Jak dokumentujesz / śledzisz swoje uprawnienia

Jestem administratorem systemu Windows, więc osoby, które integrują się z systemem Windows, będą prawdopodobnie najbardziej pomocne. Moje główne wyzwanie w tym momencie dotyczy tylko udziałów plików, ale wraz ze wzrostem wykorzystania SharePoint tylko to utrudni.

Mam skonfigurowane wszystkie katalogi i dozwolone jest wiele grup zabezpieczeń skonfigurowanych zgodnie z zasadą najmniejszego dostępu. Moim problemem jest śledzenie tego wszystkiego ze względów personalnych i zgodności.

Użytkownik A potrzebuje pozwolenia na zasób 1. Musi uzyskać zgodę menedżera zasobu 1, a następnie menedżer menedżerów musi również zatwierdzić ten dostęp. Po tym wszystkim mogę dokonać zmiany. W tym momencie po prostu śledzimy to na papierze, ale jest to duże obciążenie i prawdopodobnie spadnie ze zgodności, gdy użytkownik A zostanie ponownie przypisany i nie powinien już mieć dostępu do zasobu 1 wśród innych scenariuszy.

Wiem, że to, czego szukam, powinno już istnieć, ale nie wiedziałem, gdzie szukać i docieram do społeczności.

EDYTOWAĆ:

Dziękuję za odpowiedzi. Myślę, że dotykają strony technicznej i mam nadzieję, że moje pytanie nie jest nie na temat. Powinienem był wyrazić swój cel. Z jakich systemów korzystasz, aby pokazać audytorowi, że w dniu X użytkownik A dodał / usunął zezwolenie i został zatwierdzony przez kierownika Y? Mam obecnie podstawowy system biletowy, ale nie widzę, aby dostarczał to, czego potrzebuję w łatwym do zrozumienia formacie.
Moim zdaniem wyobrażam sobie coś, co zawierałoby raport na temat użytkownika A, który pokazywałby wszystkie zmiany, które zostały wprowadzone w jego uprawnieniach. Idealnie byłoby coś łączącego z Active Directory, ale w tym momencie mam nadzieję znaleźć coś bardziej podstawowego. Mam nadzieję, że istnieje aplikacja specjalnie do tego.

Dzięki!

Potrzebujesz systemu biletowego, który zapewnia 3 rzeczy:

1. Znacznik czasu, kiedy uprawnienia zostały zmienione (dodane lub usunięte) dla konkretnego użytkownika
2. Dlaczego zostały zmienione
3. Możliwość wyszukiwania tych zmian

Prawie wszystkie systemy biletowe zapewniają już numer 1 w postaci daty utworzenia biletu, daty modyfikacji itp. # 2 zależy od Ciebie, aby udokumentować na bilecie. Zwykle jest to wiadomość e-mail z zatwierdzeniem od menedżera zasobów wklejona do biletu, informująca, że ​​mogą oni mieć dostęp (lub dostęp powinien zostać usunięty) i jaki. # 3 jest najważniejszy i zależy od systemu sprzedaży biletów, ale jeśli masz system, który nie jest łatwy do przeszukiwania, twoja praca jest dla ciebie odcięta. Jeśli możesz po prostu wyszukać użytkownika, aby wszystkie bilety uprawnień były powiązane z jego danymi kontaktowymi w systemie biletowym, jesteś dobry, w przeciwnym razie dokumentujesz swoje zmiany w czarnej dziurze.

Poza systemem biletowym, który może to zrobić, aby śledzić zmiany (wspominasz, że masz podstawowy system biletowy, więc być może potrzebujesz lepszego, który pozwala na lepsze wyszukiwanie / raportowanie), jakiejkolwiek aplikacji, narzędzia lub skryptu, którego używasz zapewni migawkę tylko uprawnień. Nadal tkwisz w „dlaczego?” kto ma dostęp do tego, co może być odpowiednio udokumentowane oddzielnie od aplikacji, ponieważ prawdopodobnie będziesz musiał przechwycić oryginalny e-mail lub inny tekst zatwierdzenia od menedżera zasobów. Kiedy to zrobisz, gdzie umieścisz go, aby powiązać go z wynikami aplikacji?

