Proteger arquivos no volume NTFS dos Administradores de Domínio

Somos uma pequena empresa com um domínio 2008R2 no qual temos um servidor de arquivos com vários volumes compartilhados. Temos uma equipe de TI na função de administradores de domínio, porque, efetivamente, estamos todos de plantão 24x7. No entanto, recentemente se tornou um problema da política da empresa a existência de determinadas pastas ou arquivos (dados sobre salários, análises de desempenho, informações contábeis) que deveriam ser confidenciais, inclusive da equipe de TI. Isso também inclui os dados dos backups (fita e disco).

Coisas que nos ocorreram até agora:

* EFS - mas teríamos que configurar uma PKI, que é um pouco exagerada para o tamanho da nossa empresa

* TrueCrypt - mas isso mata o acesso simultâneo e a capacidade de pesquisa

* Remova os administradores de domínio das ACLs - mas é extremamente fácil (um clique) ignorar

* Descartar o uso do grupo Admins. Do Domínio e delegar permissões de forma mais explícita - mas novamente isso é um pouco exagerado, e queremos reduzir a necessidade de contas compartilhadas (por exemplo, MYDOMAIN \ Administrator) quanto possível por motivos de auditoria

Tenho certeza de que esse não é um problema novo e estou curioso para saber como outras pessoas com esse tipo de requisito lidaram com isso? Existem opções que ainda não consideramos?

Obrigado!

Primeiro, você precisa confiar nos seus administradores. Caso contrário, eles não devem ter esse trabalho ou esses privilégios. A empresa confia na pessoa financeira ou de RH que tem acesso a esses dados. Por que não a equipe de TI? Lembre-os de que os administradores têm a capacidade de lixeira todos os dias do ambiente de produção, mas optam por não fazê-lo. É importante que a gerência veja essa questão claramente.

Em seguida, como @ sysadmin1138 diz, lembre aos administradores que o acesso NÃO é igual à permissão.

Dito isso, não concedemos acesso de administradores de domínio a compartilhamentos de arquivos por padrão. Eles são removidos e em seu lugar três grupos de ACL (leitura, gravação, administrador) para cada compartilhamento de permissões NTFS. Ninguém está no grupo Admin da ACL por padrão e a associação a esses grupos é monitorada.

Sim, os administradores de domínio podem se apropriar desses arquivos, mas deixam um rastro. Auditoria é importante. Ronald Reagan chamou isso de "confiança, mas verifique". As pessoas devem saber que você está verificando.

Por fim, comece a remover pessoas de administradores de domínio. As permissões do AD são muito fáceis de granularizar hoje. não há razão para não fazê-lo. Conceda às pessoas acesso de administrador aos servidores ou serviços que gerenciam, não a tudo.

Eu vi isso tratado de duas maneiras:

1. Faça com que a equipe de TI assine algo jurando-as a Dire Consequences, caso seja revelado que eles acessaram os locais dos arquivos em questão sem autorização explícita de alguém autorizado a obter esse acesso.
2. Os dados são movidos para um dispositivo de armazenamento não acessível pela equipe de TI.

Ambos têm seus problemas, é claro. O primeiro método é o que meus dois empregos anteriores em grandes organizações optaram por seguir. O raciocínio foi basicamente:

Acesso e Autorização são coisas diferentes. Se eles acessarem esses dados sem autorização, terão grandes problemas. Além disso, são pessoas que já têm acesso a vastas faixas de dados para as quais não estão autorizadas , portanto, não é um problema novo para elas. Portanto, confiaremos neles para manter-se fora e ser profissional sobre isso.

Essa é uma das razões pelas quais as pessoas em nossos empregos tendem a estar sujeitas a verificações de antecedentes.

Isso foi interrompido quando alguém do próprio RH iniciou um processo de trabalho, e a equipe de TI foi chamada para configurar as permissões para bloquear esse usuário nos locais dos arquivos onde os procedimentos foram documentados. Embora esses procedimentos sejam confidenciais da TI , fomos especificamente convidados a configurar as exclusões corretas.

Esse foi um caso de conflito de interesses explícito

A segunda opção é normalmente seguida por departamentos sem consulta de TI. Há 10 anos, essa unidade para proteger os dados da visão geral do presumido BOFH levou as pessoas a colocarem dados críticos nas unidades de suas estações de trabalho e compartilharem os diretórios entre si no departamento. Hoje em dia, isso pode ser algo tão simples quanto uma pasta DropBox compartilhada, o Microsoft SkyDrive ou algo assim (mmmm, exfiltração de dados da empresa para terceiros não desejados).

Mas se a gerência viu o problema e conversou com todo mundo a respeito, todas as instâncias em que estive envolvido ou quase se resumiram a: "Confiamos nessas pessoas por um motivo, apenas verifique se elas estão totalmente cientes das políticas de acesso e seguir em frente."

Eu tenho cinco soluções em potencial, quatro das quais são técnicas.

