Schützen Sie Dateien auf dem NTFS-Volume vor Domänenadministratoren

Wir sind ein kleines Unternehmen mit einer 2008R2-Domain, auf der wir einen Dateiserver mit mehreren gemeinsam genutzten Volumes haben. Wir haben eine Reihe von IT-Mitarbeitern in der Rolle des Domänenadministrators, da wir alle rund um die Uhr erreichbar sind. In letzter Zeit ist es jedoch zu einem Problem der Unternehmensrichtlinien geworden, dass bestimmte Ordner oder Dateien (Gehaltsdaten, Leistungsüberprüfungen, Buchhaltungsinformationen) vertraulich behandelt werden sollten, auch von IT-Mitarbeitern. Dies schließt auch die Daten auf Sicherungen (Band und Festplatte) ein.

Dinge, die uns bisher eingefallen sind:

* EFS - aber wir müssten eine PKI einrichten, was für unsere Unternehmensgröße etwas übertrieben ist

* TrueCrypt - dies beeinträchtigt jedoch den gleichzeitigen Zugriff und die Suchfähigkeit

* Entfernen Sie Domain-Administratoren aus den ACLs - dies ist jedoch extrem einfach (mit einem Klick) zu umgehen

* Das Löschen der Verwendung der Gruppe "Domänenadministratoren" und das explizitere Delegieren von Berechtigungen - auch dies ist ein wenig übertrieben, und wir möchten den Bedarf an freigegebenen Konten (z. B. MYDOMAIN \ Administrator) aus Prüfungsgründen so gering wie möglich halten

Ich bin mir sicher, dass dies kein neuartiges Problem ist, und bin gespannt, wie andere Menschen mit solchen Anforderungen damit umgegangen sind. Gibt es Optionen, die wir noch nicht in Betracht gezogen haben?

Vielen Dank!

Zunächst müssen Sie Ihren Admins vertrauen. Wenn Sie dies nicht tun, sollten sie diesen Job oder diese Privilegien nicht haben. Das Unternehmen vertraut der Finanz- oder Personalabteilung, die Zugriff auf diese Daten hat. Warum also nicht die IT-Mitarbeiter? Erinnern Sie sie daran, dass die Administratoren die Möglichkeit haben, die Produktionsumgebung jeden Tag zu verwerfen, sich jedoch dagegen entscheiden. Es ist wichtig, dass das Management dieses Problem klar sieht.

Erinnern Sie als Nächstes, wie @ sysadmin1138 sagt, die Administratoren daran, dass der Zugriff NICHT der Berechtigung entspricht.

Wir gewähren Domain-Administratoren jedoch standardmäßig keinen Zugriff auf Dateifreigaben. Sie werden entfernt und an ihrer Stelle drei ACL-Gruppen (Lesen, Schreiben, Admin) für jede Freigabe der NTFS-Berechtigungen. Standardmäßig befindet sich niemand in der ACL-Administratorgruppe, und die Mitgliedschaft in diesen Gruppen wird überwacht.

Ja, Domain-Administratoren können diese Dateien in Besitz nehmen, aber es hinterlässt eine Spur. Audit ist wichtig. Ronald Reagan nannte dies "Vertrauen, aber überprüfen". Die Leute sollten wissen, dass Sie überprüfen.

Beginnen Sie schließlich damit, Personen von Domain-Administratoren zu entfernen. AD-Berechtigungen sind heute zu einfach zu granularisieren. Kein Grund, dies nicht zu tun. Geben Sie den Administratoren Zugriff auf die von ihnen verwalteten Server oder Dienste, nicht auf alles.

Ich habe gesehen, wie es auf zwei Arten gehandhabt wurde:

1. Lassen Sie die IT-Mitarbeiter etwas unterschreiben, das sie auf Dire Consequences schwört, falls sich jemals herausstellt, dass sie auf die betreffenden Dateispeicherorte zugegriffen haben, ohne dass dies ausdrücklich von jemandem autorisiert wurde, der für einen solchen Zugriff autorisiert ist.
2. Die Daten werden auf ein Speichergerät verschoben, auf das das IT-Personal nicht zugreifen kann.

