Вопрос о доступе к важным раб.станциям.
 

Добрый день!
Принимайте новичка:)

И сразу к вопросу.
Имеем домен, имеем машину пользователя, имеем администраторов домена, а также локальных администраторов.
Вопрос: как защитить машину пользователя от несанкционированного проникновения администраторов к ресурсам компьютера пользователя? Файрвол пока не предлагать. Хотелось бы реализовать это на уровне учетных записей, групп учетных записей. Скажу сразу. Админы - аутсорсинговая Компания.

Спасибо!

Djkr1982, сложный вопрос, так как администраторы домена имеют огромное преимущество в виде неограниченных прав и групповых политик, с помощью которых можно немало вещей сделать. А так, на вскидку, можно спастись файерволом, котором заблокировать все попытки входящих подключений (что может быть весьма чревато для домена).
Как простой вариант - права на папки раздать только определённым пользователям, убрав из групп доступа к ним "администраторов", но и это, при желании, легко обходится.

P.S. Как вариант - шифрование данных, однако надо знать объёмы информации, мощность рабочих станций и реальную необходимость подобного.

А вообще странно иметь ВАЖНЫЕ рабочие станции с конфиденциальной информацией и подпускать к ним посторонних людей, к которым нет доверия или договора о неразглашении. Не проще ли их тогда вообще из домена вывести и дать доступ ограниченному кругу лиц?

xoxmodav, на самом деле это очень важно. ибо высшее руководство и подопечные-это одно юр.лицо, администраторы - другое (аутсорсинг).
договор о неразглашении (соглашение о конфиденциальности) имеется. но как же, будь админом, не возникнет желания глянуть туда или куда ещё на машине руководителя? :) И речь даже не о конфиденциальной информации, а, возможно, о личной :)

Личная информация "интимного" характера (подразумевается конфиденциальная, а не home-видео) на таких компьютерах, к тому же у высшего руководства, храниться вообще не должна. Также неплохо было бы обрисовать область защиты тип защищаемого контента, объёмы и т.п.

Djkr1982, ответ прос - никак.
Админ домена всегда будет самым главным на компьютере, введёном в домен.
Можно попытаться поэкспериментировать с локальными политиками, но скорее всего возникнут проблемы со всеми службами домена.
То есть, проще будет вовсе вывести такой компьютер из домена. А при наличии Очень Конфиденциальной Информации, ещё и от сети отключить.

El Scorpio, ну зачем так сразу. :) Можно попробовать внедрить шифрование EFS на компьютерах этих важных лиц, а универсальный доменный ключ восстановления перенести на внешний накопитель, после чего удалить. Тогда пользователь сможет работать с этими зашифрованными файлами, а кто-то другой - нет. Но если этот кто-то другой сбросит пароль или подберёт/перехватит его, то никто не помешает ему изучать содержимое этих зашифрованных файлов.

Можно воспользоваться и не встроенными средствами шифрования, однако, при желании, и тогда администратор сможет что-нибудь придумать и получить доступ к файлам. Более универсальный вариант - хранить данные на флешке/внешнем винте в зашифрованном виде и перед работой с ними, отключать сеть, после работы с данными - отключать носитель и обратно подключать сеть. Но нет никаких гарантий, что вам не поставят программу, которая будет в скрытом режиме копировать файлы с носителя.

P.S. А вообще странно сначала давать ключи от всех дверей, а затем думать как от ключника можно что-то защитить.

это вы руководству расскажите)

но речь не о "порно-фильмах". может быть служебная переписка, фото служ.коммандировок, нежелательное для посторонних глаз и т.д.

это и может быть контентом.

нет, такой информации там нет. просто-напросто не хотелось, чтобы админы лазали по машинам :) это-адекватное желание)

ничего странного. это политика, и Вам, возможно, этого не понять)

ИМХО, единственный способ защиты личной инфы - её размещение на личном компе, вообще не имеющем доступа к корпоративной сети.

это-не вариант)

Это называется немного по другому - дурость, недальновидность, некомпетентность и т.п., но никак не политика - просто все привыкли что в политике это стало нормой и всё время с ней сравнивают. )))

Давайте ещё раз пройдёмся по предложенным Вам вариантам - хотелось бы услышать, что в каких из них Вам не понравились и чем.

P.S. Для справки: системный/сетевой администратор - это сотрудник, имеющий практически безграничную власть в своём сегменте, а также практически всемогущий и ничем особо не ограниченный. Для того, чтобы такие сотрудники не превышали свои полномочия на предприятиях обычно имеется отдел безопасности, который денно и нощно наблюдает за их действиями и своим существованием даёт им повод задуматься о выполнении правил.

А если на флэшке, которая вставляется в комп только по необходимости?

не нами это придумано. выражаетесь правильно, при построении той или иной "схемы" никто не думает о безопасности, в частности )

пока только задумался что понравилось. это либо криптография, либо секретный диск (ZServer например).

так и есть. я из них) но мониторить "денно и нощно" журналы аудита-это маразм)

альтернатива-секретный диск, доступный определенному кругу лиц (писал выше) :)

Это не маразм - это работа такая. ;) Есть куча программ для упрощения труда администраторов безопасности, которые сами собирают логи, фильтруют и сигнализируют, но все системы без участия человека малоэффективны. :)

а вы знаете сколько такие программы стоят?)

Конечно знаю - никто и не говорил, что безопасность - это дёшево.

очень сомневаюсь)

ну прям такое впечатление, что Вы тут один, который представляет себе что и как.. в таком случае возникает другой вопрос - а что собственно хотите, обладая таким весьма весомым и ценным багажом знаний?

как уже было отмечено - это полнейшая дурость выводить админ сети на аутсорсинг, ну натуральный маразм.
если уж вы (имею в виду компанию, которую Вы педставляете) дошли до такого маразма то смысла экономить на системах автоматизации, при всей их стоимости, зачастую не соответствующей функционалу, совсем не стоит. ;)

единственный выход на мой взгляд в данной ситуации - шифрование с аппаратной аутентификацией, или же dlp-система с поддержкой домена.

ни я это придумал, а, тем более, не вам решать что это ;)
планируется использование dlp.

Как уже правильно заметил IntegraL - не вы один такой умный и сталкиваетесь с проблемами безопасности. Ваша проблема - детский пустяк по сравнению с защитой предприятий по ДСП и гостайне.

разве моя проблема претендует на роль самой важной? задан вопрос. ответы получены. вопрос закрыт.

Так отметьте же задачу как решённую.