Задать вопрос
goricvet
@goricvet

Есть ли альтернатива отключению админских шар (C$ и прочие)?

Такой вопрос. Есть одно госучреждение. Все рабочие станции сотрудников находятся в домене (DC на Windows Server 2003 со стандартными групповым политиками). Недавно высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары.

Является ли это единственно правильным решением или можно обойтись другими средствами, чтобы местные админы не могли по сети заходить на жесткие диски этих ПК (но при этом хотя бы могли локально администрировать эти рабочие станции)?
Какие могут возникнуть проблемы при отключении шар, чтобы можно было обосновать это руководству?
  • Вопрос задан
  • 3349 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@1qaz2wsx3edc
Active Directory admin
Не буду никого критиковать, но большинство ответов мягко говоря странны на мой взгляд. Советовать что-то отключать \ фаерволить не имея полной доступной информации об IT ландшафте организации достаточно самонадеянно. Более всего мне близок ответ Сергея Ковалёва. Дополню обсуждение своими мыслями - на мой взгляд в данном кейсе можно выделить несколько проблем.

1) Проблема расположения sensitive данных.

Т.е храня данные на ноутбуках \ стационарных компьютерах, физический доступ к которым теоретически есть у многих сотрудников - это сам по себе - риск. Мой совет - перенести данные в некое центральное хранилище, организовать бекапирование, рассмотреть вопрос о настройки шифрования. (вопрос только в том на сколько эти данные ценны). Также рекомендую озаботиться принятием регламента, согласно которому пользователи не хранят рабочие данные на клиентских пк вовсе (все опять таки на серверах).

2) Распределение задач внутри IT отдела, настройка ролевого управления.

Если каждому системному администратору (вплоть до новичка) выдавать доменного админа, то рано или поздно можно нарваться на неприятности. Я думаю это сильно недооцененный риск, особенно на малых (до 500 человек) предприятиях (где и ИБ службы то толком нет). Считаю, что следует потратить какое-то разумное время и настроить доступа через группы (например - администраторы файловых серверов, администраторы почтовой системы, администраторы групповой политики, администраторы компьютеров Scope-A, администраторы компьютеров Scope-B. Так же необходимо произвести аудит объектов и разрешений на них в самой AD и тонко настроить тоже через группы. Единожды вложившись (в зависимости от инфраструктуры предполагаю от 3 дней до нескольких недель) вы оградите себя от массы геморроя в будущем.

3) Я бы поставил пунктом #1 на самом деле. Судя по всему (сужу по фразе "руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары." налицо полное непонимание бизнесом роли IT службы в функционировании собственно этого самого бизнеса. Я бы постарался наладить некий диалог и донести ваше видение проблематики IT на предприятии до наемного менеджера \ собственника бизнеса.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 11
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции

Варианты -
  • Отобрать у админов права, либо вообще убрать админов.
  • Нанять админов вызывающих доверие.
  • Нанять админа для админов, который будет администрировать их деятельность.
Ответ написан
Комментировать
Sergey-S-Kovalev
@Sergey-S-Kovalev
Sysadmins team leader
Обожемой. У меня брызжет кровь из глаз от ответов.

Администратора домена убирать нельзя. Кому то нужно администрировать домен.
Отключать административные шары - создавать себе проблемы с установкой ПО и администрированием.

Создайте группу техподдержки, поместите в группу всех технарей, GPOшкой раздайте группу на компы, что бы все кто в ней был получали права локальных администраторов при входе на ПК для его техобслуживания.

Отрезать кого-то конкретного от ресурсов ПК - в локальных политиках через GPO укажите пользователей или группы, которые не имеет права подключаться к ПК по сети.

Контроль групп на компах можно делать через Restriction Policy.

Управление учетными записями: делегируйте права Account Admin на организационное подразделение в AD DS.

Все это решит проблему с специалистами техподдержки и ограничит их доступ.

