Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verzeichnis auch gegen Administrator absichern

Frage Microsoft Windows Netzwerk

Mitglied: imebro

imebro (Level 2) - Jetzt verbinden

20.06.2012 um 10:28 Uhr, 4545 Aufrufe, 21 Kommentare

Hallo,

es geht darum, ein Verzeichnis mit sensiblen Daten (Betriebsrat) so abzusichern, dass auch ein Administrator nicht dran kommt.

Zur Erklärung:
Zur Zeit liegt das Verzeichnis auf unserem Dateiserver (Win Server 2003) und wurde gestern auf den neuen Dateiserver (Win Server 2008) übernommen. Es liegt innerhalb eines Unterverzeichnisses, welches in den Sicherheitseinstellungen nur für mich freigegeben ist. Ich bin auch Besitzer dieses Verzeichnisses.

Nun kam mir der Gedanke, dass wahrscheinlich nun auch der Administrator sich den Besitz und auch die Berechtigung zum öffnen des Verzeichnisses über seine Admin-Anmeldung holen könnte.

Vorsichtshalber habe ich nun das komplette Verzeichnis auf meinen PC gezogen und überlege nun, es vom Server zu löschen, um zu vermeiden, dass doch Jemand dran kommt.

Welche Lösung wäre nun die beste?

1) Verzeichnis auf dem neuen Server (Win Server 2008) belassen und so absichern, dass tatsächlich NUR ICH an die Daten komme (auch kein Admin). Wenn ja -> wie sichere ich es so ab?

2) Verzeichnis vom Server löschen und das dann nur noch auf meinem PC befindliche Verzeichnis auch so gegen Zugriff sichern, dass auch dann niemand dran kommt, der sich z.B. an meinem PC mit Admin-Kennung anmeldet. Wenn ja -> wie sichere ich es so ab?

Wichtig ist, dass ich ohne großen Aufwand an die Daten heran komme. Daher bin ich nicht sicher, ob eine Verschlüsselung (z.B. mit "TrueCrypt" etc.) sinnvoll wäre.


Falls jemand fragt... JA, es gibt berechtigte Gründe dafür, dass ich das Verzeichnis auch gegen Admin´s absichern möchte / muss


Danke & schöne Grüße,
imebro
Mitglied: kontext
20.06.2012, aktualisiert um 10:37 Uhr
HeyHo,

naja - als Admin kannst du den Besitz eines Ordner's übernehmen.
Danach die Rechte geben bzw. verändern und erledigt das Thema ...

In deinem Fall würde ich die Freigabe so anpassen (NTFS Rechte) das wirklich nur du Zugriff hast.
Danach würde ich einen Unterordner erstellen - alle Daten rein ziehen - und danach verschlüsseln.

Das gleiche mit dem Ordner auf deinem PC ...
... denn wenn der Ordner verschlüsselt ist braucht es ein PW um darauf zuzugreifen ...
... wenn der Admin das PW nicht hat - kann er nicht viel damit anfangen

EDIT: ansonsten SUFU benutzen

Greetz
fabian (zanko)
Bitte warten ..
Mitglied: DerWoWusste
20.06.2012, aktualisiert um 10:37 Uhr
Hi.

Exakt diese Frage kommt alle paar Monate wieder und wird erschöpfend behandelt. Hast Du schon die Forensuche mit dem Begriff "betriebsrat" gefüttert?

Einzige akzeptable Lösung ist: eigen-administrierte PC für den Betriebsrat. Alles andere ist nicht sicher (aus Sicht des Betriebsrates).
Bitte warten ..
Mitglied: MaceWindu
20.06.2012 um 10:47 Uhr
Ja, schliesse mich meinen Vorrednern an. Ein weiteres Problem ist wenn "niemand" anders Zugriff auf die Dateien hat dann auch nicht der Sicherungsjob...
Bitte warten ..
Mitglied: ground2er0
20.06.2012 um 10:54 Uhr
Auf dem Lokalem PC hast du hald keine Sicherung!
Bitte warten ..
Mitglied: imebro
20.06.2012, aktualisiert um 11:03 Uhr
Hallo "zanko" und danke für Deine Antwort.

Wie genau würden die Rechte (NTFS) auf dem neuen Dateiserver (Win Server 2008) so angepasst, dass NUR ICH Zugriff auf das Verzeichnis habe?

