Lindungi file pada volume NTFS dari Administrator Domain

8

Kami adalah perusahaan kecil dengan domain 2008R2 di mana kami memiliki server file dengan beberapa volume bersama. Kami memiliki sejumlah staf TI dalam peran administrator domain, karena secara efektif kita semua siap siaga 24x7. Namun, baru-baru ini menjadi masalah kebijakan perusahaan bahwa ada folder atau file tertentu (data gaji, ulasan kinerja, info akuntansi) yang harus dirahasiakan, termasuk dari staf TI. Ini juga termasuk data tentang cadangan (tape dan disk).

Hal-hal yang telah terjadi pada kita sejauh ini:

* EFS - tapi kami harus menyiapkan PKI, yang sedikit berlebihan untuk ukuran perusahaan kami

* TrueCrypt - tetapi ini membunuh akses dan kemampuan pencarian bersamaan

* Hapus Admin Domain dari ACL - tetapi ini sangat mudah (satu klik) untuk memotong

* Menurunkan penggunaan grup Domain Admin, dan mendelegasikan izin lebih eksplisit - tetapi sekali lagi ini sedikit berlebihan, dan kami ingin mengurangi kebutuhan untuk akun bersama (mis. MYDOMAIN \ Administrator) mungkin untuk alasan audit

Saya yakin ini bukan masalah baru, dan saya ingin tahu bagaimana orang lain dengan persyaratan semacam ini telah menanganinya? Apakah ada opsi yang belum kami pertimbangkan?

Terima kasih!

bab
sumber

Jawaban:

9

Pertama, Anda harus mempercayai admin Anda. Jika tidak, mereka seharusnya tidak memiliki pekerjaan ini atau hak istimewa ini. Perusahaan mempercayai orang keuangan atau SDM yang memiliki akses ke data ini, jadi mengapa tidak staf TI? Ingatkan mereka bahwa admin memiliki kemampuan untuk membuang lingkungan produksi setiap hari, tetapi memilih untuk tidak melakukannya. Penting bahwa manajemen melihat masalah ini dengan jelas.

Selanjutnya, seperti yang dikatakan @ sysadmin1138, ingatkan admin bahwa akses TIDAK setara dengan izin.

Karena itu, kami tidak memberikan admin akses ke file berbagi secara default. Mereka dihapus dan sebagai gantinya tiga kelompok ACL (Baca, Tulis, Admin) untuk setiap pembagian izin NTFS. Tidak ada seorang pun di grup Admin ACL secara default dan keanggotaan ke grup tersebut dimonitor.

Ya, admin domain dapat mengambil kepemilikan file-file itu, tetapi meninggalkan jejak. Audit itu penting. Ronald Reagan menyebut ini "kepercayaan, tetapi verifikasi". Orang-orang seharusnya tahu bahwa Anda sedang memeriksa.

Akhirnya, mulailah menghapus orang dari admin domain. Izin AD terlalu mudah untuk dijernihkan hari ini. tidak ada alasan untuk tidak melakukannya. Berikan orang admin akses ke server atau layanan yang mereka kelola, bukan segalanya.

uSlackr
sumber
11

Saya telah melihatnya menangani dua cara:

  1. Buat staf TI menandatangani sesuatu yang bersumpah kepada mereka untuk Konsekuensi Dire jika terungkap bahwa mereka mengakses lokasi file yang dimaksud tanpa otorisasi eksplisit dari seseorang yang diberi wewenang untuk mengaksesnya.
  2. Data dipindahkan ke perangkat penyimpanan yang tidak dapat diakses oleh staf TI.

Keduanya memiliki masalah, tentu saja. Metode pertama adalah dua pekerjaan saya sebelumnya di organisasi besar yang dipilih untuk diikuti. Alasannya pada dasarnya:

Akses dan Otorisasi adalah hal yang berbeda. Jika mereka mengakses data ini tanpa otorisasi, mereka dalam masalah besar. Juga, ini adalah orang-orang yang sudah memiliki akses ke petak besar data yang tidak mereka setujui , jadi itu bukan masalah baru bagi mereka. Karena itu, kami akan mempercayai mereka untuk tetap keluar dan bersikap profesional tentang hal itu.

