Que dor maior pode ter uma empresa que, sem querer, deixou que os grupos de acesso global fossem populando as suas pastas, agora com dados pra lá de sensíveis? No início, quando as empresas são pequenas e a vontade de vencer é grande, os empreendedores – que também são os caras de TI – se envolvem com a atividade fim, a atividade meio e aquela que ainda nem chegou na empresa, mas já está na sua mente visionária. Com isso a velocidade em apagar incêndios e ter dados disponíveis para todo mundo é sempre latente.
Nas empresas grandes as dores são tão grandes quanto, mas existe uma preocupação de estar em conformidade com várias normas regulatórias, que são mandatórias para a obtenção de contratos ou para a simples operação num determinado ramo de negócio. Grupos de acesso global, sempre eles: Domain Users, Users e Everyone. Quem nunca se viu em apuros por causa da existência de um “trem” desses em suas pastas compartilhadas? Como se diz num bom carioquês: “é geral tendo acesso”, o usuário já nasce no Microsoft Active Directory acessando o que nem deveria.
Pois bem, como podemos combater essa vulnerabilidade e manter a conformidade para todo o sempre, plantando sorrisos nos rostos dos Gerentes de SI das empresas? Simples, Varonis DatAdvantage no ambiente, sem delongas!
Separei aqui um modelo de relatório que cai como uma luva para quem precisa identificar os famigerados grupos e controlar isso: 12.L.01.
Esse template de relatório Varonis, que pode ser amplamente customizado, dá conta do recado e já vem com o DataAdvantage. Ele lista todas as pastas (folders) que podem ser acessados pelos grupos de acesso global através de Compartilhamentos (Shares) e permissões NTFS.
Exemplo
Vamos a um relatório que, além dos grupos, mostra dados sensíveis que o Varonis DataAdvantage classificou por meio de expressões regulares (Regular Expressions):
Configurando o relatório no Varonis DatAdvantage
1. No relatório 12.l.01 Open Share and NTFS permissions, selecione o servidor de arquivos (file server):
2. Para restringir o relatório a pastas (folders) que contém apenas dados sensíveis (sensitive data), habilite os seguintes filtros:
- Habilite Total Hit Count para greater than 0
- Habilite o filtro Object type e defina como Folder
3. Adicione a coluna Total Hit Count ao relatório:
a. Clique na aba Colunas (Columns)
b. Na área Available Columns, selecione Total Hit Count.
c. Clique no botão com a seta indicando para a direita. – então a coluna Total Hit Count será movida para a área Your Selection e incluída no relatório.
4. Para agrupar pela coluna Access Path:
a. Clique na área Your Selection e selecione Access Path
b. Clique na aba Filters para que sejam mostradas as opções de filtros.
5. Ordene por Classification Results de forma ascendente, assim as pastas (folders) com dados mais sensíveis serão mostradas no topo do relatório.
