保护 NTFS 卷上的文件免受域管理员的侵害

Question 1

首先，你必须信任你的管理员。如果你不信任他们，他们就不应该拥有这份工作或这些特权。公司信任有权访问这些数据的财务或人力资源人员，那么为什么不信任 IT 人员呢？提醒他们，管理员有能力每天破坏生产环境，但却选择不这样做。管理层清楚地看到这个问题很重要。

接下来，正如@sysadmin1138 所说，提醒管理员访问并不等于权限。

也就是说，默认情况下，我们不授予域管理员访问文件共享的权限。他们被移除，取而代之的是三个 ACL 组（读取、写入、管理），每个共享都有 NTFS 权限。默认情况下，没有人属于 ACL 管理员组，并且这些组的成员身份受到监控。

是的，域管理员可以拥有这些文件的所有权，但会留下痕迹。审计很重要。罗纳德·里根称此为“信任，但要核实”。人们应该知道你在检查。

最后，开始将人员从域管理员中移除。如今，AD 权限太容易细分了。没有理由不这样做。授予人员他们管理的服务器或服务的管理员访问权限，而不是所有内容。

Answer

首先，你必须信任你的管理员。如果你不信任他们，他们就不应该拥有这份工作或这些特权。公司信任有权访问这些数据的财务或人力资源人员，那么为什么不信任 IT 人员呢？提醒他们，管理员有能力每天破坏生产环境，但却选择不这样做。管理层清楚地看到这个问题很重要。

接下来，正如@sysadmin1138 所说，提醒管理员访问并不等于权限。

也就是说，默认情况下，我们不授予域管理员访问文件共享的权限。他们被移除，取而代之的是三个 ACL 组（读取、写入、管理），每个共享都有 NTFS 权限。默认情况下，没有人属于 ACL 管理员组，并且这些组的成员身份受到监控。

是的，域管理员可以拥有这些文件的所有权，但会留下痕迹。审计很重要。罗纳德·里根称此为“信任，但要核实”。人们应该知道你在检查。

最后，开始将人员从域管理员中移除。如今，AD 权限太容易细分了。没有理由不这样做。授予人员他们管理的服务器或服务的管理员访问权限，而不是所有内容。

Question 2

我看到过两种处理方法：

让 IT 人员签署一份誓词，一旦被发现在未经授权人员明确授权的情况下访问了相关文件位置，他们将承担严重后果。
数据被移动到 IT 人员无法访问的存储设备。

当然，这两种方法都有各自的问题。第一种方法是我之前在大型组织工作的两份工作选择采用的方法。理由基本上是：

使用权和授权是不同的。如果他们未经授权访问这些数据，他们就会有大麻烦。此外，这些人已经使用权大量他们不了解的数据已授权，所以这对他们来说不是一个新问题。因此，我们相信他们会保持专业的态度。

这就是为什么我们工作中的人往往需要接受背景调查的原因之一。

当人力资源部门的某个人启动工作程序时，IT 人员被叫来设置权限以阻止该用户访问记录该程序的文件位置时，这一点就凸显出来了。即使这些程序是保密的从中，我们被特别邀请去设立正确的排除项。

这是一个明显的利益冲突案例

部门通常会选择第二种方案，而无需咨询 IT 部门。10 年前，为了保护数据免受 BOFH 的监视，人们将关键数据放在工作站的驱动器上，并在部门内相互共享目录。如今，这可能很简单，比如共享 DropBox 文件夹、Microsoft SkyDrive 或其他类似的东西（嗯，将公司数据泄露给未经审查的第三方）。

但如果管理层发现了问题并与每个人讨论了这个问题，那么我所参与或接近过的每个案例都会归结为：“我们信任这些人是有原因的，只要确保他们完全了解访问政策，然后继续前进。”

