Comment documenter / suivre vos autorisations

12

Je suis un administrateur Windows, donc ceux qui s'intègrent à Windows seront probablement les plus utiles. Mon principal défi à ce stade concerne uniquement les partages de fichiers, mais à mesure que l'utilisation de SharePoint augmente, cela ne fera que compliquer les choses.

J'ai la configuration de tous mes répertoires et de nombreux groupes de sécurité qui sont configurés avec la politique de moindre accès nécessaire sont autorisés. Mon problème est de tout suivre pour des raisons de RH et de conformité.

L'utilisateur A a besoin de l'autorisation de ressource 1. Il doit obtenir l'approbation du gestionnaire de la ressource 1, puis le gestionnaire des gestionnaires doit également approuver cet accès. Une fois que tout cela est fait, je peux faire le changement. À ce stade, nous ne faisons que le suivre sur papier, mais c'est un tel fardeau et susceptible de ne pas être conforme lorsque l'utilisateur A est réaffecté et ne devrait plus avoir accès à la ressource 1 parmi d'autres scénarios.

Je sais que ce que je recherche devrait déjà exister, mais je ne savais pas où chercher et je contacte la communauté.

ÉDITER:

Merci pour les réponses. Je pense qu'ils touchent au côté technique et j'espère que ma question n'est pas hors sujet. J'aurais dû me rendre plus clair sur mon objectif. Quels systèmes utilisez-vous pour montrer à un auditeur qu'à la date X, l'utilisateur A avait une autorisation ajoutée / supprimée et qu'elle avait été approuvée par le gestionnaire Y? J'ai un système de billetterie de base en place actuellement, mais je ne le vois pas fournir ce dont j'ai besoin dans un format facile à comprendre.
Dans mon esprit, j'imagine quelque chose qui aurait un rapport sur l'utilisateur A qui montrerait toutes les modifications apportées à leurs autorisations. Idéalement, quelque chose liant à Active Directory serait idéal, mais à ce stade, j'espère trouver quelque chose de plus basique. J'espère qu'il y a une application spécifiquement pour cela.

Merci!

windows  active-directory  audit 
PHLiGHT
source
3
Pendant un certain temps, j'avais nos listes de contrôle d'accès du système de fichiers, le tout dans un fichier XML, et j'avais une configuration de script, qui s'exécutait périodiquement pour mettre à jour les listes de contrôle d'accès du système de fichiers reflétant le fichier XML. Le fichier XML comprenait des commentaires. Je n'ai jamais vraiment réussi à résoudre tous les bugs. Mais mon point était que vous devriez voir si vous pouvez faire de votre documentation de documentation une partie de l'outil qui définit les ACL.
Zoredache
Je chercherais à changer mes politiques pour ne pas exiger que je suive l'historique des autorisations de fichiers au niveau des fichiers, honnêtement. Si vous êtes réellement obligé de le faire par une entité extérieure, vous aurez probablement besoin d'une solution FIM (surveillance de l'intégrité des fichiers) comme Tripwire, qui peut effectuer des métadonnées ainsi que des modifications de fichiers.
mfinni

Réponses:

1

Vous avez besoin d'un système de billetterie qui offre 3 choses:

  1. Horodatage du moment où les autorisations ont été modifiées (ajoutées ou supprimées) pour un utilisateur particulier
  2. Pourquoi ils ont été modifiés
  3. Possibilité de rechercher ces changements

Presque tous les systèmes de billetterie vous fournissent déjà # 1 sous la forme d'une date de création de ticket, d'une date modifiée, etc. # 2 est à vous de documenter dans le ticket. Habituellement, il s'agit d'un e-mail d'approbation du gestionnaire de ressources collé dans le ticket indiquant qu'ils peuvent avoir accès (ou que l'accès doit être supprimé) et de quel type. Le numéro 3 est le plus important et dépend du système de billetterie, mais si vous avez un système qui n'est pas facile à rechercher, votre travail est fait pour vous. Si vous pouvez simplement effectuer une recherche par l'utilisateur afin que tous les tickets d'autorisation soient liés à leurs coordonnées dans le système de billetterie, alors vous êtes bon, sinon vous documentez essentiellement vos modifications dans un trou noir.

En dehors d'un système de billetterie qui peut le faire pour suivre les changements (vous mentionnez que vous avez un système de billetterie de base, vous devrez peut-être en obtenir un meilleur qui permet une meilleure capacité de recherche / création de rapports), toute application, utilitaire ou script que vous utilisez fournira un instantané des autorisations uniquement. Vous êtes toujours coincé avec le "pourquoi?" de qui a accès à quoi, ce qui ne peut être correctement documenté que séparément de l'application, car vous devrez probablement capturer l'e-mail d'origine ou tout autre texte d'approbation du gestionnaire de ressources. Une fois que vous avez cela, où le placez-vous pour l'associer aux résultats de l'application?

