ドメイン管理者からNTFSボリューム上のファイルを保護する

8

私たちは2008R2ドメインを持つ小さな会社で、その上にいくつかの共有ボリュームを持つファイルサーバーがあります。24時間年中無休で電話をかけているので、ドメイン管理者の役割には多くのITスタッフがいます。ただし、ITスタッフを含め、機密にする必要がある特定のフォルダーまたはファイル(給与データ、業績評価、会計情報)があることが最近の企業ポリシーの問題になっています。これには、バックアップ(テープとディスク)のデータも含まれます。

これまでに起こったこと:

* EFS-ただし、PKIを設定する必要があります。これは、会社の規模に対して少々やり過ぎです。

* TrueCrypt-ただし、これにより、同時アクセスと検索機能が無効になります

* ACLからDomain Adminsを削除します-これは非常に簡単(ワンクリック)でバイパスできます

* Domain Adminsグループの使用を削除し、アクセス許可をより明示的に委任します。ただし、これは少しやりすぎです。監査上の理由から、共有アカウント(MYDOMAIN \ Administratorなど)の必要性をできるだけ減らしたいと考えています。

これは目新しい問題ではないと私は確信しています。この種の要件を持つ他の人々がどのようにそれを処理したか知りたいですか?まだ検討していないオプションはありますか?

ありがとう!

windows  security  active-directory  ntfs 
バブ
ソース

回答:

9

まず、管理者を信頼する必要があります。そうでなければ、彼らはこの仕事やこれらの特権を持っていてはいけません。会社は、このデータにアクセスできる財務担当者または人事担当者を信頼しているので、ITスタッフはどうしてでしょうか?管理者は本番環境を毎日ゴミ箱に入れることができますが、ゴミ箱に入れないことを選択できることを思い出してください。経営陣がこの問題を明確に理解することが重要です。

次に、@ sysadmin1138が言うように、アクセスは許可と等しくないことを管理者に思い出させます。

つまり、デフォルトでは、ドメイン管理者にファイル共有へのアクセスを許可していません。それらは削除され、それぞれの場所にNTFSアクセス許可を共有する3つのACLグループ(読み取り、書き込み、管理)が配置されます。デフォルトでは、ACL Adminグループには誰もいません。これらのグループのメンバーシップが監視されます。

はい、ドメイン管理者はこれらのファイルの所有権を取得できますが、痕跡は残ります。監査は重要です。ロナルド・レーガンはこれを「信頼するが検証する」と呼んだ。人々はあなたがチェックしていることを知っているべきです。

最後に、ドメイン管理者からのユーザーの削除を開始します。ADの権限は、今日では細分化するのが簡単すぎます。そうしない理由はありません。すべてではなく、管理するサーバーまたはサービスへの管理者アクセス権をユーザーに付与します。

uSlackr
ソース
11

私はそれが2つの方法を処理するのを見ました:

  1. ITスタッフに、そのようなアクセス権の付与を許可された誰かからの明示的な許可なしに問題のファイルの場所にアクセスしたことが明らかになった場合は、それをDire Consequencesに誓う何かに署名させます。
  2. データは、ITスタッフがアクセスできないストレージデバイスに移動されます。

もちろん、どちらにも問題があります。最初の方法は、大規模組織での私の以前の2つの仕事が従うことを選択したものです。推論は基本的に:

アクセス承認は別物です。許可なくこのデータにアクセスすると、大きな問題が発生します。また、許可されていない膨大な量のデータに既にアクセスしている人もいるため、新しい問題ではありません。したがって、私たちは彼らに立ち入り禁止と専門家であると信頼します。

これが、私たちの仕事に携わる人々が身元調査の対象となる傾向がある理由の1つです。

これは、HR自体の誰かが作業手順を開始したときに強調され、ITスタッフは、そのユーザーが手順が文書化されているファイルの場所からブロックする権限を設定するために呼び出されました。そのような手続きはITの機密情報ですが、私たちは、適切な除外を設定するように特別に招待されました。

それは明白な利益相反の事例でした

2番目のオプションの後には通常、ITに相談せずに部門が続きます。10年前、BOFHの全眼からデータを保護するこのドライブにより、人々は重要なデータをワークステーションのドライブに配置し、部門内でディレクトリを共有しました。最近では、共有DropBoxフォルダーやMicrosoft SkyDriveなど、単純なもの(mmmm、未調査のサードパーティへの企業データの持ち出し)が含まれている可能性があります。

しかし、経営陣が問題を見て、それについて全員と話し合った場合、私が関わった、または近くで経験したすべての事例は、「理由のためにこれらの人々を信頼しています。彼らがアクセスポリシーを完全に認識していることを確認してください。そして次に進みましょう。」

sysadmin1138
ソース
4

私には5つの潜在的なソリューションがあり、そのうち4つは技術的なソリューションです。

(1)ADフォレストと、特権情報に固有の別のドメインを作成します。 必要に応じて繰り返して、関心のある特定のコミュニティをカバーします。これにより、ドメイン管理者(エンタープライズ管理者)の上に新しい役割が追加されます。エンタープライズ管理者は、さらに分離でき、さらに分割できます。

