pfeffis 11 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Servus @ all! Ist es möglich in einer AD (2000) Umgebung Usern via NTFS Berechtigungen Zugriff auf bestimmte Verzeichnisse/ Dateien zu geben sodass aber ein kopieren dieser Dateien nicht möglich ist? Hintergrund: Es handelt sich um Dateien die nur intern bearbeitet werden sollen können und kein User welcher darauf Zugriff hat soll diese Dateien in irgendeiner Form via USB Stick oder Notebook wegkopieren können. Danke im Voraus Zitieren Link zu diesem Kommentar
h2o 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Hallo pfeffis... Ich würde behaupten das geht schon aus rein logischen Gründen nicht. Du kannst ja ein Doku öffnen und wieder speichern und scho hast du evtl. Berechtigungen umgangen... Printscreen, Fotos, ausdrucken. Da gibt es aus meiner Sicht nur eine Organisatorische Lösung... Gruss h2o Zitieren Link zu diesem Kommentar
Theo Dor 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Nur so'ne Idee: Ein Fileserver der nur von einem Terminalserver aus angesprochen werden kann. Benutzer können mit den Daten nur vom TS aus arbeiten. Auf dem TS unterbindest Du per GPO den Zugriff auf lokale Laufwerke und die Netzwerkumgebung. Da sind dann noch ein paar andere Einschränkungen nötig, wie "cmd.exe" und "Netzlaufwerk verbinden" sperren usw. Müsstest Du man mal ausprobieren, wie das in Euer Umfeld passt. Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 4. April 2008 Autor Melden Teilen Geschrieben 4. April 2008 Danke für die schnellen Antworten. Also Terminalserver ist bestimmt ein Ansatz aber doch sehr umfangreich und nicht unbedingt praktikabel :cool:. Wie wird denn dann aber prinzipiell das Kopieren verhindert, z.B. in sicherheitsempfindlichen Bereichen - alles nur via Papier sprich organisatorisch!? Zitieren Link zu diesem Kommentar
h2o 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Also in kritischen Bereichen wie Banken sind gemäss meinen Kentnissen USB-Sticks, CD-Brenner, Disketten, Ext-Hd etc. generell gesperrt. Ich habe auch schon von Umgebungen gehört, in welchen auf das Internet nur via Citrix-TS@DMZ zugegrieffen werden kann. Aber alles abfangen wird kaum möglich sein. Wie in den meisten Angelegenheiten ist eine 80/20 Lösung anzustreben. Wie die Realität immer wieder zeigt gibt es immer Möglichkeiten heikle Infos an die Öffentlichkeit bzw. Konkurenz etc. zu transferieren. Grundsätzlich ist Vertrauen gefragt.. Gruss h2o Zitieren Link zu diesem Kommentar
pfeffis 11 Geschrieben 4. April 2008 Autor Melden Teilen Geschrieben 4. April 2008 danke für die antworten :) Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 hast du dir schon mal das thema rights management service angesehen? ist jetzt bei server 2008 anscheinend ein großes thema. dort definiert man wer die datei als mail verschicken darf, weg kopieren, drucken, ... es soll aber auch drittanbietersoftware geben, die das kann. leider hab ich den namen gerade nicht bei der hand. muss mir das ganze auch irgendwann mal ansehen. vielleicht kann sich jemand zu wort melden, der damit erfahrung hat... Zitieren Link zu diesem Kommentar
Lian 2.478 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Eventuell wäre IRM eine Wahl für Euch: Information Rights Management http://office.microsoft.com/de-de/outlook/HA011801361031.aspx Dokumente können nur von bestimmten Adressaten geöffnet werden, Copy & Paste, Printscreen - all das geht nicht. Zitieren Link zu diesem Kommentar
firefox80 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 ist eine PKI dafür zwingend erforderlich? Zitieren Link zu diesem Kommentar
smileyman 10 Geschrieben 5. April 2008 Melden Teilen Geschrieben 5. April 2008 Zu deiner Frage, wie das in Banken läuft: Da ich selber in einem Kreditinstitut als Administrator beschäftigt bin, weiß ich das zufällig ;-) - h2o hat da vollkommen recht. Hier sind sämtliche lokale Wechseldatenträger (CD-Laufwerk, USB-Wechseldatenträger, Diskettenlaufwerk, SD-Card-Reader) deaktiviert. - Webseiten werden grundsätzlich nur über einen Proxy geschickt und gefiltert. - Nur bestimmte SSL-Seiten sind freigegeben. Die meisten bekannten Webmailer sind geblockt. Einen Großteil der Kollegen hindert das natürlich daran Daten mitzunehmen oder einzuschleusen. - Dennoch, ist das auch oftmals ein Henne-Ei-Spiel. Egal welche Möglichkeiten man unterbindet, der der sich auskennt findet immer wieder eine neue Schwachstelle. Ab und zu machen wir als Administratoren uns den Spaß eine neue Möglichkeit zu finden Daten ins Bankennetz und aus dem Bankennetz zu bringen. Da die User ale Internetzugang haben stehen trotz der genannten Einschränkung viele Möglichkeiten offen: Wenn die Standard-Webmailer schon gesperrt sind, bastele ich mir halt auf meinem eigenen Webspace eine Möglichkeit. (Wer soll denn da was finden?) Um hier wirklich eine 'hermetische' Abriegelung zu schaffen, müsste man auf viele Komfortmerkmale verzichten. Zum einen ist dann eine Terminalserverlösung pflicht (sobald die Daten lokal liegen würden, könnte man ja die HDD ausbauen und kopieren). Zum anderen müsste der Internetzugang extrem eingeschränkt werden. Weiterhin würden auch eMails mit bzw. auch ohne Anhang flachfallen. Weiterhin dürfte man vom lokalen Pc keinerlei Umweg zum Umgehen des Terminalservers offen lassen. (Einschränkung des Netzwerkzugriffs). - Weiterhin sollte man sich wohl etwas einfallen lassen, dass einzig die Terminalserver vom PC direkt erreichbar sind und keinesfalls der Dateiserver. (sonst hänge ich halt mein privates Notebook ins Netz und greife per Freigabe auf den Filer zu) Handys müsste man aufgrund der eingebauten Kamera verbieten, ... Man könnte das bis zum Erbrechen durchspielen. - Allerdings würde da viele drunter leiden ;-) Wir beschränken uns daher auf die obigen Einschränkungen und regeln alles andere organisatorisch. Grüße smileyman Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.