Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriffsberechtigung nur innerhalb der Domäne

Frage Sicherheit

Mitglied: myroot88

myroot88 (Level 1) - Jetzt verbinden

05.08.2010 um 12:15 Uhr, 3511 Aufrufe, 9 Kommentare

hallo zusammen,

wie kann man verhindern, dass Daten, die innerhalb der Domäne erstellt wurden, ausserhalb der Domäne nicht aufgemacht, oder weiterverarbeitet werden können.
Der Mitarbeiter darf sein Notebook benutzen, sein USB-Stick, brennen und hat natürlich auch Internetzugang,
er darf nur diese Unternehmendaten nicht auf einem nicht authorisierten Rechner verwenden.
Kann man das realisieren, wenn ja wie, mit welcher Software

Danke im voraus für die Ideen
Mitglied: goscho
05.08.2010 um 12:40 Uhr
Hallo myroot88,
ganz unterbinden kann man das nicht.

Wie wäre denn eine Lösung, in der zuerst protokolliert wird, wenn diese (welche?) Daten ausgelagert (externe Laufwerke, CD, Mail) und die Mitarbeiter darüber informiert werden, dass das gemacht wird.

Natürlich kann man ein Abfotografieren des Bildschirms nicht verhindern.

Ich habe so etwas ähnliches schon mit Symantec Endpoint Protection (integrierte Device and Application Control) realisiert.
Bitte warten ..
Mitglied: myroot88
05.08.2010 um 13:12 Uhr
Hallo goscho,

danke für die Idee. wir werden ein endprot-program von apsec testen, damit kann man angeblich auch dateien als kritisch definieren
und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Aber mit Protokollen ist schon ein guter Ansatz.
Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Und wie groß kann dan so eine ständige protokollierung werden? Erfahrungswerte
Danke nochmal
Bitte warten ..
Mitglied: dog
05.08.2010 um 16:31 Uhr
Vergiss es.

Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).

Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und Türsteher, die jeden kontrollieren.
Bitte warten ..
Mitglied: goscho
05.08.2010 um 17:03 Uhr
Zitat von dog:
Vergiss es.
Nein.
Wenn es drauf ankommt macht der MA Fotos vom Bildschirm und nimmt eine OCR-Software.
Hallo Doc,
das habe ich auch schon erwähnt und trotzdem ist es nicht verkehrt, sich über den Verbleib der Firmendaten Gedanken zu machen.
Aber es geht auch praktisch immer viel leichter (sobald ich eine Datei lesen kann, kann ich mit ihr machen was ich will).
Naja,
außer abfotografieren (Handy und Digicamverbot helfen hier, fällt mir nichts ein - oh doch, abschreiben.

Wenn ihr euch wirklich absichern wollt gibt es keine Notebooks, keine USB-Sticks, keine CD-Laufwerke, kein Internet und
Türsteher, die jeden kontrollieren.

Am wichtigsten ist es IMHO, die Mitarbeiter entsprechend zu sensibilisieren und zu belehren. Wenn dann noch zusätzliche Hilfsmittel eingesetzt werden, warum nicht.

CD reinlegen, weiter, weiter -> fertigstellen wird hier nicht genügen
Bitte warten ..
Mitglied: goscho
05.08.2010 um 17:33 Uhr
Zitat von myroot88:
und damit kann man sie nur in bestimmter umgebung und mit best. programmen (IE od. word) öffnen.
doch wenn die dateien vorher auf usb-stick gespeichert werden ( und der user darf usb-stick benutzen) dann kann man nicht
vehindern,
diese zu öffnen, wenn er sie auf fremd-rechner speichert und anschließend öffnet.
Natürlich kann man dies verhindern. Ich habe etwas von Device- and Applicationcontrol geschrieben.
Man kann das so konfigurieren, dass das Schreiben auf USB-Stick aus einer bestimmten Application heraus nicht geht, bzw. protokolliert wird.
Aber mit Protokollen ist schon ein guter Ansatz.
Protokolliert Sym-EP denn alle Daten-Verkehr innerhalb der Domäne / Client-PC (wer, wann, mit welche datei, was macht)?
Das hängt davon ab, wie man das einstellt. Warum sollte man alles (jeden Klogang) protokollieren, bist du bei bei irgend einem Discounter angestellt?
Und wie groß kann dan so eine ständige protokollierung werden? Erfahrungswerte
Diese Protokolle werden regelmäßig gelöscht, keine Erfahrung bzgl der Größe, hängt doch sehr stark vom Einsatzzweck ab.
Danke nochmal

Bitte gerne.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2010 um 23:48 Uhr
Hi an alle!

Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder gilt für die neu erzeugte sofort der selbe Schutz?
Wie arbeitet SEP? Modifiziert es die Dateien selbst?

Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Bitte warten ..
Mitglied: goscho
06.08.2010 um 00:37 Uhr
Zitat von DerWoWusste:
Hi an alle!
Hallo zurück,
Das Thema interessiert mich und ich wüsste gerne, Goscho, wie die Software arbeitet.
Wenn der Benutzer eine Datei lesen kann - kann er sie nicht drucken? Kann er nicht den Inhalt kopieren in eine andere Datei oder
gilt für die neu erzeugte sofort der selbe Schutz?
Ich habe das testweise für eine ERP-Software eingerichtet.
SQL-Serverdatenbank -> Benutzer haben verschiedene Rechte.
Jetzt ist die Aufgabenstellung, dass User die Daten aus diesem Programm nicht auf externe Datenträger speichern können.
In der ERP-Software selbst gibt es Reporte, die natürlich gedruckt werden können, außer man untersagt es dem Benutzer in der ERP-eigenen Userverwaltung.
Per SEP habe ich konfiguriert, dass Daten nicht auf externe Datenträger gespeichert werden können, die aus dem ERP stammen.
Koppelung von Application mit Device Control
Wie arbeitet SEP? Modifiziert es die Dateien selbst?
Das denke ich nicht.
Man kann das Öffnen, bearbeiten oder speichern unterbinden bzw. protokollieren (was ich am sinnvollsten halte)
Das Prinzip ist mir nämlich neu. Ich kenne bisher nur Schutz gegen Abfluss von Firmendaten über Internet/Mail (mittels
Programmen wie mimesweep) und Schutz vor Mitnahme über lokale Verschlüsselung und Token (Aladdin HASP).
Genau das macht es meines Wissens auch, ohne Verschlüsselungsfunktion, dazu benötigt man noch ein Tool (Gibt es auch von Symantec, heißt Endpoint Encryption).
In SEP kann man über Regeln festlegen, dass bspw. nur auf verschlüsselte USB-Sticks geschrieben wird.

Ich hatte folgendes eingerichtet (für ein KMU):
Im LAN darf der User normal arbeiten und Daten speichern (Kontrolle bzw. Vertrauen ist vorhanden). Sobald das Gerät per VPN mit der Firma verbunden ist, wird jeder Schreibversuch auf extrene Medien protokolliert.
Nach einiger Zeit wurde aus protokollieren dann unterbunden.

Ich habe dem mobilen User nicht unterbunden, Texte/Tabellen zu öffnen und zu kopieren, sondern das Schreiben auf externe Medien, wenn ernicht im Haus ist.

Für mich hatte ich folgendes eingerichtet:
2008 hatte ich einen UMTS-Vertrag mit Volumenbeschränkung (300 MB in GER) und wollte auch noch ins Ausland (100 MB kosteten dabei so viel wie ein Kleinwagen).
Keine Windows-Updates (auch keine SEP-Updates) wenn Notebook per HSDPA-Modem im Internet ist. Muss aber für viele weitere Programme auch eingerichtet werden (Adobe, Java, etc).
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 00:54 Uhr
Oh, das ist mal eine ausführliche Antwort.
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Bitte warten ..
Mitglied: goscho
06.08.2010 um 01:38 Uhr
Zitat von DerWoWusste:
ich frag mal etwas simpler: Angenommen ein User hat ein paar Seiten Text auf dem Bildschirm vor sich und will diese mit nach Hause
nehmen und will die Seiten nicht etwa abfotografieren oder abschreiben. Siehst Du, wenn Ihr alle Mittel ausschöpft, keinen
Weg, dass er sie irgendwie drucken kann? Ich stelle es mir so vor, dass der Text vermutlich ganz normal editierbar bleibt. Somit
kann ich ihn in die Zwischenablage und so wiedrum in andree Programme übernehmen und dann auch drucken - so meine Theorie.
Das ist auch meine Theorie. Wo ein Wille ist, da ist auch ein Gebüsch.
Dein beschriebenerText ist aber dann auch von dem User erstellt und keine Ansammlung von Firmengeheimnissen, wie Kontodaten aller Kunden..

Wenn der User aber aus einer Firmensoftware Dokumente öffnet, dann kann man dafür sorgen, dass er den Inhalt nicht kopieren kann. Dies muss natürlich zuerst in der Software geschehen.
So wie man bei bei PDF-Dokumenten, das Recht zum Kopieren und/oder Drucken verbieten kann, geht das sicherlich auch für andere Dokumenttypen.

Das Drucken komplett unterbinden, sollte aber nicht der Weisheit letzter Schluss sein, Toner + Papier will ja auch verkauft werden.

Letztlich ist die Variante mit Vertrauen und Belehrung auch unter Zuhilfenahme einer eventuellen Protokollierung unerlaubter Kopiervorgänge garantiert der bessere Schritt.

Ich denke, dass mehr als 98% der normalen Anwender damit ausscheiden. Der Rest hat wahrscheinlich so viel kriminelle Energie oder finanzielle Hoffnungen, dass auch die besten technischen Vorkehrungen nicht helfen werden.
Wie sonst sollten die Daten der dt. Steuersünder gebündelt aus 'ner Schweizer oder Lichtensteiner Bank kommen?
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Netzwerk
USB-Gerät ins Netzwerk (Domäne) einbinden (4)

Frage von griss0r zum Thema Windows Netzwerk ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Windows Server
gelöst SBS 2011 - Domäne (7)

Frage von MiSt zum Thema Windows Server ...

Hyper-V
Wieso werden Computer aus der Domäne "geworfen" ? (5)

Frage von Tastuser zum Thema Hyper-V ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...