Ахдбек, вот вопрос (может парой конкретных ссылок снабдите): как обеспечить условия при настройке sharepoint, чтобы можно было организовать узел (допустим, ТОЛЬКО между директором и его замом), хранить там конфиденциальную инфо и быть уверенным, что админ портала (лицо, скажем так, с большими полномочиями в системе, которую сам же и обслуживает) не доберется до этих данных, так как по уровню допуска (штатному расписанию, как угодно) он не должен иметь к данной информации прав доступа.

То есть, админ так настраивает систему, что гарантирует руководителю, что он не залезет в его данные и не будет крайним, если будет обнаружена, например, утечка.

Возможны ли такие настройки? Может ли система работать в таком режиме?

? странно... на узле можно назначить права до отдельного документа..
Надо создать узел без наследования прав. И потом назначив админом\владельца узла директора или его зама выкинуть оттуда админа.

? странно... на узле можно назначить права до отдельного документа..
Надо создать узел без наследования прав. И потом назначив админом\владельца узла директора или его зама выкинуть оттуда админа.
все это понятно. а сможет ли админ вернуть себе права? он же все-таки админ. или система не позволит?

Конечно

Конечно конечно что? админ может? или система не даст? если админ может, то толку от такой защиты

конечно что? админ может? или система не даст? если админ может, то толку от такой защиты
Конечно же админ может, на то он и админ. А что переживать то или у в Вашей компании принято раздавать всем пароль администратора?
Он кстати может и "шерстить" данные во всех компьютерах входящих в состав домена. Но оно ему надо?

А что переживать то или у в Вашей компании принято раздавать всем пароль администратора?

Постановка вопроса была в самом начале:

чтобы можно было организовать узел (допустим, ТОЛЬКО между директором и его замом), хранить там конфиденциальную инфо и быть уверенным, что админ портала (лицо, скажем так, с большими полномочиями в системе, которую сам же и обслуживает) не доберется до этих данных, так как по уровню допуска (штатному расписанию, как угодно) он не должен иметь к данной информации прав доступа.

Так что приколы касательно раздачи админ пароля совсем здесь не уместны.

Он кстати может и "шерстить" данные во всех компьютерах входящих в состав домена.

Уверены? Именно это достаточно легко "отключить".

Но оно ему надо?

По такому принципу не строится защита. Точно также сейф в кабинете можно оставлять не закрытым - содержимое кому-то надо?

Так что приколы касательно раздачи админ пароля совсем здесь не уместны.

Так в том то и дело что под аккаунтом администратора пользоваться категорически не рекомендуется. Нужно создать пользователей и назначить им привилегии в соотвествии с выполняемыми функциями.

Уверены? Именно это достаточно легко "отключить".

Как отключается легко так и включается довольно легко. Но к примеру если политика централизованного резервоного копирования предусматривает копирование данных с Вашего компьютера, а Вы отключили BackupAdmina то сами понимаете ничего не бакапируется.

что админ портала (лицо, скажем так, с большими полномочиями в системе, которую сам же и обслуживает) не доберется до этих данных, так как по уровню допуска (штатному расписанию, как угодно) он не должен иметь к данной информации прав доступа.

Администратор на то и администратор (в данном случае речь идет об администраторе портала) что бы иметь полный доступ к тем службам сервисам где он и является администратором. Отключить к сожалению (к счастью) не получится.
Но можно ограничить права и запретить ему читать\копировать\создавать\сохранять документы (в расширеных свойствах определения прав)
Но он себе всегда их может вернуть.

он не должен иметь к данной информации прав доступа
Джалолитдин:
ну это вопрос не только (и не столько) технический, а политический я бы сказал- правильная организация и реализация политики безопасности на предприятии (замечу - намерено не написал ИТ безопасности)
В этом вопросе нам я думаю смог бы помочь советом например Искандер Конеев.
Мой же первоначальный ответ будет таким: принципиально, с помощью технических ср-в от МС (и других производителей ПО и HW) реализовать такое решение возможно, например:
AD+IRM (Information Rights Management) - эта связка дает возможность защитить данные внутри определенного участка SPS от несанкционированного доступа - при этом Админ(ы) имеют возможность делать бекапы итд - но вот прочитать содержимое не смогут, более того при попытке это обязательно залогируется в определенных логах.
Т.к. 100% защиты никто из производителей не дает (сломать можно все) то в случае взлома система опять же известит владельца документа о взломе и кто его взломал.
по IRM читать здесь:
http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx
http://www.microsoft.com/technet/prodtechnol/office/office2003/operate/of03irm.mspx
http://office.microsoft.com/en-us/help/HA101029181033.aspx
http://office.microsoft.com/en-us/help/HP062208591033.aspx
особенно интересна последняя ссылка - но рекомендую начать с 1.