Und wie würde ich dann das Unterverzeichniss innerhalb dieses Verzeichnisses so verschlüsseln, dass man nur per Passwort dort heran kommt?

@ ALL:
Leider gibt es keinen speziellen Betriebsrat-PC. Außerdem wäre das unpraktisch, da der dann immer zuerst gestartet werden müsste etc.

Sichern würde ich das Ganze - falls es auf meinem PC ist - auf eine externe Festplatte, die dann in den Stahlschrank kommt!

LG
imebro
Bitte warten ..
Mitglied: Onnlein
20.06.2012, aktualisiert um 11:15 Uhr
Ich selber habe etwas ähnliches mit Truecrypt gelöst. Theoretischer Nachteil: Es kann immer nur einer sinnvoll darauf zugreifen. Hört sich bei deiner Beschreibung nicht als Einschränkung an.

Die Dateien auf deinem lokalen Firmenrechner sind auch nicht vor Zugriff sicher.

Vorteil bei Truecrypt ist: Die Dateien werden mitgesichert (aber nur im Block) und sind zudem weiterhin verschiebbar und trotzdem gesichert. Gegen kriminelle Energie (Kamera, Keylogger) hast du natürlich auf fremden Rechner überhaupt keine Chance, aber die Hürde ist mit Truecrypt schon sehr hoch. Das bitte auch bedenken, wenn man bei Passwortverlust auf den Admin hofft: In dem Fall sind die Daten einfach futsch. Endgültig. Sicherung hilft bei Schusseligkeit nicht weiter.

Im übrigen könntest du den Truecrypt-Container auch selber sichern und bräuchtest dafür keinen Stahlschrank.


Eine Alternative bei wenigen Dateien könnte AXCrypt sein.
Bitte warten ..
Mitglied: AndreasHoster
20.06.2012 um 11:13 Uhr
Im Prinzip, wenn Du hier fragen musst, dann hast Du gegen einen guten Admin sowieso keine Chance.

Zu den Rechten: Ein Admin kann IMMER den Besitz übernehmen und dann die Rechte ändern. Macht auch Sinn, denn ansonsten könnte jemand einfach den Server zumüllen und der Admin hätte keine Chance zum Aufräumen.

Wenn man es schwerer machen will, nimm z.B. Truecrypt zum Verschlüsseln.
Das ist auch für Nicht-Geeks bedienbar.
Wobei, wenn Du Dir nicht sicher sein kannst, daß der Admin auf Deinem PC keine Spionagesoftware installiert, hilft Verschlüsselung auch nur minimal.

Und über die Suche zu Betriebsrat solltest Du tatsächlich weiteres finden.

Und Sicherheit und Praktisch sind nur bedingt vereinbar.
Bitte warten ..
Mitglied: kontext
20.06.2012, aktualisiert um 11:20 Uhr
HeyHo,

bist du der Admin - wenn ja auf den Ordner mit der rechten Maustaste klicken - Eigenschaften und dann auf den Punkt Sicherheit wechseln.
Dort schauen das nur noch du drinnen stehst bzw. dein Benutzer.

Aber am schnellsten und einfachsten ist es wirklich mit TrueCrypt oder ähnliches ...
... aber wie gesagt - durchforste mal die anderen Threads (Suchfunktion)
... da ist sicher auch was für dich dabei

Greetz
fabian (zanko)
Bitte warten ..
Mitglied: imebro
20.06.2012 um 11:46 Uhr
Danke Euch...

Werde die Sufu gleich nochmal benutzen und speziell nach "Betriebsrat" schauen.

Ist Euer Tipp so gemeint, dass ich die Verschlüsselung mit TrueCrypt auf dem Server mache?
Dazu müsste ich aber dann TrueCrypt zunächst dort installieren... oder?

Zum lokalen PC:
Die Daten liegen im Moment nicht auf dem Systemlaufwerk (C:\), sondern auf einer Partition (D:\) in einem Unterverzeichnis.
Wenn nun ein Admin meinen PC mit Admin-Login startet, dann kann er ja auch auf die Partition D:\ zugreifen und somit auch auf meine sensiblen Daten.

