從域管理員保護 NTFS 卷上的文件
我們是一家擁有 2008R2 域的小公司,在該域上我們有一個具有多個共享卷的文件伺服器。我們有許多 IT 人員擔任域管理員角色,因為實際上我們都在 24x7 全天候待命。但是,最近成為公司政策的一個問題,即某些文件夾或文件(工資數據、績效評估、會計資訊)應該保密,包括來自 IT 員工的保密。這還包括備份(磁帶和磁碟)上的數據。
到目前為止,我們發生的事情:
*EFS - 但我們必須設置 PKI,這對我們公司的規模來說有點過頭了
*TrueCrypt - 但這會扼殺並發訪問和搜尋能力
*從 ACL 中刪除域管理員 - 但這非常容易(一鍵)繞過
*放棄使用 Domain Admins 組,並更明確地委派權限 - 但這又有點矯枉過正,出於審計原因,我們希望盡可能減少對共享帳戶(例如,MYDOMAIN\Administrator)的需求
我確定這不是一個新問題,並且很好奇其他有這種要求的人是如何處理它的?有沒有我們還沒有考慮過的選項?
謝謝!
首先,您必須信任您的管理員。如果你不這樣做,他們就不應該擁有這份工作或這些特權。公司信任有權訪問這些數據的財務或人力資源人員,那麼為什麼不信任 IT 人員呢?提醒他們管理員有能力每天破壞生產環境,但選擇不這樣做。管理層必須清楚地看到這個問題。
接下來,正如@sysadmin1138 所說,提醒管理員訪問不等於權限。
也就是說,預設情況下,我們不授予域管理員訪問文件共享的權限。它們被刪除,取而代之的是三個 ACL 組(讀取、寫入、管理員),每個共享 NTFS 權限。預設情況下,沒有人在 ACL 管理員組中,並且這些組的成員資格受到監控。
是的,域管理員可以擁有這些文件的所有權,但它會留下痕跡。審計很重要。羅納德·裡根將此稱為“信任,但要驗證”。人們應該知道你正在檢查。
最後,開始從域管理員中刪除人員。如今,AD 權限太容易細化。沒有理由不這樣做。授予人們對他們管理的伺服器或服務的管理員訪問權限,而不是所有內容。