Temos um servidor baseado em MS Windows Server 2008 R8 que é administrado por nosso departamento de TI. Gostaríamos de alcançar duas coisas simultaneamente:
- Uma pasta no servidor, contendo vários milhares de arquivos (novos arquivos adicionados com frequência) que é acessível a alguns usuários do ActiveDirectory (por exemplo, conselho de administração), mas não é acessível aos funcionários do departamento de TI
- Os funcionários do departamento de TI ainda mantêm direitos para administrar o servidor, incluindo a instalação de novos softwares e serviços
Já verificamos algumas soluções:
- Usando direitos de acesso NTFS. Infelizmente, a TI (membros do grupo "Administradores") pode se definir como novos proprietários dos arquivos e alterar as permissões para obter acesso aos arquivos.
- Habilitando EFS. Infelizmente, mesmo que você não permita que a TI acesse os arquivos, eles ainda poderão desabilitar completamente o EFS porque têm direitos administrativos. Além disso, até onde eu sei, você precisa adicionar manualmente permissões para todos os usuários, exceto o proprietário, para cada novo arquivo - muito inconveniente.
- Criação de uma nova função para o departamento de TI que tenha todos os privilégios além de apropriar-se dos arquivos. Infelizmente, se você não for membro do grupo Administradores, não poderá instalar novo software, independentemente dos privilégios adicionados à função.
- TrueCrypt – ótimo software de criptografia gratuito, mas com recursos de compartilhamento ruins. Você pode montar um contêiner de criptografia no servidor (e então a TI terá acesso ao seu conteúdo) ou montá-lo localmente, mas apenas um usuário pode montá-lo para gravação.
- AxCrypt – software de criptografia gratuito que permite criptografia arquivo por arquivo no servidor. Existem algumas desvantagens - você precisa criptografar manualmente cada novo arquivo adicionado. Os arquivos têm suas extensões alteradas. Você só pode definir uma senha para todos os arquivos (portanto, todos os usuários precisam saber essa senha).
Alguma outra ideia? Nosso orçamento é limitado, então software de classe empresarial da Symantec ou PGP provavelmente não seria uma opção.
Responder1
Não é possível conceder acesso total aos funcionários de TI e manter a pasta inacessível para eles. Portanto, você precisa dar-lhes uma limitação de alguma forma. Como eles têm acesso físico ao servidor, isso precisa ser feito por meio de criptografia – pode ser inconveniente, mas existem apenas duas maneiras de impedir o acesso aos dados aos quais alguém tem acesso físico – criptografia ou limitação física.
Não consigo pensar em outra maneira de contornar isso.