Как обезопаситься от Enterprise Administratora ))) - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - Как обезопаситься от Enterprise Administratora ))) (http://forum.oszone.net/showthread.php?t=85343)

Newlog

13-06-2007 09:02 598645

Как обезопаситься от Enterprise Administratora )))

Вопрос для профессионалов в AD. В компании строиться лес доменов, глобальный каталог в центре. Всё это хорошо и здорово, но при этом появляется некто Enterprise Administrator, который может всё, а точнее получить любые данные с машин входящих в лес, как обезопасить данные от EA. У кого нить есть такой опыт ?

xoxmodav

13-06-2007 09:44 598672

Встречный вопрос - какое положение в компании ты занимаешь? И зачем тебе защищать рабочие станции от администратора предприятия?

Igor533

13-06-2007 09:49 598677

Вот интересная логика:)))
Как обезопасить себя от Главного админа? Да никак, и слава богу что никак.
Это все равно, что обезопасить себя от хозяина компании.
Главный администратор- хозяин в сети. За ним просто можно установить аудит, со стороны отдела компьютерной безопасности,

Newlog

13-06-2007 12:33 598752

Ну сразу видно Enterprise Adminы))) Да не хочу я ограничивать великого EA , просто нюансов много и хочется узнать можно ли как нибудь защитить данные, а аудит он спокойно остановить может )))

А про аудит можно поподробней, на каком уровне и тп. Просто любое программное средство - для ЕА это не помеха .

CyberDaemon

13-06-2007 12:42 598767

Newlog
Ну заархивируй свои данные с паролем. Если что - сам же этот пароль и расскажешь ;)

Newlog

13-06-2007 12:57 598774

И ещё довод в необходимости за контроллем EA, это повышение привилегий с помощью SIDHistory, в схеме с одним лесом транзитивные доверительные отношения устанавливаются по умолчанию, попался недобросовестный админ и всё, все двери на распашку. Ну это конечно теория , скорее всего раздадут полномочия и EA пароль на смарт карте упрячут подальше.

Newlog

13-06-2007 13:07 598779

:-) Нее архивация это не вариант, наверно придётся использовать Novell как файловый сервис )))) До него то он не доберётся ))))

monkkey

13-06-2007 14:22 598802

CyberDaemon
Практически нерешаемая задача. Единственный, пожалуй, выход - хранение информации на PGP-дисках и т.п., EFS с определением агента восстановления, отличного от domain admin и т.п.

CyberDaemon

13-06-2007 14:38 598813

monkkey
PGP оно, конечно, неплохо, но

Цитата:

Цитата CyberDaemon

Если что - сам же этот пароль и расскажешь

Придет EA вместе с шефом, и ты сам им и все пароли расскажешь и все PGP-диск смонтируешь :)

xoxmodav

13-06-2007 15:24 598835

Да и судя по описанию - какая-то вражеская организация получается. Администратор - самый главный враг, а пользователи хорошие и могут в сети сами себе сервера прикручивать и чем угодно заниматься. ИМХО - поднимаемый вопрос - компетенция службы ИТ-безопасности, а не пользователей.

GreenIce

13-06-2007 23:41 599025

Ну а почему нет, если пользователи обрабатывают секретную информацию, а какой то дядя админ может ее всю прочитать и продать конкурентам. Это самый простой пример.
А вообще пароль на 2 части придуманный двумя людьми в конверт без взаимного ознакомления и в сейф, самый простой и надежный способ, Не так уж и часто нужен этот пользователь в повседневной работе. Плюс вход только с консоли сервера, чтобы по сети не подобрали.

xoxmodav

14-06-2007 11:50 599195

Для этого и должна существовать на предприятии служба ИТ-безопасности и администратор безопасности должен мониторить и ограничивать действия системных администраторов и заниматься защитой информации. А не пользователи должны защищаться от администратора.

P.S. Кстати в 70 % случаев данные воруют и выносят сами пользователи.

GreenIce

14-06-2007 12:29 599212

Я из первого поста понял, что вопрос стоит именно в организационных мерах, которые нужно предпринять, возможно я не прав.

Newlog

15-06-2007 07:05 599491

Всё именно так и есть. Поставлю вопрос проще, как можно на каком либо уровне промониторить действия Enterprise Admin , я озадачил безопасников и единственным решением безопасности рабочих станций осталось не включение рабочих станций в домен, а использование ресурсов домена через машину шлюз )))

monkkey

15-06-2007 09:16 599523

Цитата:

а использование ресурсов домена через машину шлюз )))

И как Вы будете управлять правами доступа на ресурсы домена?

Igor533

18-06-2007 16:59 600835

Вопрос конечно интересный:))
Если подходитьц строго, то существует несколько путей, но не один из них в единствееном числе не решает полностью всей проблемы.
Вкратце:
1. эккаунт "администратор" не используется, используются лишь персональные эккаунты.
2. пароль на "администратор" спрятан в сейф ИТ-секюриты мэнэджера, он раз в неделю делает проверку, не поменял ли кто пассворд.
3. дата, которуя не хочеться давать видеть админам, финансовая , кадровая и др, инфо, должна храниться с помочью спец програм , например
Cyber-Ark.
4. Запускается сыстема мониторинга и аудита, ну например как UniCenter or Security Center from CA (Комппьютер Ассоциайщион)
И , естественно, люди с административными привилегиями - на особый контроль.

uchovovan

19-06-2007 18:48 601437

эээ, точно не уверен, но можно попробовать через OU не впускать EA к настройкам определенных пользователей. А еще можно попробовать через политики домена. Дык, а если про отдельные ресурсы, то надо выкинуть EA из доступа к ресурсам. Только вот я не проверял, может ли он тады owner'a получить. А еще его с определенных компов надо удалить из локальных админов.

Respect bros!

Время: 00:00.