Answer

我看到过两种处理方法：

让 IT 人员签署一份誓词，一旦被发现在未经授权人员明确授权的情况下访问了相关文件位置，他们将承担严重后果。
数据被移动到 IT 人员无法访问的存储设备。

当然，这两种方法都有各自的问题。第一种方法是我之前在大型组织工作的两份工作选择采用的方法。理由基本上是：

使用权和授权是不同的。如果他们未经授权访问这些数据，他们就会有大麻烦。此外，这些人已经使用权大量他们不了解的数据已授权，所以这对他们来说不是一个新问题。因此，我们相信他们会保持专业的态度。

这就是为什么我们工作中的人往往需要接受背景调查的原因之一。

当人力资源部门的某个人启动工作程序时，IT 人员被叫来设置权限以阻止该用户访问记录该程序的文件位置时，这一点就凸显出来了。即使这些程序是保密的从中，我们被特别邀请去设立正确的排除项。

这是一个明显的利益冲突案例

部门通常会选择第二种方案，而无需咨询 IT 部门。10 年前，为了保护数据免受 BOFH 的监视，人们将关键数据放在工作站的驱动器上，并在部门内相互共享目录。如今，这可能很简单，比如共享 DropBox 文件夹、Microsoft SkyDrive 或其他类似的东西（嗯，将公司数据泄露给未经审查的第三方）。

但如果管理层发现了问题并与每个人讨论了这个问题，那么我所参与或接近过的每个案例都会归结为：“我们信任这些人是有原因的，只要确保他们完全了解访问政策，然后继续前进。”

Question 3

我有五种潜在的解决方案，其中四种是技术性的。

（1）创建一个 AD 林和另一个特定于特权信息的域。 根据需要重复以覆盖特定的兴趣社区。这将在域管理员之上添加一个新角色 - 企业管理员，可以进一步划分甚至细分。

优点：

简单的
限制角色
可以更好地使 AD 结构模拟组织结构

缺点：

稍微复杂
仍然拥有超级权力的管理员，只是数量较少。

（2）创建一个独立的服务器，除了个人用户之外没有信任关系

优点：

简单的
限制角色

缺点：

稍微复杂
将由一名管理员控制
维护

（3）采购不同类型的网络保险库产品之一，例如 Cyber-Ark。 这些产品是专门为您讨论的用例而设计的。

优点：

更加以企业为导向
非常人性化

缺点：

成本
保险库可能仍会有一些超级管理员。

（4）将所有信息放入数据库中，然后使用强加密技术对所有数据库内容进行加密，或者使用全盘加密产品来更好地控制文件系统访问，以及上述（1）和/或（2）. 通过策略来增强此功能，禁止以明文形式删除数据库内容，并要求报告保留在数据库中。加密产品可以包括强加密模块（例如 FIPS 140-2），也可以是物理设备（例如硬件安全模块 (HSM)）。

优点：

可达到军事级别的安全性
最适合您的磁带和磁盘保护需求
更强大的信息保护，以防被黑客入侵

缺点：

灵活性较差
严重影响用户活动！
需要加密角色或安全人员

（5）安全控制补偿——加强人员安全控制例如增加信息泄露保险、增加某些双人要求（可以通过多种不同方式实现）、增加其他角色（安全管理员）或进行更多背景调查。更有创意的选择是包括一个金色降落伞，在辞职/被解雇一年后，如果信息没有泄露，该金色降落伞将在离职后生效，或者通过与这些人员要求相关的一些特殊福利，更加注重让管理员总体上感到满意。

优点：

可能最好地解决内部问题
激励良好行为
可以增强公司与关键管理人员的关系
如果做得好，可以延长员工在公司的任职期限

缺点：

有很多方法可以做到这一点
成本

Answer

我有五种潜在的解决方案，其中四种是技术性的。

（1）创建一个 AD 林和另一个特定于特权信息的域。 根据需要重复以覆盖特定的兴趣社区。这将在域管理员之上添加一个新角色 - 企业管理员，可以进一步划分甚至细分。