Wenn ich das Unterverzeichnis in der Partition D:\ nun mit TrueCrypt verschlüssele, dann müsste das doch sicher sein...
Zusätzlich könnte ich dann das Verzeichnis regelmässig auf eine externe Festplatte sichern und diese im Stahlschrank aufheben. Geht das Sichern auf eine ext. FP überhaupt, wenn das zu sichernde Verzeichnis per TrueCrypt verschlüsselt ist?

Ich erinnere mich an einen Bericht, da ging es um ein Programm, mit dem man einfach ein Verzeichnis mit einem Kennwort versehen konnte, damit es gesichert ist. Wäre das nicht eine einfachere Lösung? Wenn ja -> welches Programm könnte man da empfehlen?

Danke & schöne Grüße,
imebro
Bitte warten ..
Mitglied: Onnlein
20.06.2012 um 11:51 Uhr
Truecrypt muss nur dort installiert sein, wo du die Daten nutzen willst.
Mögliches Szenario: TC auf deinem Rechner installiert, aber Container liegt auf Server. Der ist dort auch wirklich sicher. Angriffziel bleibt weiterhin nur dein Rechner mit oben genannten Methoden.

Gleiches mit AXCrypt: Installiert auf deinem Rechner, wo die verschlüsselten Daten dann liegen ist vollkommen unerheblich.
Bitte warten ..
Mitglied: DerWoWusste
20.06.2012, aktualisiert um 12:38 Uhr
imebro, lass mich mal Deinen Blick erweitern.
Wenn der Betriebsrat dem Admin nicht tratuen kann, dann brauchen sie einen PC (oder mehrere), den sie selbst administratieren und sonst niemand. Auf jedem anderen PC kann der Admin Software installieren, die Screenshots des Bildschirms macht oder Kennwörter für Cryptoverzeichnisse einfach mitloggt, was Verschlüsselung aushebelt.

@Onlein
Der ist dort auch wirklich sicher
Mitnichten.
Bitte warten ..
Mitglied: Onnlein
20.06.2012 um 14:27 Uhr
Aber natürlich ist der Container auf dem Server genauso sicher wie auf dem Client.
Bitte nicht sinnentstellend zitieren.
Bitte warten ..
Mitglied: DerWoWusste
20.06.2012 um 14:30 Uhr
Entschuldige Onnlein, wenn wir uns missverstehen. Wenn Du meinen Beitrag gelesen hast, müsstest Du verstehen, wie ich das meine.
Man kann hier mit verschlüsselten ordnern keine Sicherheit erreichen, da der Admin immer die eingegebenen Kennwörter abfangen kann mit Keyloggern oder ähnlichem. Somit ist es auch egal, wo der verschl. Ordner liegt, solange der Rechner nicht vom BR selbst administriert wird, bleibt er unsicher.
Bitte warten ..
Mitglied: Onnlein
20.06.2012 um 14:39 Uhr
Nein, nein, wir verstehen uns. Du hast recht und genau das habe ich geschrieben (das meinte ich mit sinnentstellend, weil du den entscheidenden Nachsatz unterschlagen hast, der auf genau diese Angriffe verweist).

Leider kann man da noch einen drauf setzen: Ein (Windows-) Rechner, auf den ein anderer physikalischen Zugriff hat, ist nicht sicher. Die Hürde wäre halt noch ein Stückchen höher als bei der TC-Variante, aber das Prinzip der Verwundbarkeit bleibt. Dafür müsste dann schon der gesamte Rechner in den Stahlschrank.
Bitte warten ..
Mitglied: DerWoWusste
20.06.2012, aktualisiert um 17:13 Uhr
Ok, verstehe.
Ein (Windows-) Rechner, auf den ein anderer physikalischen Zugriff hat, ist nicht sicher
Nein, das stimmt nicht wirklich. Wenn Du einen Rechner als alleiniger Admin aufsetzt und den dann vollverschlüsselst, kommt da keiner ran ohne zu entschlüsseln, die Boot-CDs zum Kennwortrücksetzen prallen an der Verschlüsselung ab. Das einzige, was dann wirklich noch passieren kann sind Angriffe über
a) Hardware-Keylogger
b) Abstrahlung
Bitte warten ..
Mitglied: ground2er0
20.06.2012 um 17:08 Uhr
Hast du eigentlich kein Vertrauen in deinen Admin?
1. wär das sowieso ein Kündigungsgrund (für den Admin)
2. Ist eurem Admin so langweilg das er für soeinen blödsinn zeit hat?
3. würd ich mich nicht wundern wenn du irgendwann mal zum Admin rennst weil du keinen Zugriff mehr auf deine Daten hast.
(z.b. Sicherung hat nichtFunktioniert, PW vergessen...)
4. Auch die Daten des Betriebsrat gehören der Firma und diese geören nun mal auf den Server wo sie auch anständig gesichert werden!


