Vertrauliche Dokumente vor Admin schützen

[MrCocktail 192]

@jarazul:

Und?

Alles das, kann ich dann umgehen, wenn ich erst mal die rechte habe, die ich brauch, und nichts anderes war mein Kommentar :-)

Ich kann vor einem Admin nichts verstecken, wenn er es nicht will.

[jarazul 10]

Nein, kannst du nicht. Wenn du nämlich gar kein Domain Admin bist, weil das in einer Umgebung mit Rollenmodell nämlich nicht sein muss :) Oder AD RMS wird in einem Ressourcenforest implementiert wo die gewöhnlichen Domain Admins gar nichts dürfen.

 

Da gibt es gaanz viele vers. Ansätze in denen der Admin nicht alles darf. Auch wenn ihm das gegen sein Ego geht :)

[NorbertFe 2.034]

Aber irgendwer ist es immer. Das läßt sich prinzipbedingt ja nicht vermeiden. ;)

[MrCocktail 192]

@jarazul:

Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?

Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.

[jarazul 10]

Es gibt durchaus Modelle, in denen gibt es eben keinen Domain Admin. Es ist ein Dienstkonto vorhanden, das ist Domain Admin. Und ein Orga Admin, Schema Admin, Enterprise Admin usw. Diese liegen in einem Safe. Da kommt keiner ran ohne einen Prozess zu durchleben. Eben weil diese Konten von Haus aus mächtig sind. Das habe ich nicht nur einmal gesehen.

 

Und genau von Theorie sprechen wir. Wer die Anforderung hat Dokumente vor Admins zu schützen (und allen anderen die diese nicht sehen sollen), der hat entweder schon ein ähnliches Rollenmodell, oder dessen Ansatz ist falsch.

 

Wie oben beschrieben ist das immer eine ganzheitliche Sache, deren Stärke durch das schwächste Glied bestimmt wird. Dokumentenverschlüsselung mit ner offenen Domain Admin Gruppe wo der gesamte 2nd Level Support drin ist, wäre dann eben so eine.

 

PS. Nette Diskussion :)

 

cheers, Daniel

[jarazul 10]

@jarazul:

Irgendjemand administriert es doch? Irgendjemand hat im Zweifel die Rechte, etwas zu tun.... Oder möchtest du behaupten, HR administriert es selbst?

Ich weiss wie Rollenmodelle funktionieren, was in Konzernen passiert und was nicht. Es geht um den theoretischen Angriff.

 

Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen.

 

Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen.

[MrCocktail 192]

Rollenmodell impliziert ja, dass der DNS Admin nur DNS administriert und der PKI ADmin nur PKI. Die müssen ja nicht zwingend die vorgefertigen MS Rollen wie Domain Admin besetzen.

 

Das Modell "Der Admin ist per Default Domain Admin" ist schon bei so mancher Wirtschaftsprüfung durchgefallen. Nicht nur in Konzernen.

 

Ich denke wir sind uns einig, ich kann sie so gut es geht verbergen, aber im Zweifel hat irgendwer immer das Recht / die Möglichkeit auf diese Daten zu zugreifen (ausser man risikiert sie zu verlieren)

Daher ja ganz am Anfang der Einwand, es kommt auch auf die kriminelle Energie an, die man aufwenden möchte.

[jarazul 10]

Das Recht besitzt der Inhaber des Prozesses, der steuert, dass im Notfall zwei Personen notwendig sind um den Account aus dem Safe zu holen. Der Inhaber ist meist jmd dem sehr großes Vertrauen entgegengebracht wird. Prokurist o.ä

 

Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen.

[NorbertFe 2.034]

Sonst bin ich ganz deiner / eurer Meinung. Mit genug Aufwand lässt sich ein System auch vor Administratoren schützen.

 

Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

 

Bye

Norbert

[carnivore 10]

Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

 

Bye

Norbert

 

wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht.

 

Gruß

carni

[NorbertFe 2.034]

wenn du mal in Umgebungen zu tun hast, wo Sicherheit richtig hochgehängt ist, wie Gelddruckereien, Kreditkartendruckereien, Bundesnetzagentur zertifizierte ROOTCAs , etc. , da macht kein Admin auch nur irgendwo ein ungeplantes, falsches Komma, ohne daß nicht sofort Alarm losgeht.

 

Gruß

carni

 

Keine Angst, ich war schon in solchen Umgebungen. ;) Und darum sagte ich, es ist ne Grundsatzdiskussion.

1. Sind die Umgebungen die hier diskutiert wurden (Gelddruckereien usw.) sicher nicht das, was der TO eigentlich hat

2. Die Lösungen, die in solchen Umgebungen, die der TO nicht hat auch in Budgetregionen, die der TO nicht haben will

3. Auch in solchen Umgebungen wird es immer eine Möglichkeit geben. Ist die Frage von krimineller Energie und menschlichen Fehlern. ;)

 

Bye

Norbert

[jarazul 10]

Nein, kann man nicht! Der Admin hat immer irgendwie die Möglichkeit ans Passwort zu kommen, da das aber hier ne Grundsatzdiskussion wird, hör ich lieber auf.

 

Bye

Norbert

 

Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS.

 

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.

[NorbertFe 2.034]

Wer ist denn "der Admin"? Welche Rechte hat diese Funktion? Der Domain Admin, ja klar. Aber genau darum gehts ja. Wie kann ich etwas vor dem Admin schützen. Mit einem Rechtemodell. Anschließend mit Dokumentenschutz via AD RMS.

 

Also der Domain Admin hat per Default also das Recht mehr oder weniger alles in der Domain zu tun. Er hat im Allgemeinen sogar "physikalischen" Zugang zu den DCs. Und was lernen wir mit als erstes?

10 Immutable Laws of Security

Natürlich kann man es mit Verschlüsselung und Rechtemodell und Monitoring entsprechend immer enger ziehen, es ändert aber im Allgemeinen trotzdem nichts daran.

 

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.

 

Naja, ob das ein Grund ist? ;)

 

Bye

Norbert

[jarazul 10]

Richtig, und wie weiter oben beschrieben, ist es deshalb oft notwendig, die Mitglieder dieser Gruppe auf *ein* Dienstkonto zubeschränken. Die Zugangsdaten liegen im Safe. Dann gibt es keine Domain Admins. Nur im Notfall. Denn für welche täglichen Admin Tasks braucht es einen Domain Admin?

 

Sind wir uns einig, dass bei Verwendung eines durchdachten Rollenmodells *ohne* Domain Admins, die Aussage "Der Admin schafft es iwie" nicht valide ist? Mehr wollte ich nämlich nicht sagen :)

 

cheers, Daniel

[carnivore 10]

 

Es müssen nicht mal Hochsicherheitsumgebungen sein. Viele Firmen haben so kritische Daten die auch vor Admins geheim gehalten werden müssen. Und das funktioniert, sonst wäre Windows in den Fortune 500 sicherlich nicht so gut vertreten.

 

dann habe ich mich falsch ausgedrückt: Warum müssen sich manche Umgebungen mit einem solche immensen Aufwand vor ihrem eigenen IT-Personal schützen, dass Administrationsrechner in separaten kameraübewachten, Gitterkäfigen stehen, die man nur nach dreifacher Genehmigung zu zweit betreten darf?

Antwort: weil es wohl rein technisch keine wasserdichte Lösung gibt.