Ini adalah salah satu alasan mengapa orang-orang dalam pekerjaan kita cenderung menjadi sasaran pemeriksaan latar belakang.

Ini terguncang ketika seseorang dari HR sendiri memulai proses kerja, dan staf TI dipanggil untuk mengatur izin untuk memblokir pengguna itu dari lokasi file di mana proses tersebut didokumentasikan. Meskipun proses tersebut bersifat rahasia dari IT , kami secara khusus diundang untuk mengatur hak yang dikecualikan.

Itu adalah kasus konflik kepentingan yang eksplisit

Opsi kedua biasanya diikuti oleh departemen tanpa konsultasi TI. 10 tahun yang lalu dorongan untuk melindungi data ini dari pandangan yang kelihatan dari yang diduga-BOFH menyebabkan orang menaruh data penting pada drive stasiun kerja mereka dan berbagi direktori antara satu sama lain di departemen. Saat ini, ini bisa berupa sesuatu yang sederhana karena memiliki folder DropBox bersama, Microsoft SkyDrive, atau sesuatu yang lain di sepanjang jalur tersebut (mmmm, pengelupasan data perusahaan ke pihak ketiga yang belum diperiksa).

Tetapi jika manajemen telah melihat masalah dan berbicara dengan semua orang tentang hal itu, setiap contoh saya telah terlibat dengan atau dekat telah datang ke, "Kami mempercayai orang-orang ini karena suatu alasan, pastikan mereka sepenuhnya menyadari kebijakan akses dan lanjutkan. "

sysadmin1138
sumber
4

Saya memiliki lima solusi potensial, empat di antaranya bersifat teknis.

(1) Buat Hutan AD dan domain lain khusus untuk informasi istimewa. Ulangi sesuai kebutuhan untuk mencakup komunitas minat tertentu. Ini akan menambahkan peran baru di atas admin domain - admin perusahaan yang dapat dipisahkan lebih lanjut dan bahkan dibagi lagi.

Pro:

  • Mudah
  • Membatasi peran
  • Dapat lebih baik mengaktifkan struktur AD untuk meniru struktur organisasi

Cons:

  • Kompleksitasnya sedikit
  • Masih memiliki admin yang sangat bertenaga, hanya sedikit dari mereka.

(2) Buat server yang berdiri sendiri tanpa hubungan kepercayaan terpisah dari pengguna individu

Pro:

  • Mudah
  • Membatasi peran

Cons:

  • Kompleksitasnya sedikit
  • Akan ada satu admin yang mengendalikannya
  • Pemeliharaan

(3) Dapatkan salah satu dari berbagai jenis produk vault jaringan, misalnya Cyber-Ark. Produk-produk ini dirancang khusus untuk kasus penggunaan yang Anda diskusikan.

Pro:

  • Lebih berorientasi pada perusahaan
  • Bisa sangat ramah pengguna

Cons:

  • Biaya
  • Masih memiliki beberapa admin super kemungkinan untuk lemari besi.

(4) Tempatkan semua informasi di dalam basis data, kemudian gunakan enkripsi yang kuat untuk mengenkripsi semua konten basis data, atau gunakan produk enkripsi disk lengkap untuk lebih mengontrol akses sistem file bersama dengan (1) dan / atau (2) di atas . Tambahkan ini dengan kebijakan untuk melarang penghapusan konten database secara jelas dan meminta laporan tetap berada di dalam basis data. Produk enkripsi dapat mencakup modul enkripsi yang kuat seperti FIPS 140-2, dan dapat berupa perangkat fisik juga, seperti modul keamanan perangkat keras (HSM).

