simpelster denkbarer Passwortschutz auf Netzwerkverzeichnisse

[tomw 10]

Ich suche einen absolut simplen Schutz für Netzwerkverzeichnisse.

 

Grund

Es sollen zB HR Daten vor den lokalen Admins geschützt werden. Admin rechte müssen aber auf den Verz. bleiben wegen Backup.

Klar könnte man einen neuen user backup machen der rechte hat, aber den müsste ja die IT machen und die hätte dann wieder zugriff.

 

Gesucht ist eine so simple Lösung wie die interne Sicherheit von Word und Excel - user sollen passwörter auf verzeichnisse setzen und damit "sicher".

Es sind mittlerweile einfach zuviele Dateien um jede einzeln anzufassen und zu sichern.

 

Ich weiss, sicher ist die Office Lösung nicht, es geht aber darum zB HR zu demonstrieren das ihre Daten "sicher" sind.

 

Also eine Lösung, die einmal installiert auf Verzeichnisse, inkl. Unterverzeichnisse und enthaltener Dateien ein Passwort zum anschauen/öffnen setzt.

 

Danke

[nawas 32]

Also eine Lösung, die einmal installiert auf Verzeichnisse, inkl. Unterverzeichnisse und enthaltener Dateien ein Passwort zum anschauen/öffnen setzt.

 

???? Aber wenn das zum sichern auf öffnen setzt dann ist es ja in dem Zeitraum ja sichtbar für dich , und dann ????..........

[Dukel 454]

Die einzige Lösung die ich kenne ist Verschlüsslung. Das ist aber nicht unbedingt simpel und wenn mans richtig macht kommt die Administration da auch an die Daten (sonst kommt beim Verlust des Schlüssels nie mehr an die Daten).

[tomw 10]

???? Aber wenn das zum sichern auf öffnen setzt dann ist es ja in dem Zeitraum ja sichtbar für dich , und dann ????..........

 

stimmt - ****er denkfehler

 

ews müsste also eine Lösung sein mit der man in einem Vorgang jede einzelne Datei in einem Verz. inkl. Unterverz. mit einem Passwort schützt.

 

Also quasi, eine OfficeVerschlüsselung (wie in Word und Excel vorh.) die in Batchverabrbeitung alle vorh. Dateien verschlüsselt und mit Passwort versieht.

 

Wie gesagt, die unsichere Office Methode würde reichen, nur kann aufgrund der vielen vielen Dateien keiner jede einzeln aufmachen und sicher...

 

Mit der Office Methode kommt der Schutz ja in jede einzelne Datei mit rein und würde dann auch mitgesichert werden auf Band.

 

Jetzt stimmt die Denke doch - oder?

[wilgin 11]

Hi,

legt euch einfach einen verschlüsselten Bereich mit TrueCrypt an

 

TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows 7/Vista/XP, Mac OS X and Linux

[tomw 10]

die ganzen Verschlüsseler haben wir uns angeschaut

 

von WinZIP, über AxCrypt, FideAs und Sophos auch TrueCrypt

 

Problem mit denen ist dass die die originalstruktur verändern - heisst eigene verz/container anlegen und damit die arbeit erschweren.

Auch muss die sw installiert sein um zugreifen zu können.

 

Wir möchten die einzelnen Verz. völlig unverändert lassen, die einzelnen Dateien mit Passwort versehen - wer das Passwort hat kann mit den Dateien arbeiten ja nach Berechtigung aus ADS

 

Gibts da echt nix...???

[blub 115]

Hallo,

 

Office Dateien kann man sicher per PowershellScript oder richtigem Programm (C# / VB) einen PW-Schutz verpassen.

Aber soll sich dann keiner beschweren, wenn diese Passwörter von den Anwendern anschließend geändert und vergessen werden. Und darauf kannst du wetten!

 

 

blub

[lefg 276]

Wie wäre es denn, den Admins den Zugriff auf die Dateien zu verweigern, die Admins als Member einer Verweigerungsgruppe?

 

Übrigens, ein Admin ist ein Admin ist ein Admin .... , er kann sich jedes Recht verschaffen, denn er ist es, der es anderen gewährt.

 

Sind die User bei euch Admins, Member in der Gruppe der Administratoren?

 

Was sin das für Admins? Was sind dern Aufgaben? Warum ist das so?

 

Ich rate zum Überdenken des Konzeptes.

bearbeitet 3. Februar 2012 von lefg

[s_sonnen 20]

Hi tom.

