4. XP Prof: Ordner von Administratoren abschotten

XP Prof: Ordner von Administratoren abschotten

  • C

    http://www.chip.de/downloads/c1_downloads_20677276.html

    0

  • Ok. B soll einen Ordner "B Files" erstellen. Dann macht er die Eigenschaften von "B Files" auf, geht dort auf "Security" -> "Adcanved", und macht dort das "Inherit from parent" Hakerl weg. Dann wird er gefragt "Copy" - "Remove" - "Cancel", dort wählt er "Remove". Dann fügt er sich selbst in die Liste ein und gibt sich "Full Control" auf alle Dateien und Unterverzeichnisse. Die Liste sollte dann komplett leer sein, bis auf den einen Eintrag für User "B".

    Ferdich. Ein Admin hat nun keine Rechte mehr auf "B Files".
    Einem Admin bleibt als einzige Option noch ownership zu übernehmen -- nur als owner kann er sich dann selbst Rechte geben, wenn er so keine hat.
    Das allerdings kann man wieder nicht spurlos machen, da der Admin die ownership zwar übernehmen kann, danach aber nicht auf den ursprünglichen User zurückändern. User "B" weiss also in dem Fall dass ein Admin da dran was rumgepfuscht hat.

    Eine andere Möglichkeit ist noch die Datei einfach zu verschlüsseln. Wie sicher das ist wenn sich jmd. wirklich gut auskennt kann ich nicht sagen, aber es reicht auf jeden Fall für normale Leute aus dass die selbst mit Admin Rechten keine Chance mehr haben da irgendwie dranzukommen.

    0
  • D

    Äh. Das ist lustig.
    Man will doch, dass niemand sonst die Dateien sieht. Nicht dass man weiß, dass sie jemand gesehen hat.

    0
  • ?

    Äh mal ganz dumm in die Runde gefragt, was sind das denn für Dateien auf dem Arbeitsrechner, die der Admin nicht sehen darf? Kann ja nur privater Kram sein, ich würde den eh nicht auf dem Arbeitsrechner speichern...

    Ach so, bei uns würde das Übernehmen des Besitzes dazu führen, dass der Admin gleich zwei E-Mails erhält. Einen von der Datensicherungssoftware, dass das Verzeichnis nicht gesichert werden konnte und eine vom Virenscanner, dass das Verzeichnis nicht gescannt werden konnte. Erstere einmal täglich, zweitere bei jedem Zugriff des Users auf das Verzeichnis.

    0
  • M

    Joe_M. schrieb:

    Äh mal ganz dumm in die Runde gefragt, was sind das denn für Dateien auf dem Arbeitsrechner, die der Admin nicht sehen darf? Kann ja nur privater Kram sein, ich würde den eh nicht auf dem Arbeitsrechner speichern...

    Wer hat denn hier von Arbeitsrechner gesprochen? 😕

    Ist doch dämlich, dass das nich geht. Wozu gibts dann diese differenzierte Freigabe überhaupt?

    Kann man denn Administratoren irgendwo die Übernahme von Besitzrechten verbieten und die Vergabe von Berechtigungen nur Besitzern erlauben?

    Mr. B

    0

  • Probiers mal mit verschlüsseln. Ob der Admin dann Rechte übernehmen kann weiss ich nicht, aber lesen sollte er es nicht können. Also einfach bei Eigenschaften auf Erweitert und dort das "Verschlüsseln" Hakerl anhakerln.

    Ansonsten... ja, klar geht das, du brauchst dafür bloss so ein Hilfsding - heisst glaub ich "USB Stick" oder so.
    Aber jetzt ehrlich, es ist ein wichtiges Sicherheitsfeature dass ein Admin immer irgendwie an Dateien rankommt. Ich weiss nicht was daran so schlimm sein soll...

    0
  • ?

    Der Admin kann immer die erforderlichen Rechte übernehmen. Verschlüsseln ist die einzige Lösung.

    0
  • D

    richtig sicher ist verschlüsselung auch nur, solange man die datei auf dem betroffenen rechner nicht entschlüsselt. anderenfalls reicht ja schon ein keylogger, um an das passwort zu kommen. und auch, wenn das passwort nicht eingegeben, sondern von externem medium übertragen wird gibt es sicher möglichkeiten, dieses unbemerkt zu kopieren.

    0
  • ?

    Mr. B schrieb:

    Wer hat denn hier von Arbeitsrechner gesprochen? 😕

    Niemand. 😉 Bin ich einfach mal von ausgegangen. Auf dem Heimrechner sollte sich das Problem doch nicht stellen, da man doch nur selbst Admin ist.

    0
  • S
    Mod

    Optimizer schrieb:

    Der Admin kann immer die erforderlichen Rechte übernehmen. Verschlüsseln ist die einzige Lösung.

    Allerdings wie gesagt nicht mit EFS, ich glaube Administratoren haben auf EFS-Directories ebenfalls vollen Zugriff.

    Bei einem Heimrechner ist sowieso Verschlüsseln die einzige Möglichkeit. Ein Administrator hätte bei einem Home-Computer sowieso immer Hardwarezugriff und daher überhaupt kein Problem auch ohne Administratorrechte deine Dateien zu lesen wenn es sein muss.

    Lösung: Externes Verschlüsselungsprogramm mit PIN-Kontrolle über externe Kartenlesegerät oder Ähnliches.

    Meine Meinung: Dateien die der Hugo nicht sehen soll lege ich auf keinen Rechner auf dem Hugo Administrator ist...

    MfG SideWinder

    0

  • @SideWinder:
    also als Admin bekomme ich "Access Denied" wenn ich eine verschlüsselte Datei eines anderen Users aufmachen will, genauso wenn ich die das "verschlüsselt" Attribut wegnehmen will.

    Ob es Mittel und Wege gibt das zu umgehen weiss ich nicht.

    0
Anmelden zum Antworten