TGR 0 Geschrieben 30. Mai 2016 Melden Teilen Geschrieben 30. Mai 2016 Hallo Spezialisten,ich habe auf einer VM Win Server 2012 R2 laufen und möchte eine einzelne Disk mit sensiblen Daten auch gegenüber anderen Administratoren mit einem PWD sichern. Wie könnte ich das lösen?Danke schon im Voraus für eure Tipps! :) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.464 Geschrieben 30. Mai 2016 Melden Teilen Geschrieben 30. Mai 2016 Unter welchem Hypervisor? Unter Hyper-V mit Bitlocker so: http://www.howtogeek.com/193013/how-to-create-an-encrypted-container-file-with-bitlocker-on-windows/ ;) Zitieren Link zu diesem Kommentar
TGR 0 Geschrieben 31. Mai 2016 Autor Melden Teilen Geschrieben 31. Mai 2016 (bearbeitet) Unter welchem Hypervisor? Unter Hyper-V mit Bitlocker so: http://www.howtogeek.com/193013/how-to-create-an-encrypted-container-file-with-bitlocker-on-windows/ ;) Es wird KVM eingesetzt als Hypervisor. Ich hatte gehofft, es gäbe eine simple Lösung die anderen Admins & User von einem Zugriff auszusperren. :( Auf jeden Fall "Danke" für deinen Hinweis! :thumb1: Ich sinniere die ganze Zeit über eine andere Lösung als der Datenverschlüsselung nach und überlege gerade, ob es nicht einfacher wäre über die Zugriffsberechtigungen des Laufwerks die Objektberechtigungen zu setzen? Da ich aber keinen Blödsinn machen möchte (z.B. mich dabei selbst aussperren...) frage ich mal in die Runde, was ihr von dieser Vorgangsweise haltet: A ) Ich füge bei den Gruppen bzw. Benutzernamen meinen Usernamen (ist auch in allen Admin-Gruppen) hinzu B ) Bei meinem Usernamen und bei "SYSTEM" lasse ich explizit Vollzugriff und alle anderen Möglichkeiten zu C ) Bei allen anderen Gruppen bzw. Benutzernamen hake ich explizit jede Möglichkeit mit "Verweigern" an, nur bei "CREATOR OWNER" belasse ich den dzt. Status Kann das unangenehme Folgen haben, oder bringt es ganz klar nicht das gewünschte Ergebnis? So einfach ausprobieren traue ich es mir nicht.... :suspect: bearbeitet 31. Mai 2016 von TGR Zitieren Link zu diesem Kommentar
Beste Lösung Dunkelmann 96 Geschrieben 31. Mai 2016 Beste Lösung Melden Teilen Geschrieben 31. Mai 2016 Moin, der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren. Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher. 1 Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 31. Mai 2016 Melden Teilen Geschrieben 31. Mai 2016 Jeder kann immer den Besitz übernehmen und auf die Daten zugreifen. Verschlüsselung ist das einzige. Und in der Zwischenzeit hättest Du schon längst die VHD incl. Verschlüsselung erstellt. ;) Zitieren Link zu diesem Kommentar
TGR 0 Geschrieben 31. Mai 2016 Autor Melden Teilen Geschrieben 31. Mai 2016 Moin, der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren. Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher. Danke für deinen Denkanstoß - dann werde ich wohl um eine Verschlüsselung nicht umhin kommen. :cry: Bzgl. Backup: Kann ein, über eine ACL ausgeschlossener Admin, bei einem Backup auf eine Disk zugreifen? Jeder kann immer den Besitz übernehmen und auf die Daten zugreifen. Verschlüsselung ist das einzige. Und in der Zwischenzeit hättest Du schon längst die VHD incl. Verschlüsselung erstellt. ;) Momentan plane ich ja noch die beste Lösung.... ;) Aber danke auch für deinen Beitrag! :thumb1: Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 31. Mai 2016 Melden Teilen Geschrieben 31. Mai 2016 Bzgl. Backup: Kann ein, über eine ACL ausgeschlossener Admin, bei einem Backup auf eine Disk zugreifen? Er kann u.U. die Daten aus dem Backup an einem beliebigen Ort wiederherstellen und so Zugriff erlangen. Zitieren Link zu diesem Kommentar
TGR 0 Geschrieben 31. Mai 2016 Autor Melden Teilen Geschrieben 31. Mai 2016 Er kann u.U. die Daten aus dem Backup an einem beliebigen Ort wiederherstellen und so Zugriff erlangen. OK - danke nochmals! :thumb1: Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 31. Mai 2016 Melden Teilen Geschrieben 31. Mai 2016 Moin, der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren. Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher. Wirksam ist relativ.. Sobald ein lokaler (bosartiger) Administrator ein entsprechendes Tool auf dem Server installieren kann, dann debugged er damit den Prozess, wenn du auf verschlüsselte Daten zugreifst. Dann ist nichts (Passworteingabe, Passwordhash, Credentials) mehr geheim vor ihm. Keylogger sind eine weitere Möglichkeit, um an Die Anzahl der lokalen Administratoren auf das absolut notwendige Minimum reduzieren sowie penibles Auditing sind bei sensiblen Daten genauso wichtig, wie die Verschlüsselung selbst. 1 Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 31. Mai 2016 Melden Teilen Geschrieben 31. Mai 2016 Wirksam ist relativ... Wie das ganze Thema Sicherheit. Ohne Kenntnisse des Bedrohungsszenarios, ist es schwer konkrete Maßnahmen zu empfehlen und zu bewerten. Ist es nur ein diffuses Bauchgefühl der Unsicherheit, gibt es einen konkreten Verdacht oder gar laufende Ermittlungen. Soetwas sollte natürlich nicht in einem öffentlichen Forum diskutiert werden. Im Extemfall müsste die gasamte Umgebung als unsicher betrachtet werden und es könnte ratsam sein, eine unabhängige Technik zu verwenden. Bspw. Notebook und USB Platten fürs Backup. (natürlich alles verschlüsselt) Eventuell müsste die Technik außerhalb eines regulären Beschaffungsprozesses besorgt werden. Eine mögliche Zielperson sollte nicht aufgeschreckt werden ;) 1 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 wie schon an anderer Stelle mal geschrieben: Der GF will die hochsensiblen Daten natürlich auch auf seinem IPhone lesen können...soll heißen, auch Netzwerke und Endgeräte müssen der Sensibilität der Daten angepasst werden. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Hochsensible Daten und Iphone passt meiner Meinung nach nicht zusammen. Das Iphone soll bestimmt auch nicht mit einem langen Kennwort gesichert werden. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 war auch etwas ironisch gemeint Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 1. Juni 2016 Melden Teilen Geschrieben 1. Juni 2016 Ich habe früher mal gelernt: Bestes Versteck, Wandzeitung. Vielleicht solltest du das in Betracht ziehen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.