Aufgabenstellung
Es sollen einem combit CRM-Anwender jegliche Möglichkeiten genommen werden, auf seinem Notebook (mit lokaler combit CRM-Datenbank, z. B. bei einem Replikationsszenario mit Offline-Arbeit außerhalb des Firmen-Netzwerks) an den in combit CRM eingestellten Rechten „vorbei“ (beachten Sie hier unbedingt das combit CRM-Ansichtsrecht Export) Zugriff auf die Kundendaten zu erhalten.
Lösung
- combit CRM muss auf dem Notebook unter dem Windows-Account ‚Administrator‘ eingerichtet werden.
Wichtig: combit CRM muss per SQL-Authentifizierung (typischerweise mit dem Benutzer
cRM_User) auf den SQL-Server zugreifen, da bei Verwendung von Windows-Authentifizierung der angemeldete Benutzer seitens des Setups Rechte auf die Datenbank bekäme. - Nun kann ein einfacher Windows-Benutzer combit CRM verwenden. Werden dem Benutzer keine Zugriffsrechte im Dateisystem auf die Datenbankdatei und das Datenbankverzeichnis (typischerweise bei SQL Express im
MSSQL.1\MSSQL\Data-Unterverzeichnis des SQLExpress-Installationsverzeichnisses) gewährt, ist es für ihn nicht möglich an die Datenbank zu gelangen, er kann aber trotzdem vollständig mit combit CRM auf die Daten zugreifen. - In combit CRM sollte der Benutzer nicht in der Gruppe der
Administratorensein (combit CRM-Benutzerverwaltung). Desweiteren sollte demAdministrator-Benutzer von combit CRM ein Passwort vergeben werden.
Mögliche Schwachstellen
Hinweis: Bitte beachten Sie, dass diese Liste keinen Anspruch auf Vollständigkeit hat!
- Der Benutzer gelangt an Windows-Administrator-Rechte bzw. an SQL-Server-Administrator-Rechte.
- Der Benutzer bootet das Notebook von CD oder USB-Stick. Somit können die Windows NTFS-Rechte nicht mehr greifen und der Zugriff auf die Dateien wird möglich. Um diese Schwachstelle auszuschließen könnte ein verschlüsseltes Dateisystem (bspw. TrueCrypt, Microsoft Bitlocker, o. ä.) verwendet werden.
IDKBAD001213 KBAD001213