Так в том то и дело что под аккаунтом администратора пользоваться категорически не рекомендуется. Нужно создать пользователей и назначить им привилегии в соотвествии с выполняемыми функциями.
Это не совсем по теме. Может никто и не пользуется этой учеткой, но она есть. И пользуется ею администратор, не имеющий по положению доступа к документами руководителя и его замов. По положению он их не имеет, то организивать это нельзя. То есть, в системе не храним документы, требующих прав доступа выше, чем у админа по положению. Это снижает эффективность внедрения систем коллективной работы.

Как отключается легко так и включается довольно легко. Но к примеру если политика централизованного резервоного копирования предусматривает копирование данных с Вашего компьютера, а Вы отключили BackupAdmina то сами понимаете ничего не бакапируется. Если резервирование реализовано системно без прав админа на модификацию процедуры, то админ лишь настраивает ее. При этом, если бекап шифрует данные с использованием персональных данных конечного пользователя (например, ассиметричное шифрование), то админ ничего не может сделать с шифрованными данными, хранящимися на бекап-сервере.

Администратор на то и администратор (в данном случае речь идет об администраторе портала) что бы иметь полный доступ к тем службам сервисам

к службам и сервисам - пожалуйста, но не к данным в них, если правила предприятия устанавливают ограничение доступа к этим данным, и админ не входит в группу доступа.

где он и является администратором.

а он везде является админом!

Отключить к сожалению (к счастью) не получится. Но можно ограничить права и запретить ему читать\копировать\создавать\сохранять документы (в расширеных свойствах определения прав) Но он себе всегда их может вернуть.

Можно, но толку тогда ограничивать, если он может вернуть. При этом вы не сразу заметите, что изменились разрешения - установленные оповещения об изменениях админ также может отменить.

А теперь приведу пример: обслуживающий персонал (специально не говорю - админ, так как ограничусь только областью одного ПК) устанавливает вам архиватор, учит работать. После этого вы архивируете файл с шифрованием и своим паролем. Таким образом, обслуживающий персонал может продолжать обслуживать ваш ПК, но не откроет ваших данных, и защиты своей инфо вы делаете сами без участия обслуживающего персонала. Уже приемлемый уровень защиты, и никакой админ не "вернет" себе права получить доступ к шифрованному документу.

Вот простоя аналогия, которую я привел, и реализацию которой хотелось бы увидеть в сетевой среде.

Мой же первоначальный ответ будет таким: принципиально, с помощью технических ср-в от МС (и других производителей ПО и HW) реализовать такое решение возможно, например: AD+IRM (Information Rights Management) - эта связка дает возможность защитить данные внутри определенного участка SPS от несанкционированного доступа - при этом Админ(ы) имеют возможность делать бекапы итд - но вот прочитать содержимое не смогут, более того при попытке это обязательно залогируется в определенных логах. другими словами, только средствами sps сделать это нельзя?

Вот простоя аналогия
тогда точно смотрите предложенное решение здесь:http://www.uforum.uz/showthread.php?p=32025#post32025

только средствами sps
ну скорее всего только средствами SPS нет, но IRM это часть MS Office System как и SPS :) - и тогда мой ответ будет что средствами Office System можно.

Т.к. 100% защиты никто из производителей не дает (сломать можно все) то в случае взлома система опять же известит владельца документа о взломе и кто его взломал.

Про 100% защиту конечно я не говорю. Но вопрос о том, чтобы получение доступа к персональной инфо требовало ресурсов, не соизмеримых с ценностью получаемой инфо. А в данном случае, админу просто вернуть себе права - ничего не стоит, более того, сама система предоставляем ему инструменты, вместо того, чтобы давать механизмы защиты владельцу информации.

