Взлом Windows и AD

Ребята здравствуйте. Срочно нужна помощь.
История такова - есть организация с 400+ компов. Полной структуры сети не помню, знаю только
1. Все компы введены в домен.
2. Есть несколько серверов (ексчендж, ад, файлсервер, сервервидеонаблюдения)...
3. Несколько vLAN. Есть WiFi точки доступа для посетителей (соответственно халявно-беспарольные) - уровень доступа не знаю. Но уверен ограниченный.
4. Все компы в сети виндовые (XP)

Есть админский состав - человек пять админов, но в основном еникейщиков и в основном железячники. Работают в полсилы.
Есть мой друг - человек в компах понимающий. но не сильно. Должность - какбы оператор ПК (вводит всякие бумажки). Но он имеет доступ к конфедициальной информации. В его владении три компа - один вконференцзале, один в кабинете и один ноут. На всех трех хранилась важная информация, которую каким-то чудом скопировали. Человека сегодня пресовали все кому только не лень - начальство, ментыа, под вечер даже СБУ. На завтра ему нужно подготовить детальный отчет с возможными вариантами - как пропало.

Знаю несколько вариантов:
1. Кто-то просто подошел к компу с флешкой и скопировал. Но этот кто-то тогда должен иметь логин-пароль разрешенный АД.
2. Кто-то с правами админа (или учеткой добавленной в комп) стянул инфу
3. Кто-то как-то узнал его пароль (он клянется что пас сложный и единственный)

Какие ещё могут быть варианты? Я понимаю что указывать пальцем нужно на админов, в компетенции которых защищать информацию. Но как это толком описать?

Ребята, спасайте пожалуйста. А то уволят да ещё и дело заведут.

Дополнение #1
OCTAGRAM
Хранится на винтах. Но только на его трех компах.

Дополнение #2
OCTAGRAM
В теории да. Вообще под предлогом распечатать флешку могло вставить много народу (в основном журналюги)
Человек по должности, как бы это правильно сказать. Ну короче он отвечает за ввод, оформление, голосование и прочую лабуду на сессиях городского совета. А кроме общедоступной информации бывают и советы с грифом "секретно". Вот они и оказались в свободном доступе.

Дополнение #3
Кстати - извне можно минимум почту внутреннюю смотреть.

dsent Лучший ответ
Прежде всего. Существуют правила обработки информации ограниченного распространения в автоматизированных системах. Если в АС имеются данные с грифом "конфиденциально", или, того хуже, "секретно", то компьютер должен в обязательном порядке пройти аттестацию по требованиям безопасности. Среди прочего, аттестация предполагает, что компьютер оснащается специальными средствами защиты от несанкционированного доступа (вход в систему с помощью аппаратного ключа, шифрование всех данных, учёт всех действий пользователя в специальном журнале и т.п.). Само собой, категорически запрещается подключение любых флешек-дисков (все используемые носители информации должны маркироваться, учитываться в журнале и храниться в сейфе). Если система не была аттестована и в ней обрабатывались секретные данные - это уже само по себе серьёзное административное нарушение.
Вообще, был ли оформлен у Вашего друга допуск, расписывался ли он за ознакомление с данными, как ситуацию оценивает начальник отдела режима и секретности?

Если же компьютер не был аттестован - то это проблема. Но проблема не только, и не столько для Вашего друга, сколько для начальника отдела режима и секретности (либо в отсутствие такого отдела за сохранность секретной информации отвечает лично руководитель организации) - именно этот отдел (либо руководитель лично) обязаны обеспечивать надлежащую защиту секретной информации (доверять обычному пользователю и администраторам-эникейщикам - это НЕнадлежащая защита).

Если никаких средств защиты не было - можно проверить журнал доступа и данные аудита. Полезно бывает сравнить эти журналы с показаниями журнала выдачи ключей, регистрации пропусков, камер видеонаблюдения и т.п. - можно обнаружить, что кто-то входит в систему от имени Вашего друга в то время, когда его физически не было в здании.

Два наиболее вероятных способа утечки:
1) Любой админ может удалённо подключиться к доменной машине через административную шару и скопировать любые данные. Эта фича работает по-умолчанию в AD. Это, на мой взгляд, самый вероятный способ - скучающие администраторы почти всегда изучают жёсткие диски пользователей сети на предмет личных записей, интимных фотографий, интересных документов. Если не включен аудит (обычно не включен), доказать факт доступа почти невозможно.
2) Ну и, конечно, нельзя исключить физический доступ к компьютеру: кто-то вошёл в систему под доменной учётной записью и скопировал данные. Учётная запись не обязательно должна быть админской - часто на компьютерах неправильно настроены права (все пользователи имеют права на чтение-запись - "так проще"). В этом случае должна остаться запись в журнале доступа.

