Вопрос для профессионалов в AD. В компании строиться лес доменов, глобальный каталог в центре. Всё это хорошо и здорово, но при этом появляется некто Enterprise Administrator, который может всё, а точнее получить любые данные с машин входящих в лес, как обезопасить данные от EA. У кого нить есть такой опыт ?

Встречный вопрос - какое положение в компании ты занимаешь? И зачем тебе защищать рабочие станции от администратора предприятия?

Вот интересная логика:)))
Как обезопасить себя от Главного админа? Да никак, и слава богу что никак.
Это все равно, что обезопасить себя от хозяина компании.
Главный администратор- хозяин в сети. За ним просто можно установить аудит, со стороны отдела компьютерной безопасности,

Ну сразу видно Enterprise Adminы))) Да не хочу я ограничивать великого EA , просто нюансов много и хочется узнать можно ли как нибудь защитить данные, а аудит он спокойно остановить может )))

А про аудит можно поподробней, на каком уровне и тп. Просто любое программное средство - для ЕА это не помеха .

Newlog
Ну заархивируй свои данные с паролем. Если что - сам же этот пароль и расскажешь ;)

И ещё довод в необходимости за контроллем EA, это повышение привилегий с помощью SIDHistory, в схеме с одним лесом транзитивные доверительные отношения устанавливаются по умолчанию, попался недобросовестный админ и всё, все двери на распашку. Ну это конечно теория , скорее всего раздадут полномочия и EA пароль на смарт карте упрячут подальше.

:-) Нее архивация это не вариант, наверно придётся использовать Novell как файловый сервис )))) До него то он не доберётся ))))

CyberDaemon
Практически нерешаемая задача. Единственный, пожалуй, выход - хранение информации на PGP-дисках и т.п., EFS с определением агента восстановления, отличного от domain admin и т.п.

monkkey
PGP оно, конечно, неплохо, ноЕсли что - сам же этот пароль и расскажешь Придет EA вместе с шефом, и ты сам им и все пароли расскажешь и все PGP-диск смонтируешь :)

Да и судя по описанию - какая-то вражеская организация получается. Администратор - самый главный враг, а пользователи хорошие и могут в сети сами себе сервера прикручивать и чем угодно заниматься. ИМХО - поднимаемый вопрос - компетенция службы ИТ-безопасности, а не пользователей.

Ну а почему нет, если пользователи обрабатывают секретную информацию, а какой то дядя админ может ее всю прочитать и продать конкурентам. Это самый простой пример.
А вообще пароль на 2 части придуманный двумя людьми в конверт без взаимного ознакомления и в сейф, самый простой и надежный способ, Не так уж и часто нужен этот пользователь в повседневной работе. Плюс вход только с консоли сервера, чтобы по сети не подобрали.

Для этого и должна существовать на предприятии служба ИТ-безопасности и администратор безопасности должен мониторить и ограничивать действия системных администраторов и заниматься защитой информации. А не пользователи должны защищаться от администратора.

P.S. Кстати в 70 % случаев данные воруют и выносят сами пользователи.

Я из первого поста понял, что вопрос стоит именно в организационных мерах, которые нужно предпринять, возможно я не прав.

Всё именно так и есть. Поставлю вопрос проще, как можно на каком либо уровне промониторить действия Enterprise Admin , я озадачил безопасников и единственным решением безопасности рабочих станций осталось не включение рабочих станций в домен, а использование ресурсов домена через машину шлюз )))

а использование ресурсов домена через машину шлюз )))

И как Вы будете управлять правами доступа на ресурсы домена?

Вопрос конечно интересный:))
Если подходитьц строго, то существует несколько путей, но не один из них в единствееном числе не решает полностью всей проблемы.
Вкратце:
1. эккаунт "администратор" не используется, используются лишь персональные эккаунты.
2. пароль на "администратор" спрятан в сейф ИТ-секюриты мэнэджера, он раз в неделю делает проверку, не поменял ли кто пассворд.
3. дата, которуя не хочеться давать видеть админам, финансовая , кадровая и др, инфо, должна храниться с помочью спец програм , например
Cyber-Ark.
4. Запускается сыстема мониторинга и аудита, ну например как UniCenter or Security Center from CA (Комппьютер Ассоциайщион)
И , естественно, люди с административными привилегиями - на особый контроль.

эээ, точно не уверен, но можно попробовать через OU не впускать EA к настройкам определенных пользователей. А еще можно попробовать через политики домена. Дык, а если про отдельные ресурсы, то надо выкинуть EA из доступа к ресурсам. Только вот я не проверял, может ли он тады owner'a получить. А еще его с определенных компов надо удалить из локальных админов.

Respect bros!