Beide haben natürlich ihre Probleme. Die erste Methode ist, was meine vorherigen zwei Jobs bei großen Organisationen gewählt haben, um zu folgen. Die Argumentation war im Grunde:

Zugriff und Autorisierung sind verschiedene Dinge. Wenn sie ohne Autorisierung auf diese Daten zugreifen, haben sie große Probleme. Dies sind auch Personen, die bereits Zugriff auf große Datenmengen haben, für die sie nicht autorisiert sind , sodass dies für sie kein neues Problem darstellt. Deshalb werden wir darauf vertrauen, dass sie draußen bleiben und professionell damit umgehen.

Dies ist ein Grund, warum Menschen in unseren Berufen in der Regel Hintergrundprüfungen unterzogen werden.

Dies war schwierig, als jemand aus der Personalabteilung selbst ein Arbeitsverfahren einleitete und das IT-Personal aufgefordert wurde, die Berechtigungen einzurichten, um diesen Benutzer von den Dateispeicherorten zu blockieren, an denen das Verfahren dokumentiert wurde. Obwohl solche Verfahren von der IT vertraulich behandelt werden , wurden wir ausdrücklich aufgefordert, die Ausschlussrechte einzurichten.

Dies war ein Fall von explizitem Interessenkonflikt

Auf die zweite Option folgen in der Regel Abteilungen ohne Rücksprache mit der IT. Vor 10 Jahren veranlasste dieses Bestreben, Daten vor dem allsehenden Auge des mutmaßlichen BOFH zu schützen, kritische Daten auf die Laufwerke ihrer Workstation zu setzen und die Verzeichnisse in der Abteilung untereinander zu teilen. Heutzutage könnte dies so einfach sein, dass ein freigegebener DropBox-Ordner, Microsoft SkyDrive oder etwas anderes in dieser Richtung vorhanden ist (mmmm, Exfiltration von Unternehmensdaten an nicht überprüfte Dritte).

Wenn das Management das Problem erkannt und mit allen darüber gesprochen hat, ist jede Instanz, an der ich beteiligt war oder in deren Nähe ich war, darauf zurückzuführen: "Wir vertrauen diesen Personen aus einem bestimmten Grund. Stellen Sie nur sicher, dass sie die Zugriffsrichtlinien vollständig kennen und fahre fort."

Ich habe fünf mögliche Lösungen, von denen vier technisch sind.

(1) Erstellen Sie eine AD-Gesamtstruktur und eine andere Domäne, die für privilegierte Informationen spezifisch ist. Wiederholen Sie diesen Vorgang nach Bedarf, um bestimmte Interessengemeinschaften abzudecken. Dies wird eine neue Rolle über den Domänenadministratoren hinzufügen - Unternehmensadministratoren, die weiter getrennt und sogar unterteilt werden können.

Vorteile:

• Einfach
• Begrenzt Rollen
• Kann die AD-Struktur besser in die Lage versetzen, die Organisationsstruktur zu emulieren

Nachteile:

• Leichte Komplexität
• Habe immer noch einen super Power Admin, nur weniger von ihnen.

(2) Erstellen Sie einen eigenständigen Server ohne Vertrauensbeziehung, abgesehen von einzelnen Benutzern

Vorteile:

• Einfach
• Begrenzt Rollen

Nachteile:

• Leichte Komplexität
• Wird einen Administrator haben, der es kontrolliert
• Instandhaltung

(3) Beschaffen Sie sich einen der verschiedenen Network Vault-Produkttypen, beispielsweise Cyber-Ark. Diese Produkte wurden speziell für den von Ihnen diskutierten Anwendungsfall entwickelt.

Vorteile:

• Mehr unternehmensorientiert
• Kann sehr benutzerfreundlich sein

Nachteile:

• Kosten
• Habe noch einige Superadministratoren wahrscheinlich für den Tresor.

(4) Platzieren Sie alle Informationen in Datenbanken und verwenden Sie dann eine starke Verschlüsselung, um den gesamten Datenbankinhalt zu verschlüsseln, oder verwenden Sie ein vollständiges Festplattenverschlüsselungsprodukt, um den Dateisystemzugriff zusammen mit (1) und / oder (2) oben besser zu steuern . Ergänzen Sie dies mit einer Richtlinie, die das Entfernen von Datenbankinhalten durch Klartext nicht zulässt und erfordert, dass Berichte in der Datenbank verbleiben. Das Verschlüsselungsprodukt kann starke Verschlüsselungsmodule wie FIPS 140-2 enthalten und kann auch ein physisches Gerät wie ein Hardware-Sicherheitsmodul (HSM) sein.