--> Hab ich alles schon erlebt.
Da gibts genug Hobbyadmins wo ich Arbeite die solche Probleme haben weil sie meinen sie wissen alles besser XD
Bitte warten ..
Mitglied: DerWoWusste
20.06.2012 um 17:13 Uhr
Hi ground2er0.

Ist das an mich gerichtet?
Bitte warten ..
Mitglied: ground2er0
21.06.2012 um 09:42 Uhr
@DerWoWusste

ne das ist eher meine allgemeine einstellung zu solchen themen
Bitte warten ..
Mitglied: imebro
21.06.2012 um 09:43 Uhr
Hallo und danke für Eure zahlreichen Antworten.

Ich habe jetzt eine für mich gängige Lösung gefunden.

Und zwar habe ich die Daten vom Server gelöscht und nutze sie nun auf meinem PC in einem verschlüsselten Verzeichnis. Zusätzlich wird das Verzeichnis versteckt und ist somit unsichtbar!

Die Verschlüsselung habe ich mit dem Programm "WinMend Folder Hidden" vorgenommen, was mir in der Handhabung recht gut erscheint.

Ich muss nun einmal testen, ob man - wenn man sich an meinem PC als Admin anmeldet - ggf. doch auf die Daten zugreifen kann. Eigentlich müsste die vorgenommene Verschlüsselung (inkl. verstecken der Datei) auch dann noch wirksam sein.

Die Sicherung erfolgt auf eine externe Festplatte und auch diese ist verschlüsselt und wird im Stahlschrank aufbewahrt, wo sie gegen Zugriff gesichert ist.

Danke & schöne Grüße,
imebro
Bitte warten ..
Mitglied: DerWoWusste
21.06.2012, aktualisiert um 09:54 Uhr
Moin Imebro.
Es soll nicht wirken, als wolle ich hier zwangsläufig das letzte Wort sprechen. ABER...
Bei uns kam diese Frage vor Jahren ebenso auf. Der BR wollte verschlüsselte Verzeichnisse. Daraufhin hat der GF den BR-Vorsitzenden mal ins Gebet genommen und ihn gefragt, wogegen er schützen möchte. Klar, gegen Einsichtnahme Dritter, auch GF - soweit legitim.
GF: "Und wie sollte diese Einsichtnahme erfolgen?" ->BR: "Durch Hilfe der Admins". GF: "und wie wollt Ihr verhindern, dass die Admins mit Keyloggern oder anderer Software die Verschlüsselung aushebeln?"
BR: ---keine Antwort---

Du hast nun eine Möchtegern-Lösung.
Bitte warten ..
Mitglied: Onnlein
21.06.2012 um 11:59 Uhr
Wie bist du auf "WinMend Folder Hidden" gekommen? Wieso glaubst du, dass das zuverlässig ist? Überhaupt mal eine Minute lesen investiert oder nur geguckt, wo man bequem klicken kann?

"However, please keep in mind that this application is for home use only. It’s not recommended for commercial settings where more strict confidentiality is required."

Da es wahrscheinlich eh Perlen vor die Säue ist, habe ich mir nicht die Zeit genommen, das Programm wirklich zu bewerten. Aber alleine der Grundansatz Security by Obscurity steckt das Progrämmelchen sofort in die Kategorie "für Ahnungslose".

Du kannst gar nicht testen, ob man als Admin an die Daten kommt, da du offensichtlich keine Ahnung davon hast. Bloß, weil du es nicht hinbekommst, heißt das noch lange nicht, dass jemand anderes >3 Minuten dafür braucht.

Hier ist die Sache auch für mich erledigt, da es dir offensichtlich primär um bequem geht und du dich zwar für die Antworten bedankst, dir aber nicht die Mühe machst, sie auch zu verstehen.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 7
gelöst Windows Administrator-Konto wieder aktivieren (13)

Frage von Fenris14 zum Thema Windows 7 ...

Debian
Debian 8.6 Absichern? (12)

Frage von Motte990 zum Thema Debian ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...