Wie dokumentieren / verfolgen Sie Ihre Berechtigungen?

12

Ich bin ein Windows-Administrator, daher sind diejenigen, die sich in Windows integrieren, wahrscheinlich am hilfreichsten. Meine größte Herausforderung besteht derzeit nur in der Freigabe von Dateien. Mit zunehmender Verwendung von SharePoint wird dies jedoch noch schwieriger.

Ich habe alle meine Verzeichnisse eingerichtet und viele Sicherheitsgruppen, die mit der Richtlinie für den geringsten erforderlichen Zugriff eingerichtet wurden, sind zulässig. Mein Problem ist es, alles aus HR- und Compliance-Gründen zu verfolgen.

Benutzer A benötigt die Berechtigung für Ressource 1. Er muss die Genehmigung vom Manager von Ressource 1 erhalten, und dann muss der Manager der Manager auch diesen Zugriff genehmigen. Sobald das alles erledigt ist, kann ich die Änderung vornehmen. An diesem Punkt verfolgen wir es nur auf Papier, aber es ist eine solche Belastung und wird wahrscheinlich nicht mehr eingehalten, wenn Benutzer A neu zugewiesen wird und unter anderen Szenarien keinen Zugriff mehr auf Ressource 1 haben sollte.

Ich weiß, wonach ich suche, sollte es bereits geben, aber ich wusste nicht, wo ich suchen sollte, und ich wende mich an die Community.

BEARBEITEN:

Danke für die Antworten. Ich denke, sie berühren die technische Seite und ich hoffe, dass meine Frage nicht vom Thema abweicht. Ich hätte mir mein Ziel klarer machen sollen. Welche Systeme verwenden Sie, um einem Prüfer anzuzeigen, dass Benutzer A am X-Datum die Berechtigung hinzugefügt / entfernt und von Manager Y genehmigt hatte? Ich habe derzeit ein grundlegendes Ticketingsystem, sehe es jedoch nicht in einem leicht verständlichen Format.
In meinem Kopf stelle ich mir etwas vor, das einen Bericht über Benutzer A enthält, in dem alle Änderungen angezeigt werden, die an den Berechtigungen vorgenommen wurden. Ideal wäre eine Verknüpfung mit Active Directory, aber ich hoffe, an dieser Stelle etwas Grundlegenderes zu finden. Ich hoffe, dass es eine spezielle Anwendung dafür gibt.

Vielen Dank!

PHLiGHT
quelle
3
Für eine Weile hatte ich unsere Dateisystem-ACLs, alle in einer XML-Datei, und ich hatte ein Skript-Setup, das regelmäßig ausgeführt wurde, um die Dateisystem-ACLs zu aktualisieren, die die XML-Datei widerspiegeln. Die XML-Datei enthielt Kommentare. Ich habe nie wirklich alle Fehler behoben. Mein Punkt war jedoch, dass Sie prüfen sollten, ob Ihre Dokumentationsdokumentation Teil des Tools zum Festlegen der ACLs sein kann.
Zoredache
Ich würde versuchen, meine Richtlinien so zu ändern, dass ich den Verlauf der Dateiberechtigungen nicht auf Dateiebene verfolgen muss, ehrlich. Wenn Sie tatsächlich von einer externen Instanz dazu aufgefordert werden, benötigen Sie wahrscheinlich eine FIM-Lösung (File Integrity Monitoring) wie Tripwire, die sowohl Metadaten als auch Dateiänderungen durchführen kann.
mfinni

Antworten:

1

Sie benötigen ein Ticketsystem, das drei Dinge bietet:

  1. Zeitstempel, zu dem Berechtigungen für einen bestimmten Benutzer geändert (hinzugefügt oder entfernt) wurden
  2. Warum sie geändert wurden
  3. Möglichkeit, nach diesen Änderungen zu suchen

Nahezu alle Ticket-Systeme bieten Ihnen bereits die Nummer 1 in Form eines Ticket-Erstellungsdatums, eines Änderungsdatums usw. Die Nummer 2 liegt bei Ihnen, um das Ticket zu dokumentieren. In der Regel handelt es sich um eine Genehmigungs-E-Mail des Ressourcenmanagers, die in das Ticket eingefügt wird und besagt, dass er Zugriff haben kann (oder Zugriff sollte entfernt werden) und welche Art von E-Mail. # 3 ist das wichtigste und hängt vom Ticketing-System ab. Wenn Sie jedoch ein System haben, das nicht einfach zu finden ist, ist Ihre Arbeit für Sie zugeschnitten. Wenn Sie nur nach dem Benutzer suchen können, sodass alle Berechtigungstickets mit ihren Kontaktinformationen im Ticketsystem verknüpft sind, sind Sie gut, ansonsten dokumentieren Sie im Wesentlichen Ihre Änderungen in einem Schwarzen Loch.

