ডোমেন প্রশাসকগণ থেকে এনটিএফএস ভলিউমে ফাইলগুলি রক্ষা করুন

8

আমরা ২০০৮ আরআর ডোমেন সহ একটি ছোট্ট একটি সংস্থা, যার উপর আমাদের বেশ কয়েকটি ভাগ করে নেওয়া ভলিউম সহ একটি ফাইল সার্ভার রয়েছে। ডোমেন প্রশাসকদের ভূমিকাতে আমাদের বেশ কয়েকটি আইটি স্টাফ রয়েছে, কারণ কার্যকরভাবে আমরা সবাই 24x7 কল করছি। তবে এটি সম্প্রতি কোম্পানির নীতিমালার ইস্যুতে পরিণত হয়েছে যে এখানে নির্দিষ্ট ফোল্ডার বা ফাইল রয়েছে (বেতন ডেটা, পারফরম্যান্স রিভিউ, অ্যাকাউন্টিং তথ্য) যা গোপনীয় হওয়া উচিত, আইটি কর্মীদের সহ। এটিতে ব্যাকআপের (টেপ এবং ডিস্ক) ডেটা অন্তর্ভুক্ত রয়েছে।

এখন পর্যন্ত আমাদের কাছে যা ঘটেছে তা:

* ইএফএস - তবে আমাদের একটি পিকেআই স্থাপন করতে হবে যা আমাদের সংস্থার আকারের জন্য কিছুটা ওভারকিল

* ট্রুক্রিপট - তবে এটি একযোগে অ্যাক্সেস এবং অনুসন্ধানের দক্ষতা হ্রাস করে

* এসিএলগুলি থেকে ডোমেন প্রশাসকদের সরান - তবে বাইপাস করা এটি অত্যন্ত সহজ (এক ক্লিক)

* ডোমেন প্রশাসক গোষ্ঠীর ব্যবহার বাদ দেওয়া, এবং আরও স্পষ্টভাবে অনুমতিগুলি অর্পণ করা - তবে এটি আবার কিছুটা ওভারকিল, এবং আমরা নিরীক্ষণের কারণে শেয়ারড অ্যাকাউন্টগুলির (যেমন, MYDOMAIN \ প্রশাসক) প্রয়োজনীয়তা হ্রাস করতে চাই

আমি নিশ্চিত যে এটি কোনও অভিনব সমস্যা নয় এবং আমি আগ্রহী যে এই ধরণের প্রয়োজনীয়তা সহ অন্যান্য মানুষ কীভাবে এটি পরিচালনা করেছেন? এমন কোনও বিকল্প রয়েছে যা আমরা ইতিমধ্যে বিবেচনা করি নি?

ধন্যবাদ!

windows  security  active-directory  ntfs 
Bab
সূত্র

উত্তর:

9

প্রথমে, আপনাকে আপনার প্রশাসকদের বিশ্বাস করতে হবে। আপনি যদি না করেন তবে তাদের এই চাকরি বা এই সুযোগগুলি থাকা উচিত নয়। সংস্থাটি এই ফাইন্যান্স বা এইচআর ব্যক্তির উপর নির্ভর করে যার এই ডেটাতে অ্যাক্সেস রয়েছে, তাই আইটি কর্মীরা কেন নয়? তাদের মনে করিয়ে দিন যে প্রশাসকদের প্রতিদিন উত্পাদনের পরিবেশ ট্র্যাশ করার ক্ষমতা রয়েছে, তবুও এটি বেছে নেবেন না। এটি গুরুত্বপূর্ণ যে ব্যবস্থাপনা এই বিষয়টিকে স্পষ্টভাবে দেখে।

এর পরে, @ sysadmin1138 যেমন বলেছেন, প্রশাসকদের মনে করিয়ে দিন যে অ্যাক্সেসের সমান অনুমতি নেই।

