Sicherheit & Backup in WindowsNT Domäne

[MBS]

Ich weiss das ist mein erstes Posting hier, aber mein Problem ist so groß wie ein Elefant.

Das Problem ist:
Ich habe bei der Arbeit einige Ordner und Dateien auf unseren Domänencontroller erstellt und explizite Berechtigungen für mich und einige Kollegen erstellt. Am nächsten Tag, als ich nach meinen Dateien sah, waren die Berechtigungen auf Vollzugriff für die Gruppe der Administratoren und zusätzliche anderen Gruppen zum Ändern freigegeben. Habe daraufhin den Administrator angerufen und er hat mir über sein ("ärmliches") Backupsystem usw. erzählt und, dass es notwendig wäre, das die Gruppe der Admins Vollzugriff auf den Datenbereich hat, um ein Backup zu erstellen.
Ich kenne aber kein Backupprogramm das diese Zugriffsrechte benötigt um eine Sicherung zu erstellen.
Das größte Problem ist für mich, dass es sich auch um personenbezogene Daten handelt.
Zu dieser Zeit kann ich nicht für die Dateien, an denen ich arbeite, garantieren und auch nicht für die Datensicherheit gegenüber meinen Arbeitskollegen.

Meine Frage ist:
Kennt jemand eine Software die volle Zugriffsrechte der Admins auf den Datenbereich benötigt, um ein Backup zu vollziehen?
Oder wo könnte ich nachlesen das so etwas nicht passieren kann bei einem Backup?

Da ich nicht weiss was das Adminteam oder die Leute die jetzt die Berechtigungen zum Ändern haben damit tun könnten auch ausversehen, kann ich jetzt nicht mehr die Garantie für die Sicherheit und auch Richtigkeit der Daten übernehmen.

Was kann ich tun?

Die besten Wünsche an alle Boardies, MBS

 

[stpe]

Dein admin sollte sich mal ein wenig mit dem vergeben berechtigungen und dem datenschutz befassen.

ein backup-programm läuft i.d.r. unter einem explizit für dieses programm angelegten benutzer. dieser benötigt dabei auch nur lese-rechte.

administratoren die meinen, sich selbst rechte für benutzerverzeichnisse vergeben zu müssen, unterwandern den datenschutz.

sprich doch einfach mal den datenschutzbeauftragten Eures unternehmens an.

 

[MBS]

Danke für deine Antwort.

Habe mich erkundigt wer wohl bei uns der Datenschutzbeauftragte ist.

Was meinst wer das ist :-(

Habe heute gesehen das er meine Einstellungen schon wieder geändert hat und zwar in der Richtung das die Admin sogar jetzt als Besitzer eingetragen sind. Habe von diesem Verlauf Bildschirmausdrucke gemacht und zwar so das ich auch das Datum drauf habe durch Mauszeiger auf Uhrzeit in der Taskleiste. Hatte es gestern auch vorsichtshalber schon gemacht um die richtigen Einstellungen beweisen zu können. Da ich weiss das man die Besitzerfunktion nicht übergeben/verschenken kann, geht dies ja nur durch Admin-Eingriff.

Ich weiss echt nicht mehr weiter, was ich jetzt machen kann.
Hat jemand ein Tip an welcher Stelle ich mir Hilfe holen kann?

 

[stpe]

der datenschutzbeauftragte darf eigentlich nichts mit der edv zu tun haben. oder hast Du schon schon mal gehört, dass z.b. eine fibu-abteilung bei sich selbst die buchprüfung durchführen darf?

 

[stpe]

Hat jemand ein Tip an welcher Stelle ich mir Hilfe holen kann?

geh doch mal zum vorgesetzten der edv-abteilung. und wenn's den nicht gibt, dann zum betriebsrat oder zur geschäftsführung (in der reihenfolge).

musst Dich bloss darauf einstellen, dass es zu einem etwas gespannterem verhaeltnis zwischen Dir und der edv-abteilung kommen wird ...

 

[MBS]

Dank für Eure Antworten.

Aber Ihr müsst Euch das so vorstellen :-(

Datenschutzbeauftragter = Admin und ausserdem noch ein Abteilungsleiter von der FÜ. Beide arbeiten eigenlich Hand in Hand, nur nicht auf dem Papier.

Der Admin hat keinen eigentlichen Vorgesetzten, er ist selbst die Führende Person dort.

Betriebsrat = Irgendwann mal auf dem Papier festgehalten
und zwar der FÜ Abteilungsleiter und mein Geschäftsführer. Beide arbeiten schon seit über 10 Jahren auch Hand in Hand.

Dieser Geschäftsführer hat leider überhaubt keinen Ahnung von Netzwerken und vertraut auf die Aussagen des Admins. (So seine Aussage)

Die Wege die Ihr genannt habt bin ich schon gegangen ausser das mit dem "Vorgesetzten" des Admin den es eigentlich gar nicht so richtig gibt.

Könnt Ihr euch vorstellen in welcher Zwickmühle ich mich da befinde.

Bin schon am überlegen alles hinzuschmeißen und mir einen andern Job zu suchen. Bin dort auch schon fast 5 Jahre, habe dort vieles mit verbessert, aufgebaut und Organisiert in dem Chaos und nun sowas. Glaube wenn alles nichts nützt muss ich doch mal zum Anwalt gehen was ich eigentlich vermeiden wollte, da ich natürlich meinen Job nicht so gern dort verlieren wollte. *heul*

Kann doch nicht sein das Admins Allmacht mit der Unwissenheit anderer betreiben dürfen.

