Добрый день, всех с прошедшими Праздниками!

Помогите, пожалуйста, со следующей задачкой! Нужно защититься от администратора сети (домена)! Вопрос такой в инете неодократно задавался, но ответом было, как правило, такое: «защищаться от администратора это тупо»... Тупо, но надо!

Ну так вот. Сначала описательная часть, а потом, собственно, вопрос.

Пытаемся призвать себе на помощь EFS, использование которой по любому планируется в сети.
В EFS есть так называемые агенты восстановления, которые могут получить доступ к зашифрованным пользовательским данным согласно определенной ранее политики восстановления. Так вот, прятать от админа пользовательские данные EFS-шифрованием бессмысленно, т.к. админ по умолчанию является агентом восстановления любого EFS-зашифрованного ресурса, т.е. доступ к нему он все равно получит. Исключение админа из политики восстановления EFS-зашифрованных ресурсов дело не спасает – являясь админом он так же просто может добавить себя туда или еще наплодить других агентов восстановления с какими угодно правами.

Теперь как мне думается, можно было бы решить задачу в контексте таких вот реалий. Получается несколько натянуто, но все таки:

Первоначальное развертывания системы производит администратор (доменный админ). Он делает следующее:

1. Создает профили администраторов с «ущемленными правами». Этим «администраторам» (будем называть их под-админами) позволяется делать только необходимое для администрирования системы – заводить юзеров, предоставлять доступ, делать бэкап. НО: они не имеют право определять политику восстановления EFS-зашифрованных ресурсов, т.е. создавать агентов восстановления (или причислять себя к таковым). Тем самым, защищаем зашифрованные данные пользователя от будущих админов системы (ими как раз и будут эти «под-админы»). В идеале, вообще запретить таким типам все, что связано с шифрованием.

2. Создает по необходимости агентов восстановления. Полномочия у них минимальны.

3. Заводит папочки, юзеров, разграничивает доступ.

4. Кладет свою смарт-карту с паролем для авторизации в сети в сейф к начальнику службы безопасности, например. Т.е. исчезает из системы.

Итак, мы имеем систему без суперадмина, который мог бы потревожить данные пользователей, а все административные функции выполняются созданными ранее «под-админами», которые не могут просмотреть в зашифрованные ресурсы. В случае, если юзер теряет свой закрытый ключик (предварительно импортированный на смарткарту), в дело вступает агент восстановления, которому под-админ предоставляет доступ к папочке, где тому надо поработать.
Теперь, собственно, вопрос: как вы ко всему этому относитесь?:) Можно ли создать такого ущербного админа («под-админа»), полномочия которого позволили бы ему администрить систему, но не позволяли бы общаться с EFS-зашифрованными ресурсами? (В идеале, конечно хотелось бы знать, какие и где выставить галочки, чтобы сконфигурировать ущемленные полномочия такого «под-админа», но это уже слишком нагло с моей стороны!:)) Как я понимаю, создавать такого админа можно «сверху» - то есть создать юзера с правами админа и урезать права до желаемого уровня, или «снизу» - создать юзера с правами юзера и добавлять права ему до необходимого уровня. Но сам я разбираюсь в том, что да как кому урезать, мягко говоря, небыстро.... Хотелось бы знать, приду к чему-нибудь, двигаясь в этом направлении? Какие-нибудь советы…

В узком смысле задача стоит защититься именно за счет EFS-а (никакие там, например, PGP-решения не рассматриваются). А в более широком смысле хотелось бы создать систему, защищенную каким-либо образом от администратора уже не важно чем. Если у кого опыт общения с системами защиты контента, буду очень рад услышать и пообщаться!
Спасибо!!!

aleks2
Для сведения:
1) EFS-шифрованные файлы спокойно бэкапятся/ресторятся... в шифрованном виде.
2) Агент восстановления не имеет доступа к шифрованным ДО создания агента файлам.


Ну да, агента восстановления не ильно страшны, т.к. им можно убрать почти все полночия, кроме восстановления и, тем более, закрыть доступ стандартнами Win средствами.

aleks2
To change the recovery policy for the local computer...
NotesYou must be logged on as an administrator or a member of the Administrators group in order to complete this procedure. If your computer is connected to a network, network policy settings might also prevent you from completing this procedure.


так это ж вроде хорошо в контексте моей задачи... Запретить созданному главным админом ущербному под-админу создавать агентов восстановления! И тогда ему проблемно будет докопаться до EFS-файлов.

rrrrrrrrrr
имхо все равно нереально все это.
1) зайдя по смарт-карте, админ сможет сделать все, что ему лично нужно (переместить ваши данные) каким-нибудь бинарником, не привлекая чьего-либо внимания (т.е. даже если вы будете контролировать, что он делает на сервере, ему достаточно вставить компакт-диск с хитрым автозапуском или дважды щелкнуть на какой-либо замысловатый setup.exe, замаскированный под что угодно. Т.е. узким местом всегда будет то, что админ иногда все же имеет доступ к системе. А тут и пяти минут бывает достаточно, если предварительно подготовиться.
2) администратор всегда может запустить процесс в вашем пространстве (т.е. от вашей учетки и не вводя ваш пароль - достаточно подменить ехе-файл какой-либо общей сетевой программы или вписать соотв. процедуру в учетную программу и т.п.) или просто получить ваши имя-пароль (вчера описывал, как это делается с помощью ginadll. В этом случае ему и не надо быть агентом восстановления, достаточно быть администратором на вашей машине или в домене.
Это только первое что пришло на ум, когда представил себя на месте вашего админа.



ну это, конечно, все правильно.. Речь идет как раз о том, чтобы этого суперадмина убрать, оставить ущербных наместников. Такой вот несколько искусственный способ.

Система, о которой идет речь, это как бы отдельный домен внутри компании, около 200 пользователей, где крутится особо конфиденциальная информация. Как то хотелось бы подгадать, чтобы этим ущербным наместникам хватало своих полномочий для ежедневного администрирования, а для серьезных действий админу будет позволено вытащить свою смарткарту из сейфа. Конечно, он и за это время потенциально может пакосте наделать, это бесспорно, но все таки как-то ограничить его получится.

Еще забыл сказать, пользователи работают через терминал, данные их хранятся на серваке, который как раз и надо защитить.



Sergey Orlov
Любая попытка затереть лог запишется в лог.
Вообще-то разговор становится беспредметным.
Если уж так важна информация, то ставьте терминал сервер и ходите на него с бездисковых машин и прочих прелестей в виде флешек, дисководов, загрузкой операционки по сети ну и прочими прибамбасами... Linux по сети + rdesktop, к примеру. Правда, наверное сетка гигабитная и виндовый сервер нужны, ну разве ж это проблема сейчас...


Ага, все так, но на винде...(.. Но это, скорее, от юзеров защита.


Green2
Вообще то такая задача очень сложная технически,
легко решается организационно, если принять,
что администратор имеет доступ к информации.


нашли продукт такой Safe boot Content Encryption называется.. Вроде как раз для подобных целей - там свое шифрование, иерархии админов безопаности и проч. Т.е. направлено все на то, чтобы админа ОС отрезать от пользовательских данных. Ну, конечно, опять же все условно.. Если очень захотеть...

Green2
Замечу, что автор бросил топик и ушел.
Дисскусия развивается по своей дороге...


я тут:)


В общем, получается , надо поиграться правами и настройкакми политик безопасности и восстановления. И создать "оптимальных" под-админов с меньшими правами...