У нас есть сервер Exchange с 50 почтовыми ящиками.
Старшие директора компании (около 5 почтовых ящиков) хотят, чтобы их почтовые ящики были сверхбезопасными, и поэтому не хотят, чтобы администратор мог контролировать их почтовые ящики для просмотра любых электронных писем и т. Д.
Есть идеи, как это сделать?
Я не знаю, можно ли заблокировать администратора. Как бы вы починили почтовый ящик, если он поврежден?
Сисадмины являются системными администраторами отчасти потому, что для высокопоставленного системного администратора существует уровень неявного доверия. Системные администраторы могут читать любые данные на сервере, читать электронную почту, анализировать трафик, сбрасывать пароли ... по сути, они боги в сети и на серверах.
Если вы не доверяете системному администратору, у вас проблема.
Это вопрос кадровой политики и политики, а не технология. Вам нужны четко сформулированные правила, которые диктуют, что можно и чего нельзя терпеть. В противном случае им нужно было бы знать, что даже если почтовые ящики защищены, системные администраторы могут использовать анализ пакетов, снимок экрана и т. Д., И если вам удалось каким-то образом заблокировать администратора, удачи в получении почты, диагностике проблем на этих машинах, и выяснить, не установил ли кто-то вредоносное ПО на эти рабочие станции и читает ли эти сообщения!
Как уже было сказано, на самом деле это невозможно.
Что можно сделать, это, конечно, проводить аудит событий в этих почтовых ящиках, а журналы событий на серверах обмена могут быть защищены. Как отмечает Эрик, даже это не поможет, если системный администратор возьмет домой резервную ленту и восстановит ее.
В конце концов, если директора не доверяют системным администраторам, то бизнесу нужны либо менее параноидальные директора, либо более заслуживающие доверия системные администраторы, в зависимости от того, правы ли директора, чтобы волноваться.
Единственный способ сделать это - не хранить электронные письма в Exchange, что, в свою очередь, исключает их из любой существующей системы архивирования электронной почты. В зависимости от того, в какой нормативной среде вы живете, это может быть очень плохой идеей.
Но в конечном итоге все сводится к проблеме доверия. Если они не могут доверять своим собственным администраторам высшего уровня, чтобы они не совали нос в области, куда их не приглашали (возможно, они прочитали слишком много историй о BOFH), то этому администратору не нужно там работать. . Это называется профессиональной этикой, и один из главных правил для системных администраторов - не заниматься поиском информации из любопытства. Вот почему я получил серьезную справку об этой и моей последней работе системного администратора.
Тем не менее, я видел примеры, когда у пользователей верхнего уровня был отдельный ИТ-специалист только для них. Они поддерживали отдельные среды электронной почты и были человеком, который занимался ИТ-отделом рабочего стола для высшего руководства. Остальной части хай-поллои ИТ пришлось работать через одного человека. Это действительно может сработать, когда этот один человек - хороший парень и готов работать с остальной частью компании. Это может быть настоящим злом, когда этот человек позволяет силе ударить себе в голову и начинает идти своим путем, просто чтобы идти своим путем.
Администратор будет всегда иметь какой-либо способ попасть в почтовые ящики своих пользователей, будь то через сервер обмена, через OWA, через стороннее устройство фильтрации спама или, возможно, даже путем восстановления из резервной копии (это даже позволит избежать стандартных журналов аудита на бирже сервер). На самом деле это скорее вопрос доверия, чем технический.
Единственный действительно безопасный способ сделать это - использовать шифрование на стороне клиента для всей своей почты, используя ключ, защищенный парольной фразой. Но мне трудно поверить, что они согласятся прыгнуть через обручи, необходимые для этого.
Это невозможно. Позиция Microsoft в отношении безопасности всегда заключалась в том, что администраторы могут получить доступ ко всему, даже к тому, к чему у них нет доступа (будь то изменение разрешений или получение права собственности на объект).
Теперь другие, такие как Novell, использовали другой подход в прошлом, когда администраторы могли удалить доступ к объектам без возможности получить его обратно. Большой недостаток этого заключается в том, что части вашей файловой системы, хранилища каталогов или почтовых ящиков могут легко стать полностью недоступными без обращения за помощью.
Итак, если ваши руководители не хотят управлять своим собственным сервером Exchange (и доменом), вам придется жить в рамках Microsoft.
Что насчет того, если фактические администраторы (ребята, которые выполняют повседневную работу) будут удалены из групп администраторов домена и организационных подразделений Exchange? Насколько я понимаю [*], это необходимые разрешения, необходимые для просмотра почтового ящика.
Тогда пароль для «настоящей» учетной записи администратора (которая по-прежнему имеет членство в Domain Admin и Exchange OU) известен только директорам компании.
Конечно, это ограничит возможности отладки и настройки фактических администраторов; но когда потребуется дополнительный доступ, придется вмешаться одному из директоров.
Я очень симпатизирую оригинальному плакату: глава моей компании настаивает на такой же политике. Его организация была кропотливо создана для разделения административной власти между разными людьми. Это неприятно, но владелец бизнеса сам устанавливает правила.
Обратите внимание, что это предложение игнорирует возможность перехвата электронных писем, когда они находятся в сети.
[*] Большой отказ от ответственности: я только изучаю этот материал, поэтому, пожалуйста, отнеситесь к нему с большой долей скепсиса.