Rechten Shares voor Administrator

Mister B schreef op donderdag 4 februari 2021 @ 00:14:
Ik heb een windows server 2019 met bestandsdeling en nu wil ik de shares alleen toegankelijk voor de gebruikers van die shares en waarbij de administrator standaar geen toegang heeft tot de inhoud van die mappen.
Ik heb bij de beveiliging en de machtigingen al de administrator weggehaald, maar als ik dan als administrator inlog kan ik nog steeds de inhoud van die shares zien en dat is eigenlijk informatie die alleen de mensen mogen kunnen zien die daar excpliciet rechten voor hebben en dat is niet de administrator aangezien de inhoud vertrouwelijk is.

Het is nogal moeilijk om op basis van deze summiere informatie aan te geven wat je verkeerd hebt gedaan. Kun je niet wat screenshots plaatsen zodat we kunnen zien wat je gedaan hebt?
Het klinkt alleen vrij nutteloos aangezien een administrator zichzelf gewoon de rechten tot die share kan toekennen. Als jij dat niet wilt dan moet je zorgen dat hij (op die server) geen administrator meer is.

De rechten zorgen er voor dat iemand er wel of niet bij kan. Als admin zijn er genoeg truukjes te verzinnen om toch bij de data te komen.

Om het vertrouwelijk te houden zul je file-level encryptie toe moeten passen en de keys alleen toekennen op need-to-know basis. Verder uiteraard auditing/monitoring aanzetten om te kijken wie de data benaderd en procedures opstellen zodat er eventueel sancties genomen kunnen worden bij onrechtmatige inzage (hallo GGD....).

Gokje wat betreft je probleem: Wat je nu doet is waarschijnlijk rechten zetten op de share maar vervolgens lokaal op de server aanloggen als admin en dan kun je bij de data. Lees even over share en NTFS rechten.

[Voor 18% gewijzigd door sh4d0wman op 04-02-2021 04:10]

Zolang de Administrator de map heeft gemaakt kan je binnen Windows altijd weer eigenaar worden van de map en de rechten opnieuw toewijzen, dat kan je niet buitensluiten. Dat is een failsafe in het rechtensysteem.

Ga sowieso niet werken met het Administrator account. Die heeft een moeilijk wachtwoord en heb je op een veilige plek opgeslagen. Daarnaast maak je een account met de nodige rechten om je werkt te kunnen doen.

Als je echt niet wilt dat je per ongeluk de map opent en zaken ziet, zet dan expliciet deny rechten. Deny gaat voor allow. Houd er trouwens ook rekening mee dat je hoe dan ook een account is met minstens leesrechten, want je wilt wel backups kunnen maken. Zeker als het om gevoelige data gaat. Dat wil je niet per ongeluk verliezen door uitval of corruptie.

Hero of Time schreef op donderdag 4 februari 2021 @ 21:36:

Als je echt niet wilt dat je per ongeluk de map opent en zaken ziet, zet dan expliciet deny rechten. Deny gaat voor allow.

Een Deny voor de Administrator gaat hem er niet van weerhouden om de permissies weer aan te passen. Dus een nieuwsgierige admin houd je zo niet buiten de deur.

Volgens mij was dat een issue in oudere NT-versies. Als een admin zijn eigen account een Deny op een map gaf dan kon hij de rechten later ook niet meer aanpassen. Dat is niet altijd de bedoeling en dat hebben ze later gefixt.

Hero of Time schreef op donderdag 4 februari 2021 @ 21:36:
Houd er trouwens ook rekening mee dat je hoe dan ook een account is met minstens leesrechten, want je wilt wel backups kunnen maken. Zeker als het om gevoelige data gaat.

Maar dan is je data niet meer geheim

Vertrouwelijkheid verkrijg je pas nadat de data versleuteld is want er is een proces of user buiten de vetrouwde groep die het kan lezen.

Ik heb deze discussie ook ooit gevoerd met een manager. Er zijn eigenlijk maar 2 opties:
1. Men moet de sysadmin vertrouwen (deze heeft geheimhoudingplicht getekend en kan ook strafrechtelijk vervolgd worden)
of
2. Men versleuteld de data met het risico dat dit niet is terug te halen (verkeerd key management, bitrot in je data, etc)

downtime schreef op vrijdag 5 februari 2021 @ 00:11:
[...]

Een Deny voor de Administrator gaat hem er niet van weerhouden om de permissies weer aan te passen. Dus een nieuwsgierige admin houd je zo niet buiten de deur.

Op die manier ga je nooit iemand met admin rechten tegenhouden. Dat maakt met jouw reactie de vraag van de TS direct kansloos en nutteloos.

sh4d0wman schreef op vrijdag 5 februari 2021 @ 02:33:
[...]

Maar dan is je data niet meer geheim

Vertrouwelijkheid verkrijg je pas nadat de data versleuteld is want er is een proces of user buiten de vetrouwde groep die het kan lezen.

Ik heb deze discussie ook ooit gevoerd met een manager. Er zijn eigenlijk maar 2 opties:
1. Men moet de sysadmin vertrouwen (deze heeft geheimhoudingplicht getekend en kan ook strafrechtelijk vervolgd worden)
of
2. Men versleuteld de data met het risico dat dit niet is terug te halen (verkeerd key management, bitrot in je data, etc)

Dat is vaak het probleem met dit soort situaties. Alleen een select aantal mensen moet er bij kunnen. De beheerder valt daar niet onder. En dan klikt iemand op het verkeerde knopje en is alles weg. Zijn er backups? Nee, want de software kan er niet bij, dat was zo vereist, alleen x, y en z mochten erbij. En die konden geen backup maken, want $insert ander beleid.

Veel succes als het om financiële data gaat. Of gevoelige klant data voor een groot project met enorme boetebedragen. Of bedenk zelf een scenario waardoor je je toko net zo goed kan opdoeken.

Ergens moet er een grens getrokken worden tot hoe ver je iets af moet schermen.

Hero of Time schreef op vrijdag 5 februari 2021 @ 13:44:
[...]

Op die manier ga je nooit iemand met admin rechten tegenhouden. Dat maakt met jouw reactie de vraag van de TS direct kansloos en nutteloos.

Klopt. De enige methode die echt werkt is een beheerder die niet permanent de beschikking over Administrator rechten heeft. Het twee ogen principe: De ene beheerder doet het werk en de tweede beheerder kent zijn collega tijdelijk administrator rechten op specifieke servers toe. Je kunt er dan ook voor kiezen dat bepaalde servers alleen met akkoord van een manager toegankelijk zijn.
Dan moet je wel zorgen dat de tweede beheerder zichzelf geen administrator rechten toe kent en moet je (dus) ook auditen zodat je ook een security officer nodig hebt om de eerste twee in de gaten te houden.

Klinkt omslachtig, en dat is het ook, maar ik werk zelf bij een financial waar met veel geld en vertrouwelijke data wordt gewerkt en daar doen we het op deze manier.