도메인 관리자로부터 NTFS 볼륨의 파일 보호

우리는 여러 개의 공유 볼륨이있는 파일 서버가있는 2008R2 도메인의 소규모 회사입니다. 우리는 효과적으로 24 시간 연중 무휴로 전화하기 때문에 도메인 관리자 역할을하는 많은 IT 직원이 있습니다. 그러나 최근 IT 정책을 포함하여 기밀로 유지해야하는 특정 폴더 나 파일 (급여 데이터, 성과 검토, 회계 정보)이 회사 정책의 문제가되었습니다. 여기에는 백업 데이터 (테이프 및 디스크)도 포함됩니다.

지금까지 우리에게 일어난 것들 :

* EFS-PKI를 설정해야합니다. PKI는 회사 규모에 약간 과잉입니다.

* TrueCrypt-그러나 동시에 액세스 및 검색 기능이 중단됩니다.

* ACL에서 Domain Admins를 제거하십시오.

* 도메인 관리자 그룹의 사용을 중단하고 권한을보다 명시 적으로 위임합니다. 그러나 이것은 약간 과잉이므로 감사 이유로 인해 공유 계정 (예 : MYDOMAIN \ Administrator)의 필요성을 줄이려고합니다.

나는 이것이 새로운 문제가 아니라고 확신하며, 이런 종류의 요구 사항을 가진 다른 사람들이 어떻게 그것을 처리했는지 궁금하십니까? 아직 고려하지 않은 옵션이 있습니까?

감사!

먼저 관리자를 신뢰해야합니다. 그렇지 않은 경우이 작업이나 이러한 권한이 없어야합니다. 회사는이 데이터에 액세스 할 수있는 재무 또는 HR 담당자를 신뢰하므로 IT 담당자는 어떻습니까? 관리자는 매일 프로덕션 환경을 휴지통에 버릴 수 있지만 그렇지 않은 것을 선택할 수 있습니다. 경영진이이 문제를 명확하게 파악하는 것이 중요합니다.

다음으로 @ sysadmin1138이 말한 것처럼 관리자에게 액세스 권한이 동일하지 않다는 것을 관리자에게 상기시킵니다.

즉, 도메인 관리자는 기본적으로 파일 공유에 대한 액세스 권한을 부여하지 않습니다. 각각의 NTFS 권한을 공유하는 3 개의 ACL 그룹 (읽기, 쓰기, 관리)이 제거되고 대신 사용됩니다. 기본적으로 ACL Admin 그룹에 아무도 없으며 해당 그룹의 구성원이 모니터링됩니다.

예, 도메인 관리자는 해당 파일의 소유권을 가질 수 있지만 흔적이 남습니다. 감사가 중요합니다. 로널드 레이건은 이것을 "신뢰하지만 확인"이라고 불렀습니다. 사람들은 당신이 확인하고 있음을 알아야합니다.

마지막으로 도메인 관리자에서 사람을 제거하십시오. 오늘날 AD 권한은 너무 세분화하기가 너무 쉽습니다. 그렇게하지 않을 이유가 없습니다. 사람들에게 관리자가 관리하는 서버 나 서비스에 대한 액세스 권한을 부여하십시오.

두 가지 방법으로 처리하는 것을 보았습니다.

1. IT 직원이 권한을 부여한 사람의 명시적인 승인없이 문제의 파일 위치에 액세스 한 것으로 밝혀지면 Dire Consequences에 맹세하는 내용에 서명하십시오.
2. 데이터는 IT 직원이 액세스 할 수없는 저장 장치로 이동됩니다.

물론 둘 다 문제가 있습니다. 첫 번째 방법은 대규모 조직의 이전 두 작업이 따르기로 선택한 것입니다. 추론은 기본적으로 다음과 같습니다.

액세스 와 권한 은 다릅니다. 승인없이이 데이터에 액세스하면 큰 문제가 있습니다. 또한 이들은 이미 인증 되지 않은 방대한 양의 데이터에 액세스 할 수있는 사람들 이므로 새로운 문제는 아닙니다. 그러므로, 우리는 그들에게 정보를 제공하고 그것에 대해 전문적이라고 신뢰합니다.

이것이 우리 직원이 신원 조회를받는 경향이있는 이유 중 하나입니다.

HR 담당자가 작업 진행을 시작했을 때이 사실이 밝혀졌으며, IT 직원은 해당 작업이 문서화 된 파일 위치에서 해당 사용자를 차단할 권한을 설정하도록 요청되었습니다. 이러한 절차는 IT 부서로부터 기밀로 유지되지만 , 올바른 제외를 설정하도록 특별히 초대되었습니다.

그것은 명백한 이해 상충의 경우였다

두 번째 옵션은 일반적으로 IT 부서의 자문없이 부서가 따라옵니다. 10 년 전 추정 된 BOFH의 모든 시야에서 데이터를 보호하기위한이 드라이브는 사람들이 워크 스테이션 드라이브에 중요한 데이터를 저장하고 부서 내에서 디렉토리를 공유하게했습니다. 요즘, 이것은 공유 DropBox 폴더, Microsoft SkyDrive 또는 그 라인을 따라 다른 것 (mmmm, 회사 데이터를 조사하지 않은 제 3 자에게 유출)과 같은 단순한 것일 수 있습니다.

그러나 경영진이 문제를보고 모든 사람들과 이야기를 나누었다면, 내가 관여했거나 근처에있는 모든 사례는 "우리는 이러한 이유로 사람들을 신뢰하고 액세스 정책을 완전히 인식하고 있는지 확인해야합니다" 계속 진행하십시오. "

5 가지 솔루션이 있는데 그 중 4 가지가 기술적 인 것입니다.