Uruchomienie aplikacji lub skryptu w celu ustalenia bieżących uprawnień w strukturze plików również nie zapewnia przyjemnej ścieżki audytu zmian uprawnień dla użytkownika. Zasadniczo utkniesz z dużą migawką aktualnych uprawnień w jednym momencie. Po ponownym uruchomieniu będziesz mieć kolejną dużą migawkę uprawnień do plików. Nawet jeśli zachowałeś pierwsze przechwytywanie uprawnień i porównałeś je z ostatnim przechwytywaniem, a uprawnienia się zmieniły, w jaki sposób powiązasz to z przyczyną zmiany? Ponownie sprowadza nas to z powrotem do systemu sprzedaży biletów, ponieważ numery 1, 1 i 3 powyżej zostaną udokumentowane w jednym miejscu.

Innym poruszonym przez ciebie problemem jest pełzanie uprawnień (gdy użytkownik zostaje przypisany do innego uprawnienia i nie potrzebuje już dostępu do zasobu X, ale i tak je zachowuje, ponieważ fakt, że nie potrzebuje on już dostępu do zasobu X, nie został uruchomiony przez IT Dept podczas przejścia). JEDYNYM sposobem na kontrolowanie tego jest poinformowanie działu kadr lub osoby zajmującej się przeniesieniami pracowników, że należy powiadomić dział IT, gdy pracownik zostanie przeniesiony, aby mógł odpowiednio przypisać i odwołać uprawnienia. Otóż ​​to. Nie ma żadnej magicznej aplikacji, która powiedziałaby, że użytkownik ma dostęp do zasobu X, ale nie powinien już tego robić, ponieważ jego zadaniem jest teraz Y. Gdy to się stanie, należy powiadomić dział informacyjny w jakiejś formie.

Jeśli masz już system biletowy, sugeruję utworzenie nowej grupy lub tagu itp. W aplikacji dla tego rodzaju żądań, aby użytkownicy wysyłali bilety w celu zmiany uprawnień. Jeśli Twój system biletowy umożliwia przekazywanie biletów innym użytkownikom lub dodawanie ich do biletu, dodaj wymaganych menedżerów i poproś o weryfikację. Umożliwiłoby to prowadzenie rejestru obejmującego Twoją pracę.

Jak wspomniano powyżej, utwórz grupę zabezpieczeń dla każdego udziału. W moim środowisku mielibyśmy udziały o nazwie FIN_Rok, GEN_Public, MGM_Reports (każdy dział ma swój własny akronim). Grupy zabezpieczeń byłyby wówczas nazwane SG_FIN_Rok_Administratora, SG_FIN_Rok_Użytkownika, SG_GEN_PublicAdmin itp. Użytkownik jest tylko do odczytu, Administrator jest do odczytu / zapisu.

Stąd możesz utworzyć, na przykład SG_FinancialsManager; grupy zabezpieczeń zawierające inne grupy zabezpieczeń w celu uproszczenia dostępu na podstawie wykonywanych przez nich zadań. Nie robimy tego osobiście, ponieważ trochę namieszało śledzenie. Zamiast sprawdzać SG akcji i widzieć kilka SG z uprawnieniami, zamiast tego mamy listę użytkowników. Osobiste preferencje naprawdę będą zależeć od wielkości Twojej witryny. Zwykle używamy szablonów użytkowników do zarządzania nowymi użytkownikami na określonych stanowiskach.

Jeśli Twój system biletowy pozwala przeszukiwać poprzednie bilety, jesteś prawie gotowy. Jeśli ktoś poprosi Cię o usunięcie uprawnień użytkownika, możesz go śledzić. Jeśli użytkownik zapyta, dlaczego nie ma już dostępu, możesz podać mu bilet. Jeśli menedżer zapyta, kto ma do czego dostęp, wydrukuj żądaną grupę zabezpieczeń.

W rzeczywistości istnieje kilka komercyjnych aplikacji do tego. Obszar ten jest czasem nazywany „zarządzaniem danymi”.

Kilka przykładów:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Data Governance Edition
http://www.quest.com/identity-manager-data-governance

Nie używam ich, ale po zapoznaniu się z tym tematem i zobaczeniu kilku prezentacji, zakres tego, co może być wymagane, wyjaśniłby rynek. Te aplikacje są bardzo złożone i nie niedrogie. Niektóre z nich mają bardzo wyrafinowane metody łączenia się z platformami pamięci w celu śledzenia list kontroli dostępu. Nawet jeśli nie ma tego w twoim budżecie, wersje demonstracyjne mogą być przydatne, aby dowiedzieć się, co takiego aplikacja robi z funkcjonalnego punktu widzenia.

