Schutz vor Export von Daten

[AndreasK67]

Hallo,

ich soll Freunde bei der Umsetzung von Datenschutzrichtlinien unterstützen. Im Betrieb sind lediglich drei Rechner mit Windows 7/ Windows 7 Prof, die vernetzt sind.

Anforderung ist,dass Mitarbeiter keine Daten ziehen dürfen, also sollen laut Anweisung USB Ports und Brennprogramm bzw Brennmöglichkeit unterbunden werden.

Man könnte das jetzt natürlich hardwareseitig abschalten, aber dann kann keiner mehr eine Datensicherung machen.

Wie könnte man das per Software oder Benutzerrechten realisieren, dass Dateien nicht auf USB Stick oder CD vom Rechner exportiert werden können?

Danke

Andreas

 

[Yuuri]

Dann werden sie eben per eMail verschickt oder auf einen Hoster geladen. ;>

 

[AndreasK67]

Es geht ja nicht darum einen echten Schutz umzusetzen, den es auch nicht gibt, sondern nach außen Vorgaben umzusetzen )

 

[Lawnmower]

Man könnte das jetzt natürlich hardwareseitig abschalten, aber dann kann keiner mehr eine Datensicherung machen.

Datensicherung einfach via Netzwerk machen wäre wohl das einfachsten. Es gibt wahrscheinlich im Zusammenhang mit ActiveDirectory Möglichkeiten solche Regelungen durchzusetzen (hast kein Windows Server bzw eine AD Domain?) aber wie das genau geht weiss ich auch nicht.

Im Prinzip müsstest Du nur verhindern dass bestimmte Usergruppen kein Wechseldatenträger anschliessen können bzw diese in Windows nicht geladen wird und die Brennfunktion unterbunden wird (wobei ob das dann auch noch geht wenn der User irgendein Brenn-Programm installiert ist fraglich). Wobei eben: Packt der User ne Linux Live CD ins Laufwerk ist das natürlich alles offen - da würde dann nur, glaubs Bitlocker heisst das, von Windows helfen der alles Windows seitig verschlüsselt.

Bei einigen Desktops von HP, DELL, etc kann man im BIOS teilweise schon recht viel einstellen was man alles darf - z.B. auch gezielt Anschlüsse sperren.

 

[AndreasK67]

Die Datensicherung kann ich zur Not auch per VPN und RDP machen, was ich teilweise auch schon heute mache.
Da zu 70% die Geschäftsführung an den Rechnern arbeitet, möchte ich die Rechnet möglichst wenig hardwareseitig kastrieren, sondern eher über Rechte.

 

[Lawnmower]

Da zu 70% die Geschäftsführung an den Rechnern arbeitet, möchte ich die Rechnet möglichst wenig hardwareseitig kastrieren, sondern eher über Rechte.

Dann würde ich vorschlagen Du erläuterst deine IT Umgebung genauer: Gibts ein Server, welche Software/Version, werden zentrale User-Accounts für die Logins verwendet, sind die Client PCs in einer Domain, wenn AD welche Version (2000,2003,2008), etc - dann kann Dir auch eher jemand Tipps geben wie das einzurichten ist.
Sind die Clients alle Windows 7 Pro Editions oder gibts auch andere? Nehme an alle sind an ein Netzwerk angeschlossen?

 

[AndreasK67]

Einige der Fragen habe ich schon im Eingangspost beantwortet

Es gibt einen Server, wobei dieser nur als solchen fungiert, da dort zentral eine Branchensoftware mit SQL Datenbank läuft. Ansonsten ist da ganz normal Win 7 Prof drauf.

Zudem gibt es drei Clients, zwei mit Win 7 und einen mit Win 7 Prof. Alle Geräte sind untereinander vernetzt, mit Freigabe für bestimmte Ordner.

Zudem sind alle aktuell am Router und haben somit auch Internetzugang, was ebenfalls eingeschränkt werden müsste, wenn man die Datensicherheit gewährleisten will. Das geht aber eigentlich schon nicht, weil dann kein Remote Support mehr für die Branchensoftware möglich ist.

Hoffe das beantwortet soweit die Fragen zur Umgebung.

 

[Lawnmower]

sprich mit Domain Regeln wird man schon mal nicht weit kommen - müssten also jeweils lokal eingestellt werden.

Hier schon mal ein Ansatz (ganz unten via Gruppenrichtlinien) - da kannst Du jeweils pro Geräteklasse lesen/schreiben festlegen. Für die Windows 7 Pro Version müsste das auf jeden Fall gehen, glaubs Home Editions und Co sind da abgespeckt und ob es diese Optionen dort gibt weiss ich nicht:
http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2404.htm
Diese Einstellungen beziehen sich dann aber glaubs jeweils immer auf alle Benutzer des PCs.

Einstellungen pro Benutzer/Benutzergruppe müsstest Du mal unter Verwaltung \ Lokale Sicherheitsrichtlinien gucken - dort kann man auch ne Menge einstellen.

 

[AndreasK67]

Danke, schau ich mir mal an. Hinsichtlich USB und Brenner habe ich schon überlegt die Anschlüsse einfach im BIOS zu deaktivieren und dieses mit Passwort zu schützen.
So kommt man zumindest ohne viel Aufwand für ein Backup wieder ran und hat trotzdem recht schnell alle Anschlüsse lahmgelegt.

 

[M-X]

Über die GPOS (wenn kein AD vorhanden dann halt bei jedem Rechner manuell) kannst du die Nutzung von USB und ich glaube auch CD/DVD laufwerk unterbinden.

Im BIOS Admin password setzen um das Booten von externen Datenträgern zu verbieten.

USB Stick: http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivieren.htm
DVD Laufwerk: http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1511.htm (runter scrollen)