Estou executando um compartilhamento de arquivos de usuários em Windows 2008R2 .
Minha preocupação é que os administradores de domínio acessem os arquivos de alguém que não deveriam.
Liguei a auditoria avançada e testei os resultados. Vejo quando alguém faz alguma coisa na pasta, read/delete com os ofensores userid's , mas ela aparece como Event ID 5145 .Quando o usuário real acessa sua própria pasta, ela também aparece como Event ID 5145 .
Meu local de trabalho tem mais de 4000 usuários, portanto, a opção de alertar sempre que alguém usa seus próprios arquivos não é uma opção. Eu não posso apenas acionar o fracasso, pois os administradores de domínio terão direitos para acessar os arquivos.
Colocar "somente usuário" em vez de usuários e administradores não é uma opção, já que nossos backups não poderão ler os dados.
Alguém tem alguma sugestão?
Temos um dispositivo de registro central separado do LogLogic para o qual encaminhamos todos os nossos registros do sistema. Isso, por sua vez, nos permite uma maior granularidade de como e quando alertamos. Eu recomendaria usar uma solução como essa se você tiver uma.
Veja o comentário de voretaq7. Você realmente tem que confiar neles. No entanto, não é irracional verificar o que estão fazendo e sua necessidade de acesso.
Nós vamos um passo além. Definimos nosso acesso de compartilhamento (realmente NTFS, não perms em nível de compartilhamento) para que os administradores de domínio não tenham acesso de leitura explícito à maioria dos compartilhamentos. Criamos um grupo de segurança Mgmt para isso, que normalmente está vazio. Obviamente, os administradores de domínio podem se adicionar a esse grupo, de modo que o gerente de rede receba um alerta toda vez que essa associação for alterada.
No caso de um problema de compartilhamento, os administradores de domínio sempre têm o direito de reivindicar a propriedade de qualquer arquivo devido a seus direitos.
O registro de eventos está sendo implantado agora e também estamos trabalhando para limitar severamente o número de pessoas em nosso grupo Admin do domínio, implantando uma ferramenta AD Mgmt (Active Roles Server da Quest).
Tags windows file-sharing share alerts