Protéger les fichiers sur le volume NTFS des administrateurs de domaine

Nous sommes une petite entreprise avec un domaine 2008R2 sur lequel nous avons un serveur de fichiers avec plusieurs volumes partagés. Nous avons un certain nombre de personnel informatique dans le rôle d'administrateur de domaine, car en fait, nous sommes tous disponibles 24h / 24 et 7j / 7. Cependant, il est récemment devenu un problème de politique d'entreprise qu'il existe certains dossiers ou fichiers (données salariales, revues de performance, informations comptables) qui devraient être confidentiels, y compris du personnel informatique. Cela inclut également les données sur les sauvegardes (bande et disque).

Les choses qui nous sont venues à ce jour:

* EFS - mais il faudrait mettre en place une PKI, ce qui est un peu exagéré pour la taille de notre entreprise

* TrueCrypt - mais cela tue l'accès simultané et la capacité de recherche

* Supprimer les administrateurs de domaine des listes de contrôle d'accès - mais cela est extrêmement facile (un clic) à contourner

* Abandonner l'utilisation du groupe Administrateurs du domaine et déléguer les autorisations de manière plus explicite - mais là encore, c'est un peu exagéré, et nous voulons réduire le besoin de comptes partagés (par exemple, MYDOMAIN \ Administrator) autant que possible pour des raisons d'audit

Je suis sûr que ce n'est pas un problème nouveau, et je suis curieux de savoir comment d'autres personnes avec ce genre d'exigence l'ont géré? Y a-t-il des options que nous n'avons pas encore envisagées?

Merci!

Tout d'abord, vous devez faire confiance à vos administrateurs. Sinon, ils ne devraient pas avoir ce travail ni ces privilèges. L'entreprise fait confiance à la personne des finances ou des RH qui a accès à ces données, alors pourquoi pas le personnel informatique? Rappelez-leur que les administrateurs ont la possibilité de jeter tous les jours l'environnement de production, mais choisissent de ne pas le faire. Il est important que la direction voit clairement ce problème.

Ensuite, comme le dit @ sysadmin1138, rappelez aux administrateurs que l'accès N'EST PAS égal à l'autorisation.

Cela dit, nous n'accordons pas aux administrateurs de domaine l'accès aux partages de fichiers par défaut. Ils sont supprimés et à leur place trois groupes ACL (lecture, écriture, admin) pour chacun partage les autorisations NTFS. Personne n'est dans le groupe Admin ACL par défaut et l'appartenance à ces groupes est surveillée.

Oui, les administrateurs de domaine peuvent s'approprier ces fichiers, mais cela laisse une trace. L'audit est important. Ronald Reagan a appelé cette "confiance, mais vérifiez". Les gens devraient savoir que vous vérifiez.

Enfin, commencez à supprimer des personnes des administrateurs de domaine. Les autorisations AD sont trop faciles à granulariser aujourd'hui. aucune raison de ne pas le faire. Donnez aux utilisateurs un accès administrateur aux serveurs ou services qu'ils gèrent, pas à tout.

Je l'ai vu géré de deux manières:

1. Faites en sorte que le personnel informatique signe quelque chose en le jurant à Dire Consequences s'il devait être révélé qu'il avait accédé aux emplacements de fichiers en question sans l'autorisation explicite d'une personne autorisée à accorder un tel accès.
2. Les données sont transférées vers un périphérique de stockage non accessible au personnel informatique.

Les deux ont leurs problèmes, bien sûr. La première méthode est ce que mes deux emplois précédents dans de grandes organisations ont choisi de suivre. Le raisonnement était essentiellement:

L'accès et l' autorisation sont des choses différentes. S'ils accèdent à ces données sans autorisation, ils ont de gros problèmes. De plus, ce sont des gens qui ont déjà accès à de vastes étendues de données pour lesquelles ils ne sont pas autorisés , ce n'est donc pas un nouveau problème pour eux. Par conséquent, nous leur ferons confiance pour rester à l'écart et être professionnels à ce sujet.

C'est l'une des raisons pour lesquelles les personnes occupant nos emplois sont généralement soumises à une vérification des antécédents.

Cela a été signalé lorsque quelqu'un des RH lui-même a commencé une procédure de travail, et le personnel informatique a été appelé pour configurer les autorisations pour bloquer cet utilisateur des emplacements de fichiers où la procédure a été documentée. Même si ces procédures sont confidentielles de l'informatique , nous avons été spécifiquement invités à mettre en place le droit exclut.

C'était un cas de conflit d'intérêts explicite

La deuxième option est généralement suivie par les ministères sans consultation des TI. Il y a 10 ans, cette volonté de protéger les données de l'œil omniprésent du présumé BOFH a amené les gens à mettre des données critiques sur les lecteurs de leur poste de travail et à partager les répertoires entre eux au sein du département. De nos jours, cela pourrait être quelque chose d'aussi simple que d'avoir un dossier DropBox partagé, Microsoft SkyDrive, ou quelque chose d'autre dans ce sens (mmmm, exfiltration des données de l'entreprise à des tiers non contrôlés).

Mais si la direction a vu le problème et en a parlé à tout le monde, chaque instance avec laquelle j'ai été impliquée ou proche s'est résumée à: "Nous faisons confiance à ces personnes pour une raison, assurez-vous qu'elles sont pleinement conscientes des politiques d'accès et avance."

