Как обезопаситься от Enterprise Administratora )))

GreenIce · Отправлено: **23:41, 13-06-2007** | #11

Ну а почему нет, если пользователи обрабатывают секретную информацию, а какой то дядя админ может ее всю прочитать и продать конкурентам. Это самый простой пример.
А вообще пароль на 2 части придуманный двумя людьми в конверт без взаимного ознакомления и в сейф, самый простой и надежный способ, Не так уж и часто нужен этот пользователь в повседневной работе. Плюс вход только с консоли сервера, чтобы по сети не подобрали.

xoxmodav · Отправлено: **11:50, 14-06-2007** | #12

Для этого и должна существовать на предприятии служба ИТ-безопасности и администратор безопасности должен мониторить и ограничивать действия системных администраторов и заниматься защитой информации. А не пользователи должны защищаться от администратора.

P.S. Кстати в 70 % случаев данные воруют и выносят сами пользователи.

GreenIce · Отправлено: **12:29, 14-06-2007** | #13

Я из первого поста понял, что вопрос стоит именно в организационных мерах, которые нужно предпринять, возможно я не прав.

Newlog · Отправлено: **07:05, 15-06-2007** | #14

Всё именно так и есть. Поставлю вопрос проще, как можно на каком либо уровне промониторить действия Enterprise Admin , я озадачил безопасников и единственным решением безопасности рабочих станций осталось не включение рабочих станций в домен, а использование ресурсов домена через машину шлюз )))

monkkey · Отправлено: **09:16, 15-06-2007** | #15

Цитата:

а использование ресурсов домена через машину шлюз )))

И как Вы будете управлять правами доступа на ресурсы домена?

Igor533 · Отправлено: **16:59, 18-06-2007** | #16

Вопрос конечно интересный

)
Если подходитьц строго, то существует несколько путей, но не один из них в единствееном числе не решает полностью всей проблемы.
Вкратце:
1. эккаунт "администратор" не используется, используются лишь персональные эккаунты.
2. пароль на "администратор" спрятан в сейф ИТ-секюриты мэнэджера, он раз в неделю делает проверку, не поменял ли кто пассворд.
3. дата, которуя не хочеться давать видеть админам, финансовая , кадровая и др, инфо, должна храниться с помочью спец програм , например
Cyber-Ark.
4. Запускается сыстема мониторинга и аудита, ну например как UniCenter or Security Center from CA (Комппьютер Ассоциайщион)
И , естественно, люди с административными привилегиями - на особый контроль.

uchovovan · Отправлено: **18:48, 19-06-2007** | #17

эээ, точно не уверен, но можно попробовать через OU не впускать EA к настройкам определенных пользователей. А еще можно попробовать через политики домена. Дык, а если про отдельные ресурсы, то надо выкинуть EA из доступа к ресурсам. Только вот я не проверял, может ли он тады owner'a получить. А еще его с определенных компов надо удалить из локальных админов.

Respect bros!