当社には、IT 部門が管理する MS Windows Server 2008 R8 ベースのサーバーがあります。次の 2 つのことを同時に実現したいと考えています。
- サーバー上のフォルダー。数千のファイル(新しいファイルが頻繁に追加される)が含まれており、一部の ActiveDirectory ユーザー(取締役会など)はアクセスできますが、IT 部門の従業員はアクセスできません。
- IT部門の従業員は、新しいソフトウェアやサービスのインストールを含む、サーバーの管理権限を引き続き保持します。
すでにいくつかの解決策を確認しました:
- NTFS アクセス権の使用。残念ながら、IT (「管理者」グループのメンバー) は、自分自身をファイルの新しい所有者として設定し、ファイルにアクセスできるように権限を変更することができます。
- EFS の有効化。残念ながら、IT 部門にファイルへのアクセスを許可しなくても、管理者権限を持っているため、EFS を完全に無効にすることができます。さらに、私の知る限り、新しいファイルごとに所有者以外のすべてのユーザーの権限を手動で追加する必要があります。これは非常に不便です。
- ファイルの所有権以外のすべての権限を持つ IT 部門用の新しいロールを作成します。残念ながら、Administrators グループのメンバーでない場合は、ロールにどのような権限を追加しても、新しいソフトウェアをインストールすることはできません。
- TrueCrypt - 優れた無料暗号化ソフトウェアですが、共有機能が貧弱です。暗号化コンテナーをサーバーにマウントするか (その後、IT 部門がその内容にアクセスできるようになります)、ローカルにマウントするかを選択できますが、書き込み用にマウントできるのは 1 人のユーザーだけです。
- AxCrypt - サーバー上でファイルごとの暗号化を可能にする無料の暗号化ソフトウェア。ただし、いくつか欠点があります。追加された新しいファイルごとに手動で暗号化する必要があります。ファイルの拡張子が変更されます。すべてのファイルに対して 1 つのパスワードしか設定できません (したがって、すべてのユーザーがこの 1 つのパスワードを知っている必要があります)。
他に何かアイデアはありますか? 予算が限られているため、Symantec や PGP のエンタープライズ クラスのソフトウェアはおそらく選択肢にありません。
答え1
IT 従業員に完全なアクセス権を与えながら、フォルダーにアクセスできないようにすることは不可能です。したがって、何らかの方法で制限を与える必要があります。従業員はサーバーに物理的にアクセスできるため、暗号化の手段を講じる必要があります。不便かもしれませんが、誰かが物理的にアクセスできるデータへのアクセスを阻止する方法は、暗号化か物理的な制限の 2 つしかありません。
これ以外の方法は思いつきません。