Назад | Перейти на главную страницу

Защита информации от администраторов домена

Я разработчик программного обеспечения, на которого была возложена ответственность предложить нашему клиенту решение, включающее инфраструктуру.

В основном наш проект состоит из двух программ для отдела аудита. Прямо сейчас они подключены к сети компании.

Они хотят, чтобы никто из сотрудников компании не мог перехватить, прочитать или сделать что-либо с информацией, которой они будут обмениваться и которыми будут манипулировать. Я понимаю, что после развертывания нашего программного обеспечения на одном из серверов компании теоретически один из администраторов сможет получить доступ к информации (базе данных, корневым дискам и т. Д.).

Учитывая, что я не специалист по инфраструктуре, решение, которое я придумал до сих пор, потребовало бы, чтобы они создали свой собственный центр обработки данных в другом домене, а затем установили соединение между двумя сетями, чтобы существующая все еще могла предоставлять доступ в Интернет для новый через прокси-сервер.

Однако это похоже на решение, требующее больших усилий.

Я просто хотел указать, что они также требуют, чтобы данные резервного копирования и репликации из их отдела хранились подальше от остальной компании. Итак, я думаю, им в любом случае нужно будет вложить деньги в пару серверов.

Но в то же время я также считаю, что эти серверы не обязательно должны быть контроллерами домена или они?

Можно ли находиться внутри одного домена и при этом хранить информацию от администраторов домена? Я бы предпочел не связываться с созданием и обслуживанием нового домена.

Есть ли лучший способ достичь своей цели? Там они используют Windows Server, если это имеет значение.

  1. Один сервер или рабочая станция

  2. Оставьте сервер / рабочую станцию ​​как автономный сервер / рабочую станцию. Нет необходимости присоединяться к клиентскому домену или создавать отдельный домен.

  3. Назначьте IP-адрес серверу / рабочей станции, выделенному из клиентской сети.

  4. Попросите клиента создать учетную запись пользователя в клиентском домене с соответствующими правами и разрешениями для выполнения аудита.

  5. Настройте свое программное обеспечение для использования этой учетной записи.

  6. Готово.

Администраторы в клиентском домене не смогут войти на сервер / рабочую станцию ​​аудита, потому что он не присоединен к клиентскому домену, и у них не будет действительного имени пользователя или пароля для сервера / рабочей станции аудита. Сервер / рабочая станция аудита сможет получить доступ к клиентскому домену через учетную запись пользователя, созданную в клиентском домене для выполнения аудита.

Теперь, можете ли вы настроить свое программное обеспечение для использования учетной записи пользователя в клиентском домене - это вопрос, на который можете ответить только вы.