এটি বলেছিল, আমরা ডিফল্টরূপে ডোমেন প্রশাসকদের ফাইল শেয়ারগুলিতে অ্যাক্সেস প্রদান করি না। এগুলি সরানো হয় এবং তাদের জায়গায় প্রতিটি শেয়ারের জন্য এনটিএফএস অনুমতিগুলির জন্য তিনটি এসিএল গ্রুপ (পড়ুন, লিখুন, অ্যাডমিন)। ডিফল্টরূপে কেউ এসিএল অ্যাডমিন গ্রুপে নেই এবং সেই গোষ্ঠীর সদস্যপদ নিরীক্ষণ করা হয় না।

হ্যাঁ, ডোমেন প্রশাসকরা এই ফাইলগুলির মালিকানা নিতে পারে, তবে এটি একটি ট্রেইল ছেড়ে যায়। নিরীক্ষা গুরুত্বপূর্ণ। রোনাল্ড রেগান এটিকে "বিশ্বাস, তবে যাচাই করুন" বলেছেন। লোকেরা জানতে হবে আপনি পরীক্ষা করছেন।

শেষ অবধি, ডোমেন প্রশাসকদের থেকে লোকজন সরিয়ে শুরু করুন। AD এর অনুমতিগুলি আজ গ্রানুলারাইজ করা খুব সহজ। না করার কোনও কারণ নেই। লোকেরা তাদের যে সমস্ত সার্ভার বা পরিষেবা পরিচালনা করেন সেগুলিতে অ্যাক্সেস দিন, সবকিছু নয়।

uSlackr
সূত্র
11

আমি এটি দুটি উপায়ে পরিচালনা করেছি:

  1. আইটি কর্মীদের ডায়ার ফলাফলের জন্য শপথ করে এমন কিছু স্বাক্ষর করুন যাতে এটি কখনও প্রকাশ না হওয়া উচিত যে তারা এ জাতীয় অ্যাক্সেসের অনুমোদিত কোনও ব্যক্তির সুস্পষ্ট অনুমোদন ছাড়াই প্রশ্নযুক্ত ফাইলের অবস্থানগুলি অ্যাক্সেস করেছেন।
  2. তথ্য স্টাফ ডিভাইসে সরানো হয়েছে যা আইটি কর্মীদের দ্বারা অ্যাক্সেসযোগ্য নয়।

দুজনেরই অবশ্যই সমস্যা আছে। প্রথম পদ্ধতিটি হ'ল অনুসরণকারীদের জন্য নির্বাচিত বড় সংস্থাগুলিতে আমার আগের দুটি কাজ। মূলত যুক্তিটি ছিল:

অ্যাক্সেস এবং অনুমোদন পৃথক জিনিস। যদি তারা অনুমোদন ছাড়াই এই ডেটা অ্যাক্সেস করে তবে তারা বিগবিগ সমস্যায় পড়ে। এছাড়াও, এই লোকেরা ইতিমধ্যে এমন বিশাল সংখ্যক ডেটাতে অ্যাক্সেস পেয়েছে যার জন্য তারা অনুমোদিত নয় , সুতরাং এটি তাদের পক্ষে নতুন সমস্যা নয়। অতএব, আমরা এটি চালিয়ে যেতে এবং এটি সম্পর্কে পেশাদার হতে তাদের বিশ্বাস করব।

আমাদের কাজের লোকেরা ব্যাকগ্রাউন্ড চেক সাপেক্ষে প্রবণতার এক কারণ এটি।

এইচআরআর থেকে নিজেই কোনও কাজ শুরু করার সময় এটি হাইলাইট করা হয়েছিল, এবং তথ্যপ্রযুক্তি কর্মীদের ডেকে আনা হয়েছিল যে ফাইলটি লোকেশন থেকে যে প্রক্রিয়াটি নথিভুক্ত ছিল সেগুলি থেকে সেই ব্যবহারকারীকে ব্লক করার অনুমতিগুলি সেট করতে। আইটি থেকে এ জাতীয় কার্যক্রম গোপনীয় হলেও সঠিকভাবে বাদ দিয়ে সেটআপ করার জন্য আমাদের বিশেষভাবে আমন্ত্রিত হয়েছিল।

