Защита файлов на томе NTFS от администраторов домена

Мы небольшая компания с доменом 2008R2, на котором у нас есть файловый сервер с несколькими общими томами. У нас есть несколько ИТ-специалистов в роли администраторов доменов, потому что фактически мы все на связи 24x7. Однако в последнее время стало вопросом политики компании, что существуют определенные папки или файлы (данные о зарплате, обзоры производительности, учетные данные), которые должны быть конфиденциальными, в том числе от ИТ-персонала. Сюда также входят данные о резервных копиях (на магнитной ленте и на диске).

Вещи, которые произошли с нами до сих пор:

* EFS - но нам пришлось бы установить PKI, что немного излишне для нашей компании

* TrueCrypt - но это убивает одновременный доступ и возможность поиска

* Удалить администраторов домена из ACL - но это очень легко (одним щелчком мыши) обойти

* Отказ от использования группы «Администраторы домена» и более четкое делегирование разрешений - но опять-таки это немного излишне, и мы хотим уменьшить потребность в общих учетных записях (например, MYDOMAIN \ Administrator), насколько это возможно, в целях аудита

Я уверен, что это не новая проблема, и мне любопытно, как другие люди с такими требованиями справились? Есть ли варианты, которые мы еще не рассмотрели?

Спасибо!

Прежде всего, вы должны доверять своим администраторам. Если нет, у них не должно быть этой работы или этих привилегий. Компания доверяет финансовому или кадровому персоналу, который имеет доступ к этим данным, так почему бы не ИТ-персоналу? Напомните им, что администраторы имеют возможность ежедневно уничтожать производственную среду, но предпочитают этого не делать. Важно, чтобы руководство четко понимало эту проблему.

Далее, как говорит @ sysadmin1138, напомните администраторам, что доступ НЕ равен разрешению.

Тем не менее, мы не предоставляем администраторам домена доступ к общим файлам по умолчанию. Они удаляются и на их месте три группы ACL (Чтение, Запись, Администратор) для каждой разделяет разрешения NTFS. Никто не входит в группу администраторов ACL по умолчанию, и членство в этих группах отслеживается.

Да, администраторы домена могут стать владельцами этих файлов, но это оставляет след. Аудит важен. Рональд Рейган назвал это «доверяй, но проверяй». Люди должны знать, что вы проверяете.

Наконец, начните удалять людей из администраторов домена. Разрешения AD слишком легко гранулировать сегодня. нет причин не делать этого. Предоставьте администраторам доступ к серверам или службам, которыми они управляют, а не ко всему.

Я видел, что это обрабатывается двумя способами:

1. Сделайте так, чтобы ИТ-персонал подписал что-то, дав клятву их страшным последствиям, если когда-нибудь будет обнаружено, что они получили доступ к расположению файлов, о котором идет речь, без явного разрешения кого-либо, уполномоченного предоставлять такой доступ.
2. Данные перемещаются на запоминающее устройство, недоступное для ИТ-персонала.

Конечно, у обоих есть свои проблемы. Первый метод - то, что мои предыдущие две работы в крупных организациях выбрали для подражания. Рассуждения были в основном:

Доступ и авторизация - это разные вещи. Если они получают доступ к этим данным без разрешения, у них большие проблемы. Кроме того, это люди, которые уже имеют доступ к огромным массам данных, для которых они не авторизованы , поэтому для них это не новая проблема. Поэтому мы будем доверять им, чтобы они не вмешивались и были профессиональны в этом.

Это одна из причин, почему люди на наших работах, как правило, подвергаются проверке данных.

Это было освещено, когда кто-то из самого HR начал работу, и ИТ-персонал был вызван, чтобы настроить разрешения для блокировки этого пользователя в тех местах файлов, где были задокументированы процедуры. Даже если такие процедуры являются конфиденциальными от IT , мы были специально приглашены для создания правильных исключает.

Это был случай явного конфликта интересов

За вторым вариантом обычно следуют отделы без консультации с ИТ. 10 лет назад это стремление защитить данные от всевидящего взгляда предполагаемой BOFH заставило людей поместить критические данные на диски своих рабочих станций и обмениваться каталогами друг с другом в отделе. В наши дни это может быть что-то столь же простое, как общая папка DropBox, Microsoft SkyDrive, или что-то еще в этом духе (мммм, эксфильтрация данных компании непроверенным третьим лицам).

Но если руководство увидело проблему и поговорило со всеми об этом, каждый случай, с которым я был связан или близок, сводился к следующему: «Мы доверяем этим людям по какой-то причине, просто убедитесь, что они полностью осведомлены о политиках доступа и двигаться дальше. "

У меня есть пять потенциальных решений, четыре из которых технические.

