İzinlerinizi nasıl belgelersiniz / izlersiniz

12

Ben bir Windows Yöneticisiyim, bu nedenle Windows ile entegre olanlar en yararlı olacaktır. Bu noktada asıl zorluğum sadece dosya paylaşımlarıdır, ancak SharePoint kullanımı arttıkça bu yalnızca zorlaşacaktır.

Tüm dizinlerimin kurulumunu aldım ve en az erişim politikasıyla kurulan birçok güvenlik grubuna izin verildi. Benim sorunum İK ve uyumluluk nedenleriyle hepsini takip etmektir.

Kullanıcı A'nın kaynak 1 için izne ihtiyacı var. Kaynak 1'in yöneticisinden onay alması gerekiyor ve ardından yöneticilerin de bu erişimi onaylaması gerekiyor. Tüm bunlar yapıldıktan sonra değişikliği yapabilirim. Bu noktada sadece kağıt üzerinde izliyoruz, ancak A kullanıcısı yeniden atandığında ve artık diğer senaryoların yanı sıra kaynak 1'e erişmemesi gerektiğinde bu kadar yük ve uyumluluktan düşmesi muhtemeldir.

Aradığım şeyin zaten var olması gerektiğini biliyorum ama nereye bakacağımı bilmiyorum ve topluluğa ulaşıyorum.

DÜZENLE:

Yanıtlar için teşekkürler. Sanırım teknik tarafa dokunuyorlar ve umarım sorum konu dışı değil. Hedefimde kendimi daha net yapmalıydım. Bir denetçiye, X tarihinde A kullanıcısına izin eklendiğini / kaldırıldığını ve Y yöneticisi tarafından onaylandığını göstermek için hangi sistemleri kullanıyorsunuz? Şu anda temel bir biletleme sistemim var, ancak ihtiyacım olanı kolay anlaşılır bir formatta sağladığını görmüyorum.
Aklımda, A kullanıcısıyla ilgili izinlerinde yapılan tüm değişiklikleri gösteren bir rapor olacak bir şey hayal ediyorum. İdeal olarak, Active Directory'ye bağlanan bir şey ideal olurdu, ancak bu noktada daha temel bir şey bulmayı umuyorum. Bunun için özel olarak bir uygulama olmasını umuyorum.

Teşekkürler!

windows active-directory audit

— Phlight
kaynak

3

Bir süre Dosya Sistemi ACL'leri vardı, hepsi bir XML dosyasında ve periyodik olarak çalışacak ve dosya sistemi ACL'lerini güncelleyen bir XML dosyası vardı. XML dosyası yorum içeriyordu. Asla gerçekten tüm hataları olsa çalıştı var. Ama benim açımdan, dokümantasyon belgelerinizi ACL'leri ayarlayan aracın bir parçası haline getirip getiremeyeceğinizi görmeniz gerektiğiydi.

— Zoredache

Dürüstçe, dosya izinlerinin geçmişini dosya düzeyinde izlememi gerektirmeyecek şekilde politikalarımı değiştirmeyi düşünürdüm. Bunu gerçekten bir dış varlık tarafından yapmanız gerekiyorsa, muhtemelen Tripwire gibi meta verileri ve dosya değişikliklerini yapabilen bir FIM çözümüne (dosya bütünlüğü izleme) ihtiyacınız olacaktır.

— mfinni

1

3 şey sağlayan bir bilet sistemine ihtiyacınız var:

Belirli bir kullanıcı için izinlerin ne zaman değiştirildiği (eklendiği veya kaldırıldığı) zaman damgası
Neden değiştirildiler
Bu değişiklikleri arayabilme

Hemen hemen tüm biletleme sistemleri zaten bir bilet oluşturma tarihi, değiştirilme tarihi vb. Şeklinde # 1 sağlar. # 2 Bilette belgelemek size kalmış. Genellikle, kaynak yöneticisinin, erişime sahip olabileceklerini (veya erişimin kaldırılması gerektiğini) ve ne tür olduklarını söyleyen bilete yapıştırılan bir onay e-postasıdır. # 3 en önemlisidir ve biletleme sistemine bağlıdır, ancak aranması kolay olmayan bir sisteminiz varsa işiniz sizin için kesilir. Tüm izin biletlerinin biletleme sistemindeki iletişim bilgilerine bağlanması için sadece kullanıcı tarafından arama yapabiliyorsanız, o zaman iyi olursunuz, aksi takdirde değişikliklerinizi bir kara deliğe belgelersiniz.

Değişiklikleri izlemek için bunu yapabilen bir biletleme sisteminin dışında (temel bir biletleme sisteminizin olduğunu belirtiyorsunuz, bu nedenle daha iyi arama / raporlama yeteneğine izin veren daha iyi bir sisteme ihtiyacınız var), kullandığınız herhangi bir uygulama, yardımcı program veya komut dosyası yalnızca izinlerin anlık görüntüsünü sağlar. Hala "neden?" kimin neye erişimi olduğunu, bunun da yalnızca uygulamadan ayrı olarak düzgün bir şekilde belgelenebildiğinden, orijinal e-postayı veya diğer onay metnini kaynak yöneticisinden almanız gerekebilir. Bunu elde ettikten sonra, uygulamanın sonuçlarıyla ilişkilendirmek için nereye koyarsınız?