Администратора домена могут ограничить только администраторы предприятия :) в мультидоменной инфарструктуре

А вообще такое отношение руководства говорит о том, что уже в чем то виновны, но они еще не решили в чем и когда этот момент наступит. Бегите, глупцы.
Ответ написан
Комментировать
mace-ftl
@mace-ftl
1) Просто поставить фаервол - это самый простой вариант
2) Поставить ПК за натом (за мелким роутером)
3) поставить программу которая будет показывать кто зашёл через шару

Но как ИБ-шник могу сказать что это всё только для вида - если ПК в домене у администратора ДОЛЖЕН быть доступ ко всем ПК.

Если админ может автоматом поставить р-админ или любую другу программу на все ПК через GPO какая разница стоит фаервол или там отключены ли шары? )
Ответ написан
athacker
@athacker
Службу "Сервер" поотключайте на рабочих станциях. Рабочие станции ничего расшаривать не должны, если по уму. Соответственно, служба "Сервер" им не нужна.
Когда админу будет надо -- он может поднять удалённо эту службу, и сделать, что ему нужно :-)

В целом же, не меньшим злом является хранение каких-то пользовательских файлов на рабочих станциях. Чихнёт винт на рабочей станции -- и всё, "приходи, кума, любоваться". Потом эти же начальники будут бегать по потолку и вопить, что админ срочно должен спасти их драгоценные файлы любой ценой.

Таким образом, файло должно храниться только и исключительно на файл-серверах. Где оно находится на RAID-контроллерах, и ещё бэкапится регулярно. А на рабочих станциях -- только система и рабочий софт, больше ничего. С таким расчётом, что при выходе из строя пользовательского компа он снимается целиком, а юзеру выдаётся новый, и пусть работает дальше.
Ответ написан
Largo1
@Largo1
Айтишник далёкого плана
лояльность админов покупается зарплатой выше средней
Ответ написан
@other_letter
Изредка сталкиваюсь с подобными вопросами. Ответа конкретного, разумеется, нет. Предлагаю поиграть в игру - забить в поиск что-то типа "чиновник украл данные", потом "менеджер слил базу", а потом "сисадмин слил данные/базу". И медитировать над выдачей поисковика.
Я ни разу за свою жизнь не сталкивался с реальным сливом от сисадмина. Менты, копирующие базу - это пожалуйста. Чиновники - тоже. Менеджер, уходящий в другую контору - тут практически правило. Но сисадмин? Нет, не слышал.

Скорее всего волнуются не за ДСП, конечно. Ну да ладно.

Малой кровью? Ну, предложите так: через "безопасность" и "доступ" закройте доступ к диску D, к примеру. И скажите, что всё, что на этом диске админы не видят. Как подвариант - используйте флешки (без танцев с бубном они не добавляются в шары), но так увеличивается вероятность про#бать данные другими способами.
Ответ написан
Комментировать
oleg40a
@oleg40a
Senior DevOps Engineer
Примитивно - пусть шифруют.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
"Прозрачное" резервное копирование, антивирусная проверка, удалённая установка ПО, обновлений.
Ответ написан
Комментировать
@DastiX
По мне так если у сотрудника есть роль "администратор домена", то смысла нет что-то убирать. Захочет - и без шары найдет.
А если по делу, то в GPO шарить только для заданной группы, а правка GPO только для избранных.
Ответ написан
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
Руководство беспокоят сами шары или то, что на них зайдут?
включите протоколирование доступа, по фактам подключения к компам руководства требуйте пояснения от админов.
Ответ написан
@Yestestvenno
Системный администратор
Нет смысла извращаться с групповыми политиками доступами и тд и тп норм админ если захочет будет знать все и какие файлы лежат и куда они лазят и что пишут.....
единственно верным решением которое устроит абсолютно всех:
1) Дать по голове тому кто рассказал начальству об этом!
2) купить НАС и не интегрировать в АД а выдать отдельный доступ каждому начальнику к своей папке,
а все это поручить одному админу у которого и буде не ограниченный доступ ко всем и вся
Если начальство будет упираться напомнить о сохранности данных
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы