Добрый день!
Помогите, пожалуйста, со следующей задачкой! Нужно защититься от администратора сети (домена)! Вопрос такой в инете неодократно задавался, но ответом было, как правило, такое: «защищаться от администратора это тупо»... Тупо, но надо!
Ну так вот. Сначала описательная часть, а потом, собственно, вопрос.
Пытаемся призвать себе на помощь EFS, использование которой по любому планируется в сети.
В EFS есть так называемые агенты восстановления, которые могут получить доступ к зашифрованным пользовательским данным согласно определенной ранее политики восстановления. Так вот, прятать от админа пользовательские данные EFS-шифрованием бессмысленно, т.к. админ по умолчанию является агентом восстановления любого EFS-зашифрованного ресурса, т.е. доступ к нему он все равно получит. Исключение админа из политики восстановления EFS-зашифрованных ресурсов дело не спасает – являясь админом он так же просто может добавить себя туда или еще наплодить других агентов восстановления с какими угодно правами.
Теперь как мне думается, можно было бы решить задачу в контексте таких вот реалий. Получается несколько натянуто, но все таки:
Первоначальное развертывания системы производит администратор (доменный админ). Он делает следующее:
1. Создает профили администраторов с «ущемленными правами». Этим «администраторам» (будем называть их под-админами) позволяется делать только необходимое для администрирования системы – заводить юзеров, предоставлять доступ, делать бэкап. НО: они не имеют право определять политику восстановления EFS-зашифрованных ресурсов, т.е. создавать агентов восстановления (или причислять себя к таковым). Тем самым, защищаем зашифрованные данные пользователя от будущих админов системы (ими как раз и будут эти «под-админы»). В идеале, вообще запретить таким типам все, что связано с шифрованием.
2. Создает по необходимости агентов восстановления. Полномочия у них минимальны.
3. Заводит папочки, юзеров, разграничивает доступ.
4. Кладет свою смарт-карту с паролем для авторизации в сети в сейф к начальнику службы безопасности, например. Т.е. исчезает из системы.
Итак, мы имеем систему без суперадмина, который мог бы потревожить данные пользователей, а все административные функции выполняются созданными ранее «под-админами», которые не могут просмотреть в зашифрованные ресурсы. В случае, если юзер теряет свой закрытый ключик (предварительно импортированный на смарткарту), в дело вступает агент восстановления, которому под-админ предоставляет доступ к папочке, где тому надо поработать.
Теперь, собственно, вопрос: как вы ко всему этому относитесь? Можно ли создать такого ущербного админа («под-админа»), полномочия которого позволили бы ему администрить систему, но не позволяли бы общаться с EFS-зашифрованными ресурсами? (В идеале, конечно хотелось бы знать, какие и где выставить галочки, чтобы сконфигурировать ущемленные полномочия такого «под-админа», но это уже слишком нагло с моей стороны!) Как я понимаю, создавать такого админа можно «сверху» — то есть создать юзера с правами админа и урезать права до желаемого уровня, или «снизу» — создать юзера с правами юзера и добавлять права ему до необходимого уровня. Но сам я разбираюсь в том, что да как кому урезать, мягко говоря, небыстро.... Хотелось бы знать, приду к чему-нибудь, двигаясь в этом направлении? Какие-нибудь советы…
В узком смысле задача стоит защититься именно за счет EFS-а (никакие там, например, PGP-решения не рассматриваются). А в более широком смысле хотелось бы создать систему, защищенную каким-либо образом от администратора уже не важно чем. Если у кого опыт общения с системами защиты контента, буду очень рад услышать и пообщаться!
Спасибо!!!
09.01.07 15:50: Перенесено модератором из 'Сети, сокеты, протоколы' — Odi$$ey
IMHO:
Если человек имеет право устанавливать новые драйвера либо перезаписывать существующие драйвера (они не лочатся?) то защититься от него невозможно
вряд ли имеет смысл создавать админа без этих прав.
Кроме того, возможен вариант, когда админ запускает процесс от имени другого пользователя (в винде так можно? нужен ли для этого пароль пользователя?), а этот процесс уже свободно читает эти файлы.
Да и EFS — сама по себе штука тёмная.
По-моему я как-то пробовал создать пользователем шифрованый файл, зайти админом поменять пользователю пароль, зайти пользователем с новым паролем.
Может я что-то делал не так, но у меня файл открылся. В чём тогда смысл EFS?
Да и вообще — вроде, винда где-то хранит пароли, не только их хеши (Так? Что отключает настройка Store Passwords Using Reversible Encription). Смысл шифрования тогда вообще не понятен.
По поводу сабжа всё вероно выразил уже ув. DOOM, по поводу сохранности информации на винте — вообще полагаю, что любая рабочая документация должна храниться на сервере и, естественно, у админа должен быть к ней доступ (точнее, админ домена БУДЕТ иметь в ней доступ, т.к. в ином случае это будет не админ домена). Если же нужно не дать админу всунуть нос в приватные данные, хранящиеся на машине пользователя (с морально-этической точки зрения я это, как человек, понимаю), то могу посоветовать воспользоваться бесплатной программой TrueCrypt и хранить свою информацию на зашифрованном диске. Максимум, что сможет сделать админ — удалить файл с зашифрованной информацией.
RSDN@Home v.1.1.4
ORIGIN: Aquila non captat muscas
