bonnes pratiques admin du domaine - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 18-12-2014 à 13:19:11
ReplyMarsh Posté le 18-12-2014 à 14:19:59
merci
pour résumer : un admin du domaine, peut modifier les droits d'un répertoire sans être autorisé en lecture/écriture sur ce répertoire ?
Marsh Posté le 18-12-2014 à 14:33:16
A mon sens l'administrateur du domaine devrait pouvoir accéder à tous ces répertoires, et exécuter les opérations (par exemple la restauration de données) à faire sur son compte administrateur du domaine.
Il ne faut pas oublier aussi qu'un administrateur du domaine peut aussi être (ou sera) le correspondant SSI de l'entreprise. En cela il doit pouvoir, à sa discrétion - lors de contrôle ponctuel et dans le cadre de la charte informatique de l'entreprise - ou à la demande d'un tiers - justice/police -, accéder à ces répertoires pour opérer à une vérification de la présence d'un contenu illicite.
Si ce qu'il en ressort concerne l'entreprise et n'est pas demandé par un tiers (justice), que cela le concerne pas le SSI, par contre cela pourra être assimilé à du vol de données.
Bref pour moi :
Citation : un admin du domaine doit il avoir accès à tout les répertoires partagés ? |
Oui.
Marsh Posté le 18-12-2014 à 14:43:39
Bah de fait il peut y accéder si les droits sont gérés sur le domaine.
Alors se virer des sécu de partage ou NTFS, c'est de l'hypocrisie.
Marsh Posté le 18-12-2014 à 14:47:34
Dans ta petite PME du coin oui il aura surement tous les droits car tout seul à tout gérer mais dans une vrai infra, l'admin du domaine gère le domaine, pas les fichiers des serveurs applicatifs ni les fichiers des utilisateurs donc non il n'a pas à avoir les droits.
Et non le domaine admin dans les grosses boites n'est pas le correspondant SSI. C'est des métiers bien distincts
Marsh Posté le 18-12-2014 à 14:59:07
S'il se pose la question, c'est qu'il n'est pas dans la grosse boite où les responsabilités sont scindées.
Là il veut modifier les droits en se virant des ACL.
Marsh Posté le 18-12-2014 à 18:11:50
merci pour vos réponses.
oui, c'est pour une petite structure où le patron exige que personne accède à ses dossiers.
Donc techniquement ça pose pas de soucis ?
Marsh Posté le 18-12-2014 à 18:24:48
Non. L'admin fait comme les autres, avec son compte personnel il a les mêmes droits que les autres.
Avec son compte admin il ne s'octroie pas de droits supplémentaires, sauf circonstance exceptionnelle. Et une fois l'opération terminée il les enlève.
Marsh Posté le 18-12-2014 à 18:34:44
nebulios a écrit : Non. L'admin fait comme les autres, avec son compte personnel il a les mêmes droits que les autres. |
Sauf que c'est bidon.
Cela ne garantie en rien au tiers (le patron en l’occurrence) que l'admin, si l'envie lui prend, peut aller zieuter.
Si le patron veut s'assurer d'avoir des documents confidentiels quoi qu'il arrive, il doit les garder sur un PC auquel l'admin n'a jamais accès ou accédé.
Et s'il doit les faire transiter par le réseau de la boite (cloud, mail, etc.), il faut que ce soit crypté. Et pour les mails que cela ne passe pas via un SMTP ou l'admin a la main.
Marsh Posté le 18-12-2014 à 18:57:18
ShonGail a écrit : |
L'admin, c'est l'admin. Techniquement il peut tout faire. Donc aller zieuter les documents confidentiels par exemple. Sauf qu'il existe un truc à côté qui s'appelle la loi, et qui punit très sévèrement ce genre de comportement.
Si tu as toujours des doutes sur le comportement de ton admin, active l'audit, c'est fait pour ça. Mais si tu as des doutes sur ton admin, pourquoi en faire ton admin pour commencer ?
Le PC sur lequel l'admin n'est pas accès, c'est un pis-aller, pas forcément efficace en terme de sécurité, et qui pose plus de problèmes qu'il n'en résout. Qui va le maintenir, le sauvegarder, le protéger ? Si le patron se pète un plomb et détruit les données, que fait-on ? Si il est volé ?
Il n'y peut pas avoir de sécurité sans un minimum de confiance de toute façon.
Marsh Posté le 18-12-2014 à 19:09:59
Je ne m'exprime pas au regard de la Loi.
Je m'exprime sur un plan technique.
Le boss veut que personne n'accède à ses données, y compris l'admin ?
Alors il doit bosser sur un PC non géré par l'admin et en considérant le réseau et les serveurs de l'entreprise comme non sécurisés.
Non géré par l'admin, cela ne signifie pas non géré du tout.
On peut faire appel à un presta pour lequel la prise de connaissance des documents n'a pas d'intérêt.
