Protege os arquivos no volume NTFS dos administradores de domínio

8

Somos uma pequena empresa com um domínio 2008R2 no qual temos um servidor de arquivos com vários volumes compartilhados. Temos um número de funcionários de TI na função de administradores de domínio, porque efetivamente estamos todos de plantão 24x7. No entanto, recentemente tornou-se uma questão de política da empresa que existam certas pastas ou arquivos (dados salariais, avaliações de desempenho, informações contábeis) que devem ser confidenciais, inclusive da equipe de TI. Isso também inclui os dados de backups (fita e disco).

Coisas que nos ocorreram até agora:

* EFS - mas teríamos que configurar um PKI, o que é um pouco exagerado para o tamanho da nossa empresa

* TrueCrypt - mas isso mata o acesso simultâneo e a capacidade de pesquisa

* Remova os administradores de domínio das ACLs - mas isso é extremamente fácil (um clique) para ignorar

* Eliminando o uso do grupo Admins. do Domínio e delegando permissões de forma mais explícita - mas isso é um pouco exagerado e queremos reduzir a necessidade de contas compartilhadas (por exemplo, MYDOMAIN \ Administrator) por motivos de auditoria

Tenho certeza de que esse não é um problema novo e estou curioso sobre como outras pessoas com esse tipo de problema lidaram com isso? Há alguma opção que ainda não tenhamos considerado?

Obrigado!

    
por bab 09.05.2012 / 23:08

5 respostas

9

Primeiramente, você precisa confiar nos seus administradores. Se você não fizer isso, eles não devem ter esse trabalho ou esses privilégios. A empresa confia na pessoa de finanças ou de RH que tem acesso a esses dados, então por que não a equipe de TI? Lembre-os de que os administradores têm a capacidade de desfazer o ambiente de produção todos os dias, mas optam por não fazê-lo. É importante que a gerência veja esse problema com clareza.

Em seguida, como @ sysadmin1138 diz, lembre aos administradores que o acesso NÃO é uma permissão igual.

Dito isto, não concedemos aos administradores de domínio acesso a compartilhamentos de arquivos por padrão. Eles são removidos e, em seu lugar, três grupos de ACL (Read, Write, Admin) para cada compartilhamento de permissões NTFS. Ninguém está no grupo Admin do ACL por padrão e a associação a esses grupos é monitorada.

Sim, os administradores de domínio podem se apropriar desses arquivos, mas isso deixa um rastro. Auditoria é importante. Ronald Reagan chamou isso de "confiança, mas verifique". As pessoas devem saber que você está verificando.

Por fim, comece a remover pessoas dos administradores de domínio. As permissões do AD são muito fáceis de granularizar hoje. não há razão para não fazê-lo. Dê às pessoas acesso administrativo aos servidores ou serviços que eles gerenciam, não tudo.

    
por 10.05.2012 / 00:24
11

Eu vi isso sendo tratado de duas maneiras:

  1. Faça com que a equipe de TI assine algo que os faça juramento para a Dire Consequences caso alguma vez seja revelado que eles acessaram os locais dos arquivos em questão sem a autorização explícita de alguém autorizado para esse acesso.
  2. Os dados são movidos para um dispositivo de armazenamento não acessível pela equipe de TI.

Ambos têm seus problemas, é claro. O primeiro método é o que meus dois trabalhos anteriores em grandes organizações decidiram seguir. O raciocínio foi basicamente:

Access and Authorization are different things. If they access this data without authorization, they're in bigbig trouble. Also, these are people who already have access to vast swaths of data for which they're not authorized, so it's not a new problem for them. Therefore, we will trust them to keep out and be professional about it.

Essa é uma das razões pelas quais as pessoas em nosso trabalho tendem a estar sujeitas a verificações de antecedentes.

Isso foi otimizado quando alguém do próprio RH iniciou um processo de trabalho, e a equipe de TI foi chamada para configurar as permissões para bloquear esse usuário a partir dos locais onde o processo foi documentado. Embora tais procedimentos sejam confidenciais da TI , fomos especificamente convidados a criar as exclusões certas.

Esse foi um caso de conflito de interesses explícito

A segunda opção é normalmente seguida por departamentos sem consulta de TI. Há 10 anos, esse impulso para proteger os dados do olho-do-mundo do presumido BOFH fazia com que as pessoas colocassem dados críticos nas unidades de suas estações de trabalho e compartilhassem os diretórios entre eles no departamento. Nos dias de hoje, isso pode ser algo tão simples como uma pasta DropBox compartilhada, o Microsoft SkyDrive ou qualquer outra coisa nesse sentido (mmmm, exfiltração de dados da empresa para terceiros não-vinculados).

Mas se a gerência viu o problema e conversou com todos sobre isso, todas as situações com as quais eu estive envolvido ou perto se resumiram a: "Confiamos nessas pessoas por um motivo, apenas nos certifiquemos as políticas de acesso e seguir em frente. "

    
por 09.05.2012 / 23:29
4

Eu tenho cinco soluções possíveis, quatro das quais são técnicas.