На мой взгляд, защиту Вашему другу надо строить не от технической части (там основные подозреваемые - админы, но они же имеют больше всего возможностей себя выгородить). Тут важно, что ему не обеспечили условия для работы с закрытой информацией: не аттестовали компьютер, не установили средства защиты, не провели инструктаж и т.п. Если его обязывают работать с закрытой информацией на компьютере, доступ к которому он не может орграничить и контролировать, обвинять его в утечке - бред. Это вина начальника секретного отдела и руководителя организации.

Аскольд Оболонский
Кто-то в сейф-моде/как_обычно... подрубил гаджет (флеш/флеш-ХДД/CD...) с предустановленной ОС (WinPE...) и получил доступ к нешифрованным данным на винте занеча-делать.
И этот кто-то знал/подозревал/жахнул_наудачу о существовании оных.
Делоф-то накапейку.

OCTAGRAM
=Но он имеет доступ к конфедициальной информации.=

Только доступ, или ещё и на ЖД копии есть?

OCTAGRAM
==Но он имеет доступ к конфедициальной информации.==

=Только доступ, или ещё и на ЖД копии есть?=

А, вижу, значит, есть.

А что этот человек по своей должности делает? Скажем, я беру флешку, ставлю на неё WMF–сплойт. Для активации сплойта достаточно открыть папку с файлом в проводнике, если не стоит апдейт. Вот так кто–нибудь мог под предлогом распечатать или ещё чего сделать, чтобы флешка попала в компьютер. А этот сплойт уже мог как–нибудь обеспечить передачу информации. Могло так быть?

mdri
Так логи же есть. Наверно первым делом просмотрели, когда и под какой учеткой на компах работали. Если во время, когда его не было на работе, кто-то под левой учеткой, лазил на его компах - какие к нему претензии, не мог же он сам еще одну учетку в АД создать? Да и абсолютно бессмысленно это, ведь есть своя.

Если кто-то с флэшкой мог иметь физический доступ к компам, и винты на них не зашифрованы – то конечно, этот кто-то, легко мог создать и удалить учетку с правами локального админа. Но и это не надо. Злоумышленник мог быстро и главное совершенно без палева (если не запаролен биос) загрузится с этой флэшки и тупо скопировать нужную инфу. Никаких бы следов не осталось вообще.
Опять же - это определяется политикой безопасности в конкретной компании и предъявлять за дыры в ней следует, как я понимаю не вашему другу. (если кто-попало шастает везде - то пусть волнуется СБ. А шифрование и пр. - админы)

Я понимаю так, что другу вашему – главное убедить всех, что от него, пароль его не мог попасть злоумышленнику и подобрать его было нельзя (ну и конечно, что он не в сговоре [что было бы типа глупо, ведь сразу ясно, что первое подозрение на него, будет чуть-что]).

KiLEX
Ну хранение на винте в незашифрованом виде дает кучу возможностей скопировать эти данные. Нужно посмотреть евентлог, когда вставляли флешку и вспомнить когда сами вставляли. и вааще не хранить секретную инфу на локальных компах. для этого существуют разнообразные защищеные хранилища - это забота одминов.

archangel_546
Кто-нибудь кейлоггер установил и скопировал все пароли. А вообще, если дело касается политики, то это чистая подстава - там кто угодно может это сделать, особенно те на кого и не подумаешь. Я, кстати сталкивался с людьми, которые прикидываясь дурачками, ничего не понимающими в компьютерах, моментально запоминали ввод пароля длиной в 24 символа

Dracula
У вас должен иметься администратор по безопастности, любой администратор по безопастности знает, что надо отключать USB, CD, на аппаратном уровне.
имея доступ к USB или CD слить информацию, дело пяти минут, даже для пользователя.

Для вычисления злодея, обратитесь к администратору по безопасности [независимому профессионалу]

Если ломал дурак, пуск>выполнить>eventvwr.msc /s

AnthonyS
Не ищите чуда, там, где его нет.
Даже в таком случае хак - это достаточно дорогая операция, которая стоит немало. Цена вопроса примерно в 100 дороже, чем просто купить любого из ваших админов-аникейщиков.
Если есть WiFi точки доступа, то надо всего лишь создать туннель для слива всего, чего нужно.
А самое главное - что есть человек, на которого можно свалить, т.е.
Это не хак, это - агентурное проникновение.