bereich (Betriebssystem)
bedienen und hätte somit keine Möglichkeit, vertrauliche Daten abzuziehen.
eine Userr mit Adminrechten auszusperren ist nicht ganz trivial und wird immer daran scheitern, daß der (andere) Admin einen Schritt voraus ist. Daher ist das einfachste, den auf keine Kiste zu lassen, auf der Daten sichtbar sind, die er nicht sehen darf.
Gegen Datenabfluß durch Verlust von Notebooks helfen verschlüsselte Platte + regelmäßige Backups.
lks
.. Die Beschreibung deutet auf ein klassisches XenApp bzw. XenDesktop Einsatzszenario hin. Wenn du nicht willst, dass irgendjemand irgendetwas mit nimmt, nimm ihn das Recht dazu weg. Dafür bist du der Administrator der Umgebung und kannst nach dem Highlander-Prinzip handeln. *hehe*
Zitat von @PampersRocker:
Wenn du nicht willst, dass irgendjemand irgendetwas mit nimmt, nimm ihn das Recht dazu weg.
Wenn du nicht willst, dass irgendjemand irgendetwas mit nimmt, nimm ihn das Recht dazu weg.
Dann kann derjenige vermutlich "nicht arbeiten".
R.I.P Freddy
lks
Na dann kommt ja der allgemeine Schulungsauftrag der Administratoren zum Tragen. -> User-Schulung..