cRM-Kundendaten auf Notebook schützen

Artikel KBAD001213

Betrifft:
address manager 16-18, cRM 2004-9
Kategorie:
Netzwerk/Rechte/Sicherheit
Überarbeitet:
13.08.2013

Aufgabenstellung:
Es sollen einem cRM-Anwender jegliche Möglichkeiten genommen werden, auf seinem Notebook (mit lokaler cRM-Datenbank, z.B. bei einem Replikationsszenario mit Offline-Arbeit außerhalb des Firmen-Netzwerks) an den im cRM eingestellten Rechten "vorbei" (beachten Sie hier unbedingt das cRM-Ansichtsrecht 'Export') Zugriff auf die Kundendaten zu erhalten.

Lösung:

  • Der cRM muss auf dem Notebook unter dem Windows-Account 'Administrator' eingerichtet werden.
  • Wichtig: Der cRM muss per SQL-Authentifizierung (typischerweise mit dem Benutzer 'cRM_User') auf den SQL-Server zugreifen, da bei Verwendung von Windows-Authentifizierung der angemeldete Benutzer seitens des Setups Rechte auf die Datenbank bekäme.
  • Nun kann ein einfacher Windows-Benutzer den cRM verwenden. Werden dem Benutzer keine Zugriffsrechte im Dateisystem auf die Datenbankdatei und das Datenbankverzeichnis (typischerweise bei SQLExpress 2005 im 'MSSQL.1\MSSQL\Data'-Unterverzeichnis des SQLExpress Installationsverzeichnisses) gewährt, ist es für ihn nicht möglich an die Datenbank zu gelangen, er kann aber trotzdem vollständig mit dem cRM auf die Daten zugreifen.
  • Im cRM sollte der Benutzer nicht in der Gruppe der 'Administratoren' sein (cRM Benutzerverwaltung). Desweiteren sollte dem 'Administrator' Benutzer des cRM ein Passwort vergeben werden.

    Mögliche Schwachstellen:
    Bitte beachten Sie, dass diese Liste keinen Anspruch auf Vollständigkeit hat!
  • Der Benutzer gelangt an Windows-Administrator-Rechte bzw. an SQL-Server-Administrator-Rechte.
  • Der Benutzer bootet das Notebook von CD oder USB-Stick. Somit können die Windows NTFS-Rechte nicht mehr greifen und der Zugriff auf die Dateien wird möglich. Um diese Schwachstelle auszuschließen könnte ein verschlüsseltes Dateisystem (bspw. TrueCrypt, Microsoft Bitlocker, o.ä.) verwendet werden.


    Hinweis: combit macht keine Angaben zu einer bestimmten Eignung obiger Informationen. Irrtümer und Fehler bleiben ausdrücklich vorbehalten, die Angaben erfolgen ohne Gewähr. Die Angaben stellen nur Beschreibungen dar und enthalten keine Garantie der Beschaffenheit der Produkte. Die Informationen können z.T. auch ein Versuch sein, Ihnen bei einer Aufgabenstellung zu helfen, selbst wenn das Produkt eigentlich nicht für diesen speziellen Zweck vorgesehen wurde.

+49 (0) 7531 90 60 10