Protegendo arquivos do administrador do sistema [duplicado]

1

Oi,

Estou procurando uma solução para permitir o armazenamento de arquivos com informações confidenciais em um servidor remoto, de modo que os administradores do sistema não possam acessar os dados.

No primeiro caso, o servidor hospedaria um aplicativo que trabalha com os dados confidenciais, para que os usuários usem o RDP para executá-lo. No segundo caso, os usuários só precisam acessar suas pastas compartilhadas.

Eu preferiria que o servidor permanecesse dentro da nossa infraestrutura de AD para a conveniência da manutenção, etc. Assim, os administradores podiam fazer login no servidor, fazer qualquer coisa, mas acessar as informações confidenciais (embora possam saber da sua presença).

A solução que pensei foi usar o TrueCrypt em um servidor de terminal do Windows 2003, mas quando os volumes criptografados são montados, eles se comportam como os volumes normais do Windows - o que significa que os administradores têm acesso a eles.

Também pensei em colocar o servidor fora do domínio em um grupo de trabalho - depois, posso configurar contas de usuários locais e gerenciar permissões de acordo. Isso, no entanto, adicionaria algumas complicações em termos de manutenção.

Eu agradeceria seu conselho.

    
por kdl 11.11.2009 / 15:48

5 respostas

3

Os administradores precisam acessar os dados. Mesmo que por nada mais que backup e restauração. O que você precisa fazer é confiar em seus admins uma certa quantia, e fazer as conseqüências por abusar dessa confiança alta e definida. Como administrador, você tem muito poder e acesso, sua confiabilidade é um dos requisitos do seu trabalho, as acusações de falta grave / suspensão / demissão são totalmente justificadas por abusar da confiança depositada em você.

Para nossos servidores em que temos esse tipo de cenário, em vez de restringir totalmente as pastas, as permissões (para os administradores do servidor) são definidas da mesma forma que os servidores equivalentes, para que os administradores ainda consigam fazer seu trabalho quando necessário. O que fazemos é auditar e registrar tudo o que acontece nesse servidor e disponibilizar esse registro para os usuários / responsáveis pelos dados.

Precisa entrar no console desse servidor? Você realmente? Você pode justificá-lo para o proprietário dos dados? Tudo bem, então vá lá.

Precisa modificar arquivos em um dos diretórios de dados? Você realmente? Você pode justificá-lo para o proprietário dos dados? Tudo bem, então vá em frente e faça as alterações.

Existe uma emergência que significa que você precisa entrar no servidor e fazer alterações às 2h da manhã? Não tem problema, você tem o acesso necessário, apenas perceba que suas ações serão escrutinadas pela manhã.

É claro que a auditoria e o registro só são realmente eficazes se houver responsabilidade e identificabilidade. Você precisa banir o uso de todas as contas de admin genéricas e emitiu a cada administrador uma conta personalizada com as permissões relevantes necessárias para o trabalho deles (algo como Admin_BloggJ ou John.Doe.Admin).

Usamos um software chamado LT Auditor para criar os registros de auditoria e defini-los para serem impressos. os relatórios diariamente. Temos usuários que se debruçam sobre isso religiosamente e se alegram em identificar qualquer acesso incomum e denunciá-lo. Isso é um grande impedimento!

    
por 11.11.2009 / 17:33
8

Isso não pode ser feito, em qualquer significado verdadeiro, de qualquer maneira.

Se você não confia que os administradores estão sem opções, sempre há uma maneira deles acessarem os dados nos cenários descritos, pois eles controlam seu hardware (cliente e / ou servidor) e sua infraestrutura.

Regular o acesso por meio de políticas escritas.

    
por 11.11.2009 / 15:54
0

Minha busca no campo de computadores terminará quando eu encontrar uma resposta para essa pergunta!

Eu temo que isso não seja possível com as implementações atuais.

    
por 11.11.2009 / 16:07
0

Eu diria que, no seu segundo caso, se os arquivos no compartilhamento forem criptografados, será difícil para os administradores obter acesso. Mas, mesmo assim, eles poderiam apenas instalar um keylogger para encontrar a senha. Portanto, a resposta de Oskar é: a política é a única opção.

    
por 11.11.2009 / 16:55
0

O mais fácil é arquivar dados com a senha longa e strong. Mas isso só vai te comprar algum tempo ...

    
por 11.11.2009 / 17:37

Tags