Files vor Administrator "verstecken"
 

Hi,

bevor jetzt die üblichen Fragen wie "wieso willst du das machn" kommen mal eine kurze Einleitung! ;)

Ich mach gerade Zivi in einem Institut und in diesem Institut haben wir einen Direktor. Für alle die nur alleine vom "Titel" Direktor noch nicht auf die Person schließen können ;):
ein typischer Chef, der unbedingt alles wissen und können muss und sich damit mehr als nur verausgabt weil er vom Großteil eigentlich keine Ahnung hat

Daher muss dieser Herr Direktor selbstverständlich auch Administratorrechte besitzen (obwohl er nicht der eigentliche Netzwerkadmin ist) und sich je nach Lust und Laune mit der Rechtevergabe herumspielen, auch wenn er nicht genau weiß was er macht! (er hat es sogar schonmal geschafft der gesamten Gruppe und sich selbst auf irgendwelche Files sowohl Lese als auch Schreibrechte zu sperren und hat sich dann beschwert warum der Ordner leer ist. Nachdem ich bei meiner Chefin das ganze wieder halbwegs hinbekommen hab hat er mich gefragt wie sowas passieren kann und man kann das doch nicht immer auf irgendwelche Software-Fehler schieben :roll:)

Jedenfalls muss meine Chefin jetzt ein paar sensible Daten im Netz ablegen, aber möglichst verhindern, dass unser lieber Herr Direktor sich wieder irgendwie an diesen Daten vergreifen kann.

Ein guter Administrator findet immer eine Möglichkeit auf die Daten in seinem Netzwerk zugreifen zu können, ich weiß (aber zu dieser Sorte Admins gehört er definitiv nicht)... aber welche Möglichkeiten gibt es ihm den Zugriff darauf so weit wie möglich zu erschweren?

Unter Win2k / WinXP gelten bei der Rechtevergabe immer Explizite ausschlussregeln.

Wenn einem Benutzer auf eine Datei explizit der Zugriff entzogen wurde, dann hat er auch keinen Zugriff darauf.

Über dieses Verfahren kann ein User sogar einem Domänen-Admin den Zugriff auf seine Daten verwehren (solange sich dieser Domänen-Admin nicht lokal anmeldet und sich (also seinem eigenen Benutzeraccount, das Domain-Admin - Rechte hat) zusätzlich explizit die Rolle des lokalen Administrators gibt.

In jedem anderen Fall hat er verloren und keinen Zugriff auf die Daten.

Notfalls das ganze in 'ne Zip - Datei mit Passwort !

Also ein Admin kann sich immer Zugriff auf jegliche Dateien verschaffen. Spätesten wenn er sich als Besitzer der Datei einträgt kann er vollen Zugriff auf die Datei bekommen. Auf diesem Weg haben Admins auch Zugriff auf von Windows versteckte Systemdatenen bzw. Ordner. Allerdings warnt Microsoft derartiges für System ( z.B. Dateisystemordner) Ordner zuverschaffen. Aber das ist ja in deinem Fall egal.
Desshalb ist die beste möglichkeit die von braingrenade genannte.
Allerdings würde ich auf unbedingt auf Zip setzen. Denn dafür hab ich schon Passwortrecovery Programme gesehen. Ich würde auf RAR oder ACE setzen. Aber du meintest ja der Admin ist nicht der cleverste.

Ja: wenns nur um das rumpfuschen geht, ist wahrscheinlich verschlüsseln das beste. Hier im Forum gibts Programme dazu, sonst ist für Win PGP noch sehr gut. Wenns darum geht, dass gewisse intelligenzbestien sich nicht selber aussperren wirds schwerer!

Hi,

erstmal danke für alle Antworten. Wie CepheidenX auch schon gesagt hat ist es für einen Admin immer möglich sich Zugriff zu verschaffen (zumindest was die Rechte betrifft).

Verschlüsseln würde allerdings nur einen Teil des Problems lösen, denn Zugriff auf die Daten hat er indirekt ja immer noch zB. könnte er sie löschen... Naja, mal schaun wie sich das ganze noch weiterentwickelt.

Gibts sonst vielleicht noch Ideen?

Eigentlich könnte man die Dateien ganz einfach irgendwo im System-ordner unterbringen , in irgendein kompliziertes Verzeichnis, dann in Eigene Dateine oder so ne Verknüpfung zu den Daten machen und dem ganzen dann dass Icon einer textdatei geben und irgendnen uninteressanten Titel!

So hab's ich bei uns in der Schule mit ner Verknüpfung zur Netzwerkumgebung gemacht , den die normale ist gesperrt !

Wie wärs mit einem Utility wie FileGuard oder ähnliches? Such doch mal bei Download.com nach File hide. Da gibts Dutzende Programme, die das angeblich können sollen.

Also ich glaube nicht das FileGuard oder ähnliches das Problem lösen könnten. Denn mehr Rechte als ein Admin bekommt die Datei auch nicht. Erstrecht nicht wenn es von einem "Benutzer" installiert/angelegt wurde.

Ich tipp mal da bleiben euch nur Wechselmedien übrig. So das er nichtmal weis das die Datei existiert.
Mich würde aber trotzdem mal interessieren was für Probleme der hat. Er kann doch nicht einfach Dateien von Mitarbeitern löschen.

WinZip oder andre Verschlüsselung is insofern unpraktisch da man mit den Files wenn möglich auch normal arbeiten können sollte. Deswegen verwenden wir seit heute die Office-Interne Verschlüsselung. Damit sind ihm zumindest mal alle Einblicke und Eingriffe ins innere der Datei verwehrt.

Noch besser wäre es allerdings wenn er nicht einmal was von der Existenz der Dateien mitbekommen würde... hat da vielleicht noch jemand eine Idee?

Edit: Bezüglich Wechselmedien.. geht auch nicht, da die Datei im Netz liegen muss, da sie von mind. 3 Mitarbeitern gebraucht wird.