Làm thế nào để bạn tài liệu / theo dõi quyền của bạn

12

Tôi là Quản trị viên Windows nên những người tích hợp với Windows có thể sẽ hữu ích nhất. Thách thức chính của tôi tại thời điểm này chỉ là chia sẻ tệp nhưng khi việc sử dụng SharePoint tăng lên, nó sẽ chỉ làm cho việc này trở nên khó khăn hơn.

Tôi đã có tất cả các thiết lập thư mục của mình và nhiều nhóm bảo mật được thiết lập với chính sách ít quyền truy cập cần thiết được cho phép. Vấn đề của tôi là theo dõi tất cả vì lý do nhân sự và tuân thủ.

Người dùng A cần sự cho phép đối với tài nguyên 1. Anh ta cần phải được sự chấp thuận từ người quản lý tài nguyên 1 và sau đó người quản lý của người quản lý cũng cần phê duyệt quyền truy cập này. Một khi tất cả điều đó được thực hiện, tôi có thể thay đổi. Tại thời điểm này, chúng tôi chỉ theo dõi nó trên giấy nhưng đó là một gánh nặng và có khả năng không tuân thủ khi người dùng A được chỉ định lại và không còn có quyền truy cập vào tài nguyên 1 trong số các tình huống khác.

Tôi biết những gì tôi đang tìm kiếm đã tồn tại nhưng tôi không biết nên tìm ở đâu và tôi đang tiếp cận cộng đồng.

BIÊN TẬP:

Cảm ơn các câu trả lời. Tôi nghĩ rằng họ liên lạc về mặt kỹ thuật và hy vọng câu hỏi của tôi không lạc đề. Tôi nên làm cho mình rõ ràng hơn về mục tiêu của tôi. Những hệ thống nào bạn sử dụng để hiển thị cho kiểm toán viên rằng vào ngày X người dùng A đã được phép thêm / xóa và nó đã được người quản lý Y chấp thuận? Hiện tại tôi có một hệ thống bán vé cơ bản nhưng tôi không thấy nó cung cấp những gì tôi cần ở định dạng dễ hiểu.
Trong tâm trí tôi đang hình dung một cái gì đó sẽ có một báo cáo về người dùng A sẽ hiển thị tất cả các thay đổi đã được thực hiện đối với quyền của họ. Lý tưởng là một cái gì đó liên kết đến Active Directory sẽ là lý tưởng nhưng tại thời điểm này tôi hy vọng sẽ tìm thấy thứ gì đó cơ bản hơn. Tôi hy vọng rằng có một ứng dụng dành riêng cho việc này.

Cảm ơn!

windows  active-directory  audit 
PHONG CÁCH
nguồn
3
Trong một thời gian tôi đã có ACL hệ thống tập tin của chúng tôi, tất cả trong một tệp XML và tôi đã thiết lập tập lệnh, sẽ chạy định kỳ để cập nhật ACL của hệ thống tệp phản ánh tệp XML. Tệp XML bao gồm các ý kiến. Tôi không bao giờ thực sự có tất cả các lỗi làm việc mặc dù. Nhưng quan điểm của tôi là bạn nên xem liệu bạn có thể biến tài liệu tài liệu của mình thành một phần của công cụ thiết lập ACL không.
Zoredache
Tôi sẽ xem xét việc thay đổi chính sách của mình để không yêu cầu tôi theo dõi lịch sử cấp phép tệp ở cấp tệp. Nếu bạn thực sự được yêu cầu thực hiện điều này bởi một thực thể bên ngoài, có lẽ bạn sẽ cần một giải pháp FIM (giám sát toàn vẹn tệp) như Tripwire, có thể thực hiện siêu dữ liệu cũng như thay đổi tệp.
mfinni

Câu trả lời:

1

Bạn cần một hệ thống bán vé cung cấp 3 thứ:

  1. Dấu thời gian khi quyền được thay đổi (thêm hoặc xóa) cho một người dùng cụ thể
  2. Tại sao chúng được thay đổi
  3. Khả năng tìm kiếm những thay đổi này

