Como impedir que os administradores de domínio tenham acesso negado às pastas da rede?

5

Pelo que entendi, se um usuário criar uma pasta, ele se tornará o proprietário e poderá controlar as permissões de NTFS, inclusive a remoção de permissões herdadas concedidas aos administradores de domínio.

Qual é a melhor abordagem para impedir que os administradores de domínio tenham acesso negado às pastas de rede? Estas são algumas das abordagens sobre as quais li:

  1. Você não deve tentar impedir que os usuários alterem as permissões nas pastas que eles criam.
  2. Programar um script que assuma a propriedade de quaisquer pastas que os administradores de domínio não possam acessar (pergunta da barra lateral: se você alterar o proprietário, isso substitui [isto é, remover] a ACE que concedeu controle total ao proprietário original?)
  3. Use uma combinação de alteração e leitura de permissões de compartilhamento) e permissões NTFS (modificar) para limitar a capacidade dos usuários autenticados de alterar permissões como descrito por Helge Klein .
por zen 04.07.2011 / 23:43

3 respostas

1

Isso parece mais uma questão de gerenciamento do que técnica. Assumir a posse de um script ou tentar bloquear as poucas pessoas que já jogariam com permissões é mais um problema do que eu acho que valeria a pena.

No passado, tornamos as pastas pessoais completamente inacessíveis aos administradores de domínio, mas, inevitavelmente, as pessoas acessam e perguntam "você pode verificar algo em meu diretório pessoal?"

Portanto, seguimos uma política que os administradores precisam ler tudo (com algumas exceções). Se nos depararmos com uma pasta em que alguém bloqueou o acesso de administrador, descobrimos por que, explicamos por que achamos melhor ter acesso e alteramos as permissões de volta para nosso padrão. Se isso aconteceu enquanto estávamos rastreando um problema, é por isso que temos a política: então poderíamos simplesmente assumir o controle na hora e resolvê-lo depois.

    
por 05.07.2011 / 00:21
1
A opção

on que você poderia implantar é simplesmente ocultar a guia de permissões por meio da política de grupo. Isso não impedirá que um usuário realmente criativo, mas eliminará rapidamente a maioria que poderia mexer em torno dele. outros que, não há necessidade de se preocupar com a posse, desde que os administradores tenham controle total. Como mencionado, você sempre pode se apropriar.

    
por 31.12.2011 / 04:04
0

Do ponto de vista de segurança e capacidade de gerenciamento, a melhor solução é descobrir quem está negando o acesso legítimo e fazê-lo parar.

Usuários e administradores de nível inferior não devem interferir na sua capacidade de monitorar e gerenciar a infraestrutura de TI.

Se você só puder resolver o problema técnico sem abordar o problema maior, será forçado a implementar medidas técnicas.

Se você só puder restaurar o acesso (e não estiver preocupado em identificar a origem da alteração), será preciso fazer duas coisas:

1. Atribuir permissões NTFS adequadas

Você pode fazer isso via script com o comando icacls / grant , ou pode fazê-lo através do editor de Política de Grupo. Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de segurança > Sistema de arquivos.

Se você fizer isso via script, também poderá distribuir esse script como um script de Logon / Logoff / Startup / Shutdown por meio da Diretiva de Grupo.

2. Atribuir permissões SMB adequadas

Isto requer o comando net com o verbo share . Por exemplo:

net share SHARENAME /grant:GROUPNAME,PERMISSION

GROUPNAME precisa ser citado se contiver espaços, como "DOMAIN \ Domain Admins", e PERMISSION deve ser READ, WRITE ou FULL.

Observe que os scripts de inicialização e desligamento são executados como SYSTEM por padrão, portanto, eles não devem ter problemas para configurar as permissões desejadas, independentemente do que foi configurado para os administradores de domínio e administradores locais.

Se seus usuários ficarem espertos no futuro, eles poderão adicionar uma entrada DENY ALL que se aplique ao grupo "Administradores de domínio". A entrada DENY explícita tem precedência sobre sua entrada GRANT. Você pode remover essa entrada da ACL por meio do script, por isso é facilmente derrotada.

Se eles o transformam em uma corrida armamentista, você pode ganhar contanto que a máquina seja unida ao domínio, mas isso desperdiça tempo em ambos os lados. É por isso que é melhor corrigir o problema. problema através da educação / execução, em vez de contramedidas técnicas.

    
por 06.04.2018 / 23:58