优点：

简单的
限制角色
可以更好地使 AD 结构模拟组织结构

缺点：

稍微复杂
仍然拥有超级权力的管理员，只是数量较少。

（2）创建一个独立的服务器，除了个人用户之外没有信任关系

优点：

简单的
限制角色

缺点：

稍微复杂
将由一名管理员控制
维护

（3）采购不同类型的网络保险库产品之一，例如 Cyber-Ark。 这些产品是专门为您讨论的用例而设计的。

优点：

更加以企业为导向
非常人性化

缺点：

成本
保险库可能仍会有一些超级管理员。

（4）将所有信息放入数据库中，然后使用强加密技术对所有数据库内容进行加密，或者使用全盘加密产品来更好地控制文件系统访问，以及上述（1）和/或（2）. 通过策略来增强此功能，禁止以明文形式删除数据库内容，并要求报告保留在数据库中。加密产品可以包括强加密模块（例如 FIPS 140-2），也可以是物理设备（例如硬件安全模块 (HSM)）。

优点：

可达到军事级别的安全性
最适合您的磁带和磁盘保护需求
更强大的信息保护，以防被黑客入侵

缺点：

灵活性较差
严重影响用户活动！
需要加密角色或安全人员

（5）安全控制补偿——加强人员安全控制例如增加信息泄露保险、增加某些双人要求（可以通过多种不同方式实现）、增加其他角色（安全管理员）或进行更多背景调查。更有创意的选择是包括一个金色降落伞，在辞职/被解雇一年后，如果信息没有泄露，该金色降落伞将在离职后生效，或者通过与这些人员要求相关的一些特殊福利，更加注重让管理员总体上感到满意。

优点：

可能最好地解决内部问题
激励良好行为
可以增强公司与关键管理人员的关系
如果做得好，可以延长员工在公司的任职期限

缺点：

有很多方法可以做到这一点
成本

Question 4

您应该知道，具有该权限级别的人可以访问 Windows 文件共享上的数据，而不管文件/文件夹的安全权限如何。这是由于当“备份文件和目录”权限可用时，Windows 中可以授予的权限。

有了这项权利，人们就可以简单地备份文件，然后将其恢复到另一个位置。为了获得额外的好处，他们可以将其作为系统运行的计划任务来执行，这样在审计期间就不会那么明显。如果那不是一个选择，他们可能有权访问备份系统，并且可以将数据从那里恢复到可能不会被审计的位置。

如果没有 EFS，您可能无法依赖文件系统来保证机密性、权限、审计或其他方面。

sysadmin1138 推荐的 SkyDrive 选项对我来说非常适合用于文档。真正敏感的文档数量通常非常少，而 SkyDrive 可免费为您提供 7 GB（最多 2GB 文件）。对于会计系统，这些数据应通过某种程度的加密和身份验证在真实数据库中受到保护，而 Windows 管理员则无法访问这些加密和身份验证。

Answer

您应该知道，具有该权限级别的人可以访问 Windows 文件共享上的数据，而不管文件/文件夹的安全权限如何。这是由于当“备份文件和目录”权限可用时，Windows 中可以授予的权限。

有了这项权利，人们就可以简单地备份文件，然后将其恢复到另一个位置。为了获得额外的好处，他们可以将其作为系统运行的计划任务来执行，这样在审计期间就不会那么明显。如果那不是一个选择，他们可能有权访问备份系统，并且可以将数据从那里恢复到可能不会被审计的位置。

如果没有 EFS，您可能无法依赖文件系统来保证机密性、权限、审计或其他方面。

sysadmin1138 推荐的 SkyDrive 选项对我来说非常适合用于文档。真正敏感的文档数量通常非常少，而 SkyDrive 可免费为您提供 7 GB（最多 2GB 文件）。对于会计系统，这些数据应通过某种程度的加密和身份验证在真实数据库中受到保护，而 Windows 管理员则无法访问这些加密和身份验证。

保护 NTFS 卷上的文件免受域管理员的侵害

答案1

答案2

答案3

答案4

相关内容