А если таких механизмов нет, то приобретение доп. софта - это доп. затраты.

ну скорее всего только средствами SPS нет, но IRM это часть MS Office System как и SPS :) - и тогда мой ответ будет что средствами Office System можно. Средствами офиса можно, в часность, установкой паролей на файлы. Но когда у вас много рабочих групп (с различным составом сотрудников), плюс много файлов (с различными списками доступа), то создание сотни паролей - не есть выход. Обязательно кто-то да оставить пароль на стикере.

то приобретение доп. софта - это доп. затраты.
Джалолитдин - абсолютно верно, защита информации, это доп затраты, причем не только на сам софт, но и на внедрение, обучение и сопровождение системы. И тут важно найти верный баланс - соизмерить ценность защищаемых объектов, прикладываемых усилий по защите ... итд. с стоимостью раскрытия данных документов.
Предложенная модель (AD+IRM) стоит не очень дорого, т.к. яв-ся частю МС Office System, дает достаточно надежную защиту (для взлома потребуется потрудится т.к. могут быть применены достаточно разнообразные алгоритмы шифрования например ГОСТовские или 3DES, или комбинация) и при этом поставленная задача будет решена.
Можно обойтись и просто AD (немного кривая схема) - в этом случае права админа должны быть только у Директора/зам. Директора (или только у зам. Директора по безопасности) и тогда управление системой осуществляется непосредственно с участием указанных должностных лиц (а у Администраторов по должностной инструкции обрезаются права до Power User, Backup Admin(User)) - но это вносит определенные неудобства.

... То есть, админ так настраивает систему, что гарантирует руководителю, что он не залезет в его данные и не будет крайним, если будет обнаружена, например, утечка.

Возможны ли такие настройки? Может ли система работать в таком режиме?

Возможно, оффтоп, так как это касается не только spps, но и многих других систем.

Именно для обеспечения необходимого уровня безопасности, в том числе и от внутренних угроз, исходящих именно от пользователей с высоким уровнем доступа, предназначены решения Consul (http://www.consul.com/)

Privileged User Monitoring and Audit solution
http://www.consul.com/Content.asp?id=131
...The Consul InSight Privileged User Monitoring and Audit (PUMA™) solution is the answer to the challenges (http://www.consul.com/Content.asp?id=513)of monitoring, reporting and investigating the activities of administrators and other privileged users without impacting business productivity. ...

The Consul InSight Suite
http://www.consul.com/Content.asp?id=54
... The Consul InSight Suite automates monitoring, investigating, and compliance reporting on user activity across the enterprise. With InSight, you have continuous, non-intrusive assurance, and documentary evidence, that your data and systems are being managed in line with company and regulatory policies. ...

Обязательно кто-то да оставить пароль
прелесть IRM как раз в том и заключается - что можно реализовать систему без дополнительных паролей, и устанавливать ее как на отдельные файлы (документы итд) так и на целые разделы (каталоги файловой системы или разделы SPS - вот это я еще сам не пробовал но было заявлено) - достаточно помнить свой пароль на вход в систему (и иметь политику по смене паролей - например в МС это каждые 70 дней)
При этом автор(ы) благодаря IRM - могут самостоятельно устанавливать кому можно читать, редактировать, пересылать документы, можно их печатать и даже время жизни документа (после которого он становиться не доступен или уходит в архив с сохранением определенных полномочий)

Это не совсем по теме. Может никто и не пользуется этой учеткой, но она есть. И пользуется ею администратор, не имеющий по положению доступа к документами руководителя и его замов. По положению он их не имеет, то организивать это нельзя. То есть, в системе не храним документы, требующих прав доступа выше, чем у админа по положению. Это снижает эффективность внедрения систем коллективной работы.

Ну в том то и дело что надо ограничивать именно копоративной политикой (правилами) права администратора. А затем определеный объем прав ограничивать доступными техническими средствами (RMS, Group Policy, ЭЦП, права пользователей узла ..... и мониторить при помощи средств аудита).
Но опять же - Вы пытаетесь ограничить права именно Администратора Домена, хотя можно завести отдельного Администратора портала и разрешить ему запуск служб. А уже возможности создания узлов определить третьему лицу.

