Есть ли альтернатива отключению админских шар (C$ и прочие)?

Question

[Go]

Такой вопрос. Есть одно госучреждение. Все рабочие станции сотрудников находятся в домене (DC на Windows Server 2003 со стандартными групповым политиками). Недавно высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары.

Является ли это единственно правильным решением или можно обойтись другими средствами, чтобы местные админы не могли по сети заходить на жесткие диски этих ПК (но при этом хотя бы могли локально администрировать эти рабочие станции)?
Какие могут возникнуть проблемы при отключении шар, чтобы можно было обосновать это руководству?

Answer 1

[1qaz2wsx3edc]

Не буду никого критиковать, но большинство ответов мягко говоря странны на мой взгляд. Советовать что-то отключать \ фаерволить не имея полной доступной информации об IT ландшафте организации достаточно самонадеянно. Более всего мне близок ответ Сергея Ковалёва. Дополню обсуждение своими мыслями - на мой взгляд в данном кейсе можно выделить несколько проблем.

1) Проблема расположения sensitive данных.

Т.е храня данные на ноутбуках \ стационарных компьютерах, физический доступ к которым теоретически есть у многих сотрудников - это сам по себе - риск. Мой совет - перенести данные в некое центральное хранилище, организовать бекапирование, рассмотреть вопрос о настройки шифрования. (вопрос только в том на сколько эти данные ценны). Также рекомендую озаботиться принятием регламента, согласно которому пользователи не хранят рабочие данные на клиентских пк вовсе (все опять таки на серверах).

2) Распределение задач внутри IT отдела, настройка ролевого управления.

Если каждому системному администратору (вплоть до новичка) выдавать доменного админа, то рано или поздно можно нарваться на неприятности. Я думаю это сильно недооцененный риск, особенно на малых (до 500 человек) предприятиях (где и ИБ службы то толком нет). Считаю, что следует потратить какое-то разумное время и настроить доступа через группы (например - администраторы файловых серверов, администраторы почтовой системы, администраторы групповой политики, администраторы компьютеров Scope-A, администраторы компьютеров Scope-B. Так же необходимо произвести аудит объектов и разрешений на них в самой AD и тонко настроить тоже через группы. Единожды вложившись (в зависимости от инфраструктуры предполагаю от 3 дней до нескольких недель) вы оградите себя от массы геморроя в будущем.

3) Я бы поставил пунктом #1 на самом деле. Судя по всему (сужу по фразе "руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары." налицо полное непонимание бизнесом роли IT службы в функционировании собственно этого самого бизнеса. Я бы постарался наладить некий диалог и донести ваше видение проблематики IT на предприятии до наемного менеджера \ собственника бизнеса.

Answer 2

[АртемЪ]

высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции

Варианты -

• Отобрать у админов права, либо вообще убрать админов.
  
• Нанять админов вызывающих доверие.
  
• Нанять админа для админов, который будет администрировать их деятельность.
  

Answer 3

[Сергей Ковалёв]

Обожемой. У меня брызжет кровь из глаз от ответов.

Администратора домена убирать нельзя. Кому то нужно администрировать домен.
Отключать административные шары - создавать себе проблемы с установкой ПО и администрированием.

Создайте группу техподдержки, поместите в группу всех технарей, GPOшкой раздайте группу на компы, что бы все кто в ней был получали права локальных администраторов при входе на ПК для его техобслуживания.

Отрезать кого-то конкретного от ресурсов ПК - в локальных политиках через GPO укажите пользователей или группы, которые не имеет права подключаться к ПК по сети.

Контроль групп на компах можно делать через Restriction Policy.

Управление учетными записями: делегируйте права Account Admin на организационное подразделение в AD DS.

Все это решит проблему с специалистами техподдержки и ограничит их доступ.

Администратора домена могут ограничить только администраторы предприятия :) в мультидоменной инфарструктуре

А вообще такое отношение руководства говорит о том, что уже в чем то виновны, но они еще не решили в чем и когда этот момент наступит. Бегите, глупцы.

Answer 4

[mace-ftl]

1) Просто поставить фаервол - это самый простой вариант
2) Поставить ПК за натом (за мелким роутером)
3) поставить программу которая будет показывать кто зашёл через шару

Но как ИБ-шник могу сказать что это всё только для вида - если ПК в домене у администратора ДОЛЖЕН быть доступ ко всем ПК.

Если админ может автоматом поставить р-админ или любую другу программу на все ПК через GPO какая разница стоит фаервол или там отключены ли шары? )

Comments

[Go]

Спасибо за советы. Тут скорее стоит задача "как обойтись наименьшей кровью" - чтобы и руководство успокоилось (им ведь необязательно знать, что есть всякие изощренные методы, которыми можно обойти защиту) и чтобы у местных админов не было в будущем проблем с администрированием.