(1) Crie uma floresta do AD e outro domínio específico para informações privilegiadas. Repita conforme necessário para cobrir comunidades específicas de interesse. Isso adicionará uma nova função acima dos administradores de domínio - administradores corporativos que podem ser ainda mais segregados e até subdivididos.

Prós:

• Fácil
• Limita funções
• Pode permitir melhor à estrutura do AD emular a estrutura organizacional

Contras:

• Complexidade leve
• Ainda tem um administrador superpoderoso, apenas menos deles.

(2) Crie um servidor autônomo sem relação de confiança além dos usuários individuais

Prós:

• Fácil
• Limita funções

Contras:

• Complexidade leve
• Terá um administrador controlando-o
• Manutenção

(3) Adquira um dos diferentes tipos de produtos de cofre de rede, como o Cyber-Ark. Esses produtos foram projetados especificamente para o caso de uso que você está discutindo.

Prós:

• Mais orientado para a empresa
• Pode ser muito amigável

Contras:

• Custo
• Ainda há alguns superadministradores provavelmente para o cofre.

(4) Coloque todas as informações nos bancos de dados e use criptografia forte para criptografar todo o conteúdo do banco de dados ou use um produto de criptografia de disco completo para controlar melhor o acesso ao sistema de arquivos junto com (1) e / ou (2) acima . Aumente isso com uma política para proibir a remoção de texto não criptografado do conteúdo do banco de dados e exigir que os relatórios permaneçam no banco de dados. O produto de criptografia pode incluir módulos de criptografia fortes, como FIPS 140-2, e também pode ser um dispositivo físico, como um módulo de segurança de hardware (HSM).

Prós:

• Pode atingir níveis militares de segurança
• Melhor se adapta às suas necessidades de proteção de fita e disco
• Maior proteção das informações caso você seja invadido

Contras:

• Menos flexível
• Impacta significativamente as atividades do usuário!
• Requer uma função criptográfica ou pessoa de segurança

(5) Compensação de controle de segurança - aprimore os controles de segurança de seu pessoal , como adicionar seguro contra uma violação de informações, adicionar certos requisitos para duas pessoas (pode ser feito de várias maneiras diferentes), outra função (administrador de segurança) ou mais verificação de antecedentes. Opções mais criativas seriam incluir um pára-quedas de ouro que entraria em ação após a saída da empresa, sem quebra de informações um ano após a demissão / demissão, ou mais atenção para manter os administradores satisfeitos em geral por meio de algumas vantagens especiais relacionadas a estes requisitos de pessoal.

Prós:

• Pode resolver melhor o problema do problema interno
• Incentiva o bom comportamento
• Pode melhorar o relacionamento da empresa com os principais administradores
• Pode prolongar a posse de pessoal com a empresa, se bem feito

Contras:

• Tantas opções para fazer isso
• Custo

Depois que alguém tem direitos administrativos, todas as apostas ficam fora do alcance da segurança. É exatamente por isso que os administradores precisam de um nível tão alto de confiança - sempre existem maneiras de contornar qualquer tipo de bloco que possa ser implementado.

Tudo o que você pode realmente fazer é separar tarefas e criar um sistema de freios e contrapesos.

Por exemplo, você pode usar um sistema de registro secundário (como o Splunk ou um servidor de syslog do Linux) ao qual apenas o seu presidente / quem quer que tenha acesso e configure a auditoria de arquivos para seus diretórios seguros.

Remova os administradores das ACLs e encaminhe as alterações para a ACL para o servidor de log. Isso não impedirá que o evento aconteça, mas você terá um registro definitivo de quem alterou as permissões quando e como.

Quanto mais desses blocos você colocar, maior a probabilidade de alguém tropeçar em um deles.

Você deve estar ciente de que uma pessoa com esse nível de privilégio pode acessar dados nos compartilhamentos de arquivos do Windows, independentemente das permissões de segurança dos arquivos / pastas. Isso ocorre devido aos privilégios que podem ser conferidos no Windows quando o direito "Backup de arquivos e diretórios" está disponível.

Com esse direito, alguém pode simplesmente fazer backup dos arquivos e restaurá-los para outro local. E, para crédito extra, eles poderiam fazer isso como uma tarefa agendada em execução como sistema, para que não fosse óbvio durante uma auditoria. Se isso não fosse uma opção, eles podem ter acesso ao sistema de backup e restaurar os dados de lá para um local que pode não ser auditado.

Sem o EFS, talvez você não possa confiar no sistema de arquivos para garantir confidencialidade, permissões, auditoria ou outros.

A opção SkyDrive que sysadmin1138 me pareceu boa para documentos. A quantidade de documentos realmente sensíveis geralmente é muito pequena, e o SkyDrive oferece 7 GB de graça (arquivo de 2 GB no máximo). Para um sistema de contabilidade, esses dados devem ser protegidos em um banco de dados real por algum nível de criptografia e autenticação que não permita o acesso de um administrador do Windows.