Außerhalb eines Ticketing-Systems, das dies zur Verfolgung von Änderungen durchführen kann (Sie erwähnen, dass Sie über ein grundlegendes Ticketing-System verfügen, sodass Sie möglicherweise ein besseres System benötigen, das eine bessere Such- / Berichtsfunktion ermöglicht), eine beliebige Anwendung, ein Dienstprogramm oder ein Skript, das Sie verwenden liefert nur eine Momentaufnahme der Berechtigungen. Sie sind immer noch mit dem "Warum?" Wer Zugriff auf was hat, kann nur separat von der Anwendung ordnungsgemäß dokumentiert werden, da Sie wahrscheinlich die ursprüngliche E-Mail oder einen anderen Genehmigungstext vom Ressourcenmanager erfassen müssen. Wenn Sie das haben, wo setzen Sie es, um es mit den Ergebnissen der Anwendung zu verknüpfen?

Das Ausführen einer App oder eines Skripts zum Ermitteln der aktuellen Berechtigungen in einer Dateistruktur bietet Ihnen auch keinen netten Prüfpfad für Berechtigungsänderungen für einen Benutzer. Sie sind im Wesentlichen mit einer großen Momentaufnahme der aktuellen Berechtigungen zu einem bestimmten Zeitpunkt festgefahren. Wenn Sie es erneut ausführen, haben Sie einen weiteren großen Überblick über die Dateiberechtigungen. Auch wenn Sie die erste Berechtigungserfassung beibehalten und mit der letzten Erfassung verglichen haben und sich die Berechtigungen geändert haben, wie können Sie dies mit dem Grund für die Änderung in Verbindung bringen? Damit kehren wir wieder zum Ticketsystem zurück, da die obigen Nummern 1, 2 und 3 alle an einer Stelle dokumentiert werden.

Ein weiteres Problem, das Sie angesprochen haben, ist die Berechtigungskorrektur (wenn ein Benutzer einer anderen Berechtigung zugewiesen wird und keinen Zugriff mehr auf Ressource X benötigt, diese aber trotzdem beibehält), da die IT-Abteilung keinen Zugriff mehr auf Ressource X benötigt Abteilung während des Übergangs). Die EINZIGE Möglichkeit, dies zu steuern, besteht darin, der Personalabteilung oder demjenigen, der die Neuzuweisung von Mitarbeitern vornimmt, mitzuteilen, dass die IT-Abteilung benachrichtigt werden muss, wenn ein Mitarbeiter neu zugewiesen wird, damit er Berechtigungen entsprechend zuweisen und entziehen kann. Das ist es. Es gibt keine magische Anwendung, die Ihnen mitteilt, dass ein Benutzer Zugriff auf Ressource X hat, dies jedoch nicht mehr tun sollte, da sein Job jetzt Y ist. In diesem Fall muss die IT in irgendeiner Form über den Benutzer informiert werden.

August
quelle
2

Wenn Sie bereits über ein Ticketsystem verfügen, empfiehlt es sich, in Ihrer Anwendung eine neue Gruppe oder ein neues Tag für diese Art von Anforderungen zu erstellen und Benutzer Tickets für Berechtigungsänderungen senden zu lassen. Wenn Sie mit Ihrem Ticketsystem Tickets an andere Benutzer weiterleiten oder zum Ticket hinzufügen können, fügen Sie die erforderlichen Manager hinzu und fordern Sie eine Bestätigung an. Auf diese Weise können Sie Aufzeichnungen über Ihre Arbeit führen.

Erstellen Sie wie oben erwähnt eine Sicherheitsgruppe für jede Freigabe. In meiner Umgebung hätten wir Freigaben mit den Namen FIN_Yearly, GEN_Public, MGM_Reports (jede Abteilung hat ein eigenes Akronym). Sicherheitsgruppen würden dann SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin usw. heißen. Der Benutzer ist schreibgeschützt, der Administrator ist schreibgeschützt.

Von hier aus können Sie beispielsweise SG_FinancialsManager erstellen; Sicherheitsgruppen, die andere Sicherheitsgruppen enthalten, um den Zugriff basierend auf den von ihnen ausgeführten Jobs zu vereinfachen. Wir persönlich machen das nicht, weil es ein bisschen durcheinander ist. Anstatt die SG einer Freigabe zu überprüfen und eine Reihe von SGs mit Berechtigungen anzuzeigen, haben wir stattdessen eine Liste von Benutzern. Eigentlich persönliche Vorlieben, die von der Größe Ihrer Website abhängen. Wir verwenden normalerweise Benutzervorlagen, um neue Benutzer an bestimmten Positionen zu verwalten.

