Confiando no novo sysadmin [closed]

2

(usando uma conta descartável por razões óbvias, se este não for o lugar certo para isso, por favor me avise)

Olá companheiros Sysadmins, Eu fui contratado em uma pequena empresa para ser o único administrador de sistema. A empresa atualmente trabalha com um MSP para lidar com todas as suas TI e deseja inserir a maior parte do trabalho, e é por isso que eles me contrataram.

Eu devo assumir, entre outras coisas, a responsabilidade pelo Active Directory. Eu dei uma olhada na configuração atual, sugeri algumas melhorias e disse que precisaria de uma conta administrativa dedicada no grupo Admins. Do Domínio. Em seguida, passo a explicar por que eu precisava, o que seria usado e como gostaria de implementar a auditoria para manter a gerência ciente do que estou fazendo. Expliquei também que a auditoria não é 100% infalível e, como eu seria o único a configurá-la, necessariamente teria as permissões necessárias para desativá-la. Eu acho que eu estava tentando fazer todo mundo ciente de que há limitações e eu estou afinal o administrador ... é por isso que eu fui contratado.

Bossman fica visivelmente preocupado e pergunta se eu também teria acesso a um compartilhamento de arquivos com algumas coisas confidenciais (folhas de pagamento, arquivos pessoais, qualquer coisa ...). "Não explicitamente, mas sendo o administrador eu poderia me conceder as permissões necessárias", eu explico. Aparentemente essa foi a coisa ERRADA de dizer. Bossman diz que preciso descobrir algum tipo de processo para garantir que qualquer tarefa administrativa seja supervisionada por um gerente.

Eu honestamente acho essa abordagem bastante ofensiva. Eu posso entender que sou novo e ele não me conhece, mas ele me contratou para fazer precisamente este trabalho e eu sou, afinal, um administrador de sistema experiente com excelentes referências!

Agora, chegando ao ponto e deixando meus sentimentos de lado, examinei as soluções possíveis para auditar minha conta de administrador de domínio e geralmente tarefas administrativas ou ativar o 2FA e não consegui encontrar uma solução

  1. barato
  2. não consigo desativar com privilégios de administrador de domínio e acesso físico ao servidor e
  3. me permite trabalhar em uma emergência quando nenhum dos gerentes está por perto / disponível (eles geralmente viajam para o exterior simultaneamente e não estão disponíveis por telefone / e-mail).

Até agora, dei uma olhada no Netwrix Auditor ( link ), Auditoria do AD, Autenticação Segura da ESET (< href="https://www.eset.com/us/business/endpoint-security/two-factor-authentication"> link e smartcards para 2FA. Nenhum atende aos critérios acima.

Alguém tem alguma experiência em trabalhar nesse ambiente? Devo ficar preocupado com o meu futuro aqui?

Por favor, note que eu não trabalho para um empreiteiro do governo / defesa / segurança, atualmente não há legislação que exija que eu seja supervisionado e a empresa não lida com PII, exceto por seus funcionários.

Qualquer entrada é apreciada!

EDIT: como alguém apontou em workplace.stackexchange.com que a postagem cruzada é desencorajada, deixe-me reformular o acima como uma questão técnica: alguém sabe de um produto que se encaixa nos critérios acima?

    
por Throwaway456789213 10.03.2017 / 15:15

0 respostas