Рекламный блок.

Дано: есть сервер, на котором желательно хранить конфиденциальную информацию, работая с ней на локальных машинах. Доступ строго ограничен, при этом нужно ограничивать для конкретных пользователей. То есть иногда даже администратор домена не должен иметь возможности получить доступ к данным - только один человек, поэтому стандартные средства ОС отпадают.
Обычное шифрование подходит для архивирования, но не дает возможности прозрачно работать с данными, поэтому тоже не годится. Утилиты типа bcrypt работают только в рамках локальной машины.
Какими средствами можно решить поставленную задачу? Сервер Win2003.

Но почему же стандартные средства не подходят?

1) находишь человека, который обладает наибольшими правами доступа к информации (он придумывает пароль локальному администратору и запирает комп в своем кабинете)
2) Выведи комп из домена
3) заведи несколько пользователей и раздай права для них: в том числе и на шары (не через "доступ", а через "безопасность")
4) Всех пользователей оставь в обычной группе "пользователи"
5) настрой аудит с оповещениями и включи логирование
6) настрой политику паролей (тип пароля - сложный, минимум 10-14 символов: смена через 7 дней - обязательна и т.п.)

Для большей защищенности можно сделать отдельную (физически) сетку. 1 свичик и несколько дополнительных сетевых карт

P.S. Сработает только в случае, если есть хотя бы один человек, который может иметь доступ вообще ко всей информации.



Возможно есть и другой способ через локальные политики сервера, но с этим надо дольше разбираться.

На ЛОКАЛЬНОЙ машине таки да, нет проблем способов море. О чем и речь. Машина - сервер 2003. А в домене админ всегда может получить доступ куда угодно. Даже если используется EFS, админ может стать агентом восстановления.

SecretsSaver расширяет стандартную систему безопасности Windows, реализуя мандатный (полномочный) контроль доступа. Информации, в том числе и находящейся на серверах, предоставляющих к ней доступ через специализированное программное обеспечение (1С, Share Point и т.п.), присваивается гриф (общедоступно, секретно, совершенно секретно), а пользователям присваивается уровень доступа, определяющий, информацию с каким максимальным уровнем секретности данный пользователь может редактировать, скопировать на внешний носитель или передать по сети.

СЗИ SecretsSaver интегрирована в Active Directory; она состоит из агентов, устанавливаемых на рабочие станции, и консоли управления, которая дает возможность удаленно устанавливать и удалять агентов, а также управлять уровнями доступа пользователей и просматривать протоколы их работы.

Грамотное применение СЗИ SecretsSaver поможет Вам предотвратить как случайную утечку коммерческой информации, вызванную халатностью персонала, так и защититься от умышленной кражи информации сотрудниками имеющими к ней доступ, усилив эффективность применяемых административных мер.

СЗИ SecretsSaver проста в использовании и имеет понятный интерфейс. Подробная документация с примерами позволит Вам освоить и начать применять SecretsSaver на своем предприятии в считанные минуты. С помощью СЗИ SecretsSaver опытные администраторы могут решать самые серьезные проблемы корпоративной безопасности. А в случае затруднений специалисты службы поддержки проконсультируют Вас по возникающим вопросам.

http://www.secretssaver.com/download/index.html

, то есть опять же управляется админом, которым

. То есть админ может при желании присвоить себе наивысший уровень, прочитать что нужно и вернуть права обратно. То, чего и хочется избежать.

тут "админом" является не админ домена - а другой и один единственный челоек (вы лично к примеру - или вы себе не доверяете? :-) )
Админ домена не может ничего прочитать в данном случае - но на всякий случай там на сайте есть мыло - можете уточнить

интегрирована в Active Directory - значит хранит свои данные в каталоге.
в версии 3.0 действительно администратор домена имея доступ к консоли управления может поменять свои привелегии, если ему доступ к консоли не давать, т.е. консоль например ставится только на рабочем месте офицера безопасности, поменять права доступа ему будет значительно сложнее.
проведя дополнительную настройку системы можно еще сильнее затруднить несанкционированные действия администратора.

и учтите еще один момент - устанавливая любую защиту, вы не сводите на нет все угрозы, вы можете только затруднить действия атакующего

Не я Шифроваться собирается исполнительный директор. Специальной службы безопасности нет, поэтому отдавать права раздачи доступа некому. Да и вообще, речь о том, чтобы мог войти ОДИН человек, а админ ли, офицер службы безопасности - это уже второй Отдать контроль над консолью ему лично? Тогда придется неделю ждать, пока у него время найдется поменять что-то кому-то другому или просто пустить к консоли (ему же следить придется!) Да и вообще не царское это дело
Я рассчитывал на утилитку типа тех, которые широко применяются локально - создают скрытый шифрованый том. Человек сам создает папку, сам задает пароль и все вопросы по безопасности задает исключительно себе.

pgpdisk такая утилита
только злобный админ завсегда трояна может заслать и пароль спереть
или ваш исполнительный таких слов не знает ?
а вообще, из моего личного опыта, таким энтузиастам надо вдалюливать, что чем безопаснее, тем не удобнее и дороже

pgpdisk работает по сети?

Это он понимает. И не собирается ВСЕ хранить таким образом. Но есть отдельные документы... И их довольно много...

Ну так смотреть за вещами надо, когда в комнату входишь То есть в данном случае спасение утопающих - дело их собственных рук.
Добавлено в [mergetime]1113216621[/mergetime]

Ну это общее место, никто не спорит.

FreeLSD

можно убирать группу "Администраторы домема" из локальной группы "Администраторы"
и админ домена становится обычным пользователем на этом сервере.

Хотя в любом случае если сервер находится в домене есть уйма способов получить доступ к локальной информации этого сервера.

Наиболее рационально было бы все же вывести его из домена

Это значит, нужен еще один сервер. Затраты не сооветствуют задаче в данном случае.

а что мешает не трогать 2003 сервер вообще
сделай рабочую станцию этого пользователя файловым сервером
и пусть он будет не в домене

В вашем случае я бы рекомендовал программное обеспечение Secret Disk от Aladdin. Аппаратные ключи доступа к домену (двухфакторная аутентификация), далее - размещение шифрованного диска на сервере, а ключи шифрования - аппаратные в виде USB eToken у каждого пользователя. В случае такого решения - шифрование трафика автоматически, т.к. шифрование осуществляется сразу на компах пользователей, данные в закрытом виде помещаются на сервер. Шифрование на лету!