Khá nhiều tất cả các hệ thống bán vé đã cung cấp cho bạn số 1 dưới dạng ngày tạo vé, ngày sửa đổi, v.v ... Số 2 tùy thuộc vào bạn để ghi lại trong vé. Thông thường đó là một email phê duyệt từ người quản lý tài nguyên dán vào vé nói rằng họ có thể có quyền truy cập (hoặc nên xóa quyền truy cập) và loại nào. # 3 là quan trọng nhất và phụ thuộc vào hệ thống bán vé, nhưng nếu bạn có một hệ thống không dễ tìm kiếm thì công việc của bạn sẽ bị cắt bỏ cho bạn. Nếu bạn chỉ có thể tìm kiếm bởi người dùng để tất cả các vé cho phép được gắn với thông tin liên hệ của họ trong hệ thống bán vé thì bạn vẫn ổn, nếu không thì về cơ bản bạn đang ghi lại các thay đổi của mình vào một lỗ đen.

Bên ngoài hệ thống bán vé có thể thực hiện việc này để theo dõi các thay đổi (bạn đề cập rằng bạn có hệ thống bán vé cơ bản nên có thể bạn cần có hệ thống bán vé tốt hơn cho phép khả năng tìm kiếm / báo cáo tốt hơn), bất kỳ ứng dụng, tiện ích hoặc tập lệnh nào bạn sử dụng sẽ chỉ cung cấp một ảnh chụp nhanh của các quyền. Bạn vẫn bị mắc kẹt với "tại sao?" của những người có quyền truy cập vào những gì, chỉ có thể được ghi lại một cách chính xác khỏi ứng dụng vì bạn có thể cần phải lấy e-mail gốc hoặc văn bản phê duyệt khác từ người quản lý tài nguyên. Khi bạn đã có nó, bạn sẽ đặt nó ở đâu để liên kết nó với kết quả của ứng dụng?

Chạy một ứng dụng hoặc tập lệnh để xác định các quyền hiện tại trong cấu trúc tệp cũng không cung cấp cho bạn một bản kiểm toán thay đổi quyền cho người dùng. Về cơ bản, bạn đang bị mắc kẹt với một ảnh chụp nhanh các quyền hiện tại tại một thời điểm duy nhất. Khi bạn chạy lại nó, bạn sẽ có một ảnh chụp nhanh khác về quyền truy cập tệp. Ngay cả khi bạn giữ lại lần chụp quyền đầu tiên và so sánh với lần chụp gần đây và quyền đã thay đổi, làm thế nào để bạn buộc điều đó vào lý do thay đổi? Một lần nữa, điều này đưa chúng ta trở lại hệ thống bán vé vì # 1,2 và 3 ở trên tất cả sẽ được ghi lại ở một nơi.

Một vấn đề khác mà bạn đưa ra là creep quyền (khi người dùng được gán lại cho quyền khác và không còn cần quyền truy cập vào tài nguyên X, nhưng dù sao vẫn giữ quyền đó, vì thực tế là họ không còn cần quyền truy cập vào tài nguyên X không do IT điều hành Phòng trong quá trình chuyển đổi). Cách DUY NHẤT để kiểm soát việc này là thông báo cho HR hoặc bất cứ ai xử lý việc tái chỉ định nhân viên rằng CNTT cần được thông báo khi nhân viên được chỉ định lại để họ có thể chỉ định và thu hồi quyền một cách thích hợp. Đó là nó. Không có ứng dụng ma thuật nào sẽ cho bạn biết người dùng có quyền truy cập vào tài nguyên X nhưng không nên sử dụng nữa vì công việc của họ hiện là Y. Thông báo của con người dưới một số hình thức phải được gửi cho CNTT khi điều này xảy ra.

tháng Tám
nguồn
2

Nếu bạn đã có sẵn hệ thống bán vé, tôi khuyên bạn nên tạo một nhóm hoặc thẻ mới, v.v. trong ứng dụng của mình cho các loại yêu cầu này và yêu cầu người dùng gửi vé để thay đổi quyền. Nếu hệ thống bán vé của bạn cho phép bạn chuyển tiếp vé cho người dùng khác hoặc thêm chúng vào vé, hãy thêm người quản lý được yêu cầu và yêu cầu xác minh. Điều này sẽ cho phép bạn giữ một bản ghi để trang trải công việc của bạn.