長所:

  • かんたん
  • 役割を制限する
  • AD構造を有効にして組織構造をエミュレートできる

短所:

  • やや複雑
  • まだ非常に強力な管理者がいます。

(2)個々のユーザーとは別に、信頼関係のないスタンドアロンサーバーを作成する

長所:

  • かんたん
  • 役割を制限する

短所:

  • やや複雑
  • 1人の管理者がそれを制御します
  • メンテナンス

(3)サイバーアークなど、さまざまな種類の製品のネットワークボルトを調達します。 これらの製品は、あなたが話し合っているユースケースのために特別に設計されています。

長所:

  • よりエンタープライズ指向
  • 非常にユーザーフレンドリーにすることができます

短所:

  • 費用
  • ボールトの可能性が高いスーパー管理者がまだいます。

(4)すべての情報をデータベース内に配置し、強力な暗号化を使用してすべてのデータベースコンテンツを暗号化するか、フルディスク暗号化製品を使用して、上記の(1)や(2)とともにファイルシステムアクセスをより適切に制御します。データベースコンテンツのクリアテキストの削除を禁止し、レポートをデータベース内に残すことを要求するポリシーでこれを強化します。暗号化製品には、FIPS 140-2などの強力な暗号化モジュールを含めることができ、ハードウェアセキュリティモジュール(HSM)などの物理デバイスにすることもできます。

長所:

  • 軍事レベルの安全を達成できる
  • テープおよびディスク保護のニーズに最適
  • ハッキングされた場合のより優れた情報保護

短所:

  • 柔軟性が低い
  • ユーザーの活動に大きな影響を与えます!
  • 暗号化の役割またはセキュリティ担当者が必要

(5)セキュリティコントロールの補償-情報漏えいに対する保険の追加、特定の2人の要件の追加(さまざまな方法で実行できます)、別の役割(セキュリティ管理者)、バックグラウンドチェックなどの要員のセキュリティコントロールを強化します。よりクリエイティブなオプションには、辞任/解雇後1年で情報漏えいなしに会社を辞めた後にキックインするゴールデンパラシュートを含めるか、またはこれらと関係のあるいくつかの特別な特典を通じて管理者を一般的に満足させることにもっと注意を向けます人事要件。

長所:

  • インサイダー問題の問題に最もよく対処できる
  • 良い行動を促す
  • 主要管理者との会社の関係を強化できます
  • 正しく行われれば、会社の人事担当期間を延長できます

短所:

  • これを行うための非常に多くのオプション
  • 費用
ブレナン
ソース
3

誰かが管理者権限を持つと、セキュリティに関する限り、すべての賭けは無効になります。これがまさに管理者がそのような高いレベルの信頼を必要とする理由です-設置できるあらゆる種類のブロックを回避する方法は常にあります。

実際にできることは、個別の職務とチェックおよびバランスシステムのセットアップだけです。

たとえば、プレジデント/だれでも安全なディレクトリのファイル監査にアクセスして設定できるセカンダリログシステム(SplunkやLinux Syslogサーバーなど)を使用できます。

ACLから管理者を削除し、ACLへの変更をログサーバーに転送します。イベントの発生を停止することはありませんが、いつ、どのように権限を変更したかについての明確なログがあります。

これらのブロックを配置するほど、誰かがそれらの1つにつまずく可能性が高くなります。

ティム・ブリガム
ソース
1

そのレベルの特権を持つユーザーは、ファイル/フォルダーのセキュリティ権限に関係なく、Windowsファイル共有のデータにアクセスできることに注意してください。これは、「ファイルとディレクトリのバックアップ」権限が利用可能な場合にWindowsで付与できる権限によるものです。

その権利があれば、誰かがファイルをバックアップし、別の場所に復元できます。また、追加のクレジットとして、システムとして実行されるスケジュールされたタスクとしてそれを行うことができるため、監査中に明らかになることはありません。それが選択肢になかった場合、バックアップシステムにアクセスできる可能性があり、監査されていない場所にデータを復元することができます。

EFSがないと、ファイルシステムに依存して機密性、権限、監査などを保証できない場合があります。

sysadmin1138がSkyDriveオプションを使用してドキュメントを作成した。本当に機密性の高いドキュメントの量は通常非常に少なく、SkyDriveは7 GBを無料で提供します(最大2GBのファイル)。アカウンティングシステムの場合、そのデータは、実際のデータベースで、ある程度の暗号化と、Windows管理者のアクセスを許可しない認証によって保護する必要があります。

グレッグ・アスキュー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.