Proteggi i file sul volume NTFS dagli amministratori di dominio

8

Siamo una piccola azienda con un dominio 2008R2 su cui abbiamo un file server con diversi volumi condivisi. Abbiamo un numero di personale IT nel ruolo di amministratori di dominio, perché in effetti siamo tutti in servizio 24 ore su 24, 7 giorni su 7. Tuttavia, recentemente è diventato un problema della politica aziendale la presenza di determinate cartelle o file (dati salariali, analisi delle prestazioni, informazioni contabili) che dovrebbero essere riservati, anche da parte del personale IT. Ciò include anche i dati sui backup (nastro e disco).

Cose che ci sono successe finora:

* EFS - ma dovremmo impostare un PKI, che è un po 'eccessivo per le dimensioni della nostra azienda

* TrueCrypt - ma questo uccide l'accesso simultaneo e la capacità di ricerca

* Rimuovere Domain Admins dagli ACL - ma questo è estremamente facile (un clic) da bypassare

* Eliminare l'uso del gruppo Domain Admins e delegare le autorizzazioni in modo più esplicito, ma ancora una volta questo è un po 'eccessivo e vogliamo ridurre la necessità di account condivisi (ad esempio MYDOMAIN \ Administrator) per motivi di controllo

Sono sicuro che questo non è un problema nuovo e sono curioso di sapere come lo hanno gestito altre persone con questo tipo di requisiti? Ci sono opzioni che non abbiamo già considerato?

Grazie!

windows  security  active-directory  ntfs 
bab
fonte

Risposte:

9

Prima di tutto, devi fidarti dei tuoi amministratori. In caso contrario, non dovrebbero avere questo lavoro o questi privilegi. L'azienda si fida della persona finanziaria o delle risorse umane che ha accesso a questi dati, quindi perché non il personale IT? Ricorda loro che gli amministratori hanno la possibilità di distruggere l'ambiente di produzione ogni giorno, ma scelgono di non farlo. È importante che il management veda chiaramente questo problema.

Successivamente, come dice @ sysadmin1138, ricorda agli amministratori che l'accesso NON equivale a un'autorizzazione.

Detto questo, non garantiamo agli amministratori di dominio l'accesso alle condivisioni di file per impostazione predefinita. Vengono rimossi e al loro posto tre gruppi ACL (lettura, scrittura, amministrazione) per ogni condivisione autorizzazioni NTFS. Nessuno fa parte del gruppo Admin ACL per impostazione predefinita e l'appartenenza a tali gruppi viene monitorata.

Sì, gli amministratori di dominio possono diventare proprietari di quei file, ma lascia una traccia. L'audit è importante. Ronald Reagan ha definito questa "fiducia, ma verifica". Le persone dovrebbero sapere che stai controllando.

Infine, inizia a rimuovere le persone dagli amministratori di dominio. Le autorizzazioni AD sono oggi troppo facili da granularizzare. nessun motivo per non farlo. Offri alle persone l'accesso come amministratore ai server o ai servizi che gestiscono, non a tutto.

uSlackr
fonte
11

L'ho visto gestito in due modi:

  1. Fai in modo che il personale IT firmi qualcosa giurandoli su Dire Conseguenze qualora dovesse mai essere rivelato che hanno avuto accesso ai percorsi dei file in questione senza l'autorizzazione esplicita di qualcuno autorizzato a tale accesso.
  2. I dati vengono trasferiti su un dispositivo di archiviazione non accessibile dal personale IT.

Entrambi hanno i loro problemi, ovviamente. Il primo metodo è quello che i miei due precedenti lavori presso grandi organizzazioni hanno scelto di seguire. Il ragionamento era sostanzialmente:

L'accesso e l' autorizzazione sono cose diverse. Se accedono a questi dati senza autorizzazione, sono in grossi guai. Inoltre, si tratta di persone che hanno già accesso a vaste aree di dati per le quali non sono autorizzate , quindi non è un nuovo problema per loro. Pertanto, ci fideremo di loro per tenerci fuori ed essere professionali al riguardo.

Questo è uno dei motivi per cui le persone nel nostro lavoro tendono ad essere soggette a controlli di base.

Questo è stato offuscato quando qualcuno della stessa HR ha avviato un processo e lo staff IT è stato chiamato per impostare le autorizzazioni per bloccare quell'utente dalle posizioni dei file in cui sono stati documentati i procedimenti. Anche se tali procedimenti sono riservati dall'IT , siamo stati specificamente invitati a istituire i diritti esclusi.

Quello era un caso di conflitto di interessi esplicito

La seconda opzione è generalmente seguita dai dipartimenti senza consultare l'IT. 10 anni fa, questa unità per proteggere i dati dall'occhio onniveggente del presunto BOFH ha indotto le persone a mettere i dati critici sulle unità della propria workstation e condividere le directory tra loro nel reparto. In questi giorni, questo potrebbe essere qualcosa di altrettanto semplice ha una cartella DropBox condivisa, Microsoft SkyDrive o qualcos'altro lungo quelle linee (mmmm, esfiltrazione dei dati aziendali a terzi non controllati).

Ma se il management ha visto il problema e ne ha parlato con tutti, ogni istanza con cui sono stato coinvolto o vicino è arrivata alla fine: "Ci fidiamo di queste persone per un motivo, assicurati solo che siano pienamente consapevoli delle politiche di accesso E vai avanti."

sysadmin1138
fonte
4

Ho cinque potenziali soluzioni, quattro delle quali sono tecniche.