Bir dosya yapısındaki geçerli izinleri belirlemek için bir uygulama veya komut dosyası çalıştırmak da bir kullanıcı için izin değişikliklerinde güzel bir denetim izi sağlamaz. Esasen, tek bir noktada geçerli izinlerin büyük bir anlık görüntüsüyle sıkışıp kaldınız. Tekrar çalıştırdığınızda, dosya izinlerinin başka bir büyük anlık görüntüsüne sahip olacaksınız. İlk izin yakalamasını koruyup son yakalamayla karşılaştırmış olsanız ve izinler değişmiş olsa bile, bunu değişikliğin nedenine nasıl bağlarsınız? Yine, bu da bizi # 1, 1,2 ve 3'ün hepsi tek bir yerde belgelendirileceğinden bilet sistemine geri getiriyor.

Getirdiğiniz başka bir sorun da izin sürünmesidir (bir kullanıcı başka bir izne yeniden atandığında ve artık X kaynağına erişmeye ihtiyaç duymadığında, ancak yine de korur, çünkü artık X kaynağına erişmeye ihtiyaç duymadıkları gerçeği BT tarafından çalıştırılmadı Geçiş sırasında borç). Bunu kontrol etmenin SADECE yolu İK'ya veya çalışanın atamalarını her kim yaparsa, bir çalışanın yeniden atanması durumunda BT'ye bildirilmesi gerektiğini ve böylece izinleri uygun şekilde atamalarını ve iptal edebilmelerini söylemektir. Bu kadar. Bir kullanıcının kaynak X'e erişimi olduğunu söyleyecek, ancak artık işi Y olduğu için bunu yapması gerektiğini söyleyecek sihirli bir uygulama yoktur. Bu gerçekleştiğinde BT'ye bir şekilde insan bildirimi verilmelidir.

— Ağustos
kaynak

2

Zaten bir biletleme sisteminiz varsa, bu tür talepler için uygulamanızda yeni bir grup veya etiket vb. Oluşturmanızı ve kullanıcıların izin değişiklikleri için bilet göndermelerini öneririm. Biletleme sisteminiz biletleri diğer kullanıcılara yönlendirmenize veya biletin içine eklemenize izin veriyorsa, gerekli yöneticileri ekleyin ve doğrulama isteyin. Bu, çalışmanızı kapsayacak bir kayıt tutmanızı sağlayacaktır.

Yukarıda belirtildiği gibi, her paylaşım için bir güvenlik grubu oluşturun. Çevremde, FIN_Yearly, GEN_Public, MGM_Reports (her bölümün kendi kısaltması vardır) adında paylaşımlarımız olurdu. Güvenlik grupları daha sonra SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin vb. Olarak adlandırılır. Kullanıcı salt okunur, Yönetici okunur / yazılır.

Buradan, örneğin SG_FinancialsManager; yaptıkları işlere göre erişimi basitleştirmek için diğer güvenlik gruplarını içeren güvenlik grupları. Kişisel olarak bunu yapmıyoruz, çünkü biraz izlemeyi çamurluyor. Bir paylaşımın SG'sini kontrol etmek ve izinleri olan bir grup SG'yi görmek yerine, bunun yerine bir kullanıcı listemiz var. Kişisel tercih, gerçekten ve sitenizin boyutuna bağlı olacaktır. Kullanıcı şablonlarını genellikle yeni kullanıcıları belirli konumlara yönetmek için kullanırız.

Biletleme sisteminiz önceki biletler arasında arama yapmanıza izin veriyorsa hemen hemen tamamsınız demektir. Birisi sizden bir kullanıcının izinlerini kaldırmanızı isterse, izleyebilirsiniz. Daha sonra bir kullanıcı neden artık erişime sahip olmadığını soruyorsa, bileti sağlayabilirsiniz. Bir yönetici size kimin neye erişebileceğini sorarsa, istenen güvenlik grubunu yazdırın.

— Uykusuzluk hastalığı
kaynak

Biletleme sistemi +1. Bu çok iyi bir nokta. Biletleme sistemimiz var, ancak asla bu kullanıma (veya soruya) dikkat etmeyin.

— John Siu

2

Aslında bunu yapmak için birkaç ticari uygulama var. Bölgeye bazen "Veri Yönetişimi" denir.

Birkaç örnek:

Varonis Veri Yönetimi Paketi
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Kimlik Yöneticisi - Veri Yönetimi Sürümü
http://www.quest.com/identity-manager-data-governance

Bunları kullanmıyorum ama konuyu araştırdıktan ve birkaç demoyu gördükten sonra, neyin gerekli olabileceğinin kapsamı piyasayı açıklayacaktır. Bu uygulamalar çok karmaşıktır ve ucuz değildir. Bazılarının erişim kontrol listelerini izlemek için depolama platformlarına bağlanma konusunda çok karmaşık yöntemleri vardır. Bütçenizde olmasa bile demolar, böyle bir uygulamanın işlevsel bir perspektiften ne yaptığı hakkında fikir edinmek için yararlı olabilir.