Noch beste und dankende Grüße an Euch
MBS

 

[stpe]

eine kleine frage habe ich aber noch:

wenn Du einen ordner anlegst, und nur Dir selbst die berechtigung vergibst, auf diesen zuzugreifen, dann kann der admin sich nicht selbst auch zugriffsrechte auf das verzeichnis geben (Du hast es ihm ja schliesslich bei der vergabe der verzeichnisrechte nicht erlaubt).

d.h., dass der admin wahrscheinlich Dein passwort kennt - oder das eines kollegen, dem Du das verzeichnis auch freigegeben hast.

mir ist zumindest keine entsprechende möglichkeit bekannt. klärt mich auf, wenn ich falsch liege.

 

[MBS]

Das habe ich mich auch gefragt. Er meinte das es wohl daran lag das der übergeordnete Ordner wohl dann die Berechtigung weiter vererbt hätte.

Dem konnte ich aber wiederlegen, da es noch einen Ordner gibt unter den oberen/ Also in der gleichen unteren Struktur/ Dieser hat immer noch seine expliziten Berechtigungen die ich Ihm verliehen habe, für mich und andere.
Ausserdem weiss ich das konkrete Berechtigungsvergabe durch ´den Besitzer höher stehen als Vererbungen. Da ich aber noch erst als Besitzer drinne Stand, wie wurde das dann gemacht ?

Somit habe ich die Berechtigungen ja gestern auch wieder ändern können. Heute war es leider so das wieder alles geändert war, nur waren die diesmal so schlau und haben den Besitz übernommen. Übrigens geht es dort nicht nur um Dateien die mich betreffen sondern auch um Dateien die anderen Arbeitskollegen "gehörten". Mein Glück ist das wir diese Berechtigungen je nie alleine durchgeführt haben sondern immer dem anderen zur Hilfestellung beiseite Standen. Auch haben wir im Nachhinein diesen Ordner unseren QM-Manager gezeigt, das diese Dateien jetzt gesichert sind. Also Zugriffe ausprobiert über Benutzer welche nicht mal lesen durften, über Benutzer die Leseberchtigung hatten und natürlich gezeigt das die Benutzer die damit arbeiten sollen auch arbeiten können.

Wir haben nächste Woche Zertifizierung und daher haben, wollten wir alles schön Strukturiert und gesichert präsentiern. Deshalb mussten eben auch die neuen Dateien mit rein. Ich bin für sowas mit Verantwortlich, aber im Moment habe ich das Gefühl als sollte ich mal richtig stolpern.

Wenn ich noch rausbekomme wie das erste mal diese Änderung klappte ohne den Besitz zu übernehmen, sag ich Euch hier gleich Bescheid.

Die besten Grüße noch

MBS

Noch etwas zu den Kollegen.

Es gab jeweils 2 Vollzugriff Berechtigte je Datei.
Alle anderen durften nur lesen.
Aber keiner von denen / auch ich nicht / hatte auf alle Dateien dieses Ordners Vollzugriff.

Da aber alle Dateien in der Zugriffsberechtigung geändert wurden, kann es also keiner von den Kollegen gewesen sein.
Somit müsste es jemand gewesen sein der von allen die Zugangsberechtigungen hat ? In diesem Ordner Fall wären es 10 verschiedene Zugangsberechtigungen gewesen.

Nochmals Grüße
MBS



Last edited by MBS at 04.09.2002, 20:26

 

[MBS]

ich habe dies hier unter

http://www.rz.rwth-aachen.de/winnt/skript/winnt4.html

8.2 Datei- und Verzeichnisrechte

Damit ein Benutzer auf Daten zugreifen kann, muß er für den Zugriff die entsprechenden Rechte an den Datendateien besitzen. Mit Hilfe des Systemprogramms CACLS.EXE können diese Rechte eingesehen und modifiziert werden. Leider ist die Ausgabe der Dateistruktur nicht sehr intuitiv, so daß für diese Aufgabe das Programm somacl von der Firma Somarsoft besser geeignet ist.

Könnte es damit zusammen hängen?

Oder geht das hiermit ?

http://www.tu-chemnitz.de/linux/Dokumentat...-ownership.html


Oder es war in ZUsammenarbeit mit Unix

http://techupdate.zdnet.de/story/0,,t427-s...6812-p2,00.html

darüber habe ich dies hier gefunden unter bsi.de

Beispiel:

Da root auf Unix-Anlagen keinerlei Beschränkungen unterliegt, kann der Administrator unabhängig von Zugriffsrechten jede Datei lesen, verändern oder löschen. Außerdem kann er die Identität jedes Benutzers seines Systems annehmen, ohne dass dies von einem anderen Benutzer bemerkt wird, es ist ihm also z. B. möglich unter fremden Namen Mails zu verschicken oder fremde Mails zu lesen und zu löschen.

Auserdem lass ich das ein Benutzer nicht von aussen so einfach erkennen kann ob sich dahinter UNIX verbirgt, da sich die Benutzeroberfläche wie bei NT sein kann ?

Denke ich muss erst mal rausbekommen ob da so ein Systemmix überhaubt vorliegt. Wenn ja, ist damit die Berechtigungsänderung ohne Besitzübernahme anscheinend ja geklärt.



Last edited by MBS at 04.09.2002, 22:32