Heute habe ich mal ein Frage zum Thema Datensicherheit.
Wir werden in den naechsten Tagen ein paar Leute von einer anderen Firma in unserer Abteilung haben, die hier an einem unserer Rechner spezielle Software entwickeln sollen. Dabei sollen sie aber keine Laufwerk-Mappings auf unsere Rechner machen koennen (um zu verhindern, dass sie sich unseren Sourcecode kopieren). Aber TCP/IP-Verbindungen muessen noch funktionieren, damit unsere Programme noch mit deren Software Daten austauschen koennen.
Alle Rechner haben WindowsNT 4.0 SP6, arbeiten in einer Workgroup (keine Domaene), haengen im selben VLAN und haben die selben Benutzer-Accounts.
Das einfachste ist ja nun, nur auf deren Rechner fuer die Fremden einen neuen User anzulegen. Aber es ist sicher nur ein Frage der Zeit, bis die die Passwoerter von unseren Accounts spitz kriegen. Und dann koennen sie auf die Platten unserer Rechner zugreifen!
Die naechste Idee war der Einsatz einer Firewall. Da kenne ich aber bisher nur ZoneAlarm. Und mit diesem Tool kann man ja nur ganze IP-Adressen sperren. Und dadurch koennten dann auch unsere selbstgeschriebenen Proggis keine daten mehr austauschen.
Tja, und nun sind mir die Ideen ausgegangen und Ihr seid gefragt!
Gibt es noch andere Moeglichkeiten, Mappings bzw. NET USE von diesem einen Rechner zu verbieten/verhindern?
Hallo Ottifant,
das wichtigste ist natürlich, dass die Fremdfirmenmitarbeiter eigene Accounts haben und auf keinen Fall die Passwörter anderer Benutzer erfahren. Wenn das gewährleistet ist, ist dein Problem durch setzen entsprechender Zugriffsrechte auf den Dateien und/oder Freigaben einfach zu lösen.
Du kannst es den Fremdfirmenmitarbeitern noch etwas schwerer machen, indem du gewisse Netzwerkfunktionen abklemmst. Die Erläuterung zu den RegistryKeys findest du in der Datei „regentry.hlp“ aus dem NT RessourceKit. Wenn dir die Datei nicht zur Verfügung steht, kann ich sie dir auch mailen. Dort musst du dann unter „Explorer Policies Subkey Entries“ und „Windows Entries for Users“ suchen, da wirst du einiges finden.
Grüße, Tom
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
das wichtigste ist natürlich, dass die Fremdfirmenmitarbeiter
eigene Accounts haben und auf keinen Fall die Passwörter
anderer Benutzer erfahren.
genau das kann ich aber nicht hundertprozentig ausschliessen!
Du kannst es den Fremdfirmenmitarbeitern noch etwas schwerer
machen, indem du gewisse Netzwerkfunktionen abklemmst.
Habe mir vorhin mal den Policy-Editor angeschaut. Aber ich habe dort nur 2 Moeglichkeiten gefunden, die Rechte zu beschneiden: entweder fuer den ganzen Compi oder fuer den Default-User. Aber unsere User-Accounts sollen ja weiterhin alle Moeglichkeiten haben. Habe ich da was uebersehen, oder kann man an einem bestehendem User-Account keine Aenderungen vornehmen?
Ein richtiger Schutz kostet natürlich auch richtig viel Geld, Wenn sogar Grosfirmen wie T-Online an ihrem scheinbar sicheren Schutz zu zweifeln gelehrnt haben.
Es gibt immer freie Zonen, die durch Befehle wie guest, root, syste, test, demo, anonymous usw als standart eines jeden logins gehören, ebenso können auch c++ Compiler oder Cracker den Zugang eines jeden Hackers einfach machen. Die meisten Angriffe finden Aufgrund der vielen Hits zum grössten Teil gegen 10:00 und 12:00 und 15:30 und 18:00 statt. Ebenfals können die gefährlichten Zeiten Nachts gegen 3:00 UHR sein, da dort Server nicht unbedingt überwacht werden. Schwerer wird es durchaus für jeden Hacker, wenn Passwort und login sich dauerhafft ändern. Ebenso sollten keine wichtigen Informationen auf einem Server gespeichert- und die offen Stellen so dicht wie möglich gehallten werden.
Der beste Tresor nützt nichts, wenn man die Kombination vorne drauf schreibt !!!
Wenn du nicht sicherstellen kannst, dass die Mitarbeiter in eurem Betrieb Ihre Account-Informationen für sich behalten und Fremde nicht an ihren PC lassen, dann hast du sowieso schon verloren.
Vergiss den Policy-Editor. Sieh dir die Registry Keys an, von denen ich gesprochen habe. Wenn du mit dem Policy-Editor direkt die Registry des Rechners bearbeitest, kannst du keine Einstellungen für bestimmte Benutzer machen. Und die andere Möglichkeit mit Policies zu arbeiten steht dir nicht zur Verfügung, dann du keine NT-Domäne hast. Du kannst also nur die Registry der einzelnen Benutzerkonten bearbeiten.
Gruß, Tom
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]