Jump to content

Ordner vor Benutzerzugriffen schützen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Also ich habe folgendes Problem:

 

Der angemeldete Benutzer soll auf Dateien in einem Ordner nicht zugreifen dürfen, weil dort sicherheitskritische Daten abgelegt sind.

 

Gleichzeitig muss aber eine Anwendung, die dieser Benutzer startet, zur Laufzeit diese sicherheitskritische Daten lesen können.

 

Mir ist schon klar, dass ich für die Anwendung einen Extra-Benutzer anlegen kann und unter Sicherheitseinstellungen nur diesem Extra-Benutzer den Zugriff auf den Orner erlauben könnte. Dann würde das Ganze mit "Ausführen als..." (oder sog. RUNAS TOOLS wie NetExec) funktionieren.

 

Jedoch hat diese Lösung ein Schwäche: Der Benutzer kann auch ein Administrator sein und damit durch Übernahme des Besitzes des Ordners die Zugriffsrechte erlangen und damit auf die Daten zugreifen. Von einem Domänen-Administrator ganz zu schweigen.

 

Hat vielleicht jemand Idee?

 

Ich denke solche Software wie CryptIt, Steganos Safe würde sich nicht eignen, da der Datenzugriff von der Anwendung zur Laufzeit stattfinden soll.

Link zu diesem Kommentar

Hallo.

 

 

Darf der Benutzer die Dateien auch nicht einsehen (Excel Tabelle oder so)?

 

Bei XP und 2000 kannst Du jedem Ordner spezifische Rechte zuweisen. Dort musst Du nur schauen, dass der benötigte Ordner nicht die Rechte vom darüberliegenden übernimmt (Erben) und dann bestimmst Du, welche Benutzer Vollzugriff und welche nur lesen dürfen. Normalerweise befindet sich auch noch einen Benutzer "System" dort.

Weiss nicht wie Deine Applikation aussieht (und sich verhaltet), aber vielleicht reicht es, wenn Du nur dem "System- User" zugriff auf den Ordner und die Dateien gewährst. Dies geht jedoch nur, wenn die Applikation selber auf die Daten zugreift und nicht vom Benutzer indiziert werden muss.

Probiers mal aus.

 

Gruss Kangoroo

 

P.s. pass nur auf, dass Du Dich nicht mit allen Usern aussperrst, sonst gute Nacht. :cry:

Link zu diesem Kommentar

Der Benutzer soll keinen Zugriff auf die Daten haben.

Die Anwendung sollte aber Daten lesen/schreiben können.

 

Mir ist auch die Sache mit spezifischen Benutzerechten klar: Ich erteile der Anwendung (für die existiert ja ein eigener Benutzer) ALLE Rechte für den Ordner. Und wenn der Benutzer diese Anwendung mit "Ausführen als..." startet, hat die Anwendung die Rechte zum Zugriff auf den Ordner, der Benutzer nicht.

 

Aber ein Benutzer mit ADMIN-RECHTEN kann den BESITZ des Ordners übernehmen und damit ZUGRIFF ERLANGEN.

 

KANN ICH EINEM ADMIN VERBIETEN DEN BESITZ EINER DATEI ZU ÜBERNEHMEN???

Link zu diesem Kommentar

Vitali.

 

So weit ich weiss, kannst Du unter "Sicherheit" dem Administrator verbieten, dass er die Besitzrechte übernehmen kann: (unter "Sicherheit"--> Erweitert --> dann den Administratoren markieren, --> unter"Bearbeiten" findest Du die Checkbox "Besitzrechte übernehmen" ganz unten).

 

 

Ich hoffe, das bringt Dich nen Schritt weiter.

 

Gruss

Link zu diesem Kommentar

Ein Mitglied der lokalen Administratorengruppe kann IMMER den Besitz an einem NTFS-Objekt übernehmen, selbst wenn man der Administratorengruppe den Zugriff explizit verweigert! Das ist im OS verankert -> C2 Sicherheit, und ich kenne keinen Weg, das zu entfernen (wenn doch, bitte mir mitteilen).

 

Einer Applikation über "runas" den Zugriff gewähren, heißt aber, das ganze in einer Batchdatei unterzubringen, bei der bei jedem Aufruf die Eingabe des Kennworts eingegeben werden muss. Das bedeutet: der Anwender kennt den Benutzernamen und das Kennwort von jemand, der zumindest in diesem Verzeichnis lesen darf -> Ziel nicht erreicht.

 

Es geht schlicht nicht, was Vitali vorhat, es sei denn, es wäre eine Applikation, die von sich aus einen Benutzer anlegt und den Zugriff steuert.

 

grizzly999

Link zu diesem Kommentar
Original geschrieben von grizzly999

Ein Mitglied der lokalen Administratorengruppe kann IMMER den Besitz an einem NTFS-Objekt übernehmen, selbst wenn man der Administratorengruppe den Zugriff explizit verweigert!

Da stimme ich dir zu. Ich habe noch keine Lösung gefunden und werde wohl auch KEINE finden, wie ich Admin verbiete den Besitz zu übernehmen.

 

Original geschrieben von grizzly999

Einer Applikation über "runas" den Zugriff gewähren, heißt aber, das ganze in einer Batchdatei unterzubringen, bei der bei jedem Aufruf die Eingabe des Kennworts eingegeben werden muss.

Nein, es muss keine Eingabe des Passworts erfolgen , wenn ich so genannte RUNAS Tools verwende. Dann liegt das Benutzer-Passwort und der Benutzername verschlüsselt in einer Datei.

Zum Beispiel:

„CustomClient Creator“ von http://www.netexec.de/ ,

„TqcRunAs“ von Quimeras http://www.quimeras.com/,

„RunAs Professional“ von http://www.mast-computer.de.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...