RobDust 11 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) Moin, wir würden gerne, dass bestimmte Mitarbeiter in Zukunft mit sensiblen Dateien ("z.B. von Netzlaufwerken") arbeiten, welche andere Mitarbeiter nicht zugreifen dürfen. Folgende Konstellation ist gegeben. 2 x DC 2019 für die Anmeldung und Rechte, 1 x Fileserver 2019 mit Freigaben und mehrere W10 Clients. Nun ist es aber so, dass sich ja durch die Domäne mehrere Mitarbeiter am selben Client anmelden können (und auch sollen), für den Fall, dass mal der eigene PC ausfällt oder einfach aus praktischen Gründen weil man auf andere physikalische Dinge in dem Büro zugreifen soll. Folgende Befürchtung wie man trotzdem an die sensiblen Dateien (z.B. von Netzlaufwerken) kommen könnte: (ja wir unterstellen jetzt mal kriminelle Handlungen, und Verstöße gegen Firmenrichtlinien, da tatsächlich schon mal vorgekommen)... -mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters -robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert -"z.B. von Netzlaufwerken" kann auch ein anderer Speicherort sein... Das Ganze soll eine Art Brainstorming sein. Ich sehe im Moment noch zu viele "Gefahren", wenn mehrere Mitarbeiter an einem PC arbeiten, wenn jemand auf sensible Dateien zugreifen muss. Wie seht ihr das? Kann man sich schützen? Habt ihr Ideen? Das Ganze ganz anders angehen? bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 vor 2 Minuten schrieb RobDust: mittels Keylogger als Dienst auslesen vom Anmelde Passwort des anderen Mitarbeiters Wieso als Dienst? Dazu müßte man normalerweise ja Rechte im System besitzen, die ein normaler Nutzer nicht haben darf. Sprich lokaler Admin sein. Keylogger gibts auch als USB Device und dagegen kannst du nur physikalisch vorgehen. vor 2 Minuten schrieb RobDust: robocopyscript in Dauerschleife, welcher im Hintergrund Ort von A nach B kopiert Wenn der Attacker keinen Zugriff auf den Datenbestand des anderen Nutzers hat, was soll er dann kopieren? Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht. Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. Physikalischer Zugang erfordert dann meiner Meinung nach auch zwingend Disk-Encryption, um eine Offline Boot Attacke zu verhindern usw. usf. bye Norbert Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 Bist mir zuvor gekommen wollte noch ergänzen, ob Ihr weitere Gefahren seht Physikalische Keylogger genau! Sehr gut, daran hat auch keiner gedacht! """Wenn der Normale Nutzer natürlich sensitive Daten lokal auf dem PC an frei zugänglichen Bereichen speichert, hilft alles nicht.""" Der Ort wurde noch nicht festgelegt, nach dem suchen wir noch. Netzlaufwerk ist ein heißer Kandidat. Aber selbst wenn, man kan sich ja nie sicher sein, dass nicht ein Script (z.B. nur ein beispiel Robocopy, oder was selbst gescriptetes, haben unsere programmierer auch schon geschafft.) im Hintergrund läuft, welches Dateien von A nach B kopiert (Also quasi vom Netzlaufwerk / USB oder sonstwo) in irgendeine Cloud etc, und sobald das Netzlaufwerk verfügbar ist, die Dateien schwups im Hintergrund wegkopiert werden.""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """ Denke daran wird es scheitern, die holt man sich mittels - Link entfernt - in ein paar Minuten. Ich bin mittlerweile soweit, dass sobald mit sensiblen Dateien gearbeitet wird, dass keine zweite Person physikalischen Zugriff auf den PC haben darf. Raum muss abgeschloßen sein, und dann wird schon richtig kriminell, wenn einer einbricht. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 vor 41 Minuten schrieb RobDust: ""Wenns also schon am lokalen Adminrecht scheitern sollte, brauchst du über weitere Dinge nicht nachdenken. """ Denke daran wird es scheitern, die holt man sich mittels in ein paar Minuten. Du solltest Dich wirklich etwas intensiver mit der Materie beschäftigen. Mit dem GPOs kann man einen Desktop sehr weit "idotensicher" konfigurieren. Es gibt der Applocker oder die Software Restriction Policies. Damit konfiguriert man, was ein User starten darf. Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). Und wenn doch was geht, liegt es i.d.R. an der Person die Admin ist. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 Gegen Physische Angriffe hilft Verschlüsslung. OT: Wieso nur einen DC? Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) @Dukel Zweiter ist auf dem Weg hab es oben angepasst. ""Das obige Problem löst man mit Bitlocker (da genügt ein TPM-Chip, PIN beim Boot ist nicht notwendig, nur bei mobilen Geräten). "" ,aber wie den? Sobald der Owner den Speicherort mit den Sensiblen Dateien entschlüssel hat, um damit zu arbeiten - kopiert irgendein Script diese dann weg. # Und das Script läuft als Dienst mit lokalem Systemkonto (z.B. admin) sobald der PC hochfährt, weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat. Oder würde dann sobald man sich als DomainUser anmeldet alle Dienste (Auch lokale Dienste?) und Programme beenden aufgrund der Applocker oder die Software Restriction Policies? bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 Da er keinen lokalen Zugriff bekommt, also nicht ohne Windows zu booten auf C: kommt, kann er auch kein Password ändern. Einfach mal drüber nachdenken. Für den Rest gibt es GPOs. Zitieren Link zu diesem Kommentar
XP-Fan 217 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 @RobDust Ich möchte dich an die Boardregeln erinnern ! 8. Keine Hinweise oder Beiträge zum Thema: Wie knacke ich Windows oder ein Benutzerkonto. Ich habe den Link oben entfernt da dieser dagegen verstoßen hatte. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 10 minutes ago, RobDust said: weil der Angreifer sich vorher einen lokalen Admin Account eingerichtet hat. Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist. Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) @XP-Fan Sorry! Hab ich nicht drauf geachtet. Kommt nicht mehr vor! """"Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist.""" Ja okay. Muss ich mal drüber nachdenken und ansehen. Bitlocker Veracrypt sind mir natürlich ein Begriff. Hab nur noch nicht alle Zusammenhänge gemeinsam betrachtet... Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) Moin Ich denke, die sensiblen Daten sollten nicht auf einem lokalen PC bearbeitet werden sondern in einer RDP-/Terminalserver-Sitzung. Weiter sollte auf den Ordner mit den sensiblen Daten eben nur der eine Benutzer/(Besitzer?) Rechte haben. Edit: Und niemand sollte sich Rechte darauf verschaffen können. Das Niemand schlösse wohl auch Administratoren ein. Ein Netzlaufwerk ist nur ein Verweis auf einen freigegebenen Ordner. bearbeitet 30. Januar 2019 von lefg Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 (bearbeitet) @Dukel , Zitat Wie das? Online bräuchte er eine Lücke im Windows oder den Applikationen (Patchen!!!!!!!!) um seine Rechte zu erweitern und Offline geht nicht, da das System verschlüsselt ist. Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten. Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe... gibt es anscheinend... okaay... den Rest könnt ihr euch selbst denken, sonst verstoße ich gegen die Boardrichtlinien, In dem ganzen Szenario geh ich übrigens der Annahme, dass der Angreifer genug Zeit hat. Da er ja ein unverdächtiger Mitarbeiter ist, welcher mit an dem PC arbeitet. bearbeitet 30. Januar 2019 von RobDust Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 vor 19 Minuten schrieb RobDust: Wo ich gerade oben zum ersten mal im leben den USB logger sehe, gibt bestimmt auch für den Lan Port Tja wie du siehst, kann man nicht "einfach mal machen" und dann ist sicher, sondern kommt zur berühmt berüchtigten "umfassenden Sicherheitsstrategie". Evtl. ja mal übers OSI Schichtenmodell nachdenken. ;) Layer 1 = Physik und Layer 7 = Applikation und zusätzlich noch Layer 8 = Nutzer. ;) Zitieren Link zu diesem Kommentar
RobDust 11 Geschrieben 30. Januar 2019 Autor Melden Teilen Geschrieben 30. Januar 2019 Ne Ne "Tja wie du siehst, kann man nicht "einfach mal machen"" ... habe ich schon gemerkt Hatten schon in der Firma großes Brainstorming. Wollte mir hier noch andere Ideen holen. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 30. Januar 2019 Melden Teilen Geschrieben 30. Januar 2019 vor 9 Minuten schrieb RobDust: @Dukel , Dann wäre die Frage ob Hardwarekeylogger gibt welche schon vor der Ebene der Verschlüsselung arbeiten. Diese könnten ja das Password für das Entschlüsseln abfangen, welches ich vorm Windows Boot eingebe... Die fehlen Grundlagen in der Funktionsweise von Bitlocker in Verbindung mit einem TPM-Chip. Irgendwie beschleicht mich das Gefühl, das Du etwas nicht machen möchtest und nun mit der Brechstange irgendwelche Begründungen suchst. Benutze doch Thin-Clients. Dann müssen natürlich alle Personen, die das Haus betreten, durchsucht, durchleuchtet und hochnotpeinlich befragt werden... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.