Попытка защититься от администратора...
 

Добрый день, всех с прошедшими Праздниками!

Помогите, пожалуйста, со следующей задачкой! Нужно защититься от администратора сети (домена)! Вопрос такой в инете неодократно задавался, но ответом было, как правило, такое: «защищаться от администратора это тупо»... Тупо, но надо!

Ну так вот. Сначала описательная часть, а потом, собственно, вопрос.

Пытаемся призвать себе на помощь EFS, использование которой по любому планируется в сети.
В EFS есть так называемые агенты восстановления, которые могут получить доступ к зашифрованным пользовательским данным согласно определенной ранее политики восстановления. Так вот, прятать от админа пользовательские данные EFS-шифрованием бессмысленно, т.к. админ по умолчанию является агентом восстановления любого EFS-зашифрованного ресурса, т.е. доступ к нему он все равно получит. Исключение админа из политики восстановления EFS-зашифрованных ресурсов дело не спасает – являясь админом он так же просто может добавить себя туда или еще наплодить других агентов восстановления с какими угодно правами.

Теперь как мне думается, можно было бы решить задачу в контексте таких вот реалий. Получается несколько натянуто, но все таки:

Первоначальное развертывания системы производит администратор (доменный админ). Он делает следующее:

1. Создает профили администраторов с «ущемленными правами». Этим «администраторам» (будем называть их под-админами) позволяется делать только необходимое для администрирования системы – заводить юзеров, предоставлять доступ, делать бэкап. НО: они не имеют право определять политику восстановления EFS-зашифрованных ресурсов, т.е. создавать агентов восстановления (или причислять себя к таковым). Тем самым, защищаем зашифрованные данные пользователя от будущих админов системы (ими как раз и будут эти «под-админы»). В идеале, вообще запретить таким типам все, что связано с шифрованием.

2. Создает по необходимости агентов восстановления. Полномочия у них минимальны.

3. Заводит папочки, юзеров, разграничивает доступ.

4. Кладет свою смарт-карту с паролем для авторизации в сети в сейф к начальнику службы безопасности, например. Т.е. исчезает из системы.

Итак, мы имеем систему без суперадмина, который мог бы потревожить данные пользователей, а все административные функции выполняются созданными ранее «под-админами», которые не могут просмотреть в зашифрованные ресурсы. В случае, если юзер теряет свой закрытый ключик (предварительно импортированный на смарткарту), в дело вступает агент восстановления, которому под-админ предоставляет доступ к папочке, где тому надо поработать.
Теперь, собственно, вопрос: как вы ко всему этому относитесь?:) Можно ли создать такого ущербного админа («под-админа»), полномочия которого позволили бы ему администрить систему, но не позволяли бы общаться с EFS-зашифрованными ресурсами? (В идеале, конечно хотелось бы знать, какие и где выставить галочки, чтобы сконфигурировать ущемленные полномочия такого «под-админа», но это уже слишком нагло с моей стороны!:)) Как я понимаю, создавать такого админа можно «сверху» - то есть создать юзера с правами админа и урезать права до желаемого уровня, или «снизу» - создать юзера с правами юзера и добавлять права ему до необходимого уровня. Но сам я разбираюсь в том, что да как кому урезать, мягко говоря, небыстро.... Хотелось бы знать, приду к чему-нибудь, двигаясь в этом направлении? Какие-нибудь советы…

В узком смысле задача стоит защититься именно за счет EFS-а (никакие там, например, PGP-решения не рассматриваются). А в более широком смысле хотелось бы создать систему, защищенную каким-либо образом от администратора уже не важно чем. Если у кого опыт общения с системами защиты контента, буду очень рад услышать и пообщаться!
Спасибо!!!

Интересный вопрос - а как же доменный администратор будет вашу сеть администрировать, ежели как не удалённо? Или ты предлагаешь ему метаться между компьютерами пользователей?

Между прочим, в серьёзных организациях также обычно планируется должность администратора безопасности, который планирует и реализует все решения, утверждённые руководством компании (предприятия). А также занимается аудитом, разграничением прав пользователей и контролем действий системных администраторов.

P.S. Если я не ошибаюсь, то закрытый ключ агента восстановления доменного администратора также можно записать на носитель, спрятать в сейф и удалить на контроллере.

По рекомендации Майкрософт как раз доменный администратор не должен являться агентом восстановления; для этого заводится отдельная учетная запись, пароль от которой хранится в сейфе на случай восстановления. Разграничение доступа к информации определяется политикой фирмы. Можно использовать, к примеру, PGP и т. д., но это уже продолжение (реализация) политики фирмы.

Теоретически, средствами только встроенными в МискроСофт, нельзя "защититься" от администратора. Так уж написана операционка, ведь он всегда может поменять пароль любому "под-админу" и под его эккаунтом зайти и дать себе допуск.
Если уж стоит вопрос о серьезном разграничении полномочий, и закрытии информации, то надо ставить дополнительные системы, но хотя бы как Cyber-Arc и другие, в которых администратор домейна не является администратором и не может взять себе права.