Un amico mi ha fatto questa domanda ieri. Gli amministratori di sistema sono in grado di accedere al server di posta Outlook tramite RDP, che fa parte del loro lavoro.
È possibile rilevare chi legge l'email dal CEO o da qualcun altro?
Un amico mi ha fatto questa domanda ieri. Gli amministratori di sistema sono in grado di accedere al server di posta Outlook tramite RDP, che fa parte del loro lavoro.
È possibile rilevare chi legge l'email dal CEO o da qualcun altro?
Non affidabile. Il tuo problema principale è che l'amministratore probabilmente ha bisogno di accedere a quei file per motivi legittimi, ed è molto difficile separarlo dalla manutenzione di routine da parte sua mentre legge il contenuto.
Se dovesse leggerli / esportarli attraverso l'interfaccia online, verrebbe evidentemente visualizzato nei log di controllo, ma per il sysadmin ci sono molti modi per leggere i file e non è possibile rilevarli tutti in modo affidabile .
Ma per impostare il rilevamento dove è possibile, puoi provare una combinazione di questi:
Il monitoraggio dell'accesso locale catturerà più di un IDS, ma conterrà molti e molti accessi di routine.
Per la regola IDS devi rilevare una stringa univoca trovata nel suo file PST come un GUID
@ J.A.K. già detto che non può essere fatto in modo affidabile.
Nota che se i tuoi backup non sono crittografati, chiunque abbia accesso ai backup del server di posta può anche leggere la casella di posta di chiunque.
Esiste solo un modo tecnico affidabile per impedire agli amministratori di accedere ai file ai quali non dovrebbero avere accesso: non concedere loro l'accesso. Questo può essere fatto in questo modo:
Impedisce agli amministratori di accedere a un file non memorizzandolo su un server a cui l'amministratore ha accesso. Dal momento che un altro server avrà anche amministratori che si occupano della macchina, che sposta il problema da una persona all'altra, ma potrebbe essere ancora migliore dal punto di vista della sicurezza perché crea una sorta di soluzione container - l'amministratore 1 ha accesso a questi dati, e admin 2 può accedere a questi altri dati, ma nessuno può accedere a tutto.
Come estensione di 1., è possibile utilizzare un servizio di posta esterno. Ovviamente ora dai a un fornitore di terze parti l'accesso ai tuoi E-Mails. Tuttavia, questo potrebbe essere un rischio migliore, tutto sommato. Se ti trasferisci in un grande fornitore, è probabile che ci sia un motivo molto meno specifico per quel provider di guardare la posta del tuo CEO e potrebbero esserci delle politiche che non puoi permetterti, come ad esempio controllo e applicazione molto ristretti diritti di accesso, crittografia dei dati a riposo e così via, il che renderebbe più difficile per una persona non autorizzata rubare la posta. Il problema: non controlli veramente nessuna di queste politiche e non puoi controllare se sono effettivamente attive ed efficaci.
Utilizza la crittografia end-to-end per i messaggi di posta interni. Internamente, puoi probabilmente addestrare la tua gente a farlo; la comunicazione esterna è probabilmente senza speranza per garantire la crittografia end-to-end, poiché tutti i partner di comunicazione dovrebbero modificare le loro abitudini di posta elettronica.
Is it possible to detect who reads email from the CEO or someone else ?
In una certa misura, sì. Ma sarà "costoso" e pieno di buchi. Per farlo in modo affidabile, è necessario eseguire audit trail su qualsiasi macchina in grado di accedere all'e-mail, backup crittografati, separare chi ha accesso ai backup da chi ha accesso alle chiavi di decrittografia e alcuni significativi rischi aggiuntivi e costi di manutenzione derivanti dalla complessità aggiuntiva.
Anche dopo tutto ciò che potresti non essere in grado di separare l'accesso legittimo da quello illegittimo. E ci sono ancora diverse strade per ottenere i dati live grezzi senza essere tracciati.
In pratica, direi che questo è raro se mai fatto. Dovresti notare che persino l'NSA, con i budget senza fondo, alla fine ha dovuto fidarsi di Edward Snowden con dati altamente classificati.