NTFSボリューム上のファイルをドメイン管理者から保護する

私はそれが2つの方法で処理されるのを見ました：

1. ITスタッフに、そのようなアクセス権の付与を許可された誰かからの明示的な許可なしに問題のファイルの場所にアクセスしたことが明らかになった場合は、それをDire Consequencesに誓う何かに署名させます。
2. データは、ITスタッフがアクセスできないストレージデバイスに移動されます。

もちろん、どちらにも問題があります。最初の方法は、大規模組織での私の以前の2つの仕事が従うことを選択したものです。理由は基本的に：

アクセスと承認は別物です。許可なくこのデータにアクセスすると、大きな問題になります。また、これらはすでにaccessの膨大な量のデータにアクセスしていない人々ですauthorizedなので、新しい問題ではありません。したがって、私たちは彼らに立ち入り禁止と専門家であると信頼します。

これが、私たちの仕事に携わる人々が身元調査の対象となる傾向がある理由の1つです。

これは、人事部の誰かが作業手続きを開始したときに強調され、ITスタッフが呼び出されて、手続きが文書化されたファイルの場所からそのユーザーをブロックする権限を設定しました。このような手続きは機密情報ですが、ITからですが、適切な除外を設定するように特別に招待されました。

それは明白な利益相反の場合でした

2番目のオプションの後には通常、ITに相談せずに部門が続きます。 10年前、推定BOFHのすべての目からデータを保護するこのドライブにより、人々は重要なデータをワークステーションのドライブに配置し、部門内で互いにディレクトリを共有しました。最近では、これは、共有DropBoxフォルダー、Microsoft SkyDrive、またはそれらの線に沿った他の何か（うーん、未審査のサードパーティへの会社データの漏えい）を持っているような単純なものである可能性があります。

しかし、経営陣が問題を見て、それについて全員に話しかけた場合、私が関わった、または近くにいたすべての事例は、「私たちはこれらの人々を理由で信頼しています。彼らがアクセスポリシーを完全に認識していることを確認してくださいそして次に進みましょう。」

私には5つの解決策があり、そのうち4つは技術的なものです。

（1）ADフォレストと特権情報に固有の別のドメインを作成します。必要に応じて繰り返し、特定の対象コミュニティをカバーします。これにより、ドメイン管理者（エンタープライズ管理者）の上に新しい役割が追加されます。エンタープライズ管理者は、さらに分離でき、さらに分割できます。

長所：

• かんたん
• 役割を制限します
• AD構造を有効にして組織構造をエミュレートできる

短所：

• 少し複雑
• まだ非常に強力な管理者がいます。

（2）個々のユーザーを除き、信頼関係のないスタンドアロンサーバーを作成します

長所：

• かんたん
• 役割を制限する

短所：

• 少し複雑
• 1人の管理者がそれを制御します
• メンテナンス

（3）さまざまなネットワークボールトタイプの製品の1つ（例：Cyber​​-Ark）を購入します。これらの製品は、議論しているユースケース用に特別に設計されています。

長所：

• より企業志向
• 非常にユーザーフレンドリーにすることができます

短所：

• 費用
• ボールトの可能性が高いスーパー管理者がまだいます。

（4）すべての情報をデータベース内に配置し、強力な暗号化を使用してすべてのデータベースコンテンツを暗号化するか、フルディスク暗号化製品を使用して上記の（1）および/または（2）とともにファイルシステムアクセスをより適切に制御します =。データベースコンテンツのクリアテキストの削除を禁止し、レポートをデータベース内に残すことを要求するポリシーでこれを強化します。暗号化製品には、FIPS 140-2などの強力な暗号化モジュールを含めることができ、ハードウェアセキュリティモジュール（HSM）などの物理デバイスにすることもできます。

長所：

• 軍事レベルのセキュリティを達成できます
• テープおよびディスク保護のニーズに最適
• ハッキングされた場合の情報保護の強化

短所：

• 柔軟性が低い
• ユーザーの活動に大きな影響を与えます！
• 暗号化の役割またはセキュリティ担当者が必要

（5）セキュリティ管理報酬-担当者のセキュリティ管理を強化します情報漏えいに対する保険の追加、特定の2人要件の追加（さまざまな方法で実行可能）、別の役割（セキュリティ管理者） ）、またはより多くのバックグラウンドチェック。よりクリエイティブなオプションには、辞任/解雇後1年経っても情報に違反することなく会社を辞めた後にキックインするゴールデンパラシュートを含めるか、またはこれらに関連するいくつかの特別な特典を通じて管理者を一般的に幸せに保つことにもっと注意を向けます人事要件。

長所：

• インサイダー問題の問題に最もよく対処できる
• 良い行動を奨励する
• 主要な管理者との会社の関係を強化できます
• 正しく行われれば、会社の人事期間を長くすることができます

短所：

• これを行うための非常に多くのオプション
• 費用

誰かが管理者権限を取得すると、セキュリティに関する限り、すべての賭けは無効になります。これこそが、管理者がこのような高レベルの信頼を必要とする理由です。配置できるあらゆる種類のブロックを回避する方法は常にあります。

あなたが本当にできることは、別々の義務とチェックアンドバランスシステムをセットアップすることだけです。

たとえば、社長/誰でも安全なディレクトリのファイル監査にアクセスして構成できるセカンダリロギングシステム（SplunkやLinuxのsyslogサーバーなど）を使用できます。

ACLから管理者を削除し、ACLへの変更をログサーバーに転送します。イベントの発生を停止することはありませんが、誰がいつ、どのように権限を変更したかについての明確なログがあります。

設置するこれらのブロックが多いほど、誰かがそれらのいずれかにつまずく可能性が高くなります。

そのレベルの特権を持つユーザーは、ファイル/フォルダーのセキュリティ権限に関係なく、Windowsファイル共有のデータにアクセスできることに注意してください。これは、「ファイルとディレクトリのバックアップ」権限が利用可能な場合にWindowsで付与できる権限によるものです。

その権利があれば、誰かがファイルをバックアップして、別の場所に復元することができます。また、追加のクレジットとして、システムとして実行されるスケジュールされたタスクとしてそれを実行できるため、監査中には明らかではありません。それが選択肢ではなかった場合、彼らはバックアップシステムにアクセスできる可能性があり、そこから監査されていない可能性のある場所にデータを復元する可能性があります。

EFSがないと、機密性、アクセス許可、監査などを保証するためにファイルシステムに依存できない場合があります。

Sysadmin1138がSkyDriveオプションを使用してドキュメントを作成した。本当に機密性の高いドキュメントの量は通常非常に少なく、SkyDriveは7 GBを無料で提供します（最大2 GBのファイル）。会計システムの場合、そのデータは、Windows管理者のアクセスを許可しない暗号化と認証によって、実際のデータベースで保護する必要があります。