Bảo vệ tệp trên ổ đĩa NTFS từ Quản trị viên tên miền

8

Chúng tôi là một công ty nhỏ với tên miền 2008R2 mà chúng tôi có một máy chủ tệp với nhiều khối lượng được chia sẻ. Chúng tôi có một số nhân viên CNTT trong vai trò quản trị viên tên miền, bởi vì thực sự tất cả chúng tôi đều gọi 24x7. Tuy nhiên, gần đây đã trở thành một vấn đề của chính sách công ty rằng có một số thư mục hoặc tệp nhất định (dữ liệu lương, đánh giá hiệu suất, thông tin kế toán) cần được bảo mật, bao gồm từ nhân viên CNTT. Điều này cũng bao gồm dữ liệu trên các bản sao lưu (băng và đĩa).

Những điều đã xảy ra với chúng tôi cho đến nay:

* EFS - nhưng chúng tôi phải thiết lập PKI, điều này hơi quá mức đối với quy mô công ty của chúng tôi

* TrueCrypt - nhưng điều này sẽ giết chết khả năng truy cập và tìm kiếm đồng thời

* Xóa Quản trị viên tên miền khỏi ACL - nhưng điều này cực kỳ dễ dàng (một cú nhấp chuột) để bỏ qua

* Bỏ sử dụng nhóm Quản trị viên tên miền và ủy quyền rõ ràng hơn - nhưng một lần nữa, điều này hơi quá mức và chúng tôi muốn giảm nhu cầu về các tài khoản được chia sẻ (ví dụ: MYDOMAIN \ Administrator) có thể vì lý do kiểm toán

Tôi chắc chắn đây không phải là một vấn đề mới lạ, và tôi tò mò không biết những người khác với loại yêu cầu này đã xử lý nó như thế nào? Có lựa chọn nào mà chúng tôi chưa xem xét?

Cảm ơn!

windows  security  active-directory  ntfs 
em bé
nguồn

Câu trả lời:

9

Trước hết, bạn phải tin tưởng quản trị viên của bạn. Nếu bạn không, họ không nên có công việc này hoặc những đặc quyền này. Công ty tin tưởng người tài chính hoặc nhân sự có quyền truy cập vào dữ liệu này, vậy tại sao không phải là nhân viên CNTT? Nhắc nhở họ rằng các quản trị viên có khả năng dọn rác môi trường sản xuất hàng ngày, nhưng chọn không. Điều quan trọng là quản lý nhìn thấy vấn đề này rõ ràng.

Tiếp theo, như @ sysadmin1138 nói, nhắc nhở quản trị viên rằng quyền truy cập KHÔNG bằng quyền.

Điều đó nói rằng, chúng tôi không cấp cho quản trị viên tên miền quyền truy cập vào chia sẻ tệp theo mặc định. Chúng được xóa và ở vị trí của chúng ba nhóm ACL (Đọc, Viết, Quản trị viên) cho mỗi quyền chia sẻ NTFS. Không ai trong nhóm Quản trị ACL theo mặc định và tư cách thành viên của các nhóm đó được theo dõi.

Có, quản trị viên tên miền có thể sở hữu các tệp đó, nhưng nó để lại dấu vết. Kiểm toán là quan trọng. Ronald Reagan gọi đây là "sự tin tưởng, nhưng xác minh". Mọi người nên biết bạn đang kiểm tra.

Cuối cùng, bắt đầu loại bỏ mọi người khỏi quản trị viên tên miền. Quyền AD quá dễ dàng để chi tiết hóa ngày hôm nay. không có lý do để không làm như vậy. Cung cấp cho mọi người quyền truy cập quản trị viên vào các máy chủ hoặc dịch vụ mà họ quản lý, không phải tất cả mọi thứ.

uSlackr
nguồn
11

Tôi đã thấy nó xử lý hai cách:

  1. Làm cho nhân viên CNTT ký một cái gì đó chửi rủa họ với Dire Hậu quả nếu nó được tiết lộ rằng họ đã truy cập vào các vị trí tệp được đề cập mà không có sự cho phép rõ ràng từ ai đó được ủy quyền để truy cập như vậy.
  2. Dữ liệu được chuyển đến một thiết bị lưu trữ mà nhân viên CNTT không thể truy cập được.

