Hallo,

ich habe ein Problem.

Bei einem Kunden von uns gibt es mehrere Netzlaufwerke.

Auf das Profil vom Chef kann er und seine Frau zugreifen. Was auch so sein soll.

Nun wollen die beiden mehr Sicherheit haben falls jemand mal deren Anmeldekennwort rausbekommt.

Gibt es eine Möglichkeit, dass Netzlaufwerk, wo beide Vollzugriff haben, zusätzlich durch ein Kennwort zu schützen? Und bitte eine möglichkeit wo bei jedem Zugriff das Kennwort abgefragt wird und nicht nur 1 mal am Morgen und anschließend ist es bis zum Neustart gespeichert.

Danke für eure Hilfe.

M. Bettenhausen

sind das Domänenuser oder lokale Benutzer?

Alles Domänenuser. Die Freigabe liegt auf dem DC

außer die Sicherheit-/Freigaberichtlinien kannst du da m.E. nicht viel machen (außer halt den Inhalt mit Crypt-Programmen nochmal zu verschlüsseln und mit PW zu versehen).

Das einzige wäre, Passwörter zu vergeben, die halt nicht so einfach rauszubekommen ist....

Hat der Chef einen Admin Account? Falls ja sind die Maßnahmen abseits von True Crypt usw. bedeutungslos.

warum sollte jemand das chef-passwort rauskriegen? kann doch nur passieren, wenn der chef das passwort jemandem mitteilt oder es "unter die tastatur klebt", also durch indiskretion. wie sicher ist da ein weiteres passwort? vor allem wird es entsprechend kurz und einfach sein, wenn man es zig mal am tag eingeben muss......

Da würde ich eher den Ansatz mit Aladdin Sticks (dongle) verschlüsseln, das geht auf Netzlaufwerke. Könnte etwas Herausforderungen im Terminalserverbetrieb verursachen...aber kriegt man mit Sicherheit auch in den Griff.

dann doch lieber Smartcards und sinnvolle PKI Infrastruktur.

Grund dafür ist der, dass seine Frau länger braucht um das PW einzugeben weil sie nciht so fit ist mit der Eingabe

Nein, beide haben keinen Admin Acc. Nur lokal administrative Rechte.

Klar sollte das Kennwort keiner erfahren...beide möchten trotzdem mehr Sicherheit haben.

Also meint ihr ein Dongle wäre die beste Lösung?

wenn sie den dongle verlieren kann auch jeder dran. hast du nichts gewonnen. Ob ein Chef immer einen dongle mitschleppen will? Ich glaube nicht.

Grund dafür ist der, dass seine Frau länger braucht um das PW einzugeben weil sie nciht so fit ist mit der Eingabe

Gibt es eine Möglichkeit, dass Netzlaufwerk, wo beide Vollzugriff haben, zusätzlich durch ein Kennwort zu schützen? Und bitte eine möglichkeit wo bei jedem Zugriff das Kennwort abgefragt wird und nicht nur 1 mal am Morgen und anschließend ist es bis zum Neustart gespeichert.

Ketzerische Frage aus dem Off: merkst du nicht, dass diese beiden Sachen nicht miteinander gehen?

Wenn andauernd (bei jedem Abspeichern einer Datei?) ein Passwort eingegeben werden muss (was ich für absolut unpraktikabel halte!) wird es zwangsläufig bei nicht-IT-affinen Anwendern dazu führen, dass der bequeme Weg gesucht wird und Daten irgendwo abgespeichert werden, wo es ohne hunderte von Passworteingaben geht.

Wie wäre es denn mit einer zertifikatsbasierten Lösung?

Ich weiß selber das diese beiden Sachen nicht unbedingt zusammenpassen aber Kunde ist König. wenn der Kunde es wünscht...müssen wir dafür Sorgen das die beste Lösung angeboten wird.

Es soll nur noch einem Passwort gefragt werden wenn ich aktiv über den arbeitsplatz auf das Laufwerk zugreife und nciht bei jedem Speichern nochmal.

Ja viel Lust wird er darauf nicht haben aber das ist dann seine Sache wenn es nicht anders geht?

Zertifikatslösung?

Meinst du Zugriff haben nur die PC wo ein entsprechendes Zertifikat installiert wurde?

Sollte dies so sein funktioniert dies nicht so einfach. Es werden öfters PCs getauscht, bzw. arbeit jeder mal an an einem anderen Rechner.

lg und Danke für die bereits geschriebenden Ideen

Wo ist denn überhaupt das Problem !? Wenn die Rechner eh in einer Domäne sind, dann verbinden sich die Laufwerke beim Login doch eh, d.h. ich brauche da überhaupt keine Passworteingabe, denn ich authentifiziere mich beim Login und bekomme alle Laufwerke, die für mich als User hinterlegt sind, direkt verbunden. Sollen nun 2 User nun ein bestimmtes Laufwerk bekommen, dann erzeuge ich die Freigabe auf dem Server mit entsprechenden Berechtigungen, lege eine Gruppe für diese zwei User an, in die ich die User aufnehme und prüfe beim Login, ob der User zugehörig zu der Gruppe ist, wenn ja verbinde ich das Laufwerk.

Lese bitte meinen ersten Beitrag.

Es gibt kein Problem.

Es dinet nur als zusätzlichen schutz.

Es dinet nur als zusätzlichen schutz.

Dann erkläre mir mal, wo durch ein zusätzliches Passwort ein erhöhter Schutz entsteht? Selbst wenn ich das Passwort noch mal erfrage, die Daten werden eh anhand der SID des Users zugeordnet und diese ist nach der Authentifizierung eh vorhanden. Also noch einmal eine Passworteingabe erzwingen, erhöht nicht die Sicherheit.

Eine Sicherheitserhöhung hast Du, wenn die Daten von der Freigabe in einen verschlüsselten Container wandern und dann kannst Du eben erzwingen, dass der Container nur nach Eingabe des Passwortes geöffnet wird und selbst diese Eingabe kann man so gestallten, dass der Container nach einer gewissen Zeit geschlossen wird und der User dann eben beim erneuten Zugriff das Passwort eingeben muss (oder Eingabe via Dongle, Key, Zertifikat, Smartcard etc).

TrueCrypt bietet das entsprechend für Netzwerkfreigaben an http://www.truecrypt.org/docs/?s=system-favorites

Bearbeitet 22. März 201213 j von flashpixx

Danke. es ging auch um Vorschläge wie man soetwas realisieren kann und nicht um den tieferen sinn der angelegenheit.

Danke. es ging auch um Vorschläge wie man soetwas realisieren kann und nicht um den tieferen sinn der angelegenheit.

Also den Sinn sehe ich darin nicht, denn die Absicherung erfolgt durch die Authentifizierung des Users und entsprechende Gruppen, Freigeben- und Verzeichnisberechtigungen.

Wenn entsprechend mehr Schutz benötigt wird, dann eben entsprechend verschlüsseln und den Zugang über entsprechende Schlüssel realisieren.