Jump to content

Software für Überwachung von Dateibewegung

Gu4rdi4n

Von Gu4rdi4n
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Gu4rdi4n Mentor

Gu4rdi4n   62

Geschrieben
Geschrieben

Hi,

 

bei uns wurde diskutiert, ob und wie man Datendiebstahl verhindern/aufdecken kann.

 

Dazu kam in die Diskussion

- USB Ports sperren 

- Cloud Storage verbieten

 

Beides ist bei uns nicht praktikabel. 

 

Dann kam die Frage auf, ob es irgendwie möglich ist Dateibewegungen zu überwachen.

 

Kennt jemand eine Software, die es erfasst, wenn Viele/Große/Wichtige Daten kopiert/gelöscht/verschoben werden?

Benötigt wird das auf Windows Server >=2012R2

 

Gefunden habe ich sowas wie FileSystemWatcher und die Überwachungsrichtlinie,

 

aber ich glaube nicht, das das genau das ist, was ich suche.

 

Jemand eine Idee/Erfahrungen?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.968

Geschrieben
Geschrieben

Moin,

 

wie immer übersehen solche Fragen zwei Dinge:

  • wie soll ein System feststellen, was erlaubt ist und was nicht?
  • wie bringt man die dafür technisch nötige Überwachung in Einklang mit der Rechtslage?

Am Ende wird man schnell dazu kommen, dass man "alles" technisch überwachen müsste und das dann jemand auswerten muss, weil man keine ausreichend trennscharfe Systematik dafür findet.

 

Fragen wir doch mal von der anderen Seite her: Was ist denn das Ziel?

 

Gruß, NIls

 

Link zu diesem Kommentar
Gu4rdi4n Mentor

Gu4rdi4n   62

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Da bin ich voll deiner Meinung.

 

Das Ziel soll laut Geschäftsführung sein, dass man Datendiebstahl "nachvollziehen" oder sogar verhindern kann.

 

Wir haben beispielsweise Dateien, die nicht kopiert werden müssen. 

Diese werden nur geöffnet und bearbeitet.

 

Interessant wäre es hier beispielsweise, wenn diese Dateien eine art "trigger" hätten, wenn sie kopiert oder mit speichern unter auf ein anderes Medium übertragen werden.

 

Ein beispiel: CAD Daten. Diese müssen nur erstellt und bearbeitet werden. Kopieren ist hier nicht nötig.

Hier wäre ein System schön, welches eine Meldung schickt, wenn Kopiervorgänge stattfinden.

Das würde natürlich mit den Mitarbeitern abgeklärt werden, dass sowas getrackt wird. 

bearbeitet von Gu4rdi4n
Link zu diesem Kommentar
lefg Grand Master

lefg   276

Geschrieben
Geschrieben
vor 18 Minuten schrieb Gu4rdi4n:

Wir haben beispielsweise Dateien, die nicht kopiert werden müssen. 

Diese werden nur geöffnet und bearbeitet.

 

Wird "eine vorhandene Word-Datei" geöffnet, steht dem Benutzer eine Arbeitskopie zur Verfügung, nicht das Original.

vor 54 Minuten schrieb Gu4rdi4n:

Gefunden habe ich sowas wie FileSystemWatcher und die Überwachungsrichtlinie,

 

aber ich glaube nicht, das das genau das ist, was ich suche.

 

Dann teste es doch und berichte bitte!

Link zu diesem Kommentar
magheinz Veteran

magheinz   110

Geschrieben
Geschrieben

Dateien Kopieren kann man auf der Quelle nicht abfangen. Im Zweifel öffnet man die und kopiert den Inhalt in eine neue. Das Anlegen neuer Dateien ist ja erlaubt. 

Das Abspeichern kann man abfangen. 

Hast du jetzt also eine Datenbereich in dem definitiv keine CAD-Daten liegen sollen, könnte man die Dateiendung verbieten. Logischerweise kann man aber immer noch die datei mit einer anderen Endung speicher. 

 

Da wurde ich eher Geld in vertrauenswürdiges Personal stecken. 

 

Link zu diesem Kommentar
SandyB Community Regular

SandyB   9

Geschrieben
Geschrieben (bearbeitet)
vor 3 Stunden schrieb Gu4rdi4n:
 

 

Jemand eine Idee/Erfahrungen?

Gegen Data Leakage führen einige Bereiche bei uns den "digital guardian" als Pilot ein. Damit soll verdächtiges Verschieben und Kopieren von Daten erkannt werden. 

Um generell verdächtige Prozesse auf System/ Kernelebene zu erkennen, nutzen wir "Crowdstrike". 

 

Sieh dir trotzdem noch die letzten Version von Microsoft ATA und Windows Defender ATP an. Microsoft rüstet in diesen Bereichen mächtig nach. Wende dich vielleicht an ein Systemhaus, das auf Microsoft Security spezialisiert ist, 

bearbeitet von SandyB
  • Danke 1
Link zu diesem Kommentar
magheinz Veteran

magheinz   110

Geschrieben
Geschrieben (bearbeitet)
vor 5 Stunden schrieb SandyB:

Gegen Data Leakage führen einige Bereiche bei uns den "digital guardian" als Pilot ein. Damit soll verdächtiges Verschieben und Kopieren von Daten erkannt werden. 

Um generell verdächtige Prozesse auf System/ Kernelebene zu erkennen, nutzen wir "Crowdstrike". 

 

Sieh dir trotzdem noch die letzten Version von Microsoft ATA und Windows Defender ATP an. Microsoft rüstet in diesen Bereichen mächtig nach. Wende dich vielleicht an ein Systemhaus, das auf Microsoft Security spezialisiert ist, 

Verhindert das System auch das einfache Kopieren der Inhalte von Dateien oder das Speichern unter einem neuen Namen?

Solange ich die Dateien öffnen kann, kann ich sie auch woanders speichern, wenn ich irgendwo Schreibberechtigungen habe, oder eben einfach den Inhalt kopieren.

bearbeitet von magheinz
Link zu diesem Kommentar
Gu4rdi4n Mentor

Gu4rdi4n   62

Geschrieben
  • Autor
Geschrieben

Ah danke schon mal für die Infos!

 

Den FSW werde ich bei gelegenheit mal antesten.

Zusätzlich schaue ich mir mal den Digital Guardian an. (https://digitalguardian.com/de/solutions/insider-threat-protection)

Klingt zumindest auf dem Papier nach genau dem was ich suche. Das erkennen verdächtiger Aktivitäten im Netz wie z.B. massenkopieren etc

 

Ganz wird man wohl nicht alles ausmärzen können - wie auch. Man soll ja mit den Daten arbeiten können.

Nur diese Verzweiflungstaten, wenn man nicht viel Zeit hat und dann versucht so viel wie möglich auf einmal abzugreifen.

 

RMS werde ich mir auch ansehen! Mal sehen ob das praktikabel wäre

 

 

Link zu diesem Kommentar
zahni Grand Master

zahni   558

Geschrieben
Geschrieben

https://www.msxfaq.de/signcrypt/rms.htm

 

Könnte in der Tat eine Lösung sein. Aber Achtung: Das muss die jeweilige Anwendung unterstützen. Und ohne Konzept wird das nichts.

Wenn es mal funktioniert, werden Dateien immer verschlüsselt gespeichert und können nur von berechtigten Personen geöffnet werden, egal wo und wie man sie speichert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...