Я использую общий файловый ресурс пользователей на Windows 2008R2
.
Меня беспокоит то, что администраторы домена получают доступ к чьим-то файлам, которым они не должны.
Я включил расширенный аудит и проверил результаты. Я вижу, когда кто-то что-то делает в папке, read/delete
с преступниками userid's
но это выглядит как Event ID 5145
.Когда реальный пользователь получает доступ к своей собственной папке, это также выглядит как Event ID 5145
.
Мое место работы закончилось 4000
пользователей, поэтому возможность предупреждать каждый раз, когда кто-то использует их собственные файлы, не подходит. Я не могу срабатывать только при сбое, поскольку администраторы домена будут иметь права на доступ к файлам.
Размещение "только пользователь" вместо пользователей и администраторов не вариант, поскольку наша резервная копия не сможет прочитать данные.
У кого-нибудь есть предложения?
У нас есть отдельное центральное устройство регистрации от LogLogic куда мы пересылаем все наши системные журналы. Это, в свою очередь, позволяет нам более детально определять, как и когда мы предупреждаем. Я бы рекомендовал использовать подобное решение, если оно у вас есть.
См. Комментарий voretaq7. Им действительно нужно доверять. Тем не менее, не лишним будет проверить, что они делают и им нужен доступ.
Мы делаем еще один шаг. Мы определили наш общий доступ (на самом деле NTFS, а не разрешения на уровне общих ресурсов), чтобы администраторы домена не имели явного доступа для чтения к большинству общих ресурсов. Для этого мы создали группу Mgmt Security, которая обычно пуста. Конечно, администраторы домена могут добавлять себя в эту группу, поэтому администратор сети получает предупреждение каждый раз, когда членство в этой группе изменяется.
В случае проблемы с общим доступом, администраторы домена всегда имеют право требовать владения любыми файлами в соответствии со своими правами.
В настоящее время развертывается ведение журнала событий, и мы также работаем над тем, чтобы серьезно ограничить количество людей в нашей группе администраторов домена, развернув инструмент AD Mgmt (сервер активных ролей от Quest).