Answer 5

[athacker]

Службу "Сервер" поотключайте на рабочих станциях. Рабочие станции ничего расшаривать не должны, если по уму. Соответственно, служба "Сервер" им не нужна.
Когда админу будет надо -- он может поднять удалённо эту службу, и сделать, что ему нужно :-)

В целом же, не меньшим злом является хранение каких-то пользовательских файлов на рабочих станциях. Чихнёт винт на рабочей станции -- и всё, "приходи, кума, любоваться". Потом эти же начальники будут бегать по потолку и вопить, что админ срочно должен спасти их драгоценные файлы любой ценой.

Таким образом, файло должно храниться только и исключительно на файл-серверах. Где оно находится на RAID-контроллерах, и ещё бэкапится регулярно. А на рабочих станциях -- только система и рабочий софт, больше ничего. С таким расчётом, что при выходе из строя пользовательского компа он снимается целиком, а юзеру выдаётся новый, и пусть работает дальше.

Comments

[Go]

насчет хранения пользовательских файлов согласен, это планируется

Answer 6

[Антон]

лояльность админов покупается зарплатой выше средней

Comments

[Макс]

тупиковый путь. Даже зарплата "выше средней" через 3-5 месяцев кажется не такой уж и большой, привыкаешь. И хочется еще большего.
HR (хороший) далеко не просто так получает свои деньги....

[Антон]

это спорный вопрос и путь не тупиковый)

[Макс]

Исходя из тезиса "лояльность админы покупается" - несложно придти к утверждению, что "за бОльшие деньги лояльность админа перепродается". Я согласен, что админ, экономящий на еде, менее замотивирован быть полностью лояльным работодателю. Однако далеко не только деньги решают, будет человек лоялен или нет. Грамотно выстроенная система контроля хорошо нивелирует, скажем так, "относительную нелояльность админа". Тот вариант, когда полезут в ДСП просто из интереса.
Поверьте, нет хуже работы, чем та, на которой получаешь зарплату ощутимо выше средней по рынку, но условия работы на которой невыносимы. И уйти крайне сложно (скажем - потеряешь вдвое) и оставаться сил нет.

Answer 7

[other_letter]

Изредка сталкиваюсь с подобными вопросами. Ответа конкретного, разумеется, нет. Предлагаю поиграть в игру - забить в поиск что-то типа "чиновник украл данные", потом "менеджер слил базу", а потом "сисадмин слил данные/базу". И медитировать над выдачей поисковика.
Я ни разу за свою жизнь не сталкивался с реальным сливом от сисадмина. Менты, копирующие базу - это пожалуйста. Чиновники - тоже. Менеджер, уходящий в другую контору - тут практически правило. Но сисадмин? Нет, не слышал.

Скорее всего волнуются не за ДСП, конечно. Ну да ладно.

Малой кровью? Ну, предложите так: через "безопасность" и "доступ" закройте доступ к диску D, к примеру. И скажите, что всё, что на этом диске админы не видят. Как подвариант - используйте флешки (без танцев с бубном они не добавляются в шары), но так увеличивается вероятность про#бать данные другими способами.

Answer 8

[Oleg Soroka]

Примитивно - пусть шифруют.

Answer 9

[xmoonlight]

"Прозрачное" резервное копирование, антивирусная проверка, удалённая установка ПО, обновлений.

Answer 10

[DastiX]

По мне так если у сотрудника есть роль "администратор домена", то смысла нет что-то убирать. Захочет - и без шары найдет.
А если по делу, то в GPO шарить только для заданной группы, а правка GPO только для избранных.

Comments

[Go]

поправить GPO проблем нет, только куда копать?

Answer 11

[Макс]

Руководство беспокоят сами шары или то, что на них зайдут?
включите протоколирование доступа, по фактам подключения к компам руководства требуйте пояснения от админов.

Comments

[Go]

Они хотят, чтобы их ДСП не смогли прочесть. Да, протоколирование доступа даст понять кто подключался, но информация уже будет скомпроментирована.

[Макс]

тогда им придется самим администрировать свой компьютер и уносить его на ночь домой.
Вы не можете гарантировать, что при устранении проблем/ установке обновлений админ не скопирует себе эти документы ДСП. А ночью вообще караул. Самое страшное - это уборщицы. Хакер на хакере.

[Макс]

на самом деле контроль привелегированных пользователей - очень большая головная боль ИБ.
Далеко не везде можно запретить. Вернее можно, но тогда сами пользователи взвоют.

Answer 12

[Сергей]

Нет смысла извращаться с групповыми политиками доступами и тд и тп норм админ если захочет будет знать все и какие файлы лежат и куда они лазят и что пишут.....
единственно верным решением которое устроит абсолютно всех:
1) Дать по голове тому кто рассказал начальству об этом!
2) купить НАС и не интегрировать в АД а выдать отдельный доступ каждому начальнику к своей папке,
а все это поручить одному админу у которого и буде не ограниченный доступ ко всем и вся
Если начальство будет упираться напомнить о сохранности данных