Erkin, попробуйте предложить более развернуто сценарий - или давайте обсудим все на встрече с ДЖ и админами.

Я теперь понял, что надо делать.
1. Уяснить, описать, утвердить приказом по учреждению и выполнить следующее:

а). Изменить пароль администратора домена. Записать на бумажку, положить в сейф бумажку и забыть про него.
2. Завести несколько пользователей со строго пределеными правами в соотвествии с выполняемыми функциями по поддержке ИТ инфраструктуры, как то добавление пользовтелей и компьютеров в домен (Server Operator), резервное копирование (Backup Operator) и так далее.
3. Внедрить систему контроля изменений, доступа и прочего (попросту систему мониторинга и аудита).
Наслаждатся полученым результатом.
Средствами MOSS&WSS можно добится многого но не сходу и не просто так. Любое предоставление прав должно быть строго мотивированым.

Кстати вопрос на засыпку - Вы являетесь администратором своего ПК? Если да, то начните с себя. К примеру мой аккаунт не входит в группу Администраторов ни домена ни моего компьютера. Для домена я рядовой пользователь без преференций, на своем копьютере я Power Users (но мне можно доверять), пароль админа домена, SQL, WSS, LCS etc. знаю только я один но никогда не выполняю обычные функции под этими учетными записями

Erkin, попробуйте предложить более развернуто сценарий - или давайте обсудим все на встрече с ДЖ и админами.
Не могу, времени нет. Начальство требует объемов, проектов клиентов и бабла :)

Джалолитдин - абсолютно верно, защита информации, это доп затраты, причем не только на сам софт, но и на внедрение, обучение и сопровождение системы. И тут важно найти верный баланс - соизмерить ценность защищаемых объектов, прикладываемых усилий по защите ... итд. с стоимостью раскрытия данных документов.

Все правильно. Но таких комплексных продуктов как sps такой функционал, как мне кажется, должен быть в составе продукта

При этом автор(ы) благодаря IRM - могут самостоятельно устанавливать кому можно читать, редактировать, пересылать документы, можно их печатать и даже время жизни документа (после которого он становиться не доступен или уходит в архив с сохранением определенных полномочий) Интересно, во сколько обойдется нам такая примочка? Недорого - понятие относительное

Но опять же - Вы пытаетесь ограничить права именно Администратора Домена, хотя можно завести отдельного Администратора портала и разрешить ему запуск служб. А уже возможности создания узлов определить третьему лицу. Про администратора портала и идет речь. Но также не должен иметь прав к содержимому документов ограниченного доступа

Ну в том то и дело что надо ограничивать именно копоративной политикой (правилами) права администратора. А затем определеный объем прав ограничивать доступными техническими средствами (RMS, Group Policy, ЭЦП, права пользователей узла ..... и мониторить при помощи средств аудита). Хорошо сказано про ЭЦП. Но я так и не нашел функционал, чтобы офисные приложения не только подписывали ключом, но еще и шифровали бы им. Это было бы достаточным решением.

3. Внедрить систему контроля изменений, доступа и прочего (попросту систему мониторинга и аудита). Как это видится? При этом данная система не должны быть доступна к изменениям ее конфигурации.

Хорошо сказано про ЭЦП
ДЖ - это можно сделать на 1-2-3 - железо потребуется только. ЦС уже встроен в Windows server.
как это сделать написано здесь:
статьи по теме:
Автоматизация обмена документами между органами власти (https://www.microsoft.com/Rus/Government/Newsletters/Docflow/08.mspx)
Внедрение современной информационно-управляющей системы в Госгортехнадзоре России (http://www.microsoft.com/Rus/CaseStudies/CaseStudy.aspx?id=281)
В поисках безопасности - Развертывание инфраструктуры открытого ключа с глобальным доверием (http://www.microsoft.com/technet/technetmag/issues/2006/12/SecurityWatch/default.aspx?loc=ru)
Установка поддерживающей инфраструктуры для службы управления правами (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/RMS/RMSDeployingTechCent/e5b874df-d5b5-4365-8dce-e98662b57270.mspx)
RMS: развертывание (http://technet2.microsoft.com/WindowsServer/ru/Library/9b24bb70-47ed-46d0-a321-e693d16b1eb01049.mspx?mfr=true)

http://www.microsoft.com/Rus/DesktopDeployment/Default.mspx

прочтите про IRM - RMS - это полезно.
будут вопросы задавайте - у вас на руках имеется весь инструментарий нужный для построения защищенной системы!
да еще на всякий случай приложен файл (правда немного устаревший но его можно взять за основу) - не получилось прикрепить,
позже Ильдару отправлю с просьбой прикрепить к сообщению.

В этой разделе рассказано о том, как упростить управление удостоверениями и правами доступа в масштабах всей организации. Повысьте степень контроля над средой за счет единого представления удостоверений пользователей в организации посредством автоматизации часто выполняемых задач. Узнайте об использовании интегрированного подхода с применением смарт-карт, управления сертификатами и паролями и средств подготовки пользователей.
http://www.microsoft.com/technet/security/learning/reducingcomplexity.mspx
:rtfm: (исключительная инфо для тех. персонала)

комплексных продуктов как sps такой функционал, как мне кажется, должен быть в составе продукта
ДЖ: я разместил вопрос на текнет форуме (кстати я его уже рекомендовал, еще раз технические вопросы можно задавать там (может Ильхам или Елена будут заниматься этим, опять же статус могут зарабатывать за активное участие!)
что ответили читай:http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=1893908&SiteID=40

ну еще одно - полезная информация о том как правильно планировать аккаунты под АД:
This guide is an indispensable resource when you plan strategies to secure administrator-level accounts in Microsoft Windows NT®-based operating systems such as Windows Server 2003 and Windows® XP. It addresses the problem of intruders who acquire administrator account credentials and then use them.
http://www.microsoft.com/downloads/details.aspx?familyid=04D81D4F-3B02-4486-B37A-C3469048C662&displaylang=en

Кстати Атхам ака - помните вы говорили что Шара умеет использовать в работе принцип двух людей - например когда надо удалить какой то элемент - пользователю необходимо одобрение двух пользователей. Понятное дело что при бизнес процессах это можно делать-двойной Апрувал документа или элемента списка, однако можно ли этот принцип применять и при других действиях в системе???

можно ли этот принцип применять
я там выше ссылку давал (на текнет форум) - лучше наверное там спросить - я ведь технически не грамотный - и лучше развернутый вопрос дать
какие у тея не скромные желания (это насчет подписи - точнее линка в подписи ???

какие у тея не скромные желания (это насчет подписи - точнее линка в подписи это он мне просто ее уже проиграл. вот и не знает, где взять

Colligo Reader provides read-only access to SharePoint content offline, including documents, lists, and metadata ...
ну там еще и другой продукт есть. я бы рекомендовал посмотреть.
http://www.colligo.com/go/webads/reader_G.asp?gclid=CNG_0sm4xY0CFRcGEgodSl8TLg

это он мне просто ее уже проиграл. вот и не знает, где взять
на ebay.com (http://search.ebay.com/PIONEER-CMX-3000_W0QQ_trksidZm37QQfromZR40QQsatitleZPIONEERQ20 CMXQ2d3000) посмотреть можно :)

IBM на минувшей неделе представила программное обеспечение IBM Data Mask, предназначенное для маскировки закрытых данных для того, чтобы сторонние администраторы или разработчики могли без проблем работать в корпоративных системах, но не имели доступа к закрытым данным.

Аналитики отмечают, что выпуск нового ПО произошел спустя всего пару недель после поглощения компании Princeton Softech, разработки которой, скорее всего, и легли в основу IBM Data Mask.

В самой же корпорации говорят, что новая система базируется на бизнес-логике собственной системы WebSpere, а также на ряде новых консалтинговых разработок подразделения Global Business Services group. Разработки Princeton Softech не были использованы, так как сделка пока еще не завершена и подписано лишь соглашение о покупке.

В пресс-релизе IBM говорится, что Data Mask может быть использована для работы с компьютерными инфраструктурами больших и средних компаний. Так как доступ к эти сети часто имеют те или иные сторонние лица, то чувствительную информацию при помощи новинки можно замаскировать.

http://www.cybersecurity.ru/crypto/30417.html