|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Попытка защититься от администратора... |
|
|
Попытка защититься от администратора...
|
|
Новый участник Сообщения: 1 |
Добрый день, всех с прошедшими Праздниками!
Помогите, пожалуйста, со следующей задачкой! Нужно защититься от администратора сети (домена)! Вопрос такой в инете неодократно задавался, но ответом было, как правило, такое: «защищаться от администратора это тупо»... Тупо, но надо! Ну так вот. Сначала описательная часть, а потом, собственно, вопрос. Пытаемся призвать себе на помощь EFS, использование которой по любому планируется в сети. В EFS есть так называемые агенты восстановления, которые могут получить доступ к зашифрованным пользовательским данным согласно определенной ранее политики восстановления. Так вот, прятать от админа пользовательские данные EFS-шифрованием бессмысленно, т.к. админ по умолчанию является агентом восстановления любого EFS-зашифрованного ресурса, т.е. доступ к нему он все равно получит. Исключение админа из политики восстановления EFS-зашифрованных ресурсов дело не спасает – являясь админом он так же просто может добавить себя туда или еще наплодить других агентов восстановления с какими угодно правами. Теперь как мне думается, можно было бы решить задачу в контексте таких вот реалий. Получается несколько натянуто, но все таки: Первоначальное развертывания системы производит администратор (доменный админ). Он делает следующее: 1. Создает профили администраторов с «ущемленными правами». Этим «администраторам» (будем называть их под-админами) позволяется делать только необходимое для администрирования системы – заводить юзеров, предоставлять доступ, делать бэкап. НО: они не имеют право определять политику восстановления EFS-зашифрованных ресурсов, т.е. создавать агентов восстановления (или причислять себя к таковым). Тем самым, защищаем зашифрованные данные пользователя от будущих админов системы (ими как раз и будут эти «под-админы»). В идеале, вообще запретить таким типам все, что связано с шифрованием. 2. Создает по необходимости агентов восстановления. Полномочия у них минимальны. 3. Заводит папочки, юзеров, разграничивает доступ. 4. Кладет свою смарт-карту с паролем для авторизации в сети в сейф к начальнику службы безопасности, например. Т.е. исчезает из системы. Итак, мы имеем систему без суперадмина, который мог бы потревожить данные пользователей, а все административные функции выполняются созданными ранее «под-админами», которые не могут просмотреть в зашифрованные ресурсы. В случае, если юзер теряет свой закрытый ключик (предварительно импортированный на смарткарту), в дело вступает агент восстановления, которому под-админ предоставляет доступ к папочке, где тому надо поработать. Теперь, собственно, вопрос: как вы ко всему этому относитесь?  Можно ли создать такого ущербного админа («под-админа»), полномочия которого позволили бы ему администрить систему, но не позволяли бы общаться с EFS-зашифрованными ресурсами? (В идеале, конечно хотелось бы знать, какие и где выставить галочки, чтобы сконфигурировать ущемленные полномочия такого «под-админа», но это уже слишком нагло с моей стороны!) Как я понимаю, создавать такого админа можно «сверху» - то есть создать юзера с правами админа и урезать права до желаемого уровня, или «снизу» - создать юзера с правами юзера и добавлять права ему до необходимого уровня. Но сам я разбираюсь в том, что да как кому урезать, мягко говоря, небыстро.... Хотелось бы знать, приду к чему-нибудь, двигаясь в этом направлении? Какие-нибудь советы… В узком смысле задача стоит защититься именно за счет EFS-а (никакие там, например, PGP-решения не рассматриваются). А в более широком смысле хотелось бы создать систему, защищенную каким-либо образом от администратора уже не важно чем. Если у кого опыт общения с системами защиты контента, буду очень рад услышать и пообщаться! Спасибо!!! |
|
|
Отправлено: 17:55, 10-01-2007 |
PainStaking
Сообщения: 3992
|
Профиль | Отправить PM | Цитировать Интересный вопрос - а как же доменный администратор будет вашу сеть администрировать, ежели как не удалённо? Или ты предлагаешь ему метаться между компьютерами пользователей?
Между прочим, в серьёзных организациях также обычно планируется должность администратора безопасности, который планирует и реализует все решения, утверждённые руководством компании (предприятия). А также занимается аудитом, разграничением прав пользователей и контролем действий системных администраторов. P.S. Если я не ошибаюсь, то закрытый ключ агента восстановления доменного администратора также можно записать на носитель, спрятать в сейф и удалить на контроллере. |
|
------- Отправлено: 08:17, 11-01-2007 | #2 |
|
Ветеран Сообщения: 4900
|
Профиль | Сайт | Отправить PM | Цитировать По рекомендации Майкрософт как раз доменный администратор не должен являться агентом восстановления; для этого заводится отдельная учетная запись, пароль от которой хранится в сейфе на случай восстановления. Разграничение доступа к информации определяется политикой фирмы. Можно использовать, к примеру, PGP и т. д., но это уже продолжение (реализация) политики фирмы.
|
|
------- Отправлено: 08:56, 11-01-2007 | #3 |
|
Старожил Сообщения: 161
|
Профиль | Отправить PM | Цитировать Теоретически, средствами только встроенными в МискроСофт, нельзя "защититься" от администратора. Так уж написана операционка, ведь он всегда может поменять пароль любому "под-админу" и под его эккаунтом зайти и дать себе допуск.
Если уж стоит вопрос о серьезном разграничении полномочий, и закрытии информации, то надо ставить дополнительные системы, но хотя бы как Cyber-Arc и другие, в которых администратор домейна не является администратором и не может взять себе права. |
|
Отправлено: 10:08, 14-01-2007 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - Защититься от DameWare | Hedgehogs | Microsoft Windows 2000/XP | 16 | 01-06-2015 16:46 | |
| Netscape Navigator - попытка возрождения? | SimSim | Новости информационных технологий | 50 | 17-06-2008 03:04 | |
| [решено] Попытка №1 | Trix | Разгон, охлаждение и моддинг | 12 | 03-04-2008 16:04 | |
| попытка открыть файл в PHP | Surround | Вебмастеру | 7 | 10-02-2007 17:28 | |
| Вторая попытка - неужели никто не знает??? | Lonely | Сетевые технологии | 6 | 22-10-2003 23:21 | |
|
|
Время: 09:05. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