Như đã đề cập ở trên, tạo một nhóm bảo mật cho mỗi chia sẻ. Trong môi trường của tôi, chúng tôi sẽ có các cổ phần có tên FIN_Yearly, GEN_Public, MGM_Reports (mỗi phòng có từ viết tắt riêng). Các nhóm bảo mật sau đó sẽ được đặt tên là SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin, v.v. Người dùng chỉ đọc, Quản trị viên được đọc / ghi.

Từ đây, bạn có thể tạo, ví dụ SG_Fin financesManager; các nhóm bảo mật bao gồm các nhóm bảo mật khác để đơn giản hóa việc truy cập dựa trên các công việc mà chúng làm. Cá nhân chúng tôi không làm điều này vì nó lầy lội theo dõi một chút. Thay vì kiểm tra SG chia sẻ và thấy một loạt SG có quyền, thay vào đó chúng tôi có một danh sách người dùng. Sở thích cá nhân, thực sự, và sẽ phụ thuộc vào kích thước của trang web của bạn. Chúng tôi thường sử dụng các mẫu người dùng để quản lý người dùng mới cho các vị trí cụ thể.

Nếu hệ thống bán vé của bạn cho phép bạn tìm kiếm thông qua các vé trước đó, bạn đã hoàn thành khá nhiều việc. Nếu ai đó yêu cầu bạn xóa quyền của người dùng, bạn có thể theo dõi nó. Nếu người dùng sau đó đặt câu hỏi tại sao họ không còn quyền truy cập, bạn có thể cung cấp cho họ vé. Nếu người quản lý hỏi bạn ai có quyền truy cập vào cái gì, hãy in ra nhóm bảo mật được yêu cầu.

Mất ngủ
nguồn
Hệ thống bán vé +1. Đó là một điểm rất tốt. Chúng tôi có hệ thống bán vé, nhưng không bao giờ chú ý đến việc sử dụng (hoặc câu hỏi) này.
John Siu
2

Thực tế có một số ứng dụng thương mại để làm điều này. Khu vực này đôi khi được gọi là "Quản trị dữ liệu".

Một vài ví dụ:

Bộ quản trị dữ liệu Varonis
http://www.varonis.com/products/data-gocateance-suite/index.html

Trình quản lý danh tính Quest One - Phiên bản quản trị dữ liệu
http://www.quest.com/identity-manager-data-gocateance

Tôi không sử dụng những thứ này nhưng đã nghiên cứu chủ đề và thấy một vài bản demo, phạm vi của những gì có thể được yêu cầu sẽ giải thích thị trường. Những ứng dụng này rất phức tạp, và không tốn kém. Một số trong số chúng có các phương thức rất tinh vi để móc vào các nền tảng lưu trữ để theo dõi danh sách kiểm soát truy cập. Ngay cả khi nó không có trong ngân sách của bạn, các bản demo có thể hữu ích để có được ý tưởng về những gì một ứng dụng như thế này làm từ góc độ chức năng.

Một quan sát tôi đã có trong khi xem xét điều này là họ thường không kiểm toán ở cấp độ tập tin. Nếu họ làm như vậy, sẽ không có cách nào nó có thể mở rộng lên đến hàng trăm triệu hoặc hàng tỷ tài liệu. Vì vậy, họ thường chỉ theo dõi quyền ở cấp thư mục.

Greg Askew
nguồn
Cảm ơn đã thông báo cho tôi về thuật ngữ quản trị dữ liệu. Đây dường như là những công cụ dành cho những người chơi lớn hơn nhiều. Có vẻ như một giải pháp nhắm vào SMB là cần thiết.
PHLiGHT
1

Tôi không biết về tài liệu / theo dõi họ, nhưng tôi chỉ định họ theo nhóm.

Người dùng A cần truy cập vào tài nguyên # 1. Họ được phép và tôi thêm họ vào nhóm truy cập.
Họ tiếp tục công việc của mình cho đến một ngày họ được chỉ định lại / bị sa thải / bất cứ điều gì, tại thời điểm đó tôi loại bỏ họ khỏi nhóm truy cập.