Jedną spostrzeżeniem, które miałem podczas przeglądu tego, jest to, że zwykle nie przeprowadzają audytu na poziomie pliku. Gdyby tak było, nie byłoby mowy, aby skalowałoby się do setek milionów lub miliardów dokumentów. Dlatego zazwyczaj śledzą one uprawnienia tylko na poziomie katalogu.

Nie wiem, jak je dokumentować / śledzić , ale przypisuję je do grup.

Użytkownik A potrzebuje dostępu do zasobu nr 1. Otrzymują pozwolenie, a ja dodaję je do grupy dostępu.
Kontynuują swoją działalność, aż pewnego dnia zostaną ponownie przydzieleni / zwolnieni / cokolwiek, w którym to momencie usunę ich z grupy dostępu.

Moje dzienniki kontroli modyfikacji konta informują mnie o tym, kiedy uzyskali / utracili dostęp, więc jest to zapis, a grupy dostępu do zasobów to zazwyczaj grupy departamentów (HR, IT, sprzedaż, finanse itp.), Więc zarządzanie zmianami przypisań zwykle oznacza zmianę ich grupy członkostwo w każdym razie.

Z reguły działa to najlepiej w mniejszych środowiskach - w większych środowiskach lub w tych, w których listy ACL stają się naprawdę skomplikowane, Zoredache ma rację, mając na uwadze, że system, który wykonuje poprawki ACL, również do pewnego stopnia dokumentuje

Aby zainicjować prośbę o dodanie / usunięcie dostępu, ponowne przypisanie użytkowników itp. Sugerowałbym papier elektroniczny (system sprzedaży biletów) - to gwarantuje, że użytkownicy nie prześlizgną się przez pęknięcia, ale wymaga ogólnego wpisu korporacyjnego, aby używać systemu elektronicznego religijnie .
Zaletą w stosunku do papieru jest to, że możesz coś przeszukać, a każdy może wykonać swoją część procesu z biurka (menedżerowie mogą zatwierdzać szybciej, ponieważ nie przemieszcza się koperta poczty między biurami, dział IT może udzielić / cofnąć dostęp tak szybko, jak to możliwe ponieważ bilet pojawia się w czyimś koszu itp.)

Najlepszym sposobem na skonfigurowanie uprawnień jest rola.

GG_HR GG_Finance Etc, zazwyczaj mapowane na pozycję lub jednostkę biznesową.

Stamtąd tworzysz grupy lokalne, które mają uprawnienia do zasobu tj. Drukarki lub katalogu Finanse. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Tworzysz grupy globalne dla tych grup lokalnych LG-> GG, a następnie w grupach globalnych opartych na rolach dodajesz grupy globalne oparte na uprawnieniach.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Ułatwia to, gdy ludzie stają się rolami, po prostu dodajesz swoje konto do jednej grupy, a ich uprawnienia płyną z tej roli i są znacznie łatwiejsze do śledzenia. (Również świetnie, jeśli używasz jakiegoś systemu zarządzania tożsamością). Znacznie łatwiej niż śledzenie, kto ma jakie indywidualne uprawnienia, wiesz, że jeśli są w grupie HR, mają uprawnienia X.

Możesz po prostu śledzić ich ruchy grupowe, gdy są one żądane za pośrednictwem systemu zarządzania zadaniami, lub uruchamiać skrypty, aby wypluć, kto jest w której grupie oparte są na rolach.

Dwa świetne narzędzia:

1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum umożliwia także zapisywanie jego wyników, a następnie porównywanie ich w przyszłości, co będzie przydatne do szukania zmian.

Naprawdę powinieneś rozważyć włączenie kontroli zmian uprawnień do plików / folderów, a następnie zebrać dzienniki bezpieczeństwa serwera plików (ręcznie lub za pomocą dowolnego narzędzia do zarządzania dziennikami zdarzeń lub SIEM, np. Splunk) i użyć go do dokumentacji. Przeanalizuj wszystkie zmiany w plikach DACL. Dodatkowo uzupełniasz to AccessEnum i AccessChk, jak sugerowano powyżej.

I to nie zwalnia Cię od ustawiania odpowiednich uprawnień bezpieczeństwa i przypisywania ich tylko za pośrednictwem grup.