(1) Creare una foresta AD e un altro dominio specifico per le informazioni privilegiate. Ripetere se necessario per coprire specifiche comunità di interesse. Ciò aggiungerà un nuovo ruolo al di sopra degli amministratori di dominio: amministratori aziendali che possono essere ulteriormente separati e persino suddivisi.

Professionisti:

  • Facile
  • Limita i ruoli
  • Può meglio abilitare la struttura AD per emulare la struttura organizzativa

Contro:

  • Leggera complessità
  • Hai ancora un amministratore super potenziato, solo un po 'meno.

(2) Creare un server autonomo senza relazione di trust a parte i singoli utenti

Professionisti:

  • Facile
  • Limita i ruoli

Contro:

  • Leggera complessità
  • Avrà un amministratore che lo controlla
  • Manutenzione

(3) Procurarsi uno dei diversi tipi di prodotti di vault di rete, ad esempio Cyber-Ark. Questi prodotti sono progettati specificamente per il caso d'uso di cui si sta discutendo.

Professionisti:

  • Più orientato all'impresa
  • Può essere molto intuitivo

Contro:

  • Costo
  • Hai ancora dei super amministratori probabilmente per il caveau.

(4) Inserire tutte le informazioni all'interno dei database, quindi utilizzare la crittografia avanzata per crittografare tutto il contenuto del database o utilizzare un prodotto di crittografia del disco completo per controllare meglio l'accesso al filesystem con (1) e / o (2) sopra . Aumentalo con una politica per impedire la rimozione in chiaro del contenuto del database e richiedi che i rapporti rimangano all'interno del database. Il prodotto di crittografia può includere moduli di crittografia avanzata come FIPS 140-2 e può essere anche un dispositivo fisico, come un modulo di sicurezza hardware (HSM).

Professionisti:

  • Può raggiungere livelli militari di sicurezza
  • Si adatta meglio alle tue esigenze di protezione su nastro e disco
  • Maggiore protezione delle informazioni in caso di violazione

Contro:

  • Meno flessibile
  • Impatto sulle attività degli utenti in modo significativo!
  • Richiede un ruolo crittografico o una persona di sicurezza

(5) Compensazione del controllo di sicurezza - rinforza i controlli di sicurezza del tuo personale come l'aggiunta di un'assicurazione contro una violazione delle informazioni, l'aggiunta di determinati requisiti per due persone (può essere fatto in molti modi diversi), un altro ruolo (amministratore della sicurezza) o un controllo più approfondito. Le opzioni più creative includerebbero un paracadute dorato che entrerebbe dopo la partenza dalla società senza alcuna violazione delle informazioni un anno dopo le dimissioni / licenziamenti, o più attenzione prestata a rendere felici gli amministratori in generale tramite alcuni vantaggi speciali con legami con questi requisiti del personale.

Professionisti:

  • Può meglio affrontare il problema del problema insider
  • Incentiva il buon comportamento
  • Può migliorare il rapporto dell'azienda con gli amministratori chiave
  • Può prolungare il mandato del personale con l'azienda se fatto bene

Contro:

  • Così tante opzioni per farlo
  • Costo
Brennan
fonte
3

Una volta che qualcuno ha i diritti amministrativi, tutte le scommesse sono spente per quanto riguarda la sicurezza. Questo è esattamente il motivo per cui gli amministratori hanno bisogno di un livello di fiducia così elevato: ci sono sempre modi per aggirare qualsiasi tipo di blocco che può essere messo in atto.

Tutto quello che puoi veramente fare è svolgere compiti separati e istituire un sistema di assegni e saldi.

Ad esempio, è possibile utilizzare un sistema di registrazione secondario (come Splunk o un server syslog Linux) a cui solo il proprio presidente / chiunque abbia accesso e configuri il controllo dei file per le directory sicure.

Rimuovere gli amministratori dagli ACL e inoltrare le modifiche all'ACL al server di registro. Non impedirà che l'evento accada, ma avrai un registro definito di chi ha cambiato le autorizzazioni quando e come.

Più questi blocchi vengono installati, più è probabile che qualcuno si imbatta in uno di essi.

Tim Brigham
fonte
1

È necessario essere consapevoli del fatto che una persona con quel livello di privilegio può accedere ai dati sulle condivisioni di file Windows indipendentemente dalle autorizzazioni di sicurezza dei file / cartelle. Ciò è dovuto ai privilegi che possono essere conferiti in Windows quando è disponibile il diritto "File e directory di backup".

Con questo diritto, qualcuno può semplicemente eseguire il backup dei file e ripristinarli in un'altra posizione. E per ulteriore credito, potrebbero farlo come un'attività pianificata in esecuzione come sistema, quindi sarebbe meno che ovvio durante un controllo. Se questa non fosse un'opzione, potrebbero avere accesso al sistema di backup e ripristinare i dati da lì in una posizione che potrebbe non essere controllata.

Senza EFS, potresti non essere in grado di fare affidamento sul file system per garantire la riservatezza, le autorizzazioni, il controllo o altro.

L'opzione SkyDrive che sysadmin1138 mi è sembrata buona per i documenti. La quantità di documenti che è veramente sensibile è di solito piuttosto piccola e SkyDrive ti dà 7 GB gratis (massimo 2 GB di file). Per un sistema di contabilità, tali dati dovrebbero essere protetti in un vero database da un certo livello di crittografia e autenticazione che non consentirebbe l'accesso di amministratore a Windows.

Greg Askew
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.