এটি সুস্পষ্ট বিরোধ-স্বার্থের একটি মামলা ছিল

দ্বিতীয় বিকল্পটি সাধারণত আইটির পরামর্শ ছাড়াই বিভাগগুলি অনুসরণ করে। 10 বছর আগে ধরে নেওয়া-বিওএফএইচ-এর সর্বদক্ষ দর্শন থেকে ডেটা রক্ষার জন্য এই ড্রাইভটি মানুষকে তাদের ওয়ার্কস্টেশনের ড্রাইভগুলিতে সমালোচনামূলক ডেটা দেয় এবং বিভাগে একে অপরের মধ্যে ডিরেক্টরিগুলি ভাগ করে নিয়েছিল। আজকাল, এটি সাধারণ কিছু হতে পারে কারণ একটি ভাগ করা ড্রপবক্স ফোল্ডার, মাইক্রোসফ্ট স্কাইড্রাইভ বা সেই লাইনগুলির সাথে অন্য কিছু রয়েছে (মিমি মিমি, আনভিটেড তৃতীয় পক্ষগুলিতে কোম্পানির ডেটা এক্সফিলারেশন)।

তবে যদি ব্যবস্থাপনা সমস্যাটি দেখে থাকে এবং এটি সম্পর্কে সবার সাথে কথা বলে থাকে তবে প্রতিটি ঘটনার সাথে আমি জড়িত বা কাছাকাছি এসেছি, "আমরা একটি কারণের জন্য এই লোকগুলিকে বিশ্বাস করি, কেবল তারা নিশ্চিত হন যে তারা অ্যাক্সেস নীতিগুলি সম্পর্কে পুরোপুরি সচেতন আছেন make এবং ঘুরে আসা."

sysadmin1138
সূত্র
4

আমার পাঁচটি সম্ভাব্য সমাধান রয়েছে যার মধ্যে চারটি প্রযুক্তিগত।

(1) একটি এডি ফরেস্ট এবং সুবিধাযুক্ত তথ্যের জন্য নির্দিষ্ট অন্য একটি ডোমেন তৈরি করুন। আগ্রহের নির্দিষ্ট সম্প্রদায়গুলি কভার করার জন্য প্রয়োজনীয় হিসাবে পুনরাবৃত্তি করুন। এটি ডোমেন প্রশাসকদের উপরে আরও একটি নতুন ভূমিকা যুক্ত করবে - এন্টারপ্রাইজ অ্যাডমিনগুলি আরও বিচ্ছিন্ন এবং এমনকি উপ-বিভাজনযুক্ত হতে পারে।

পেশাদাররা:

  • সহজ
  • ভূমিকা সীমাবদ্ধ
  • সাংগঠনিক কাঠামো অনুকরণ করতে AD কাঠামোকে আরও সক্ষম করতে পারে

কনস:

  • সামান্য জটিলতা
  • এখনও একটি সুপার চালিত অ্যাডমিন রয়েছে, কেবল তাদের মধ্যে কম।

(২) স্বতন্ত্র ব্যবহারকারীদের বাদে কোনও আস্থার সম্পর্ক না করে একা স্ট্যান্ড সার্ভার তৈরি করুন

পেশাদাররা:

  • সহজ
  • ভূমিকা সীমাবদ্ধ

কনস:

  • সামান্য জটিলতা
  • এটি নিয়ন্ত্রণ করতে একজন প্রশাসক থাকবে
  • রক্ষণাবেক্ষণ

(৩) বিভিন্ন নেটওয়ার্ক ভল্ট প্রকারের পণ্যগুলির মধ্যে একটি কিনুন, উদাহরণস্বরূপ সাইবার-আরক। এই পণ্যগুলি আপনি ব্যবহার করছেন এমন ক্ষেত্রে ব্যবহারের জন্য বিশেষভাবে ডিজাইন করা হয়েছে।

পেশাদাররা:

  • আরও এন্টারপ্রাইজ ওরিয়েন্টেড
  • খুব ব্যবহারকারী বান্ধব হতে পারে

কনস:

  • মূল্য
  • এখনও ভল্টের জন্য সম্ভবত কিছু সুপার অ্যাডমিন রয়েছে।

(৪) সমস্ত তথ্য ডাটাবেসের ভিতরে রাখুন, তারপরে সমস্ত ডাটাবেস সামগ্রী এনক্রিপ্ট করার জন্য শক্তিশালী এনক্রিপশন ব্যবহার করুন, বা উপরের (1) এবং / অথবা (2) এর সাথে ফাইল সিস্টেম অ্যাক্সেসকে আরও ভালভাবে নিয়ন্ত্রণ করতে একটি সম্পূর্ণ ডিস্ক এনক্রিপশন পণ্য ব্যবহার করুন । এটি ডেটাবেস সামগ্রীর অপসারণ মুছে ফেলা নিষিদ্ধ এবং একটি ডেটাবেসের মধ্যে থাকার জন্য রিপোর্ট প্রয়োজন প্রয়োজন একটি নীতি সঙ্গে অগ্নিগর্ভ। এনক্রিপশন প্রোডাক্টটিতে শক্তিশালী এনক্রিপশন মডিউলগুলি অন্তর্ভুক্ত থাকতে পারে যেমন FIPS 140-2, এবং একটি শারীরিক ডিভাইসও হতে পারে, যেমন একটি হার্ডওয়্যার সুরক্ষা মডিউল (এইচএসএম)।

পেশাদাররা:

  • সামরিক স্তরের সুরক্ষা অর্জন করতে পারে
  • টেপ এবং ডিস্ক সুরক্ষা জন্য আপনার প্রয়োজন সেরা ফিট করে
  • আপনি হ্যাক হয়ে গেলে বৃহত্তর তথ্য সুরক্ষা

কনস:

  • কম নমনীয়
  • ব্যবহারকারীর ক্রিয়াকলাপকে উল্লেখযোগ্যভাবে প্রভাবিত করে!
  • একটি ক্রিপ্টো ভূমিকা বা সুরক্ষা ব্যক্তি প্রয়োজন

(৫) সুরক্ষা নিয়ন্ত্রণ ক্ষতিপূরণ - আপনার কর্মীদের সুরক্ষা নিয়ন্ত্রণগুলি যেমন তথ্য লঙ্ঘনের বিরুদ্ধে বীমা যোগ করা, নির্দিষ্ট দুটি ব্যক্তির প্রয়োজনীয়তা (বিভিন্ন উপায়ে করা যেতে পারে) যোগ করা, অন্য ভূমিকা (সুরক্ষা প্রশাসক), বা আরও ব্যাকগ্রাউন্ড চেক করা be আরও সৃজনশীল বিকল্পগুলি হ'ল একটি সোনার প্যারাসুট সহ যা কোম্পানীর কাছ থেকে পদত্যাগের পরে পদত্যাগ / গুলি চালানোর পরে কোনও তথ্য লঙ্ঘন না করে বা এডমিনদের সাথে কিছু বিশেষ সুবিধা দিয়ে সাধারণভাবে খুশি রাখার বিষয়ে আরও বেশি মনোযোগ দেওয়া থাকবে কর্মীদের প্রয়োজনীয়তা।

পেশাদাররা:

  • অন্তর্নিহিত সমস্যাটির সমস্যাটিকে সর্বোত্তমভাবে সমাধান করতে পারে
  • ভাল আচরণ উত্সাহ দেয়
  • কী প্রশাসকদের সাথে কোম্পানির সম্পর্ক বাড়িয়ে তুলতে পারে
  • সঠিকভাবে করা থাকলে সংস্থার সাথে কর্মীদের মেয়াদ বাড়িয়ে দিতে পারে

কনস:

  • এটি করার জন্য অনেক বিকল্প
  • মূল্য
ব্রেনান
সূত্র
3

কারও একবার প্রশাসনিক অধিকার পেলে সুরক্ষা যতদূর যায় সমস্ত বাজি বন্ধ হয়ে যায়। ঠিক এ কারণেই প্রশাসকদের এত উচ্চ স্তরের আস্থা প্রয়োজন - সবসময় এমন কোনও ধরণের ব্লক রয়েছে যেগুলি স্থাপন করা যেতে পারে।