L'exécution d'une application ou d'un script pour déterminer les autorisations actuelles dans une structure de fichiers ne vous fournit pas non plus une belle piste d'audit des modifications des autorisations pour un utilisateur. Vous êtes essentiellement coincé avec un gros instantané des autorisations actuelles à un moment donné. Lorsque vous l'exécutez à nouveau, vous aurez un autre gros instantané des autorisations de fichier. Même si vous avez conservé la première capture d'autorisations et l'avez comparée à la capture récente et que les autorisations ont changé, comment liez-vous cela à la raison du changement? Encore une fois, cela nous ramène au système de billetterie puisque les numéros 1, 2 et 3 ci-dessus seront tous documentés en un seul endroit.

Un autre problème que vous avez évoqué est le fluage des autorisations (lorsqu'un utilisateur est réaffecté à une autre autorisation et n'a plus besoin d'accéder à la ressource X, mais qu'il la conserve de toute façon, car le fait qu'il n'a plus besoin d'accéder à la ressource X n'a ​​pas été exécuté par l'informatique Département pendant la transition). La SEULE façon de contrôler cela est d'indiquer aux RH ou à quiconque gère les réaffectations d'employés que le service informatique doit être averti lorsqu'un employé est réaffecté afin qu'il puisse attribuer et révoquer les autorisations de manière appropriée. C'est ça. Il n'y a pas d'application magique qui vous dira qu'un utilisateur a accès à la ressource X mais ne devrait plus l'être parce que son travail est maintenant Y. Une notification humaine sous une forme ou une autre doit être donnée au service informatique lorsque cela se produit.

août
source
2

Si vous avez déjà un système de billetterie en place, je vous suggère de créer un nouveau groupe, ou balise, etc. dans votre application pour ces types de demandes et de demander aux utilisateurs d'envoyer des tickets pour les modifications d'autorisation. Si votre système de billetterie vous permet de transférer des tickets à d'autres utilisateurs ou de les ajouter au ticket, ajoutez les gestionnaires requis et demandez à vérifier. Cela vous permettrait de garder un dossier pour couvrir votre travail.

Comme mentionné ci-dessus, créez un groupe de sécurité pour chaque partage. Dans mon environnement, nous aurions des actions nommées FIN_Yearly, GEN_Public, MGM_Reports (chaque département a son propre acronyme). Les groupes de sécurité seraient alors nommés SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin etc. L'utilisateur est en lecture seule, l'administrateur est en lecture / écriture.

De là, vous pouvez créer, par exemple SG_FinancialsManager; des groupes de sécurité qui incluent d'autres groupes de sécurité afin de simplifier l'accès en fonction des tâches qu'ils effectuent. Personnellement, nous ne faisons pas cela car cela embrouille un peu le suivi. Plutôt que de vérifier le SG d'un partage et de voir un groupe de SG avec des autorisations, nous avons plutôt une liste d'utilisateurs. Votre préférence personnelle dépendra vraiment de la taille de votre site. Nous utilisons généralement des modèles d'utilisateurs pour gérer les nouveaux utilisateurs à des postes spécifiques.

Si votre système de billetterie vous permet de rechercher parmi les billets précédents, vous avez à peu près terminé. Si quelqu'un vous demande de supprimer les autorisations d'un utilisateur, vous pouvez le suivre. Si un utilisateur se demande alors pourquoi il n'a plus accès, vous pouvez lui fournir le ticket. Si un responsable vous demande qui a accès à quoi, imprime l'écran du groupe de sécurité demandé.

Insomnie
source
Système de billetterie +1. C'est un très bon point. Nous avons un système de billetterie, mais ne faites jamais attention à cette utilisation (ou question).
John Siu
2

Il existe en fait plusieurs applications commerciales pour ce faire. Le domaine est parfois appelé «gouvernance des données».

Quelques exemples:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Édition de gouvernance des données
http://www.quest.com/identity-manager-data-governance

Je ne les utilise pas, mais après avoir fait des recherches sur le sujet et vu quelques démos, l'étendue de ce qui peut être nécessaire expliquerait le marché. Ces applications sont très complexes et peu coûteuses. Certains d'entre eux ont des méthodes très sophistiquées de connexion aux plates-formes de stockage pour suivre les listes de contrôle d'accès. Même si ce n'est pas dans votre budget, les démos peuvent être utiles pour avoir une idée de ce qu'une application comme celle-ci fait d'un point de vue fonctionnel.

