Jump to content

Win Server 2012 R2: Einzelne Disk mit PWD sichern?

TGR

Von TGR
in Windows Forum — Security

Direkt zur Lösung Gelöst von Dunkelmann,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

TGR Explorer

TGR   0

Geschrieben
Geschrieben

Hallo Spezialisten,

ich habe auf einer VM Win Server 2012 R2 laufen und möchte eine einzelne Disk mit sensiblen Daten auch gegenüber anderen Administratoren mit einem PWD sichern. Wie könnte ich das lösen?

Danke schon im Voraus für eure Tipps!  :)

TGR Explorer

TGR   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Unter welchem Hypervisor?

 

Unter Hyper-V mit Bitlocker so:

http://www.howtogeek.com/193013/how-to-create-an-encrypted-container-file-with-bitlocker-on-windows/

 

;)

Es wird KVM eingesetzt als Hypervisor.

 

Ich hatte gehofft, es gäbe eine simple Lösung die anderen Admins & User von einem Zugriff auszusperren.  :( 

 

Auf jeden Fall "Danke" für deinen Hinweis!  :thumb1:

Ich sinniere die ganze Zeit über eine andere Lösung als der Datenverschlüsselung nach und überlege gerade, ob es nicht einfacher wäre über die Zugriffsberechtigungen des Laufwerks die Objektberechtigungen zu setzen?

 

Da ich aber keinen Blödsinn machen möchte (z.B. mich dabei selbst aussperren...) frage ich mal in die Runde, was ihr von dieser Vorgangsweise haltet:

 

A ) Ich füge bei den Gruppen bzw. Benutzernamen meinen Usernamen (ist auch in allen Admin-Gruppen) hinzu

 

B ) Bei meinem Usernamen und bei "SYSTEM" lasse ich explizit Vollzugriff und alle anderen Möglichkeiten zu 

 

C ) Bei allen anderen Gruppen bzw. Benutzernamen hake ich explizit jede Möglichkeit mit "Verweigern" an, nur bei "CREATOR OWNER" belasse ich den dzt. Status

 

 

Kann das unangenehme Folgen haben, oder bringt es ganz klar nicht das gewünschte Ergebnis? So einfach ausprobieren traue ich es mir nicht....   :suspect:

bearbeitet von TGR
TGR Explorer

TGR   0

Geschrieben
  • Autor
Geschrieben

Moin,

 

der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.

Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Danke für deinen Denkanstoß - dann werde ich wohl um eine Verschlüsselung nicht umhin kommen.  :cry: 

 

Bzgl. Backup: Kann ein, über eine ACL ausgeschlossener Admin, bei einem Backup auf eine Disk zugreifen?

 

 

Jeder kann immer den Besitz übernehmen und auf die Daten zugreifen. Verschlüsselung ist das einzige. Und in der Zwischenzeit hättest Du schon längst die VHD incl. Verschlüsselung erstellt. ;)

Momentan plane ich ja noch die beste Lösung....   ;)  Aber danke auch für deinen Beitrag!  :thumb1:

blub Grand Master

blub   115

Geschrieben
Geschrieben

Moin,

 

der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.

Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Wirksam ist relativ..

Sobald ein lokaler (bosartiger) Administrator ein entsprechendes Tool auf dem Server installieren kann, dann debugged er damit den Prozess, wenn du auf verschlüsselte Daten zugreifst. Dann ist nichts (Passworteingabe, Passwordhash, Credentials) mehr geheim vor ihm. Keylogger sind eine weitere Möglichkeit, um an

Die Anzahl der lokalen Administratoren auf das absolut notwendige Minimum reduzieren sowie penibles Auditing sind bei sensiblen Daten genauso wichtig, wie die Verschlüsselung selbst.

  • Like 1
Dunkelmann Veteran

Dunkelmann   96

Geschrieben
Geschrieben

Wirksam ist relativ...

Wie das ganze Thema Sicherheit.

 

Ohne Kenntnisse des Bedrohungsszenarios, ist es schwer konkrete Maßnahmen zu empfehlen und zu bewerten.

Ist es nur ein diffuses Bauchgefühl der Unsicherheit, gibt es einen konkreten Verdacht oder gar laufende Ermittlungen. Soetwas sollte natürlich nicht in einem öffentlichen Forum diskutiert werden.

 

Im Extemfall müsste die gasamte Umgebung als unsicher betrachtet werden und es könnte ratsam sein, eine unabhängige Technik zu verwenden. Bspw. Notebook und USB Platten fürs Backup. (natürlich alles verschlüsselt)

Eventuell müsste die Technik außerhalb eines regulären Beschaffungsprozesses besorgt werden. Eine mögliche Zielperson sollte nicht aufgeschreckt werden ;)

  • Like 1
blub Grand Master

blub   115

Geschrieben
Geschrieben

wie schon an anderer Stelle mal geschrieben:

Der GF will die hochsensiblen Daten natürlich auch auf seinem IPhone lesen können...soll heißen, auch Netzwerke und Endgeräte müssen der Sensibilität der Daten angepasst werden.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...