Задать вопрос
goricvet
@goricvet
windows

Есть ли альтернатива отключению админских шар (C$ и прочие)?

Такой вопрос. Есть одно госучреждение. Все рабочие станции сотрудников находятся в домене (DC на Windows Server 2003 со стандартными групповым политиками). Недавно высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары.

Является ли это единственно правильным решением или можно обойтись другими средствами, чтобы местные админы не могли по сети заходить на жесткие диски этих ПК (но при этом хотя бы могли локально администрировать эти рабочие станции)?
Какие могут возникнуть проблемы при отключении шар, чтобы можно было обосновать это руководству?
  • Вопрос задан
  • 3174 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@1qaz2wsx3edc
Active Directory admin
Не буду никого критиковать, но большинство ответов мягко говоря странны на мой взгляд. Советовать что-то отключать \ фаерволить не имея полной доступной информации об IT ландшафте организации достаточно самонадеянно. Более всего мне близок ответ Сергея Ковалёва. Дополню обсуждение своими мыслями - на мой взгляд в данном кейсе можно выделить несколько проблем.

1) Проблема расположения sensitive данных.

Т.е храня данные на ноутбуках \ стационарных компьютерах, физический доступ к которым теоретически есть у многих сотрудников - это сам по себе - риск. Мой совет - перенести данные в некое центральное хранилище, организовать бекапирование, рассмотреть вопрос о настройки шифрования. (вопрос только в том на сколько эти данные ценны). Также рекомендую озаботиться принятием регламента, согласно которому пользователи не хранят рабочие данные на клиентских пк вовсе (все опять таки на серверах).

2) Распределение задач внутри IT отдела, настройка ролевого управления.

Если каждому системному администратору (вплоть до новичка) выдавать доменного админа, то рано или поздно можно нарваться на неприятности. Я думаю это сильно недооцененный риск, особенно на малых (до 500 человек) предприятиях (где и ИБ службы то толком нет). Считаю, что следует потратить какое-то разумное время и настроить доступа через группы (например - администраторы файловых серверов, администраторы почтовой системы, администраторы групповой политики, администраторы компьютеров Scope-A, администраторы компьютеров Scope-B. Так же необходимо произвести аудит объектов и разрешений на них в самой AD и тонко настроить тоже через группы. Единожды вложившись (в зависимости от инфраструктуры предполагаю от 3 дней до нескольких недель) вы оградите себя от массы геморроя в будущем.

3) Я бы поставил пунктом #1 на самом деле. Судя по всему (сужу по фразе "руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции (боятся за свои файлы) и приказало отключить админские шары." налицо полное непонимание бизнесом роли IT службы в функционировании собственно этого самого бизнеса. Я бы постарался наладить некий диалог и донести ваше видение проблематики IT на предприятии до наемного менеджера \ собственника бизнеса.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 11
Jump
@Jump Куратор тега Системное администрирование
Системный администратор со стажем.
высшее руководство обеспокоилось тем, что администраторы домена имеют неограниченный доступ на их рабочие станции

Варианты -
  • Отобрать у админов права, либо вообще убрать админов.
  • Нанять админов вызывающих доверие.
  • Нанять админа для админов, который будет администрировать их деятельность.
Ответ написан
Комментировать
Комментировать
Sergey-S-Kovalev
@Sergey-S-Kovalev
Sysadmins team leader
Обожемой. У меня брызжет кровь из глаз от ответов.

Администратора домена убирать нельзя. Кому то нужно администрировать домен.
Отключать административные шары - создавать себе проблемы с установкой ПО и администрированием.

Создайте группу техподдержки, поместите в группу всех технарей, GPOшкой раздайте группу на компы, что бы все кто в ней был получали права локальных администраторов при входе на ПК для его техобслуживания.

Отрезать кого-то конкретного от ресурсов ПК - в локальных политиках через GPO укажите пользователей или группы, которые не имеет права подключаться к ПК по сети.

Контроль групп на компах можно делать через Restriction Policy.

Управление учетными записями: делегируйте права Account Admin на организационное подразделение в AD DS.

Все это решит проблему с специалистами техподдержки и ограничит их доступ.

Администратора домена могут ограничить только администраторы предприятия :) в мультидоменной инфарструктуре

А вообще такое отношение руководства говорит о том, что уже в чем то виновны, но они еще не решили в чем и когда этот момент наступит. Бегите, глупцы.
Ответ написан
Комментировать
Комментировать
mace-ftl
@mace-ftl
1) Просто поставить фаервол - это самый простой вариант
2) Поставить ПК за натом (за мелким роутером)
3) поставить программу которая будет показывать кто зашёл через шару

Но как ИБ-шник могу сказать что это всё только для вида - если ПК в домене у администратора ДОЛЖЕН быть доступ ко всем ПК.