Nhật ký kiểm toán sửa đổi tài khoản của tôi cho tôi biết khi nào họ bị mất / mất quyền truy cập nên có hồ sơ về điều đó và các nhóm truy cập tài nguyên thường là các nhóm bộ phận (HR, IT, Sales, Finance, v.v.) để quản lý việc tái chỉ định thường có nghĩa là thay đổi nhóm của họ thành viên nào.

Điều này có xu hướng hoạt động tốt nhất trong các môi trường nhỏ hơn - đối với các môi trường lớn hơn hoặc các môi trường mà ACL thực sự phức tạp Zoredache tạo ra một điểm tốt về việc hệ thống điều chỉnh ACL cũng làm tài liệu ở một mức độ nào đó

Để bắt đầu yêu cầu thêm / xóa quyền truy cập, chỉ định lại người dùng, v.v. Tôi sẽ đề xuất giấy điện tử (hệ thống bán vé) - điều này đảm bảo người dùng sẽ không trượt qua vết nứt, nhưng yêu cầu mua chung của công ty để sử dụng hệ thống điện tử một cách tôn giáo .
Ưu điểm trên giấy là bạn có được thứ gì đó bạn có thể tìm kiếm và mọi người có thể thực hiện phần quy trình của họ từ bàn của họ (người quản lý có thể phê duyệt nhanh hơn vì không có phong bì thư liên văn phòng di chuyển, CNTT có thể cấp / thu hồi quyền truy cập ngay khi vé xuất hiện trong thùng của ai đó, v.v.)

voretaq7
nguồn
Tôi cũng đề nghị bạn ủy quyền quản lý các nhóm cho một người thích hợp trong doanh nghiệp. Nếu họ có địa chỉ email và xuất hiện trong GAL thì họ có thể được quản lý thông qua Sổ địa chỉ trong Outlook theo cách rất thân thiện với người dùng.
dunxd
1

Cách tốt nhất tôi tìm thấy để thực hiện thiết lập quyền là dựa trên vai trò.

GG_HR GG_Finance Etc, thường được ánh xạ tới vị trí hoặc đơn vị kinh doanh.

Từ đó bạn tạo các nhóm cục bộ có quyền đối với tài nguyên Tức là máy in hoặc thư mục Tài chính. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Bạn tạo Nhóm toàn cầu cho các nhóm Địa phương LG-> GG, sau đó trong Nhóm toàn cầu dựa trên vai trò của bạn, bạn thêm các nhóm Toàn cầu dựa trên quyền.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Làm cho nó dễ dàng khi mọi người vào một vai trò, bạn chỉ cần thêm tài khoản của họ vào một nhóm và quyền của họ chảy từ vai trò đó và dễ theo dõi hơn nhiều. (Cũng tuyệt vời nếu bạn sử dụng một số loại Hệ thống quản lý danh tính). Sau đó, dễ dàng hơn nhiều để theo dõi ai có quyền riêng lẻ, bạn biết rằng nếu họ thuộc nhóm Nhân sự, họ có quyền X.

Bạn chỉ có thể theo dõi chuyển động nhóm của họ khi họ được yêu cầu thông qua hệ thống quản lý công việc của bạn hoặc chạy các kịch bản để nói ra ai là người trong nhóm dựa trên vai trò nào.

dấu
nguồn
0

Bạn thực sự nên xem xét việc cho phép kiểm tra các thay đổi quyền của tệp / thư mục và sau đó thu thập nhật ký bảo mật của máy chủ tệp (theo cách thủ công hoặc sử dụng bất kỳ công cụ quản lý nhật ký sự kiện hoặc SIEM nào, như Splunk) và sử dụng nó cho tài liệu của bạn. Phân tích tất cả các thay đổi đối với các tệp DACL. Thêm vào đó bạn bổ sung điều này với AccessEnum và AccessChk như đề xuất ở trên.

Và điều này không giải phóng bạn khỏi việc thiết lập quyền bảo mật thích hợp và chỉ gán chúng thông qua các nhóm.

Netwrix
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.