Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriffskontrolle

Hallo Zusammen,

kurze Frage: ist es möglich die Zugriffskontrolle noch granularer einzustellen, als die vorgegebenen Rollen? 
Beispiel: Wir benötigen einen User, der NUR "Protokolle & Berichte -> Web Security" sehen soll.
Die einzige Möglichkeit aktuell ist entweder alle Log Dateien mit der Rolle "Log File Auditor" oder nur Web Security mit der Rolle "Web Security Auditor" einzusehen. 
Es sollen aber NICHT alle Log Dateien eingesehen werden dürfen, noch dürfen bei der Rolle Web Security Auditor nicht noch zusätzlich "Definitionen & Benutzer", alle Webfilter-Profile, Webfiltereinstellungen, FTP Einstellungen und Protokollansicht des Webfilters angezeigt werden. 

Thema Datenschutz und Personalrat etc. 

Danke und Gruß

Björn


This thread was automatically locked due to age.
  • Hallo hwk06,

    genau das gleiche bzw. ein ähnliches Problem habe ich auch. 
    Der UTM-Admin soll in unserem Fall die Webfilter-Protokolle nicht einsehen können oder wie eben die Berichte nur anonymisiert.

    Hintergrund ist, dass ansonsten der Admin die aufgerufenen URLs trotz eingeschalteter Anonymisierung den Nutzern zuordnen könnte. Das will die Revision nicht.

    Hat dafür jemand eine Lösung?

    VG Browserlauser
  • Hi, ein ähnliches Problem hatten wir auch. 

    Wir haben dies mit Hilfe eines Syslog-Servers gelöst. Anfangs war zwar das "Geheule" groß das es nur textbasiert war, aber das Look and feel haben wir anschließend mit splunk gelöst.
    Alternative zu splunk ist elasticsearch + logstash.

    Vielleicht ist es für euch auch ein Workaround bist der Feature Request bei Sophos durch ist.
  • Und wir habt Ihr dem Admin den Zugriff auf die Logs auf der UTM verwehrt?
  • Da man dem Admin anscheinend die Ansicht der Protokolle nicht verbieten kann, sehe ich nur eine (aber unschöne :mad[:)] Möglichkeit. Man müsste dem Admin ein langes (z.B. 16-stelliges) Kennwort geben und dieses dann auf zwei Personen aufteilen. Dann kann der Admin eben nur im 4-Augen Prinzip an der UTM arbeiten.

    Ich verstehe nur nicht, wieso so eine Funktion trotz Anonymisierungsmöglichkeit für die Berichte hier für die Protokolle fehlt. [:S] Haben denn andere Firmen keine Revision oder Betriebsrat die das stört?
  • Ich glaube, dazu gibt es hier auch schon einen Feature Request.
    UTM (Formerly ASG) Feature Requests: Hot (1961 ideas)

    Wenn nicht, erstellen und wir voten [;)]

    Nice greetings
  • Ich verstehe nur nicht, wieso so eine Funktion trotz Anonymisierungsmöglichkeit für die Berichte hier für die Protokolle fehlt. [:S]

    Dann müssten alle relevanten Logs verschlüsselt gespeichert werden.
    Oder nicht auf der UTM.
  • Hallo Browserlauser,

    leider hat sich auf mein Anfragen bei unserem Systemhaus nichts in dieser Richtung getan, außer, dass dies nicht vorgesehen sei. [:(] Naja, ob die richtig nachgefragt haben, weiß ich nicht.

    Wenn die Geschäftsführung da reinschauen möchte, ist das legitim. Jedoch darf dies nur auf anonyme Daten erfolgen. So, wie die Auditorberechtigungen momentan aufgeführt sind, führt es die Funktion Anonymisierung ad absurdum. 

    Das kann man keinem Betriebsrat klar machen. Ist ja auch verständlich. 

    Dass die Administration die Daten einsehen kann, ist bei uns jedenfalls verständlich. Dies dient nicht zur Leistungskontrolle, sondern zur Vermeidung von Ausfällen, Engpässen, Überlastung etc. 

    Wir werden uns hüten, die Daten zur Leistungskontrolle zu nutzen, denn davon hängen letztendlich auch unsere Jobs ab.

    @GuyFawkes werde den FeatureRequest gleich mal anlesen [;)]

    Schöne Grüße

    PS: verstehe auch nicht, warum nur wir (wenigstens sind wir jetzt mal zu Zweit) haben.
  • Die Lösung kann ja auch nicht so schwer sein. Es müsste einfach ein paar Berechtigungsrollen mehr geben ;-)
  • ...
    Wenn die Geschäftsführung da reinschauen möchte, ist das legitim. Jedoch darf dies nur auf anonyme Daten erfolgen. So, wie die Auditorberechtigungen momentan aufgeführt sind, führt es die Funktion Anonymisierung ad absurdum. 
    ...
    Dass die Administration die Daten einsehen kann, ist bei uns jedenfalls verständlich. Dies dient nicht zur Leistungskontrolle, sondern zur Vermeidung von Ausfällen, Engpässen, Überlastung etc. 
    GuyFawkes werde den FeatureRequest gleich mal anlesen [;)]
    ...


    Für Geschäftsführer gibt es dann die Möglichkeit des Gesamtberichtes, wenn dieser anonymisiert ist. Kann er sich das sogar täglich zuschicken lassen.

    Leider liegt der Fokus nicht auf den Rollen. Nen Endpoint Admin/Auditor fehlt komplett...
    Role-based management for Endpoint

    WebAdmin: Custom Administration Roles

    usw.

    Nice greetings