Mitarbeiter unseres Unternehmens haben darum gebeten, einige der freigegebenen Ordner zu verschlüsseln, die auf einem lokalen Windows 2003-Dateiserver veröffentlicht sind. Die Anforderungen sind:
- Verschlüsseln Sie die Dateien, sodass nur ein Benutzer oder eine Gruppe von Benutzern sie öffnen kann
- Vermeiden Sie passwortgeschützte Dateien. Der Verschlüsselungsprozess sollte für die Benutzer transparent sein
- Obwohl die Dateien verschlüsselt sind, muss die Backup-Software (BackupExec) in der Lage sein, Binärdateien zu kopieren und zur Überprüfung darauf zuzugreifen.
- Tools/Software können nicht auf den PCs der Benutzer installiert werden, sie möchten, dass dies automatisch funktioniert
Da wir nur sehr wenig Erfahrung mit der Verwaltung von Servern haben, sind wir für jede Hilfe und jeden Vorschlag dankbar.
Antwort1
Entziehen Sie dem Administrator die Berechtigung für den Ordner. Er kann das Verzeichnis dann nicht sehen, ohne den Besitz zu übernehmen und die Berechtigungen zurückzusetzen (was dann in der Überwachung aufgezeichnet werden kann). Die Gruppe der Backup-Operatoren hat Zugriff auf alles. Stellen Sie sicher, dass dieses Passwort schwer zu merken ist und nicht aufgezeichnet wird (überprüfen Sie erneut das Zurücksetzen des Passworts + Änderung der Mitgliedschaft dieser Gruppe). Aktivieren Sie die Verschlüsselung der Dateien, um Backups vor anderen Benutzern zu schützen.
Letztendlich kann der Administrator mit etwas Aufwand jede Datei auf dem System sehen, sogar mit Zertifikaten, weil er auf den PC des Benutzers zugreifen und die Dateien abgreifen oder Keylogger installieren, aus Backups an einem anderen Ort wiederherstellen, Berechtigungen zurücksetzen usw. kann. Und gemeinsam genutzte Passwörter bleiben oft nicht sehr geheim. Wenn Sie sich so viel Mühe geben, Dateien vor ihnen zu verbergen, vergisst der Benutzer normalerweise sein Passwort und hat für immer keinen Zugriff auf seine Daten. Außerdem wissen Benutzer nicht genug über IT, um zu wissen, wann ein Administrator ihre Vorsichtsmaßnahmen umgangen haben könnte.
Letztendlich müssen Sie Ihren Administratoren die Vertraulichkeit Ihrer Daten anvertrauen, wie Sie es auch bei anderen Mitarbeitern und Firmenvermögen/-geld tun. Alle wirklich wichtigen Daten können immer auf CD/DVD/Flash gespeichert und physisch gesichert werden.
Antwort2
Sie können PGP Netshare oder SecurStar Sharecrypt ausprobieren.
Um Ihren Anforderungen gerecht zu werden, sollten meines Wissens beide Lösungen Folgendes ermöglichen:
- Dateien werden im freigegebenen Ordner verschlüsselt
- Einzelne Dateien müssen nicht mit einem Passwort geschützt werden. Sie benötigen jedoch möglicherweise Zugriff, um den gesamten freigegebenen Ordner zu entschlüsseln.
- Backup-Software sichert wahrscheinlich nur die verschlüsselten Daten. Dies kann ein Vorteil sein, denn selbst wenn ein Backup-Band verloren geht, kann niemand auf Ihre Daten zugreifen.
- Sie müssen die Software einmalig auf den PCs der Endbenutzer installieren. Dann sollten keine lokalen Administratorrechte erforderlich sein.