 

Sorry, und ich will Dir/Euch auch nicht zu nahe treten, aber irgendwie kommt's mir so vor als hättet Ihr da ganz andere Probleme. Wenn Ihr Euren Admins nicht traut, oder trauen könnt/wollt, dann scheint's doch schon da nicht zu stimmen.

Wie lefg schon schrieb, ein Admin hat nur ein Recht; nämlich das sich jedes für seine Arbeit notwendige zu verschaffen. Die Betonung liegt natürlich auf "Arbeit", keinesfalls auf Neugier oder Interesse. Und irgendeinem mußt Du schlußendlich beim Umgang mit Deinen Daten trauen, selbst im Bereich HR.

Du kannst Dir ja mal Folder Lock oder Universal Shield angucken. Beide können Verzeichnisse/Dateien verschlüsseln, müssen aber auch installiert werden und für beide gilt auch: Schlüssel weg, Daten weg.

 

ciao, viel Erfolg und 'nen angenehmen Restfreitag

M.

[tomw 10]

alles richtig soweit klar kommt man als admin immer ran wenn man möchte

 

ABER

1.- ist das eine vorgabe von einem audit - über sinn und unsinn streiten bringt also nix = irgendwie erledigen abhaken vergessen

 

2.- gehts um neue MA der EDV die sollen halt nicht direkt in den ersten tagen schon zugriff auf vertrauliche HR daten haben müssen aber admin passwort wissen um was schaffen zu können

[wilgin 11]

Hallo,

 

du kannst natürlich auch das logging am Server für das vertrauliche Verzeichnis aktivieren. Damit kann man, je nach Einstellung, nachvollziehen wer wann wo wie zugegriffen hat.

Das sollte bei einem Audit schon mal Pluspunkte schaffen. Danach die Gruppenberechtigung so setzten das nur die richtige Gruppe zugriff hat, und ergänzend vielleicht noch das Logging auf Rechteänderung ...

 

Damit ist auch nachvollziehbar wenn Rechte verändert werden (Admin "nimmt" sich ein Recht).

 

Dann kann der Admin nur noch die Sicherheitsprotokolle löschen um spuren zu verwischen ...

[lefg 276]

Streiten ist hier nicht sinnvoll,

 

weiter vestehe ich die Sache schon, besonders die Zertifizierung.

 

Bei uns habe ich z.B. keine ständige Berechtigung auf die Gescäftsverzeichnisse der Stufe Geheim und höher, auch nicht auf persönliche Verzeichnisse der Benutzer, das brauche ich auch nicht, da gibt es nämlich keine administrative Arbeit.

 

Für Spezialfälle gibt es ein Verfahren mit Anweisung und Dokumentation; eventuelle Beaufsichtigung.

bearbeitet 3. Februar 2012 von lefg

[s_sonnen 20]

Hi tom.

 

Hab' ich soweit verstanden, 's übliche Spiel also: eine Ansammlung von Leuten die zwar vom Thema völlig unbeleckt sind aber schonmal verbindliche Beschlüsse fassen.

Wer hat die nicht? Hilft Dir aber nix, um den Einsatz einer zusätzlichen Software, ob jetzt gekauft, Freeware oder selbstgebastelt wirst Du wohl nicht rumkommen.

 

ciao und immer noch 'nen angenehmen Freitag.

M

 

btw.: Groß- und Kleinschreibung sowie die Verwendung des einen oder anderen Satzzeichens erhöhen die Lesbarkeit Deiner Beiträge durchaus.

[tomw 10]

Universal Shield scheint aber, wie so viele andere günstige Tools auch, nur auf LOKALEN Laufwerken zu arbeiten !!!

 

Ich brauch aber was für Netwerklaufwerke/Verzeichnisse/Dateien ???

[lefg 276]

Universal Shield scheint aber, wie so viele andere günstige Tools auch, nur auf LOKALEN Laufwerken zu arbeiten !!!

 

Ich brauch aber was für Netwerklaufwerke/Verzeichnisse/Dateien ???

 

Netzlaufwerke auf einer Workstation sind doch nur Verweise, Verbindungen auf Freigaben und Verzeichnisse eines Servers. Also sind die Berechtigungen in die Access Control Lists der Freigaeben und Verzeichnisse auf dem Server einzustellen. Das ist alles mit Bordmitteln einfach machbar. Wesentlich sind ein schlüssiges Konzept und Strukur von Freigabe, Ablage und Sicherheit.