Marsh Posté le 18-12-2014 à 19:17:50
ShonGail a écrit : Je ne m'exprime pas au regard de la Loi. |
C'est intimement lié tout ça. La loi protège les données personelles par exemple, chaque salarié souahite que personne d'autre n'accède à ses données personnelles. C'est par pour autant qu'il faut bosser dans en workgroup dans toutes les boîtes.
Si tu es un patron et que tu considères ton réseau et le SI de ta boîte non sécurisé, la priorité n'est certainement pas de ramener un pc externe afin d'exporter tes données
Marsh Posté le 18-12-2014 à 19:28:12
Je ne vois pas pourquoi tu me parles des users.
De fait, au delà des aspects légaux, les users n'ont pas la possibilité technique (enfin normalement ...) d'aller farfouiller dans les partages auxquels ils n'ont pas accès ou sur les serveurs ou les postes clients des autres.
Ici on cause de l'admin du domaine.
Si sa réponse à son boss, c'est de dire "c'est OK patron vos données sont inaccessibles y compris pour moi, regardez j'ai modifié les droits NTFS, il n'y a que vous", c'est juste une réponse fausse.
Les données demeurent techniquement toujours accessibles.
Donc soit on explique à son boss à quoi il va devoir se plier pour se protéger de son propre admin, soit le boss revoit ses prétentions de confidentialités à la baisse.
J'ai eu le cas il y a quelques mois où un client voulait que l'équipe informatique d'un site n'accède pas aux données d'un serveur Oracle sur le site en question.
J'ai fait le listing de ce qu'ils ne devaient plus gérer (les accès au SGBD, les accès au serveur, les backups, les switchs, etc.) et ben je n'en ai plus entendu causer.
Marsh Posté le 18-12-2014 à 19:47:19
Je te parle des users parce que le patron c'est un aussi un user.
Oui les données sont toujours techniquement accessibles, et alors ? L'admin est soumis au code pénal comme tout le monde. Et par défaut, il n'a pas le droit de fair n'importe quoi dans le cadre de son travail. C'est le cas de tous les métiers qui gèrent des données sensibles - tu te vois interdire l'accès à des dossiers médicaux à des médecins ? Au fichiers de données criminelles aux policiers ? Je ne comprends pas trop ce qui te bloque là-dessus.
Ensuite on peut demander à ce que tel ou tel serveur soit géré par une autre équipe, mais ça engendre des coûts, de la complexité, de l'insécurité (qui va contrôler l'équipe en charge ? Sur quels critères, avec quels moyens ? Quelles sont leurs obligations ?) que tu peux difficilement te permettre dans une petite boîte. Si tu ne fais pas confiance à ton admin, tu changes d'admin ! C'est comme confier les clés de ta maison avant ton départ en vacances à quelqu'un que tu soupçonnes d'être un truand, ça n'a pas de sens.
Marsh Posté le 18-12-2014 à 19:58:32
Encore une fois, tu places les obligations légales au niveau d'une impossibilité technique. Pas moi.
Légalement les salariés n'ont pas à aller voir les données des autres ou le scan de la déclaration d'impôt du patron qui traîne sur son bureau Windows.
Tu te contentes de leur rappeler la Loi et de ne mettre aucune ACL en place ?
Mais non personne ne fait ça. Personne ne fait suffisamment confiance aux autres quant au respect de la loi pour se garder de mettre en place des sécurités techniques. On est même obligé de foutre des proxy ou des ACL sur les routeurs parce que certains n'ont pas la décence de ne pas bouffer à eux seuls 50% de la BP en faisant du P2P ou en en matant des vidéos 4K pendant les heures de bureau.
Les obligations légales n'ont pas la même force de contrainte que les blocages techniques.
C'est surement pour cette raison que le boss de moicalex demande une réponse technique.
Et la réponse technique, c'est celle que j'ai fournie.
Sinon il doit abandonner son idée ou comme tu le suggères virer l'admin pour peu qu'il puisse être plus rassuré avec un autre.
Marsh Posté le 19-12-2014 à 15:04:35
Je@nb a écrit : Et non le domaine admin dans les grosses boites n'est pas le correspondant SSI. C'est des métiers bien distincts |
Là il faut bien tout lire, et ne pas lire ce que l'on veut...
Citation : Il ne faut pas oublier aussi qu'un administrateur du domaine peut aussi être (ou sera) le correspondant SSI de l'entreprise. |
De plus vous partez tous sur le fait qu'un admin travaille forcément avec un compte administrateur du domaine... ben mince, vous je ne sais pas, mais de mon côté j'ai toujours bossé dans de la boîte où il y avait 2 comptes distincts : son compte utilisateur, et son compte administrateur du domaine.