Une observation que j'ai faite en examinant ceci est qu'ils ne vérifient généralement pas au niveau du fichier. S'ils le faisaient, il n'y aurait aucun moyen qu'il atteigne des centaines de millions ou de milliards de documents. Ainsi, ils ne suivent généralement que les autorisations au niveau du répertoire.

Greg Askew
source
Merci de m'avoir informé du terme gouvernance des données. Ceux-ci semblent être des outils destinés aux joueurs beaucoup plus grands. Il semble qu'une solution destinée aux PME soit nécessaire.
PHLiGHT
1

Je ne sais pas comment les documenter / les suivre , mais je les attribue à des groupes.

L'utilisateur A doit avoir accès à la ressource n ° 1. Ils obtiennent la permission et je les ajoute au groupe d'accès.
Ils continuent leurs affaires jusqu'au jour où ils sont réaffectés / licenciés / peu importe, à quel point je les supprime du groupe d'accès.

Mes journaux d'audit de modification de compte me disent quand ils ont gagné / perdu l'accès, donc il y a un enregistrement de cela, et les groupes d'accès aux ressources sont généralement des groupes départementaux (RH, informatique, ventes, finances, etc.), donc la gestion des réaffectations signifie généralement changer leur groupe l'adhésion de toute façon.

Cela a tendance à mieux fonctionner dans des environnements plus petits - pour les environnements plus grands ou ceux où les listes de contrôle d'accès deviennent vraiment complexes, Zoredache fait un bon point sur le fait que le système qui effectue le réglage de l'ACL effectue également la documentation dans une certaine mesure.

Pour initier la demande d'ajout / suppression d'accès, réaffecter des utilisateurs, etc. Je suggérerais du papier électronique (un système de billetterie) - cela garantit que les utilisateurs ne passeront pas à travers les mailles du filet, mais nécessite l'adhésion globale de l'entreprise pour utiliser religieusement le système électronique .
L'avantage par rapport au papier est que vous obtenez quelque chose que vous pouvez rechercher, et tout le monde peut faire sa part du processus depuis son bureau (les gestionnaires peuvent approuver plus rapidement car il n'y a pas d'enveloppe de courrier interservices se déplaçant, le service informatique peut accorder / révoquer l'accès dès que possible). lorsque le ticket apparaît dans le bac de quelqu'un, etc.)

voretaq7
source
Je suggère également que vous déléguiez la gestion des groupes à une personne appropriée dans l'entreprise. S'ils ont une adresse e-mail et apparaissent dans la liste d'adresses globale, ils peuvent être gérés via le carnet d'adresses dans Outlook d'une manière très conviviale.
dunxd
1

La meilleure façon que je trouve de faire une configuration des autorisations est basée sur les rôles.

GG_HR GG_Finance Etc, généralement associé au poste ou à l'unité commerciale.

De là, vous créez des groupes locaux qui ont l'autorisation sur la ressource Ie l'imprimante ou le répertoire Finance. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Vous créez des groupes globaux pour ces groupes locaux LG-> GG, puis dans vos groupes globaux basés sur les rôles, vous ajoutez les groupes globaux basés sur les autorisations.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Rend les choses plus faciles lorsque les gens entrent dans un rôle, vous ajoutez simplement leur compte à un groupe et leurs autorisations découlent de ce rôle et beaucoup plus faciles à suivre. (Idéal également si vous utilisez une sorte de système de gestion des identités). Il est beaucoup plus facile de suivre qui a quelles autorisations individuelles, vous savez que s'ils font partie du groupe RH, ils ont des autorisations X.

Vous pouvez simplement suivre le mouvement de leur groupe lorsqu'ils sont demandés via votre système de gestion des travaux ou exécuter des scripts pour identifier qui appartient à quels groupes basés sur les rôles.

marque
source
0

Vous devriez vraiment envisager d'activer l'audit des modifications des autorisations de fichiers / dossiers, puis collecter les journaux de sécurité du serveur de fichiers (manuellement ou en utilisant n'importe quel outil de gestion des journaux d'événements ou SIEM, comme Splunk) et l'utiliser pour votre documentation. Analysez toutes les modifications apportées aux fichiers DACL. De plus, vous complétez cela avec AccessEnum et AccessChk comme suggéré ci-dessus.

Et cela ne vous libère pas de la configuration des autorisations de sécurité appropriées et de leur attribution via des groupes uniquement.

Netwrix
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.