Consigli sulle best practice - sicurezza delle cartelle (ambiente Windows)

3

Un dirigente dell'azienda per cui lavoro mi ha chiesto di impostare le autorizzazioni su una specifica cartella di rete in modo che solo loro possano accedervi. Di solito non lo faccio, ma in questo caso ho bisogno di consigli sulle migliori pratiche per questo?

Stavo pensando in questo modo:

  • Rimuovi le autorizzazioni ereditate dalla cartella
  • Rimuovi tutti i gruppi dalla cartella
  • Rimuovi il gruppo di utenti dalla cartella
  • Verifica che l'oggetto utente disponga di autorizzazioni complete
  • Verifica che il gruppo di amministratori del dominio disponga di autorizzazioni complete

Pensieri?

Grazie.

    
posta Mr. Me 29.01.2013 - 05:15
fonte

1 risposta

4

Sei sulla buona strada per la maggior parte, anche se non sono d'accordo con gli amministratori di dominio.

Poiché si menzionano le migliori pratiche, inizierò affermando che è necessario utilizzare i gruppi di sicurezza solo nell'assegnazione di autorizzazioni e privilegi, anche se nel gruppo di sicurezza è presente un solo membro. Pensa al ruolo basato sul singolo utente. In un'organizzazione più piccola questo è meno importante ... ma le migliori pratiche e tutte.

Gli amministratori possono significare locale, Domain Admins, Enterprise o qualunque cosa sia applicabile al tuo ambiente ...

Nella maggior parte dei casi, sarebbe opportuno interrompere l'ereditarietà come suggerito e concedere l'accesso solo all'utente / gruppo che ha bisogno di accesso e SYSTEM. A seconda del contenuto e dell'ambiente, molti amministratori lascerebbero anche gli amministratori. Gli utenti devono essere informati che possono bloccarsi, ecc. Dal momento che sono l'unico proprietario, ecc.

Occorre prestare particolare attenzione al backup e al ripristino. Dovrebbe essere eseguito il backup di questa directory / condivisione? Il tuo backup protegge gli ACL sul backup / ripristino? La tua soluzione di backup utilizza SeBackupPrivilege, che consente backup nonostante gli ACL (la maggior parte sì, ma alcuni semplici no)? La sicurezza dovrebbe essere mantenuta non solo nella produzione, ma anche attraverso il backup e il ripristino ... Ciò è particolarmente importante in un ambiente conforme alle normative come SOX, HIPAA o PCI.

Tieni presente che come amministratore puoi modificare la proprietà del file o dell'oggetto directory e quindi modificare le autorizzazioni per correggere qualsiasi cosa, se necessario. Questo è il motivo per cui gli amministratori vengono spesso rimossi dall'ACL. Questo è generalmente appropriato perché tale attività verrebbe registrata o verificata. Se si ottiene l'accesso solo cambiando la proprietà non si può essere accusati di accedere a dati sensibili senza prove; -)

    
risposta data 29.01.2013 - 06:35
fonte

Leggi altre domande sui tag