Es geht im Prinzip, wenn der Admin keinen physischen Zugriff auf alle Hardwarekomponenten hat - sei es organisatorisch realisiert oder via tamper-resistance. Viele Gruesse Andreas Pfitzmann Technische Universitaet Dresden Phone (mobile) +49 170 443 87 94 Fakultaet Informatik (mobile) +49 177 300 78 05 Institut fuer Systemarchitektur (office) +49 351 463 38277 01062 Dresden, Germany (secretary) +49 351 463 38247 Fax +49 351 463 38255 http://dud.inf.tu-dresden.de e-mail pfitza@inf.tu-dresden.de Am 02.06.2006 um 07:29 schrieb Matthias Jaenichen:
Moin moin aus Hamburg,
folgende Anfrage erreichte mich vor einigen Tagen, auch wenn ich mir dazu schon meine eigenen Gedanken gemacht habe, möchte ich es hier mal diskutieren: ---
"Wir sind auf der Suche nach einem Tool zum loggen von kritischen Admin Tätigkeiten! Es soll möglich sein für uns und unsere Kunden über die Tätigkeiten von Administratoren Reports zu generrieren (Für Basel II notwendig). Es soll weiters für Admins nicht möglich sein diese Logs zu ändern bzw. zu manipulieren! Derzeit haben unsere Admins uneingeschränkte Berechtigungen!
Folgende Anforderungen, welche Eingang in die weiteren Betrachtungen finden sollen, werden an das Produkt zum Logging der krit. Admin.-Aktivitäten gestellt: * Offene Schnittstellen zur Einbindung von externen Systemen * Aufbewahrungs-Dauer der Log-Daten soll konfigurierbar sein * Die im Hintergrund liegenden Daten-Bestände (Datenbanken) müssen portierbar sein (besonders wichtig bei proprietären Datenbank- Systemen) * Die gesammelten Log-Daten müssen entsprechend abgesichert sein (Verschlüsselung, Zugriffs-Sicherheit) * Es soll möglich sein, aus definierten Log-Events Alerts zu generieren * Das Logging-System soll auch „sich selbst“ gegen unerlaubten Zugriff / Daten-Manipulation überwachen * Es muss möglich sein, für einen definierten Zeitraum Reports generieren zu können * Die Oberfläche soll einfach und intuitiv auch für Nicht- Experten - zu bedienen sein * Log-Events sollen priorisierbar und kategorisierbar sein * Log-Events sollen in Echtzeit weitergeleitet werden, bei Verbindungs-Abbrüchen (z.B. verursacht durch Netzwerkausfälle) dürfen diese jedoch nicht verloren gehen (Caching). * Das Produkt muss mandantenfähig sein. (Wir verwalten ein Netz mit ca. 100 unabhängigen AD´s) " Gibt es hierzu Erfahrungen, Produkte, Hinweise, Kommentare usw. die Ihr zur Verfügung stellen könnt??
Neben der Frage, ob es solch ein Tool gibt, ist natürlich auch die rechtliche Bewertung interessant. Insbesondere ist m.E. "Basel II" ein vorgeschobenes Argument. Auch arbeitsrechlich dürfte der Einsatz sehr problematisch sein.
Wenn man das implementieren wollte, was wäre nötig? Geht es unter Windows überhaupt?
Evtl. mal ein interessantes Thema für eine Diplomarbeit!!!
MfG
Matthias Jänichen (Key Account Manager) --------------------------------------------------------- perComp-Verlag GmbH Tel.: +49/40/696 28 16-0 Holzmuehlenstr. 84 Fax: +49/40/696 28 16-9 D-22041 Hamburg E-Mail: info@percomp.de WEB: www.percomp.de ---------------------------------------------------------
_______________________________________________ NETSEC mailing list NETSEC@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/netsec