Cả hai đều có vấn đề của họ, tất nhiên. Phương pháp đầu tiên là những gì hai công việc trước đây của tôi tại các tổ chức lớn được bầu chọn tuân theo. Lý do cơ bản là:

Truy cậpủy quyền là những thứ khác nhau. Nếu họ truy cập dữ liệu này mà không được phép, họ sẽ gặp rắc rối lớn. Ngoài ra, đây là những người đã có quyền truy cập vào rất nhiều dữ liệu mà họ không được ủy quyền , vì vậy đó không phải là vấn đề mới đối với họ. Vì vậy, chúng tôi sẽ tin tưởng họ để giữ và chuyên nghiệp về nó.

Đây là một lý do tại sao mọi người trong công việc của chúng tôi có xu hướng phải kiểm tra lý lịch.

Điều này đã bị che mờ khi ai đó từ chính HR bắt đầu tiến hành công việc và nhân viên CNTT được gọi để thiết lập quyền để chặn người dùng đó khỏi các vị trí tệp nơi tiến trình tố tụng được ghi lại. Mặc dù các thủ tục tố tụng như vậy được bảo mật từ CNTT , chúng tôi đặc biệt được mời tham gia để thiết lập quyền loại trừ.

Đó là một trường hợp xung đột lợi ích rõ ràng

Tùy chọn thứ hai thường được theo sau bởi các bộ phận mà không có sự tư vấn của CNTT. 10 năm trước, ổ đĩa này để bảo vệ dữ liệu khỏi tầm nhìn của BOFH được cho là đã khiến mọi người đưa dữ liệu quan trọng vào ổ đĩa của máy trạm của họ và chia sẻ các thư mục với nhau trong bộ phận. Ngày nay, đây có thể là một cái gì đó đơn giản như có một thư mục DropBox được chia sẻ, Microsoft SkyDrive hoặc một cái gì đó khác dọc theo các dòng đó (mmmm, làm hết dữ liệu của công ty cho các bên thứ ba không được chú ý).

Nhưng nếu ban quản lý đã nhìn thấy vấn đề và nói chuyện với mọi người về vấn đề đó, mọi trường hợp tôi tham gia hoặc gần đó đều gặp phải, "Chúng tôi tin tưởng những người này vì một lý do, chỉ cần đảm bảo rằng họ biết đầy đủ về các chính sách truy cập và tiếp tục. "

sysadmin1138
nguồn
4

Tôi có năm giải pháp tiềm năng, bốn trong số đó là kỹ thuật.

(1) Tạo Rừng AD và một miền khác cụ thể cho thông tin đặc quyền. Lặp lại khi cần thiết để bao gồm các cộng đồng quan tâm cụ thể. Điều này sẽ thêm một vai trò mới phía trên quản trị viên tên miền - quản trị viên doanh nghiệp có thể được tách riêng và thậm chí chia nhỏ hơn.

Ưu điểm:

  • Dễ dàng
  • Giới hạn vai trò
  • Có thể kích hoạt cấu trúc AD tốt hơn để mô phỏng cấu trúc tổ chức

Nhược điểm:

  • Độ phức tạp nhẹ
  • Vẫn có một quản trị viên siêu mạnh, chỉ cần ít hơn trong số họ.

(2) Tạo một máy chủ độc lập không có mối quan hệ tin cậy ngoài người dùng cá nhân

Ưu điểm:

  • Dễ dàng
  • Giới hạn vai trò

Nhược điểm:

  • Độ phức tạp nhẹ
  • Sẽ có một quản trị viên kiểm soát nó
  • Bảo trì

(3) Mua một trong các loại sản phẩm khác nhau của mạng, ví dụ là Cyber-Ark. Những sản phẩm này được thiết kế đặc biệt cho trường hợp sử dụng mà bạn đang thảo luận.

Ưu điểm:

  • Định hướng doanh nghiệp nhiều hơn
  • Có thể rất thân thiện với người dùng

Nhược điểm:

  • Giá cả
  • Vẫn có một số siêu quản trị viên có khả năng cho kho tiền.

(4) Đặt tất cả thông tin vào cơ sở dữ liệu, sau đó sử dụng mã hóa mạnh để mã hóa tất cả nội dung cơ sở dữ liệu hoặc sử dụng sản phẩm mã hóa toàn bộ đĩa để kiểm soát tốt hơn quyền truy cập hệ thống tệp cùng với (1) và / hoặc (2) ở trên . Nâng cao điều này với chính sách không cho phép xóa nội dung cơ sở dữ liệu và yêu cầu các báo cáo ở lại trong cơ sở dữ liệu. Sản phẩm mã hóa có thể bao gồm các mô-đun mã hóa mạnh, chẳng hạn như Trin 140-2 và cũng có thể là một thiết bị vật lý, chẳng hạn như mô-đun bảo mật phần cứng (HSM).