(1) Crie uma floresta do AD e outro domínio específico para informações privilegiadas. Repita conforme necessário para cobrir comunidades específicas de interesse. Isso adicionará uma nova função acima dos administradores de domínio - os administradores corporativos que podem ser ainda mais segregados e até subdivididos.

Prós:

  • Fácil
  • Limita os papéis
  • É possível ativar melhor a estrutura do AD para emular a estrutura organizacional

Contras:

  • Complexidade leve
  • Ainda tem um administrador super avançado, apenas menos deles.

(2) Crie um servidor autônomo sem relação de confiança além dos usuários individuais

Prós:

  • Fácil
  • Limita os papéis

Contras:

  • Complexidade leve
  • Terá um administrador controlando-o
  • Manutenção

(3) Adquira um dos diferentes tipos de produtos de cofre de rede, como Cyber-Ark. Estes produtos são especificamente projetados para o caso de uso que você está discutindo.

Prós:

  • Mais orientado para empresas
  • Pode ser muito amigável

Contras:

  • Custo
  • Ainda é provável que alguns superadministradores tenham acesso ao cofre.

(4) Coloque todas as informações nos bancos de dados, use criptografia strong para criptografar todo o conteúdo do banco de dados ou use um produto de criptografia de disco completo para controlar melhor o acesso ao sistema de arquivos junto com (1) e / ou (2) acima . Aumente isso com uma política para não permitir a remoção de texto sem formatação do banco de dados e exigir que os relatórios permaneçam no banco de dados. O produto de criptografia pode incluir módulos de criptografia robustos, como o FIPS 140-2, e também pode ser um dispositivo físico, como um módulo de segurança de hardware (HSM).

Prós:

  • Pode atingir níveis militares de segurança
  • Melhor atende às suas necessidades de proteção de fita e disco
  • Maior proteção de informações no caso de você ser hackeado

Contras:

  • Menos flexível
  • Impacta significativamente as atividades do usuário!
  • Requer uma função de criptografia ou pessoa de segurança

(5) Compensação de Controle de Segurança - reforce seus controles de segurança de pessoal como adicionar seguros contra uma violação de informações, adicionando requisitos de duas pessoas (pode ser feito de várias maneiras), outra função (administrador de segurança) ou mais verificação de antecedentes. Opções mais criativas incluiriam um pára-quedas de ouro que seria acionado após a saída da empresa sem violação de informações um ano após a renúncia / demissão, ou mais atenção dada a manter os administradores felizes em geral por meio de algumas regalias especiais com vínculos com essas informações. requisitos de pessoal.

Prós:

  • Pode resolver melhor o problema do problema interno
  • Incentiva o bom comportamento
  • Pode melhorar o relacionamento da empresa com os principais administradores
  • Pode prolongar as posses de pessoal com a empresa se for feito corretamente

Contras:

  • Tantas opções para fazer isso
  • Custo
por 10.05.2012 / 03:21
3

Uma vez que alguém tenha direitos administrativos, todas as apostas são válidas até onde vai a segurança. É exatamente por isso que os administradores precisam de um nível tão alto de confiança - sempre há maneiras de contornar qualquer tipo de bloqueio que possa ser implementado.

Tudo o que você pode realmente fazer é separar as tarefas e configurar um sistema de verificações e balanços.

Por exemplo, você pode usar um sistema de log secundário (como o Splunk ou um servidor syslog do Linux) que somente o seu presidente / quem tiver acesso e configurar a auditoria de arquivos para seus diretórios seguros.

Remova os administradores das ACLs e encaminhe as alterações para a ACL para o servidor de log. Isso não impedirá que o evento aconteça, mas você terá um registro definitivo de quem alterou as permissões quando e como.

Quanto mais desses bloqueios você colocar em prática, maior a probabilidade de você ter alguém tropeçando em um deles.

    
por 09.05.2012 / 23:17
1

Você deve estar ciente de que uma pessoa com esse nível de privilégio pode acessar dados em compartilhamentos de arquivos do Windows, independentemente das permissões de segurança dos arquivos / pastas. Isso se deve aos privilégios que podem ser conferidos no Windows quando o direito "Arquivos de backup e diretórios" está disponível.

Com esse direito, alguém pode simplesmente fazer backup dos arquivos e restaurá-los em outro local. E para crédito extra, eles poderiam fazer isso como uma tarefa agendada em execução como sistema, de modo que seria menos que óbvio durante uma auditoria. Se isso não for uma opção, eles poderão ter acesso ao sistema de backup e poderão restaurar os dados de lá para um local que pode não ser auditado.

Sem o EFS, talvez você não possa confiar no sistema de arquivos para garantir confidencialidade, permissões, auditoria ou outros.

A opção SkyDrive que sysadmin1138 me pareceu boa para documentos. A quantidade de documentos que são realmente sensíveis geralmente é pequena, e o SkyDrive oferece 7 GB de graça (2 GB no máximo). Para um sistema de contabilidade, esses dados devem ser protegidos em um banco de dados real por algum nível de criptografia e autenticação que não permitiria o acesso de um administrador do Windows.

    
por 10.05.2012 / 00:53