Bunu incelerken bir gözlem, genellikle dosya düzeyinde denetlemiyorlar. Öyle olsaydı, yüz milyonlarca veya milyarlarca belgeyi ölçeklendirmenin bir yolu olmazdı. Bu nedenle, genellikle yalnızca dizin düzeyindeki izinleri izlerler.

— Greg Askew
kaynak

Veri yönetişimi terimini bana bildirdiğiniz için teşekkür ederiz. Bunlar daha büyük oyuncular için olan araçlara benziyor. KOBİ'lere yönelik bir çözüme ihtiyaç duyulduğu anlaşılıyor.

— PHLiGHT

1

Ben bilmem izleme / belgeleyen onları, ama atamak gruplarla onları.

A Kullanıcısının 1 numaralı kaynağa erişmesi gerekiyor. İzin alıyorlar ve ben onları erişim grubuna ekliyorum.
Bir gün yeniden atanma / kovulma / her neyse, işlerine devam ederler, bu noktada onları erişim grubundan kaldırırım.

Hesap değişikliği denetim günlüklerim, erişim kazandıklarında / kaybettiklerinde bana bunun bir kaydı olduğunu ve kaynak erişim gruplarının genellikle departman grupları (İK, BT, Satış, Finans vb.) Söylediğinden, yeniden atamaların yönetilmesi genellikle gruplarını değiştirmek anlamına gelir yine de üyelik.

Bu, daha küçük ortamlarda en iyi şekilde çalışma eğilimindedir - daha büyük ortamlar veya ACL'lerin gerçekten karmaşık hale geldiği ortamlar için Zoredache, ACL ayarını yapan sistemin belgeyi bir ölçüde yapması konusunda iyi bir noktaya işaret eder

Erişim ekleme / kaldırma, kullanıcıları yeniden atama vb. İsteği başlatmak için elektronik kağıt (biletleme sistemi) öneririm - bu, kullanıcıların çatlaklardan kaymamasını sağlar, ancak elektronik sistemi dini olarak kullanmak için genel kurumsal katılım gerektirir. .
Kağıt üzerindeki avantaj, arayabileceğiniz bir şey elde etmenizdir ve herkes sürecin bir kısmını masasından yapabilir (yöneticiler daha hızlı onaylayabilir, çünkü hareket eden ofisler arası posta zarfı yoktur, BT en kısa sürede erişim verebilir / iptal edebilir bilet birinin çöp kutusunda vb. göründüğü için)

— voretaq7
kaynak

Ayrıca grupların yönetimini işletmedeki uygun bir kişiye devretmenizi öneririm. Bir e-posta adresleri varsa ve GAL'de görünüyorsa, Outlook'taki Adres Defteri aracılığıyla çok kullanıcı dostu bir şekilde yönetilebilirler.

— dunxd

1

İzin kurulumu yapmanın en iyi yolu rol tabanlı.

GG_HR GG_Finance Vb, genellikle pozisyona veya iş birimine eşlenir.

Oradan, kaynak yazıcı veya Finans dizini üzerinde izni olan yerel gruplar oluşturursunuz. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Bu Yerel grup LG-> GG için Global Gruplar oluşturursunuz, daha sonra rol tabanlı Global Gruplarınıza izin tabanlı Global gruplar eklersiniz.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Kullanıcılar bir gruba yalnızca bir gruba eklediğinizde ve izinleri bu rolden aktığında ve izlenmesi çok daha kolay bir role girdiğinde bunu kolaylaştırır. (Bir çeşit Kimlik Yönetim Sistemi kullanıyorsanız da harikadır). Kimin hangi bireysel izinlere sahip olduğunu izlemekten çok daha kolay, eğer İK grubundaysa X izinleri olduğunu biliyorsunuz.

İş yönetim sisteminiz aracılığıyla istendiğinde grup hareketlerini izleyebilir veya hangi rol tabanlı gruplarda kim olduğunu tükürmek için komut dosyaları çalıştırabilirsiniz.

— işaret
kaynak

0

İki harika yardımcı program:

AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum ayrıca sonuçlarını kaydetmenize ve daha sonra bunları karşılaştırmanıza izin verir, bu da değişiklik aramak için yararlı olacaktır.

— Sammitch
kaynak

0

Dosya / klasör izin değişikliklerinin denetlenmesini etkinleştirmeyi ve ardından dosya sunucusu Güvenlik günlüklerini (el ile veya Splunk gibi herhangi bir olay günlüğü yönetim aracını veya SIEM kullanarak) toplamayı ve belgeleriniz için kullanmalısınız. Dosya DACL'lerindeki tüm değişiklikleri analiz edin. Ayrıca bunu yukarıda önerildiği gibi AccessEnum ve AccessChk ile tamamlarsınız.

Bu da sizi uygun güvenlik izinlerini ayarlamanıza ve yalnızca gruplar aracılığıyla atamanıza izin vermez.

— Netwrix
kaynak