[adde] AW: AW: Re: Sicherheitskonzept für den Zugriff auf das AD

• From: Bischof Sandro <Sandro.Bischof@xxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Wed, 11 Jan 2012 14:35:27 +0100

Hallo Carsten,

Wir hatten bei uns in der Firma die gleichen Anforderungen (im Zusammenhang mit 
den IT-Grundschutz).
Nach einigen Analysen des Aufwands sind wir damals zum Schluss gekommen, dass 
es sich nicht lohnt und wir besser nur noch wirklich relevante Daten im AD 
speichern. (keine Telefon-, Mitarbeiter- oder sonstige persönliche Nummern).
Vielleicht hilft dir die Site des BSI Grundschutzes noch weiter, es gibt dort 
zwei Bausteine die die Sicherheit, unteranderem auch den Datenschutz, eines 
Verzeichnisdienstes resp. Des Active Directory behandeln.
B 5.15 Allgemeiner Verzeichnisdienst: 
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b05/b05015.html
B5.16 Active Directory: 
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b05/b05016.html

Gruss
Sandro


Sandro Bischof
System Administrator
Frama AG, Dorfstrasse 6, CH-3438 Lauperswil
Tel. +41 34 496 98 98
Fax +41 34 496 98 00

Disclaimer

The contents of this message and any attachments to it are confidential and may 
be legally privileged. If you have received this message in error you should 
delete it from your system immediately and advise the sender. To any recipient 
of this message within Frama AG, unless otherwise stated you should consider 
this message and attachments as "Frama AG confidential".

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von 
Carsten Pettan
Gesendet: Mittwoch, 11. Januar 2012 14:20
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD 
[signed OK]

Hallo,

erstmal danke für die Infos, auch den anderen natürlich, damit kann ich schon 
mal was anfangen.
Nur habe ich Schwierigkeiten, den Blogartikel, den Nils aus dem AskDS-Blog 
ansprichst zu finden. Bin da nun schon ca. ein Jahr zurück und mir ist nichts 
aufgefallen, hast Du/jemand evtl. noch ein Stichwort?

Vielen Dank und Gruß,
Carsten

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx]<mailto:[mailto:adde-ml@xxxxxxxxxxxxx]> Im 
Auftrag von Nils Kaczenski
Gesendet: Dienstag, 10. Januar 2012 11:37
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD

Moin,

ich habe vor einiger Zeit so ein Konzept für eine Hochschule ausgearbeitet und 
als Pilot implementiert. Meine Erfahrung daraus:

 *   Der Aufwand ist sehr hoch.
 *   Man kann einiges mit AD-Berechtigungen hinbekommen, anderes nicht.
 *   Das AD-Berechtigungssystem ist leistungsfähig, aber für derartige 
Abschottungen nicht gedacht.
 *   Du findest keine High-End-Dokumentation dazu. Probleme und Spezielles 
wirst du selbst lösen müssen.
 *   Microsoft leistet keinen bzw. nur sehr eingeschränkten Support für solche 
Abschottungen (dazu gab es vor ein paar Monaten Aussagen im AskDS-Blog).
 *   Exchange 2010 nutzt vollständig eigene Berechtigungen und geht am AD 
vorbei. Du musst im Zweifel also alles zweimal implementieren.
 *   Die Supportaussage für Exchange - wenn man denn eine bekommt - wird mit 
Sicherheit noch restriktiver sein.
 *   Ob Applikationen damit klarkommen, steht noch mal auf einem ganz anderen 
Blatt.
Ich würde an deiner Stelle also von vornherein nach anderen Lösungen suchen und 
Daten, die nicht zwingend ins AD gehören, auch nicht im AD speichern.

Gruß, Nils


Am 05.01.2012 09:48, schrieb Carsten Pettan:
Hallo zusammen,

Prosit, das neue Jahr ist ja noch jung.
Wie schon letztes Jahr angesprochen, gab es bei uns im Hause ja Bestrebungen, 
den Zugriff auf das AD einzuschränken (Mails an die Liste im August "LDAP 
Zugriff auf AD sperren").

Wir haben hier eine Windows 2008R2 AD, mit Exchange 2010 im Standardschema. Nun 
bemängelt der Datenschutzbeauftragte, dass jeder authentifizierte Benutzer 
mittels LDAP-Browser/AD-Tools Informationen über andere Benutzer auslesen 
könnte. Zu diesen Informationen zählen z.B. Personal-/Matrikelnummer.

Die Frage ist nun, wie man den Zugriff auf diese Attribute sperren kann,  also 
ob es abgesehen von ConfidentialFlag und Berechtigungsänderung am Schema noch 
weitere Möglichkeiten gibt.

Oder gibt es  Möglichkeiten, den Zugriff so für Benutzer einzuschränken, dass 
diese nur noch ihre eigenen Attribute sehen können? Ist hierbei mit 
Funktionseinschränkungen zu rechnen?

Gibt es Unterlagen, die das Standardschema und die Berechtigungen im AD 
dokumentieren?

Gibt es Ausarbeitungen von Gesetze/Datenschutzbestimmungen, die erläutern, 
welche Attribute im AD zu schützen sind?

Und als letzten Punkt noch, wie habt Ihr das bei Euch in der Firma, bzw. bei 
Kunden umgesetzt? Sind wir die einzigen mit solchen Anforderungen?

Vielen Dank im Voraus,
Carsten
_______________________________________________
Carsten Pettan
Systemadministrator
Carl von Ossietzky Universitaet Oldenburg
IT-Dienste, Computing Services
Uhlhornsweg 84
26129 Oldenburg
Raum A2 3-305
Tel. +49 441 798 - 4813
Fax  +49 441 798 - 194813
mailto:carsten.pettan@xxxxxxxxxxxxxxxx
http://www.uni-oldenburg.de<http://www.uni-oldenburg.de/>



--



MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

http://about.me/Nils.Kaczenski

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

• References:
  • [adde] Sicherheitskonzept für den Zugriff auf das AD
    • From: Carsten Pettan
  • [adde] Re: Sicherheitskonzept für den Zugriff auf das AD
    • From: Nils Kaczenski
  • [adde] AW: [adde] Re: Sicherheitskonzept für den Zugriff auf das AD
    • From: Carsten Pettan

Other related posts:

• » [adde] AW: AW: Re: Sicherheitskonzept für den Zugriff auf das AD - Bischof Sandro

1. Home
2. adde
3. Archive
4. 01-2012

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---