Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriffskontrolle

Hallo Zusammen,

kurze Frage: ist es möglich die Zugriffskontrolle noch granularer einzustellen, als die vorgegebenen Rollen? 
Beispiel: Wir benötigen einen User, der NUR "Protokolle & Berichte -> Web Security" sehen soll.
Die einzige Möglichkeit aktuell ist entweder alle Log Dateien mit der Rolle "Log File Auditor" oder nur Web Security mit der Rolle "Web Security Auditor" einzusehen. 
Es sollen aber NICHT alle Log Dateien eingesehen werden dürfen, noch dürfen bei der Rolle Web Security Auditor nicht noch zusätzlich "Definitionen & Benutzer", alle Webfilter-Profile, Webfiltereinstellungen, FTP Einstellungen und Protokollansicht des Webfilters angezeigt werden. 

Thema Datenschutz und Personalrat etc. 

Danke und Gruß

Björn


This thread was automatically locked due to age.
Parents
  • Und wir habt Ihr dem Admin den Zugriff auf die Logs auf der UTM verwehrt?
  • Da man dem Admin anscheinend die Ansicht der Protokolle nicht verbieten kann, sehe ich nur eine (aber unschöne :mad[:)] Möglichkeit. Man müsste dem Admin ein langes (z.B. 16-stelliges) Kennwort geben und dieses dann auf zwei Personen aufteilen. Dann kann der Admin eben nur im 4-Augen Prinzip an der UTM arbeiten.

    Ich verstehe nur nicht, wieso so eine Funktion trotz Anonymisierungsmöglichkeit für die Berichte hier für die Protokolle fehlt. [:S] Haben denn andere Firmen keine Revision oder Betriebsrat die das stört?
Reply
  • Da man dem Admin anscheinend die Ansicht der Protokolle nicht verbieten kann, sehe ich nur eine (aber unschöne :mad[:)] Möglichkeit. Man müsste dem Admin ein langes (z.B. 16-stelliges) Kennwort geben und dieses dann auf zwei Personen aufteilen. Dann kann der Admin eben nur im 4-Augen Prinzip an der UTM arbeiten.

    Ich verstehe nur nicht, wieso so eine Funktion trotz Anonymisierungsmöglichkeit für die Berichte hier für die Protokolle fehlt. [:S] Haben denn andere Firmen keine Revision oder Betriebsrat die das stört?
Children
  • Ich verstehe nur nicht, wieso so eine Funktion trotz Anonymisierungsmöglichkeit für die Berichte hier für die Protokolle fehlt. [:S]

    Dann müssten alle relevanten Logs verschlüsselt gespeichert werden.
    Oder nicht auf der UTM.
  • Hallo Browserlauser,

    leider hat sich auf mein Anfragen bei unserem Systemhaus nichts in dieser Richtung getan, außer, dass dies nicht vorgesehen sei. [:(] Naja, ob die richtig nachgefragt haben, weiß ich nicht.

    Wenn die Geschäftsführung da reinschauen möchte, ist das legitim. Jedoch darf dies nur auf anonyme Daten erfolgen. So, wie die Auditorberechtigungen momentan aufgeführt sind, führt es die Funktion Anonymisierung ad absurdum. 

    Das kann man keinem Betriebsrat klar machen. Ist ja auch verständlich. 

    Dass die Administration die Daten einsehen kann, ist bei uns jedenfalls verständlich. Dies dient nicht zur Leistungskontrolle, sondern zur Vermeidung von Ausfällen, Engpässen, Überlastung etc. 

    Wir werden uns hüten, die Daten zur Leistungskontrolle zu nutzen, denn davon hängen letztendlich auch unsere Jobs ab.

    @GuyFawkes werde den FeatureRequest gleich mal anlesen [;)]

    Schöne Grüße

    PS: verstehe auch nicht, warum nur wir (wenigstens sind wir jetzt mal zu Zweit) haben.
  • ...
    Wenn die Geschäftsführung da reinschauen möchte, ist das legitim. Jedoch darf dies nur auf anonyme Daten erfolgen. So, wie die Auditorberechtigungen momentan aufgeführt sind, führt es die Funktion Anonymisierung ad absurdum. 
    ...
    Dass die Administration die Daten einsehen kann, ist bei uns jedenfalls verständlich. Dies dient nicht zur Leistungskontrolle, sondern zur Vermeidung von Ausfällen, Engpässen, Überlastung etc. 
    GuyFawkes werde den FeatureRequest gleich mal anlesen [;)]
    ...


    Für Geschäftsführer gibt es dann die Möglichkeit des Gesamtberichtes, wenn dieser anonymisiert ist. Kann er sich das sogar täglich zuschicken lassen.

    Leider liegt der Fokus nicht auf den Rollen. Nen Endpoint Admin/Auditor fehlt komplett...
    Role-based management for Endpoint

    WebAdmin: Custom Administration Roles

    usw.

    Nice greetings