Если админ может автоматом поставить р-админ или любую другу программу на все ПК через GPO какая разница стоит фаервол или там отключены ли шары? )
Ответ написан
1 комментарий
1 комментарий
athacker
@athacker
Службу "Сервер" поотключайте на рабочих станциях. Рабочие станции ничего расшаривать не должны, если по уму. Соответственно, служба "Сервер" им не нужна.
Когда админу будет надо -- он может поднять удалённо эту службу, и сделать, что ему нужно :-)

В целом же, не меньшим злом является хранение каких-то пользовательских файлов на рабочих станциях. Чихнёт винт на рабочей станции -- и всё, "приходи, кума, любоваться". Потом эти же начальники будут бегать по потолку и вопить, что админ срочно должен спасти их драгоценные файлы любой ценой.

Таким образом, файло должно храниться только и исключительно на файл-серверах. Где оно находится на RAID-контроллерах, и ещё бэкапится регулярно. А на рабочих станциях -- только система и рабочий софт, больше ничего. С таким расчётом, что при выходе из строя пользовательского компа он снимается целиком, а юзеру выдаётся новый, и пусть работает дальше.
Ответ написан
1 комментарий
1 комментарий
Largo1
@Largo1
Айтишник далёкого плана
лояльность админов покупается зарплатой выше средней
Ответ написан
3 комментария
3 комментария
@other_letter
Изредка сталкиваюсь с подобными вопросами. Ответа конкретного, разумеется, нет. Предлагаю поиграть в игру - забить в поиск что-то типа "чиновник украл данные", потом "менеджер слил базу", а потом "сисадмин слил данные/базу". И медитировать над выдачей поисковика.
Я ни разу за свою жизнь не сталкивался с реальным сливом от сисадмина. Менты, копирующие базу - это пожалуйста. Чиновники - тоже. Менеджер, уходящий в другую контору - тут практически правило. Но сисадмин? Нет, не слышал.

Скорее всего волнуются не за ДСП, конечно. Ну да ладно.

Малой кровью? Ну, предложите так: через "безопасность" и "доступ" закройте доступ к диску D, к примеру. И скажите, что всё, что на этом диске админы не видят. Как подвариант - используйте флешки (без танцев с бубном они не добавляются в шары), но так увеличивается вероятность про#бать данные другими способами.
Ответ написан
Комментировать
Комментировать
oleg40a
@oleg40a
Senior DevOps Engineer
Примитивно - пусть шифруют.
Ответ написан
Комментировать
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
"Прозрачное" резервное копирование, антивирусная проверка, удалённая установка ПО, обновлений.
Ответ написан
Комментировать
Комментировать
@DastiX
По мне так если у сотрудника есть роль "администратор домена", то смысла нет что-то убирать. Захочет - и без шары найдет.
А если по делу, то в GPO шарить только для заданной группы, а правка GPO только для избранных.
Ответ написан
1 комментарий
1 комментарий
MaxDukov
@MaxDukov
впишусь в проект как SRE/DevOps.
Руководство беспокоят сами шары или то, что на них зайдут?
включите протоколирование доступа, по фактам подключения к компам руководства требуйте пояснения от админов.
Ответ написан
3 комментария
3 комментария
@Yestestvenno
Системный администратор
Нет смысла извращаться с групповыми политиками доступами и тд и тп норм админ если захочет будет знать все и какие файлы лежат и куда они лазят и что пишут.....
единственно верным решением которое устроит абсолютно всех:
1) Дать по голове тому кто рассказал начальству об этом!
2) купить НАС и не интегрировать в АД а выдать отдельный доступ каждому начальнику к своей папке,
а все это поручить одному админу у которого и буде не ограниченный доступ ко всем и вся
Если начальство будет упираться напомнить о сохранности данных
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор
Метта Уфа
от 50 000 до 60 000 ₽
Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)
MYRTEX
от 40 000 ₽
Специалист технической поддержки (чат)
WebSoft
от 50 000 до 50 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Нужен человек с опытом работы с библиотекой SwiperJS
03 мая 2024, в 03:55
1000 руб./за проект
Скрипт для оценки ссылки через Virus Total
03 мая 2024, в 02:30
3000 руб./за проект
Переписать бота тг с питона на Go по ветке из гита
03 мая 2024, в 02:03
20000 руб./за проект
Ещё заказы