J'ai cinq solutions potentielles, dont quatre techniques.

(1) Créez une forêt AD et un autre domaine spécifique aux informations privilégiées. Répétez au besoin pour couvrir des communautés d'intérêt spécifiques. Cela ajoutera un nouveau rôle au-dessus des administrateurs de domaine - les administrateurs d'entreprise qui peuvent être davantage séparés et même subdivisés.

Avantages:

• Facile
• Limite les rôles
• Peut mieux permettre à la structure AD d'émuler la structure organisationnelle

Les inconvénients:

• Légère complexité
• Vous avez toujours un administrateur super puissant, juste un peu moins.

(2) Créer un serveur autonome sans relation de confiance en dehors des utilisateurs individuels

Avantages:

• Facile
• Limite les rôles

Les inconvénients:

• Légère complexité
• Un administrateur le contrôlera
• Entretien

(3) Procurez-vous l'un des différents types de produits de coffre-fort de réseau, par exemple Cyber-Ark. Ces produits sont spécialement conçus pour le cas d'utilisation dont vous parlez.

Avantages:

• Plus orienté entreprise
• Peut être très convivial

Les inconvénients:

• Coût
• Il reste encore des super-administrateurs pour le coffre-fort.

(4) Placez toutes les informations dans les bases de données, puis utilisez un cryptage fort pour crypter tout le contenu de la base de données, ou utilisez un produit de cryptage de disque complet pour mieux contrôler l'accès au système de fichiers avec (1) et / ou (2) ci-dessus . Augmentez cela avec une politique pour interdire la suppression en clair du contenu de la base de données et exiger que les rapports restent dans la base de données. Le produit de chiffrement peut inclure des modules de chiffrement solides tels que FIPS 140-2 et peut également être un périphérique physique, tel qu'un module de sécurité matérielle (HSM).

Avantages:

• Peut atteindre des niveaux de sécurité militaires
• Convient le mieux à vos besoins de protection de bande et de disque
• Meilleure protection des informations en cas de piratage

Les inconvénients:

• Moins flexible
• Impacts significatifs sur les activités des utilisateurs!
• Nécessite un rôle cryptographique ou un responsable de la sécurité

(5) Compensation du contrôle de sécurité - renforcez les contrôles de sécurité de votre personnel, tels que l'ajout d'une assurance contre la violation d'informations, l'ajout de certaines exigences pour deux personnes (peut être fait de différentes manières), un autre rôle (administrateur de la sécurité) ou une vérification des antécédents. Des options plus créatives consisteraient à inclure un parachute doré qui se déclencherait après le départ de l'entreprise sans aucune violation de l'information un an après la démission / le licenciement, ou plus d'attention accordée à la satisfaction générale des administrateurs via des avantages spéciaux liés à ces derniers. besoins en personnel.

Avantages:

• Peut mieux résoudre le problème du délit d'initié
• Incite au bon comportement
• Peut améliorer la relation de l'entreprise avec les administrateurs clés
• Peut prolonger les mandats du personnel avec l'entreprise si c'est fait correctement

Les inconvénients:

• Tant d'options pour le faire
• Coût

Une fois que quelqu'un a des droits administratifs, tous les paris sont bloqués en ce qui concerne la sécurité. C'est exactement pourquoi les administrateurs ont besoin d'un niveau de confiance aussi élevé - il existe toujours des moyens de contourner tout type de bloc pouvant être mis en place.

Tout ce que vous pouvez vraiment faire, c'est séparer les tâches et mettre en place un système de freins et contrepoids.

Par exemple, vous pouvez utiliser un système de journalisation secondaire (comme Splunk ou un serveur syslog Linux) auquel seul votre président / quiconque a accès et configure l'audit de fichiers pour vos répertoires sécurisés.

Supprimez les administrateurs des ACL et transférez les modifications de l'ACL au serveur de journaux. Cela n'empêchera pas l'événement de se produire, mais vous aurez un journal précis de qui a changé les autorisations quand et comment.

Plus vous mettez de blocs en place, plus vous risquez de voir quelqu'un tomber sur l'un d'entre eux.

Vous devez savoir qu'une personne avec ce niveau de privilège peut accéder aux données sur les partages de fichiers Windows indépendamment des autorisations de sécurité des fichiers / dossiers. Cela est dû aux privilèges qui peuvent être conférés dans Windows lorsque le droit "Fichiers et répertoires de sauvegarde" est disponible.

Avec ce droit, quelqu'un peut simplement sauvegarder les fichiers et les restaurer vers un autre emplacement. Et pour un crédit supplémentaire, ils pourraient le faire comme une tâche planifiée s'exécutant en tant que système, ce serait donc moins évident lors d'un audit. Si ce n'était pas une option, ils pourraient avoir accès au système de sauvegarde et pourraient restaurer les données à partir de là vers un emplacement qui pourrait ne pas être audité.

Sans EFS, vous ne pourrez peut-être pas compter sur le système de fichiers pour garantir la confidentialité, les autorisations, l'audit ou autre.

L'option SkyDrive qui sysadmin1138 m'a semblé bonne pour les documents. La quantité de documents vraiment sensibles est généralement assez petite, et SkyDrive vous offre 7 Go gratuits (fichier de 2 Go max). Pour un système comptable, ces données doivent être protégées dans une vraie base de données par un certain niveau de cryptage et une authentification qui ne permettrait pas à un administrateur Windows d'accéder.