আপনি যা করতে পারেন তা হ'ল পৃথক শুল্ক এবং একটি চেক এবং ব্যালেন্স সিস্টেম সেটআপ করা।

উদাহরণস্বরূপ, আপনি একটি গৌণ লগিং সিস্টেমটি ব্যবহার করতে পারেন (স্প্লঙ্ক বা লিনাক্স সিসলগ সার্ভারের মতো) যে কেবলমাত্র আপনার রাষ্ট্রপতি / যিনি আপনার সুরক্ষিত ডিরেক্টরিগুলির জন্য ফাইল অডিটিং অ্যাক্সেস করতে এবং কনফিগার করেছেন।

এসিএল থেকে প্রশাসকদের সরান এবং এসিএলে পরিবর্তনগুলি লগ সার্ভারে ফরোয়ার্ড করুন। এটি ইভেন্টটি ঘটতে বাধা দেবে না তবে কখন এবং কীভাবে অনুমতিগুলি পরিবর্তন করেছিল আপনার একটি নির্দিষ্ট লগ থাকবে।

এই ব্লকগুলির যত বেশি আপনি স্থাপন করেছেন তার কারও কারও উপর ঝুঁকির ঝুঁকির সম্ভাবনা তত বেশি।

টিম ব্রিগেহাম
সূত্র
1

আপনার সচেতন হওয়া উচিত যে সেই স্তরটির অধিকারী ব্যক্তি কোনও ফাইল / ফোল্ডারগুলির সুরক্ষা অনুমতি নির্বিশেষে উইন্ডোজ ফাইলের শেয়ারে ডেটা অ্যাক্সেস করতে পারে। "ব্যাকআপ ফাইল এবং ডিরেক্টরিগুলি" ডান উপলব্ধ থাকলে উইন্ডোজটিতে যে বিশেষাধিকার প্রদান করা যেতে পারে তার কারণেই এটি।

এই অধিকারের সাথে, কেউ কেবল ফাইলগুলি ব্যাকআপ করতে পারে এবং সেগুলিকে অন্য কোনও জায়গায় পুনরুদ্ধার করতে পারে। এবং অতিরিক্ত creditণের জন্য, তারা এটি নির্ধারিত টাস্ক হিসাবে সিস্টেম হিসাবে চলতে পারে তাই এটি কোনও নিরীক্ষণের সময় স্বচ্ছের চেয়ে কম হবে। যদি এটি কোনও বিকল্প না হয় তবে তাদের ব্যাকআপ সিস্টেমে অ্যাক্সেস থাকতে পারে এবং সেখান থেকে ডেটা এমন কোনও স্থানে পুনরুদ্ধার করতে পারে যা অডিট করা যায় না।

ইএফএস ব্যতীত আপনি গোপনীয়তা, অনুমতি, নিরীক্ষণ বা অন্য কোনওভাবে গ্যারান্টি দিতে ফাইল সিস্টেমের উপর নির্ভর করতে পারবেন না।

স্কাইড্রাইভ বিকল্পটি যে sysadmin1138 আমার কাছে নথির জন্য ভাল লাগছিল। সত্যিকারের সংবেদনশীল এমন নথিগুলির পরিমাণ সাধারণত খুব কম থাকে এবং স্কাইড্রাইভ আপনাকে নিখরচায় 7 জিবি দেয় (2 জিবি ফাইল সর্বাধিক)। অ্যাকাউন্টিং সিস্টেমের জন্য, সেই ডেটাটি কোনও সত্যায়িত ডাটাবেসে কিছু এনক্রিপশন, এবং প্রমাণীকরণের দ্বারা সুরক্ষিত করা উচিত যা কোনও উইন্ডোজ প্রশাসকের অ্যাক্সেসের অনুমতি দেয় না।

গ্রেগ অ্যাস্কিউ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.