我们是一个拥有2008R2域的小公司,在这个域上我们有一个带有几个共享卷的文件服务器。 我们在域pipe理员angular色中有许多IT人员,因为我们全天候都在24小时内随时待命。 但是,最近成为公司政策的一个问题是,有些文件夹或文件(工资数据,绩效评估,会计信息)应该是保密的,包括IT员工。 这还包括备份(磁带和磁盘)上的数据。
到目前为止我们已经发生的事情:
* EFS – 但我们必须build立一个PKI,这对我们公司的规模有点矫枉过正
* TrueCrypt – 但这会导致并发访问和search能力
*从ACL中删除域pipe理员 – 但这是非常容易的(点击一下)绕过
*删除使用域pipe理组,并更明确地委托权限 – 但这又有点矫枉过正,我们希望减less对共享帐户(例如,MYDOMAIN \pipe理员)的需要,因为审计原因
我相信这不是一个新奇的问题,而且好奇的是,有这样的要求的人如何处理它? 有没有我们还没有考虑过的选项?
谢谢!
首先,你必须相信你的pipe理员。 如果你不这样做,他们不应该有这份工作或这些特权。 公司信任可以访问这些数据的财务或人力资源人员,那为什么不是IT员工呢? 提醒他们,pipe理员有能力每天垃圾的生产环境,但不select。 pipe理层清楚地看到这个问题是很重要的。
接下来,如@ sysadmin1138所示,提醒pipe理员访问不等于许可。
也就是说,默认情况下,我们不授予域pipe理员对文件共享的访问权限。 他们被删除,并在他们的地方三个ACL组(读,写,pipe理)为每个共享NTFS权限。 默认情况下,ACLpipe理员组中没有人员,并且监视这些组的成员资格。
是的,域pipe理员可以拥有这些文件的所有权,但是它留下了踪迹。 审计很重要。 罗纳德·里根(Ronald Reagan)称之为“信任,但核实”。 人们应该知道你在检查。
最后,开始从域pipe理员中删除人员。 AD权限今天太容易造粒了。 没有理由不这样做。 让人们pipe理员访问他们pipe理的服务器或服务,而不是一切。
我看到它处理了两种方式:
当然,两者都有问题。 第一种方法就是我之前在大型组织select的两项工作。 推理基本上是:
访问和授权是不同的事情。 如果他们擅自访问这些数据,他们会遇到麻烦。 而且,这些人已经可以访问大量未经授权的数据,因此对他们来说这不是一个新问题。 因此,我们会相信他们会保持专业的态度。
这就是为什么我们工作的人往往受到背景调查的原因之一。
当来自人力资源部门的人员开始了一个工作程序,IT人员被要求设置权限以阻止该用户从logging程序的文件位置开始, 即使这样的程序是从IT机密的,我们被特别邀请设置权利排除。
这是明显的利益冲突
第二种select通常是没有IT咨询的部门。 10年前,为了保护数据免受推测BOFH的影响,人们将关键数据放在工作站的驱动器上,并在部门之间共享目录。 这些日子里,这可能是简单的,有一个共享的DropBox文件夹,Microsoft SkyDrive,或其他沿着这些线(毫米,公司数据泄露到不受干扰的第三方)的东西。
但是如果pipe理层看到了这个问题,并与所有人交谈,我所涉及到的每一个事件都会归结为“我们相信这些人是有原因的,只要确保他们完全了解访问策略并继续前进。“
我有五个潜在的解决scheme,其中四个是技术性的。
(1)创build一个AD林和特定于特权信息的另一个域。 根据需要重复以覆盖特定的感兴趣的社区。 这将在域pipe理员之上新增一个angular色 – 企业pipe理员可以进一步分离,甚至细分。
优点:
缺点:
(2)创build一个与个人用户不存在信任关系的独立服务器
优点:
缺点:
(3)购买不同networkingtypes的产品之一,例如Cyber-Ark。 这些产品是专门为您正在讨论的用例而devise的。
优点:
缺点:
(4)将所有信息放在数据库中,然后使用强encryption来encryption所有数据库内容,或使用全磁盘encryption产品以更好地控制文件系统访问以及上面的(1)和/或(2) 。 用一个策略来加强这一点,即禁止清除数据库内容的明文,并要求报告留在数据库中。 encryption产品可以包含强encryption模块(如FIPS 140-2),也可以是物理设备,如硬件安全模块(HSM)。
优点:
缺点:
(5)安全控制补偿 – 加强您的人员安全控制,例如针对违反信息添加保险,增加某些双人要求(可以通过多种不同的方式),另一个angular色(安全pipe理员)或更多的后台检查。 更有创意的select将包括一个金色的降落伞,离开公司后将踢入一个黄金降落伞,在辞职/射击一年后没有违反信息,或更多的关注通过一些特殊的福利,以保持pipe理员与这些关系人员要求。
优点:
缺点:
一旦有人拥有pipe理权利,所有的投注都会被视为安全。 这正是为什么pipe理员需要如此高度的信任 – 总是可以采取任何forms的方法。
你真正可以做的是单独的职责,并build立一个制衡制度。
例如,您可以使用辅助日志logging系统(如Splunk或Linux系统日志服务器),只有您的总裁/谁有权访问并为您的安全目录configuration文件审计。
从ACL中删除pipe理员,并将更改转发到ACL到日志服务器。 它不会阻止事件的发生,但是您将在何时以及如何的情况下明确logging谁更改了权限。
你放置的这些块越多,就越有可能让某个人绊倒其中的一个。
您应该知道,具有该特权级别的人可以访问Windows文件共享上的数据,而不pipe文件/文件夹的安全权限如何。 这是由于在“备份文件和目录”权限可用时,可以在Windows中授予的权限。
有了这个权利,有人可以简单地备份文件,并将其恢复到另一个位置。 而额外的信用,他们可以把它作为一个系统运行的计划任务,所以在审计过程中不会很明显。 如果这不是一个选项,他们可能有权访问备份系统,并可以从那里恢复到一个可能不被审计的位置。
没有EFS,您可能无法依靠文件系统来保证机密性,权限,审计或其他方面的信息。
sysadmin1138的SkyDrive选项对我来说文档听起来不错。 真正敏感的文档数量通常非常小,SkyDrive免费提供7 GB(最大2GB文件)。 对于会计系统来说,这些数据应该通过一定的encryption级别在真实的数据库中进行保护,以及不允许Windowspipe理员访问的身份validation。