从域管理员保护NTFS卷上的文件

我们是一家小型公司，具有2008R2域，在该域​​上我们有一个具有多个共享卷的文件服务器。我们在域管理员角色中拥有许多IT员工，因为实际上我们全天24小时不间断地待命。但是，最近已经成为公司政策的一个问题，即某些文件夹或文件（薪水数据，性能评估，会计信息）应该是机密的，包括来自IT人员的信息。这也包括备份（磁带和磁盘）上的数据。

到目前为止我们发生的事情：

* EFS-但是我们必须设置一个PKI，这对于我们公司的规模来说有点过大

* TrueCrypt-但这会杀死并发访问和搜索能力

*从ACL中删除域管理员-但这非常容易（单击一下）即可绕过

*放弃使用Domain Admins组，并更明确地委派权限-但这又有点过大，出于审核原因，我们希望减少对共享帐户（例如，MYDOMAIN \ Administrator）的需求

我确定这不是一个新问题，并且很好奇其他有这种要求的人如何处理它？有没有我们尚未考虑的选择？

谢谢！

首先，您必须信任您的管理员。如果您没有，那么他们不应该拥有这份工作或这些特权。该公司信任有权访问此数据的财务人员或HR人员，那么为什么IT人员不这样做呢？提醒他们管理员可以每天破坏生产环境，但选择不这样做。管理层必须清楚地看到此问题，这一点很重要。

接下来，正如@ sysadmin1138所说，提醒管理员访问不等于许可。

也就是说，默认情况下，我们不授予域管理员访问文件共享的权限。它们将被删除，并在每个位置共享三个NTFS权限的三个ACL组（读，写，管理）。默认情况下，ACL Admin组中没有人，并且会监视这些组的成员身份。

是的，域管理员可以拥有这些文件的所有权，但是却留下了痕迹。审计很重要。罗纳德·里根（Ronald Reagan）称此为“信任，但要验证”。人们应该知道您正在检查。

最后，开始从域管理员中删除人员。今天，AD权限太容易细化。没有理由不这样做。使人们可以访问他们管理的服务器或服务的管理员权限，而不是全部权限。

我已经看到它处理了两种方式：

1. 如果IT人员发现未经授权的人明确访问而访问了有问题的文件位置，请让IT人员签署誓言使他们感到可怕。
2. 数据被移到IT人员无法访问的存储设备上。

当然，两者都有问题。第一种方法是我在大型组织中当选的前两个工作。推理基本上是：

访问和授权是不同的东西。如果他们未经授权访问这些数据，就会遇到很大的麻烦。另外，这些人已经可以访问未经授权的大量数据，因此这对他们来说不是新问题。因此，我们将相信他们会保持专业态度并保持专业水平。

这就是为什么我们的工作人员往往要接受背景调查的原因之一。

当来自HR本身的某人开始工作程序时，这一点就显得很突出了，IT人员被要求设置权限以阻止该用户访问记录有该程序的文件位置。即使此类程序是IT部门的机密信息，我们还是特别邀请我们设置排除权限。

那是一个明显的利益冲突

第二种选择通常是部门在没有IT咨询的情况下执行。10年前，这种旨在保护数据不受BOFH视线影响的驱动器使人们将关键数据放在其工作站的驱动器上，并在部门之间相互共享目录。如今，这可能是简单的事情，即拥有一个共享的DropBox文件夹，Microsoft SkyDrive或类似的东西（mmmm，将公司数据泄露给未经审查的第三方）。

但是，如果管理层看到了问题并与所有人讨论，那么我参与或参与的每个实例都可以归结为：“我们出于某种原因信任这些人，只需确保他们充分了解访问策略即可继续前进。”

我有五个潜在的解决方案，其中四个是技术性的。

（1）创建一个AD林和另一个特权信息特定的域。 根据需要重复，以覆盖特定的兴趣社区。这将在域管理员之上增加一个新角色-企业管理员可以进一步隔离甚至细分。

优点：

• 简单
• 限制角色
• 可以更好地使AD结构模仿组织结构

缺点：

• 稍微复杂
• 仍然有一个超级强大的管理员，只是人数更少。

（2）创建一个独立服务器，除个别用户外，没有信任关系

优点：

• 简单
• 限制角色

缺点：

• 稍微复杂
• 将有一位管理员来控制它
• 保养

（3）购买产品的一种不同的网络保险库类型，例如Cyber​​-Ark。 这些产品是专门为您正在讨论的用例而设计的。

优点：

• 更多企业导向
• 可以非常人性化

缺点：

• 成本
• 仍有一些超级管理员可能会使用该库。

（4）将所有信息放入数据库中，然后使用强加密对所有数据库内容进行加密，或者使用全盘加密产品与上述（1）和/或（2）一起更好地控制文件系统访问。通过禁止使用明文删除数据库内容和要求报表保留在数据库中的策略来增强此功能。加密产品可以包括强大的加密模块（例如FIPS 140-2），也可以是物理设备，例如硬件安全模块（HSM）。

优点：

• 可以达到军事安全级别
• 最适合您对磁带和磁盘保护的需求
• 如果您被黑客入侵，则可以提供更好的信息保护

缺点：

• 不太灵活
• 极大地影响用户活动！
• 需要加密角色或安全人员

（5）安全控制补偿-加强人员安全控制，例如添加针对信息泄露的保险，增加某些两人要求（可以通过许多不同方式完成），另外一个角色（安全管理员）或进行更多背景检查。更具创意的选择包括：在离开公司后的一年内辞职/解雇，不降级使用信息的情况下，会跳出金色的降落伞，或者通过与之相关的特殊待遇使管理员更加满意人员要求。

优点：

• 可能最好地解决内幕问题
• 激励良好的行为
• 可以增强公司与主要管理员的关系
• 如果做得好，可以延长与公司的人员任期

缺点：

• 如此众多的选择
• 成本

一旦某人拥有管理权限，就安全性而言，所有赌注都将取消。这正是管理员需要如此高的信任度的原因-总是可以采用各种方法来解决各种障碍。

您真正要做的就是单独承担职责，并建立一个制衡体系。

例如，您可以使用辅助日志记录系统（例如Splunk或Linux syslog服务器），只有您的总裁/有权访问并为安全目录配置文件审核的人才可以使用。

从ACL中删除管理员，并将对ACL的更改转发到日志服务器。它不会阻止事件的发生，但是您将确切知道谁在何时何地更改了权限。

您放置的这些障碍越多，就越有可能让某人绊倒其中之一。

您应该注意，具有该特权级别的人员可以访问Windows文件共享上的数据，而不管文件/文件夹的安全权限如何。这是由于“备份文件和目录”权限可用时在Windows中可以授予的特权。

有了这项权利，某人可以简单地备份文件，然后将其还原到另一个位置。为了获得额外的荣誉，他们可以将其作为系统中运行的计划任务来完成，因此在审核期间不会那么明显。如果不是这样，则他们可能有权访问备份系统，并且可以将数据从那里还原到可能未经审核的位置。

没有EFS，您可能无法依靠文件系统来保证机密性，权限，审计或其他方式。

sysadmin1138的SkyDrive选项对我的文档听起来不错。真正敏感的文档数量通常很小，SkyDrive可以免费提供7 GB（最大2GB文件）。对于记帐系统，应通过某种级别的加密和身份验证（不允许Windows管理员访问）在真实数据库中保护该数据。