MrCocktail 192 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 @jarazul: Und? Alles das, kann ich dann umgehen, wenn ich erst mal die rechte habe, die ich brauch, und nichts anderes war mein Kommentar :-) Ich kann vor einem Admin nichts verstecken, wenn er es nicht will. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 Nein, kannst du nicht. Wenn du nämlich gar kein Domain Admin bist, weil das in einer Umgebung mit Rollenmodell nämlich nicht sein muss :) Oder AD RMS wird in einem Ressourcenforest implementiert wo die gewöhnlichen Domain Admins gar nichts dürfen. Da gibt es gaanz viele vers. Ansätze in denen der Admin nicht alles darf. Auch wenn ihm das gegen sein Ego geht :) Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 Aber irgendwer ist es immer. Das läßt sich prinzipbedingt ja nicht vermeiden. ;) Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 8. Februar 2012 Melden Teilen Geschrieben 8. Februar 2012 @jarazul: Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst? Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Es gibt durchaus Modelle, in denen gibt es eben keinen Domain Admin. Es ist ein Dienstkonto vorhanden, das ist Domain Admin. Und ein Orga Admin, Schema Admin, Enterprise Admin usw. Diese liegen in einem Safe. Da kommt keiner ran ohne einen Prozess zu durchleben. Eben weil diese Konten von Haus aus mächtig sind. Das habe ich nicht nur einmal gesehen. Und genau von Theorie sprechen wir. Wer die Anforderung hat Dokumente vor Admins zu schützen (und allen anderen die diese nicht sehen sollen), der hat entweder schon ein ähnliches Rollenmodell, oder dessen Ansatz ist falsch. Wie oben beschrieben ist das immer eine ganzheitliche Sache, deren Stärke durch das schwächste Glied bestimmt wird. Dokumentenverschlüsselung mit ner offenen Domain Admin Gruppe wo der gesamte 2nd Level Support drin ist, wäre dann eben so eine. PS. Nette Diskussion :) cheers, Daniel Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 @jarazul:Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst? Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff. Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen. Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen. Zitieren Link zu diesem Kommentar
MrCocktail 192 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen. Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen. Ich denke wir sind uns einig, ich kann sie so gut es geht verbergen, aber im Zweifel hat irgendwer immer das Recht / die Möglichkeit auf diese Daten zu zugreifen (ausser man risikiert sie zu verlieren) Daher ja ganz am Anfang der Einwand, es kommt auch auf die kriminelle Energie an, die man aufwenden möchte. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Das Recht besitzt der Inhaber des Prozesses, der steuert, dass im Notfall zwei Personen notwendig sind um den Account aus dem Safe zu holen. Der Inhaber ist meist jmd dem sehr großes Vertrauen entgegengebracht wird. Prokurist o.ä Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen. Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf. Bye Norbert Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf. Bye Norbert wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht. Gruß carni Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht. Gruß carni Keine Angst, ich war schon in solchen Umgebungen. ;) Und darum sagte ich, es ist ne Grundsatzdiskussion. 1. Sind die Umgebungen die hier diskutiert wurden (Gelddruckereien usw.) sicher nicht das, was der TO eigentlich hat 2. Die Lösungen, die in solchen Umgebungen, die der TO nicht hat auch in Budgetregionen, die der TO nicht haben will 3. Auch in solchen Umgebungen wird es immer eine Möglichkeit geben. Ist die Frage von krimineller Energie und menschlichen Fehlern. ;) Bye Norbert Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf. Bye Norbert Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS. Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS. Also der Domain Admin hat per Default also das Recht mehr oder weniger alles in der Domain zu tun. Er hat im Allgemeinen sogar "physikalischen" Zugang zu den DCs. Und was lernen wir mit als erstes? 10 Immutable Laws of Security Natürlich kann man es mit Verschlüsselung und Rechtemodell und Monitoring entsprechend immer enger ziehen, es ändert aber im Allgemeinen trotzdem nichts daran. Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten. Naja, ob das ein Grund ist? ;) Bye Norbert Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Richtig, und wie weiter oben beschrieben, ist es deshalb oft notwendig, die Mitglieder dieser Gruppe auf *ein* Dienstkonto zubeschränken. Die Zugangsdaten liegen im Safe. Dann gibt es keine Domain Admins. Nur im Notfall. Denn für welche täglichen Admin Tasks braucht es einen Domain Admin? Sind wir uns einig, dass bei Verwendung eines durchdachten Rollenmodells *ohne* Domain Admins, die Aussage "Der Admin schafft es iwie" nicht valide ist? Mehr wollte ich nämlich nicht sagen :) cheers, Daniel Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten. dann habe ich mich falsch ausgedrückt: Warum müssen sich manche Umgebungen mit einem solche immensen Aufwand vor ihrem eigenen IT-Personal schützen, dass Administrationsrechner in separaten kameraübewachten, Gitterkäfigen stehen, die man nur nach dreifacher Genehmigung zu zweit betreten darf? Antwort: weil es wohl rein technisch keine wasserdichte Lösung gibt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.