(1) Создайте лес AD и другой домен, относящийся к привилегированной информации. Повторите при необходимости, чтобы охватить конкретные сообщества интересов. Это добавит новую роль над администраторами домена - администраторами предприятия, которые могут быть дополнительно разделены и даже подразделены.

Плюсы:

• Легко
• Ограничивает роли
• Может лучше включить структуру AD для эмуляции организационной структуры

Минусы:

• Небольшая сложность
• Еще есть супер мощный админ, только их меньше.

(2) Создать автономный сервер без доверительных отношений, кроме отдельных пользователей

Плюсы:

• Легко
• Ограничивает роли

Минусы:

• Небольшая сложность
• Будет один админ, управляющий им
• техническое обслуживание

(3) Приобретите один из различных типов сетевых хранилищ, например, Cyber-Ark. Эти продукты специально разработаны для обсуждаемого вами варианта использования.

Плюсы:

• Более ориентированный на предприятие
• Может быть очень удобным для пользователя

Минусы:

• Стоимость
• Все еще есть некоторые супер администраторы, вероятно, для хранилища.

(4) Поместите всю информацию в базы данных, затем используйте надежное шифрование для шифрования всего содержимого базы данных или используйте продукт полного шифрования диска для лучшего контроля доступа к файловой системе вместе с (1) и / или (2) выше . Дополните это политикой, запрещающей удаление содержимого базы данных открытым текстом и требующей, чтобы отчеты оставались в базе данных. Продукт шифрования может включать в себя надежные модули шифрования, такие как FIPS 140-2, и также может быть физическим устройством, таким как аппаратный модуль безопасности (HSM).

Плюсы:

• Можно достичь военного уровня безопасности
• Лучше всего соответствует вашим потребностям в защите лент и дисков
• Большая защита информации в случае взлома

Минусы:

• Менее гибкий
• Значительно влияет на активность пользователей!
• Требуется крипто-роль или сотрудник службы безопасности

(5) Компенсация контроля безопасности - усиление контроля безопасности вашего персонала, например, добавление страховки от нарушения информации, добавление определенных требований для двух человек (это можно сделать разными способами), другая роль (администратор безопасности) или дополнительная проверка данных. Более креативные варианты будут включать золотой парашют, который будет срабатывать после ухода из компании без каких-либо нарушений информации через год после отставки / увольнения, или больше внимания уделять радости администраторов в целом с помощью специальных привилегий, связанных с этим. кадровые потребности.

Плюсы:

• Может лучше всего решить проблему инсайдерской проблемы
• Стимулирует хорошее поведение
• Может улучшить отношения компании с ключевыми администраторами
• Может продлить срок службы персонала в компании, если все сделано правильно

Минусы:

• Так много вариантов сделать это
• Стоимость

Если у кого-то есть административные права, все ставки запрещены, если речь идет о безопасности. Именно поэтому администраторам нужен такой высокий уровень доверия - всегда есть способы обойти любые виды блоков, которые можно установить.

Все, что вы можете сделать, это разделить обязанности и настроить систему сдержек и противовесов.

Например, вы можете использовать вторичную систему ведения журналов (например, Splunk или сервер системного журнала Linux), к которой только ваш президент / тот, кто имеет доступ, может настроить аудит файлов для ваших защищенных каталогов.

Удалите администраторов из ACL и перешлите изменения в ACL на сервер журналов. Это не остановит событие, но у вас будет определенный журнал того, кто изменил разрешения, когда и как.

Чем больше таких блоков вы поставите на место, тем больше вероятность того, что кто-то наткнется на один из них.

Вы должны знать, что человек с таким уровнем привилегий может получить доступ к данным в общих файловых ресурсах Windows независимо от разрешений безопасности файлов / папок. Это связано с привилегиями, которые могут быть предоставлены в Windows при наличии права «Резервное копирование файлов и каталогов».

С этим правом кто-то может просто сделать резервную копию файлов и восстановить их в другом месте. И за дополнительную плату, они могли бы сделать это как запланированное задание, работающее как система, чтобы это было менее чем очевидно во время аудита. Если это не вариант, они могут иметь доступ к системе резервного копирования и могут восстановить данные оттуда в место, которое может не проверяться.

Без EFS вы не сможете полагаться на файловую систему, чтобы гарантировать конфиденциальность, разрешения, аудит или иное.

Вариант SkyDrive, который sysadmin1138 звучал хорошо для меня для документов. Количество действительно чувствительных документов обычно довольно мало, и SkyDrive предоставляет вам 7 ГБ бесплатно (максимум 2 ГБ). Для системы бухгалтерского учета эти данные должны быть защищены в реальной базе данных с помощью некоторого уровня шифрования и аутентификации, которая не позволит администратору Windows получить доступ.