Pro:

  • Dapat mencapai tingkat keamanan militer
  • Paling sesuai dengan kebutuhan Anda untuk perlindungan tape dan disk
  • Perlindungan informasi yang lebih besar jika Anda diretas

Cons:

  • Kurang fleksibel
  • Dampak aktivitas pengguna secara signifikan!
  • Membutuhkan peran kripto atau petugas keamanan

(5) Kompensasi Kontrol Keamanan - tingkatkan kontrol keamanan personel Anda seperti menambahkan asuransi terhadap pelanggaran informasi, menambahkan persyaratan dua orang tertentu (dapat dilakukan dengan berbagai cara), peran lain (admin keamanan), atau lebih banyak memeriksa latar belakang. Lebih banyak pilihan kreatif akan termasuk parasut emas yang akan muncul setelah keberangkatan dari perusahaan tanpa pelanggaran informasi setahun setelah pengunduran diri / pemecatan, atau lebih banyak perhatian diberikan untuk menjaga admin bahagia secara umum melalui beberapa tunjangan khusus yang berkaitan dengan ini persyaratan personel.

Pro:

  • Semoga lebih baik mengatasi masalah masalah orang dalam
  • Beri insentif perilaku yang baik
  • Dapat meningkatkan hubungan perusahaan dengan administrator utama
  • Dapat memperpanjang masa kerja personil dengan perusahaan jika dilakukan dengan benar

Cons:

  • Begitu banyak pilihan untuk melakukan ini
  • Biaya
Brennan
sumber
3

Setelah seseorang memiliki hak administratif, semua taruhan dimatikan sejauh keamanan berjalan. Inilah sebabnya mengapa administrator membutuhkan tingkat kepercayaan yang tinggi - selalu ada cara untuk mengatasi segala jenis blok yang dapat dilakukan.

Yang benar-benar dapat Anda lakukan adalah tugas yang terpisah dan mengatur sistem checks and balances.

Misalnya, Anda dapat menggunakan sistem pencatatan sekunder (seperti Splunk atau server syslog Linux) yang hanya presiden / siapa pun yang memiliki akses ke dan mengonfigurasi audit file untuk direktori aman Anda.

Hapus administrator dari ACL dan teruskan perubahan ke ACL ke server log. Itu tidak akan menghentikan acara dari terjadi tetapi Anda akan memiliki log yang pasti tentang siapa yang mengubah izin kapan dan bagaimana.

Semakin banyak blok yang Anda letakkan, semakin besar kemungkinan Anda memiliki seseorang yang tersandung pada salah satunya.

Tim Brigham
sumber
1

Anda harus menyadari bahwa seseorang dengan tingkat hak istimewa itu dapat mengakses data pada file Windows yang dibagikan terlepas dari izin keamanan file / folder. Hal ini disebabkan oleh hak istimewa yang dapat diberikan pada Windows ketika hak "File Cadangan dan Direktori" tersedia.

Dengan hak itu, seseorang dapat dengan mudah membuat cadangan file, dan mengembalikannya ke lokasi lain. Dan untuk kredit tambahan, mereka dapat melakukannya sebagai tugas terjadwal yang berjalan sebagai sistem sehingga kurang jelas selama audit. Jika itu bukan opsi, mereka mungkin memiliki akses ke sistem cadangan, dan dapat mengembalikan data dari sana ke lokasi yang mungkin tidak diaudit.

Tanpa EFS, Anda mungkin tidak dapat mengandalkan sistem file untuk menjamin kerahasiaan, izin, audit, atau yang lainnya.

Opsi SkyDrive yang sysadmin1138 terdengar bagus untuk saya untuk dokumen. Jumlah dokumen yang benar-benar sensitif biasanya sangat kecil, dan SkyDrive memberi Anda 7 GB gratis (maks file 2GB). Untuk sistem akuntansi, data itu harus dilindungi dalam database nyata dengan beberapa tingkat enkripsi, dan otentikasi yang tidak akan memungkinkan akses administrator Windows.

Greg Askew
sumber