Vorteile:

• Kann militärische Sicherheitsniveaus erreichen
• Passt am besten zu Ihren Anforderungen an den Band- und Festplattenschutz
• Mehr Informationsschutz für den Fall, dass Sie gehackt werden

Nachteile:

• Weniger flexibel
• Beeinflusst die Benutzeraktivitäten erheblich!
• Benötigt eine Kryptorolle oder Sicherheitsperson

(5) Vergütung für Sicherheitskontrollen - Verbessern Sie die Sicherheitskontrollen Ihres Personals, z. B. durch Hinzufügen einer Versicherung gegen Informationsverletzungen, Hinzufügen bestimmter Anforderungen für zwei Personen (auf viele verschiedene Arten), einer anderen Rolle (Sicherheitsadministrator) oder weiterer Hintergrundüberprüfungen. Zu den kreativeren Optionen gehört ein goldener Fallschirm, der ein Jahr nach dem Rücktritt / der Entlassung nach dem Ausscheiden aus dem Unternehmen ohne Informationsverletzung eingesetzt wird, oder die Beachtung der allgemeinen Zufriedenheit der Administratoren durch einige besondere Vergünstigungen, die mit diesen verbunden sind Personalbedarf.

Vorteile:

• Kann das Problem des Insider-Problems am besten angehen
• Anreize für gutes Verhalten
• Kann die Beziehung des Unternehmens zu wichtigen Administratoren verbessern
• Kann die Amtszeit des Personals im Unternehmen verlängern, wenn dies richtig gemacht wird

Nachteile:

• So viele Möglichkeiten dafür
• Kosten

Sobald jemand über Administratorrechte verfügt, sind alle Wetten in Bezug auf die Sicherheit ungültig. Genau aus diesem Grund benötigen Administratoren ein so hohes Maß an Vertrauen - es gibt immer Möglichkeiten, um alle Arten von Blöcken zu umgehen, die eingerichtet werden können.

Alles, was Sie wirklich tun können, ist, separate Aufgaben zu erledigen und ein Check-and-Balancesystem einzurichten.

Sie könnten beispielsweise ein sekundäres Protokollierungssystem (wie Splunk oder einen Linux-Syslog-Server) verwenden, auf das nur Ihr Präsident / wer Zugriff hat und die Dateiüberwachung für Ihre sicheren Verzeichnisse konfiguriert.

Entfernen Sie die Administratoren aus den ACLs und leiten Sie Änderungen an der ACL an den Protokollserver weiter. Das Ereignis wird dadurch nicht gestoppt, aber Sie haben ein eindeutiges Protokoll darüber, wer wann und wie die Berechtigungen geändert hat.

Je mehr dieser Blöcke Sie einsetzen, desto wahrscheinlicher ist es, dass jemand über einen von ihnen stolpert.

Sie sollten sich bewusst sein, dass eine Person mit dieser Berechtigungsstufe unabhängig von den Sicherheitsberechtigungen der Dateien / Ordner auf Daten auf Windows-Dateifreigaben zugreifen kann. Dies liegt an den Berechtigungen, die in Windows gewährt werden können, wenn das Recht "Dateien und Verzeichnisse sichern" verfügbar ist.

Mit diesem Recht kann jemand die Dateien einfach sichern und an einem anderen Ort wiederherstellen. Und für zusätzliche Gutschriften könnten sie dies als geplante Aufgabe ausführen, die als System ausgeführt wird, sodass dies während eines Audits weniger als offensichtlich wäre. Wenn dies keine Option wäre, haben sie möglicherweise Zugriff auf das Sicherungssystem und können die Daten von dort an einem Ort wiederherstellen, der möglicherweise nicht überwacht wird.

Ohne EFS können Sie sich möglicherweise nicht auf das Dateisystem verlassen, um Vertraulichkeit, Berechtigungen, Prüfung oder auf andere Weise zu gewährleisten.

Die SkyDrive-Option sysadmin1138 klang für Dokumente gut. Die Anzahl der Dokumente, die wirklich vertraulich sind, ist normalerweise recht gering, und SkyDrive bietet Ihnen 7 GB kostenlos (maximal 2 GB Datei). Für ein Abrechnungssystem sollten diese Daten in einer realen Datenbank durch eine gewisse Verschlüsselung und Authentifizierung geschützt werden, die einem Windows-Administrator keinen Zugriff ermöglichen würde.