(1) 권한있는 정보와 관련된 AD 포리스트와 다른 도메인을 만듭니다. 관심있는 특정 커뮤니티를 포괄하기 위해 필요에 따라 반복하십시오. 이렇게하면 도메인 관리자, 즉 더 세분화되고 세분화 될 수있는 엔터프라이즈 관리자 위에 새로운 역할이 추가됩니다.

장점 :

• 쉬운
• 역할 제한
• AD 구조를 통해 조직 구조를 에뮬레이션 할 수 있음

단점 :

• 약간의 복잡성
• 여전히 강력한 관리자가 있지만 그 중 적은 수입니다.

(2) 개별 사용자를 제외하고 신뢰 관계가없는 독립형 서버를 만듭니다.

장점 :

• 쉬운
• 역할 제한

단점 :

• 약간의 복잡성
• 한 명의 관리자가 제어합니다.
• 유지

(3) Cyber-Ark와 같은 다양한 네트워크 볼트 유형의 제품 중 하나를 확보하십시오. 이 제품은 논의중인 사용 사례를 위해 특별히 설계되었습니다.

장점 :

• 보다 엔터프라이즈 지향
• 매우 사용자 친화적 일 수 있습니다

단점 :

• 비용
• 아직 볼트의 일부 최고 관리자가 있습니다.

(4) 모든 정보를 데이터베이스에 저장 한 다음 강력한 암호화를 사용하여 모든 데이터베이스 컨텐츠를 암호화하거나 전체 디스크 암호화 제품을 사용하여 위의 (1) 및 / 또는 (2)와 함께 파일 시스템 액세스를보다 잘 제어하십시오 . 데이터베이스 컨텐츠의 일반 텍스트 제거를 허용하지 않고 데이터베이스 내에 보고서를 유지해야하는 정책으로이를 보강하십시오. 암호화 제품은 FIPS 140-2와 같은 강력한 암호화 모듈을 포함 할 수 있으며 하드웨어 보안 모듈 (HSM)과 같은 물리적 장치 일 수도 있습니다.

장점 :

• 군사 수준의 보안을 달성 할 수 있습니다
• 테이프 및 디스크 보호 요구에 가장 적합
• 해킹 당할 경우 정보 보호 강화

단점 :

• 덜 유연한
• 사용자 활동에 큰 영향을 미칩니다!
• 암호화 역할 또는 보안 담당자가 필요합니다

(5) 보안 통제 보상- 정보 위반에 대비 한 보험 추가, 특정 두 사람의 요구 사항 추가 (여러 가지 다른 방법으로 수행 가능), 다른 역할 (보안 관리자) 또는 더 많은 배경 점검과 같은 직원 보안 통제를 강화합니다 . 사직 / 해고 후 1 년 동안 정보를 침해하지 않고 회사를 떠난 후 시작되는 황금 낙하산을 포함하는보다 창의적인 옵션 또는 이러한 특유의 특권을 통해 관리자를 일반적으로 행복하게 유지하는 데 더 많은 관심을 기울일 수 있습니다. 인력 요구 사항.

장점 :

• 내부자 문제를 가장 잘 해결할 수 있습니다.
• 좋은 행동을 장려
• 주요 관리자와 회사의 관계를 향상시킬 수 있습니다
• 제대로 수행하면 회사와 인력을 연장 할 수 있습니다

단점 :

• 이를위한 많은 옵션
• 비용

누군가가 관리 권한을 가지면 모든 베팅은 보안이 유지되는 한 해제됩니다. 이것이 바로 관리자가 높은 수준의 신뢰를 필요로하는 이유입니다. 모든 종류의 블록에는 항상 가능한 방법이 있습니다.

실제로 할 수있는 일은 별도의 의무와 점검 및 균형 시스템을 설정하는 것입니다.

예를 들어, 회장 / 누구 만 보안 디렉토리에 대한 파일 감사에 액세스하고 구성 할 수있는 보조 로깅 시스템 (예 : Splunk 또는 Linux syslog 서버)을 사용할 수 있습니다.

ACL에서 관리자를 제거하고 ACL의 변경 사항을 로그 서버로 전달하십시오. 이벤트가 발생하는 것을 막지는 않지만 누가 언제 어떻게 권한을 변경했는지에 대한 명확한 로그를 갖게됩니다.

이러한 블록을 더 많이 배치할수록 누군가 그 중 하나를 우연히 발견하게됩니다.

해당 수준의 권한을 가진 사람은 파일 / 폴더의 보안 권한에 관계없이 Windows 파일 공유의 데이터에 액세스 할 수 있습니다. "백업 파일 및 디렉토리"권한을 사용할 수있는 경우 Windows에서 부여 할 수있는 권한 때문입니다.

이 권한으로 누군가 파일을 백업하고 다른 위치로 복원 할 수 있습니다. 또한 추가적인 신용을 얻기 위해 시스템으로 실행되는 예약 된 작업으로 수행 할 수 있으므로 감사 중에 명확하지 않습니다. 옵션이 아닌 경우 백업 시스템에 액세스 할 수 있으며 감사되지 않은 위치로 데이터를 복원 할 수 있습니다.

EFS가 없으면 파일 시스템을 사용하여 기밀성, 권한, 감사 등을 보장하지 못할 수 있습니다.

sysadmin1138이 제공 한 SkyDrive 옵션은 문서에 적합합니다. 실제로 민감한 문서의 양은 일반적으로 매우 작으며 SkyDrive는 7GB (최대 2GB 파일)를 무료로 제공합니다. 계정 시스템의 경우 해당 데이터는 일부 수준의 암호화 및 Windows 관리자 액세스를 허용하지 않는 인증으로 실제 데이터베이스에서 보호해야합니다.