Proteja los archivos en el volumen NTFS de los administradores de dominio

Somos una pequeña empresa con un dominio 2008R2 en el que tenemos un servidor de archivos con varios volúmenes compartidos. Tenemos una cantidad de personal de TI en el rol de administradores de dominio, porque efectivamente todos estamos de guardia las 24 horas del día, los 7 días de la semana. Sin embargo, recientemente se ha convertido en un problema de la política de la compañía que hay ciertas carpetas o archivos (datos salariales, revisiones de desempeño, información contable) que deben ser confidenciales, incluso del personal de TI. Esto también incluye los datos de las copias de seguridad (cinta y disco).

Cosas que se nos han ocurrido hasta ahora:

* EFS, pero tendríamos que configurar una PKI, que es un poco exagerado para el tamaño de nuestra empresa

* TrueCrypt, pero esto mata el acceso concurrente y la capacidad de búsqueda

* Eliminar administradores de dominio de las ACL, pero esto es extremadamente fácil (un clic) para evitar

* Dejar de usar el grupo de Administradores de dominio y delegar los permisos de manera más explícita, pero nuevamente esto es un poco excesivo, y queremos reducir la necesidad de cuentas compartidas (por ejemplo, MYDOMAIN \ Administrador) como sea posible por razones de auditoría

Estoy seguro de que este no es un problema nuevo, y tengo curiosidad por saber cómo lo han manejado otras personas con este tipo de requisitos. ¿Hay alguna opción que aún no hayamos considerado?

¡Gracias!

En primer lugar, debes confiar en tus administradores. Si no lo hace, no deberían tener este trabajo o estos privilegios. La empresa confía en la persona de finanzas o recursos humanos que tiene acceso a estos datos, entonces, ¿por qué no el personal de TI? Recuérdeles que los administradores tienen la capacidad de destruir el entorno de producción todos los días, sin embargo, eligen no hacerlo. Es importante que la gerencia vea este problema claramente.

A continuación, como dice @ sysadmin1138, recuerde a los administradores que el acceso NO equivale a permiso.

Dicho esto, no otorgamos a los administradores de dominio acceso a archivos compartidos de forma predeterminada. Se eliminan y, en su lugar, tres grupos ACL (Lectura, Escritura, Administración) para cada uno comparte los permisos NTFS. Nadie está en el grupo de administradores de ACL de forma predeterminada y se supervisa la pertenencia a esos grupos.

Sí, los administradores de dominio pueden tomar posesión de esos archivos, pero deja un rastro. La auditoría es importante. Ronald Reagan llamó a esto "confianza, pero verificar". La gente debería saber que estás revisando.

Finalmente, comience a eliminar personas de los administradores de dominio. Los permisos de AD son demasiado fáciles de granular hoy en día. No hay razón para no hacerlo. Brinde a las personas acceso administrativo a los servidores o servicios que administran, no todo

Lo he visto manejado de dos maneras:

1. Haga que el personal de TI firme algo que los jure ante las Consecuencias Directas en caso de que alguna vez se revele que accedieron a las ubicaciones de los archivos en cuestión sin la autorización explícita de alguien autorizado para tal acceso.
2. Los datos se transfieren a un dispositivo de almacenamiento al que no puede acceder el personal de TI.

Ambos tienen sus problemas, por supuesto. El primer método es el que siguieron mis dos trabajos anteriores en grandes organizaciones. El razonamiento fue básicamente:

El acceso y la autorización son cosas diferentes. Si acceden a estos datos sin autorización, están en grandes problemas. Además, se trata de personas que ya tienen acceso a grandes extensiones de datos para los que no están autorizados , por lo que no es un problema nuevo para ellos. Por lo tanto, confiaremos en ellos para mantenerse al margen y ser profesionales al respecto.

Esta es una razón por la cual las personas en nuestros trabajos tienden a estar sujetas a verificación de antecedentes.

Esto se destacó cuando alguien de Recursos Humanos comenzó un proceso de trabajo, y se llamó al personal de TI para configurar los permisos para bloquear a ese usuario de las ubicaciones de los archivos donde se documentaron los procedimientos. A pesar de que dichos procedimientos son confidenciales por parte de TI , se nos invitó específicamente a configurar las exclusiones correctas.

Ese fue un caso de conflicto de intereses explícito

La segunda opción generalmente es seguida por los departamentos sin consultar a TI. Hace 10 años, esta unidad para proteger los datos del ojo que todo lo veía del supuesto BOFH hizo que las personas pusieran datos críticos en las unidades de su estación de trabajo y compartieran los directorios entre sí en el departamento. En estos días, esto podría ser algo tan simple como tener una carpeta compartida de DropBox, Microsoft SkyDrive u otra cosa en ese sentido (mmmm, exfiltración de datos de la compañía a terceros no deseados).

Pero si la gerencia ha visto el problema y ha hablado con todos sobre él, cada instancia en la que he estado involucrado o cerca se ha reducido a: "Confiamos en estas personas por una razón, solo asegúrese de que sean plenamente conscientes de las políticas de acceso y seguir adelante."