Ưu điểm:

  • Có thể đạt được cấp độ an ninh quân sự
  • Phù hợp nhất với nhu cầu của bạn để bảo vệ băng và đĩa
  • Bảo vệ thông tin tốt hơn trong trường hợp bạn bị hack

Nhược điểm:

  • Ít linh hoạt
  • Tác động đáng kể đến hoạt động của người dùng!
  • Yêu cầu vai trò mật mã hoặc người bảo mật

(5) Bồi thường kiểm soát an ninh - tăng cường kiểm soát an ninh nhân sự của bạn như thêm bảo hiểm chống vi phạm thông tin, thêm các yêu cầu hai người nhất định (có thể được thực hiện theo nhiều cách khác nhau), một vai trò khác (quản trị viên bảo mật) hoặc kiểm tra lý lịch. Nhiều lựa chọn sáng tạo hơn sẽ bao gồm một chiếc dù vàng sẽ khởi động sau khi rời công ty mà không vi phạm thông tin một năm sau khi từ chức / sa thải, hoặc chú ý nhiều hơn để giữ cho các quản trị viên nói chung thông qua một số đặc quyền có liên quan đến những điều này yêu cầu nhân sự.

Ưu điểm:

  • Có thể giải quyết tốt nhất vấn đề của người trong cuộc
  • Khuyến khích hành vi tốt
  • Có thể tăng cường mối quan hệ của công ty với các quản trị viên chính
  • Có thể kéo dài thời hạn nhân sự với công ty nếu được thực hiện đúng

Nhược điểm:

  • Vì vậy, nhiều lựa chọn để làm điều này
  • Giá cả
Brennan
nguồn
3

Một khi ai đó có quyền quản trị, tất cả các cược được tắt cho đến khi an ninh đi. Đây chính xác là lý do tại sao các quản trị viên cần một mức độ tin cậy cao như vậy - luôn có những cách xung quanh bất kỳ loại khối nào có thể được đặt đúng chỗ.

Tất cả những gì bạn thực sự có thể làm là các nhiệm vụ riêng biệt và thiết lập một hệ thống kiểm tra và cân bằng.

Ví dụ: bạn có thể sử dụng hệ thống ghi nhật ký thứ cấp (như Splunk hoặc máy chủ nhật ký hệ thống Linux) mà chỉ chủ tịch / bất kỳ ai của bạn có quyền truy cập và định cấu hình kiểm tra tệp cho các thư mục bảo mật của bạn.

Xóa các quản trị viên khỏi ACL và chuyển tiếp các thay đổi sang ACL đến máy chủ nhật ký. Nó sẽ không ngăn sự kiện xảy ra nhưng bạn sẽ có một bản ghi rõ ràng về người đã thay đổi quyền khi nào và bằng cách nào.

Càng đặt nhiều khối này vào vị trí, bạn càng có khả năng có ai đó vấp ngã vào một trong số chúng.

Tim Brigham
nguồn
1

Bạn nên lưu ý rằng một người có mức đặc quyền đó có thể truy cập dữ liệu trên chia sẻ tệp Windows bất kể quyền truy cập bảo mật của các tệp / thư mục. Điều này là do các đặc quyền có thể được trao trong Windows khi quyền "Tệp sao lưu và thư mục" có sẵn.

Với quyền đó, ai đó có thể chỉ cần sao lưu các tệp và khôi phục chúng sang vị trí khác. Và để có thêm tín dụng, họ có thể thực hiện nó như một nhiệm vụ theo lịch trình chạy dưới dạng hệ thống nên sẽ không rõ ràng trong quá trình kiểm toán. Nếu đó không phải là một tùy chọn, họ có thể có quyền truy cập vào hệ thống sao lưu và có thể khôi phục dữ liệu từ đó đến một vị trí có thể không được kiểm tra.

Nếu không có EFS, bạn không thể dựa vào hệ thống tệp để đảm bảo tính bảo mật, quyền, kiểm toán hoặc cách khác.

Tùy chọn SkyDrive mà sysadmin1138 nghe có vẻ tốt đối với tôi đối với tài liệu. Lượng tài liệu thực sự nhạy cảm thường khá nhỏ và SkyDrive cung cấp cho bạn 7 GB miễn phí (tối đa 2 GB tệp). Đối với một hệ thống kế toán, dữ liệu đó cần được bảo vệ trong cơ sở dữ liệu thực theo một số mức mã hóa và xác thực không cho phép quản trị viên Windows truy cập.

Greg Askew
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.