Voire 3 comptes : un compte utilisateur pour la messagerie/bureautique/divers, un compte administrateur local/super-utilisateur pour tout ce qui est hotline/maintenance sur les postes et gestion des comptes sur les serveurs AD/LDAP/etc, et un compte administrateur du domaine pour toute la gestion "lourde" des serveurs/AD/LDAP/etc
Il y a aussi le fait que le directeur (ou la direction) ne fait pas confiance à l'informaticien ou à l'administrateur du domaine. Là aussi il y a un truc à voir, mais ce n'est pas technique c'est humain.
Marsh Posté le 19-12-2014 à 15:06:17
Je suis jamais parti sur le fait qu'un admin travaille avec son compte admin du domaine ...
au contraire il bosse jamais avec
Marsh Posté le 19-12-2014 à 15:46:28
ShonGail a écrit : Encore une fois, tu places les obligations légales au niveau d'une impossibilité technique. Pas moi. |
Je n'ai jamais dit le contraire. Tu configures tes ACL sans donner de droits particuliers à l'admin. Il pourra le contourner en les modifiant, mais ça demandera de sa part une geste parfaitement intentionnel et répréhensible au pénal (intrusion dans un système informatique).
J'ai l'impression que tu ne prends pas suffisamment en compte la gravité d'un tel geste pour un admin.
C'est un cas autrement plus sérieux que profiter de la connexion de la boîte pour regarder des conneries sur Youtube
Avant de faire un geste qui peut te coûter quelques années en prison tu réfléchis un minimum je pense.
@bardiel : lis les posts avant de dire n'importe quoi.
Marsh Posté le 19-12-2014 à 15:52:05
nebulios a écrit : @bardiel : lis les posts avant de dire n'importe quoi. |
Comme Je@nb ?
Marsh Posté le 19-12-2014 à 16:09:36
nebulios a écrit : |
Je crois que tu ne te rends pas compte que bcp s'en foutent de la Loi ou même l'ignore.
Et que pour faire de la prison en France, il faut faire autre chose qu'accéder au dossier ou à la BaL du boss.
Si tu le sais pas, c'est que tu n'as jamais eu besoin de la Justice. Du coup tu es resté candide et c'est tant mieux pour toi
Enfin si tu me confirmes qu'à la seule évocation de la Loi tes users se tiennent à carreaux et que tu n'as pas besoin de contraintes techniques non outrepassables, indique moi où tu bosses que je vienne voir ce cas unique à ma connaissance.
Marsh Posté le 19-12-2014 à 16:40:38
ShonGail a écrit : |
Techniquement ... à moins d'avoir comme tu le dis, un espace de stockage 100% indépendant du service informatique, je ne vois pas comment restreindre les admins ...
Vous parlez tous de compte admin ... Mais avec la chié de compte de service que l'on créé (pour les sauvegarde, pour les cluster et autres applications) .... J'ai 100 façon d'atteindre une donnée sans utiliser un compte nominatif ...
Combien même ce serais pas moi, ce serais le SSI ...
Je crois que comme d'hab, il faut appliquer le principe de précaution, mais aussi faire un minimum confiance ... Si demain mon boss a plus confiance ... Ben il faut qu'il me vire !
Après la loi tout ça ... Franchement ... En 11 ans de carrière je n'ai JAMAIS vue quoi que ce soit appliqué ...
Marsh Posté le 19-12-2014 à 17:49:44
ChaTTon2 a écrit : |
Plus que l'espace de stockage, il faut aussi prendre en compte les backups, le réseau et le poste client final.
Marsh Posté le 20-12-2014 à 16:20:38
ChaTTon2 a écrit : Si demain mon boss a plus confiance ... Ben il faut qu'il me vire ! |
Farpaitement !
Après ça peut être à double tranchant : s'il n'a pas confiance, c'est peut être aussi car tu ne l'as pas mis en confiance... genre en regardant ses mails
Marsh Posté le 20-12-2014 à 18:01:09
Il faut amener le problème au boss dans l'autre sens.
Tout ce que tu ne gères pas, n'est potentiellement pas sauvegardé.
Le chiffrage est une bonne solution, par contre il faut lui expliquer que si il perd sa clé, tu seras incapable de lui restaurer l'accès à ses fichiers.
Marsh Posté le 20-12-2014 à 19:13:50
Le chiffrage n'a rien d'une solution en tant que soi.
Sauvegarder un document avec chiffrement n'empêche pas un admin d'en prendre connaissance lorsqu'il est déchiffré pour consultation/modification, voir de le récupérer et d'avoir tout le temps pour tenter de le décrypter.
Marsh Posté le 20-12-2014 à 19:34:18
Le niveau sécurité n'est qu'une succession de garde fou.
Il n'y a donc pas de véritable solution en soi...
Rien n’empêchera une personne mal intentionné d’accéder aux données convoités. Le niveau de sécurité déterminera le temps et les moyens nécessaire pour y parvenir.
Il faut espérer que ces derniers agissent sur la détermination de "l'attaquant"...
Marsh Posté le 18-12-2014 à 12:19:54
un admin du domaine doit il avoir accès à tout les répertoires partagés ?