Tengo cinco posibles soluciones, cuatro de las cuales son técnicas.

(1) Cree un bosque AD y otro dominio específico para información privilegiada. Repita según sea necesario para cubrir comunidades específicas de interés. Esto agregará una nueva función por encima de los administradores de dominio: administradores empresariales que pueden segregarse aún más e incluso subdividirse.

Pros:

• Fácil
• Limita roles
• Puede habilitar mejor la estructura AD para emular la estructura organizacional

Contras:

• Ligera complejidad
• Todavía tengo un administrador súper potente, solo que menos.

(2) Cree un servidor independiente sin relación de confianza aparte de los usuarios individuales

Pros:

• Fácil
• Limita roles

Contras:

• Ligera complejidad
• Tendrá un administrador que lo controle
• Mantenimiento

(3) Obtenga uno de los diferentes tipos de productos de bóveda de red, por ejemplo, Cyber-Ark. Estos productos están diseñados específicamente para el caso de uso que está discutiendo.

Pros:

• Más orientado a la empresa
• Puede ser muy fácil de usar

Contras:

• Costo
• Todavía tengo algunos súper administradores probables para la bóveda.

(4) Coloque toda la información dentro de las bases de datos, luego use un cifrado seguro para cifrar todo el contenido de la base de datos, o use un producto de cifrado de disco completo para controlar mejor el acceso al sistema de archivos junto con (1) y / o (2) anteriores . Aumente esto con una política para no permitir la eliminación de texto sin cifrar del contenido de la base de datos y exigir que los informes permanezcan dentro de la base de datos. El producto de cifrado puede incluir módulos de cifrado fuertes, como FIPS 140-2, y también puede ser un dispositivo físico, como un módulo de seguridad de hardware (HSM).

Pros:

• Puede alcanzar niveles militares de seguridad
• Se adapta mejor a sus necesidades de protección de cinta y disco
• Mayor protección de la información en caso de ser pirateado

Contras:

• Menos flexible
• ¡Impacta las actividades del usuario significativamente!
• Requiere una función de cifrado o una persona de seguridad

(5) Compensación de control de seguridad: refuerce los controles de seguridad de su personal , como agregar un seguro contra una violación de la información, agregar ciertos requisitos de dos personas (se pueden hacer de muchas maneras diferentes), otra función (administrador de seguridad) o más verificación de antecedentes. Las opciones más creativas incluirían un paracaídas dorado que se activaría después de la salida de la compañía sin violación de información un año después de la renuncia / despido, o se prestará más atención para mantener contentos a los administradores en general a través de algunos beneficios especiales vinculados a estos requerimientos de personal.

Pros:

• Puede abordar mejor el problema del problema interno
• Incentiva el buen comportamiento.
• Puede mejorar la relación de la empresa con administradores clave
• Puede alargar la tenencia de personal con la empresa si se hace correctamente

Contras:

• Tantas opciones para hacer esto
• Costo

Una vez que alguien tiene derechos administrativos, todas las apuestas se cancelan en lo que respecta a la seguridad. Esta es exactamente la razón por la cual los administradores necesitan un nivel de confianza tan alto: siempre hay formas de evitar cualquier tipo de bloque que se pueda implementar.

Todo lo que realmente puede hacer es separar los deberes y establecer un sistema de controles y equilibrios.

Por ejemplo, podría usar un sistema de registro secundario (como Splunk o un servidor de syslog de Linux) al que solo su presidente / quien tenga acceso y configure la auditoría de archivos para sus directorios seguros.

Elimine los administradores de las ACL y envíe los cambios a la ACL al servidor de registro. No detendrá el evento, pero tendrá un registro definitivo de quién cambió los permisos cuándo y cómo.

Cuantos más bloques coloques, más probabilidades tendrás de que alguien tropiece con uno de ellos.

Debe tener en cuenta que una persona con ese nivel de privilegio puede acceder a los datos en archivos compartidos de Windows independientemente de los permisos de seguridad de los archivos / carpetas. Esto se debe a los privilegios que se pueden conferir en Windows cuando el derecho "Copia de seguridad de archivos y directorios" está disponible.

Con ese derecho, alguien puede simplemente hacer una copia de seguridad de los archivos y restaurarlos en otra ubicación. Y para obtener un crédito adicional, podrían hacerlo como una tarea programada que se ejecuta como sistema, por lo que sería menos que obvio durante una auditoría. Si esa no fuera una opción, pueden tener acceso al sistema de respaldo y podrían restaurar los datos desde allí a una ubicación que no puede ser auditada.

Sin EFS, es posible que no pueda confiar en el sistema de archivos para garantizar la confidencialidad, los permisos, la auditoría u otros.

La opción SkyDrive que sysadmin1138 me pareció buena para los documentos. La cantidad de documentos que son realmente confidenciales suele ser bastante pequeña, y SkyDrive le ofrece 7 GB de forma gratuita (máximo 2 GB de archivos). Para un sistema de contabilidad, esos datos deben estar protegidos en una base de datos real por algún nivel de encriptación y autenticación que no permita el acceso de un administrador de Windows.