Wenn Ihr Ticket-System es Ihnen ermöglicht, frühere Tickets zu durchsuchen, sind Sie so ziemlich fertig. Wenn jemand Sie auffordert, die Berechtigungen eines Benutzers zu entfernen, können Sie diese nachverfolgen. Wenn ein Benutzer dann fragt, warum er keinen Zugriff mehr hat, können Sie ihm das Ticket bereitstellen. Wenn ein Manager Sie fragt, wer Zugriff auf was hat, drucken Sie die angeforderte Sicherheitsgruppe aus.

Schlaflosigkeit
quelle
Ticketsystem +1. Das ist ein sehr guter Punkt. Wir haben ein Ticketsystem, aber achten Sie niemals auf diese Verwendung (oder Frage).
John Siu
2

Es gibt tatsächlich mehrere kommerzielle Anwendungen, um dies zu tun. Der Bereich wird manchmal als "Data Governance" bezeichnet.

Einige Beispiele:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Ausgabe für Data Governance
http://www.quest.com/identity-manager-data-governance

Ich benutze diese nicht, aber nachdem ich das Thema recherchiert und ein paar Demos gesehen habe, würde der Umfang dessen, was erforderlich sein kann, den Markt erklären. Diese Anwendungen sind sehr komplex und nicht billig. Einige von ihnen verfügen über sehr ausgefeilte Methoden zum Einbinden in Speicherplattformen zur Verfolgung von Zugriffssteuerungslisten. Auch wenn dies nicht in Ihrem Budget enthalten ist, können die Demos hilfreich sein, um eine Vorstellung davon zu bekommen, wie eine solche Anwendung aus funktionaler Sicht funktioniert.

Eine Beobachtung, die ich bei der Überprüfung hatte, ist, dass sie normalerweise nicht auf Dateiebene geprüft werden. Wenn dies der Fall wäre, würde es auf keinen Fall Hunderte von Millionen oder Milliarden von Dokumenten umfassen. Daher verfolgen sie Berechtigungen normalerweise nur auf Verzeichnisebene.

Greg Askew
quelle
Vielen Dank, dass Sie mich über den Begriff "Data Governance" informiert haben. Dies scheinen Werkzeuge für die viel größeren Spieler zu sein. Offenbar ist eine Lösung für KMU erforderlich.
PHLiGHT
1

Ich weiß nicht, wie man sie dokumentiert / verfolgt , aber ich ordne sie Gruppen zu.

Benutzer A benötigt Zugriff auf Ressource 1. Sie erhalten die Erlaubnis und ich füge sie der Zugriffsgruppe hinzu.
Sie machen so lange mit ihrer Arbeit weiter, bis sie eines Tages neu zugewiesen / entlassen / was auch immer werden. Zu diesem Zeitpunkt entferne ich sie aus der Zugriffsgruppe.

In meinen Audit-Protokollen zu Kontoänderungen wird angegeben, wann sie Zugriff erhalten oder verloren haben, sodass dies dokumentiert wird. Die Ressourcenzugriffsgruppen sind in der Regel Abteilungsgruppen (HR, IT, Vertrieb, Finanzen usw.) trotzdem Mitgliedschaft.

Dies funktioniert am besten in kleineren Umgebungen - für größere Umgebungen oder Umgebungen, in denen die ACLs sehr komplex werden. Zoredache legt großen Wert darauf, dass das System, das die ACL-Optimierung vornimmt, in gewissem Umfang auch die Dokumentation übernimmt


Zum Initiieren der Anforderung zum Hinzufügen / Entfernen von Zugriff, zum Neuzuweisen von Benutzern usw. empfehle ich elektronisches Papier (ein Ticketing-System) - dies stellt sicher, dass Benutzer nicht durch die Ritzen rutschen, erfordert jedoch ein allgemeines Unternehmens-Buy-in, um das elektronische System religiös zu nutzen .
Der Vorteil gegenüber Papier besteht darin, dass Sie etwas erhalten, das Sie durchsuchen können, und jeder kann seinen Teil des Prozesses von seinem Schreibtisch aus erledigen (Manager können den Vorgang schneller genehmigen, da sich kein Briefumschlag zwischen den Büros bewegt, und die IT kann den Zugriff sofort gewähren / widerrufen wie das Ticket in jemandes Mülleimer usw. erscheint)

voretaq7
quelle
Ich würde auch vorschlagen, dass Sie die Leitung der Gruppen an eine geeignete Person im Unternehmen delegieren. Wenn sie eine E-Mail-Adresse haben und in der GAL angezeigt werden, können sie auf sehr benutzerfreundliche Weise über das Adressbuch in Outlook verwaltet werden.
Dunxd
1

Am besten finde ich, dass das Einrichten von Berechtigungen rollenbasiert ist.

GG_HR GG_Finance Etc, im Allgemeinen der Position oder Geschäftseinheit zugeordnet.

Von dort aus erstellen Sie lokale Gruppen, die über die Berechtigung für die Ressource, dh den Drucker oder das Finanzverzeichnis, verfügen. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Sie erstellen globale Gruppen für diese lokale Gruppe LG-> GG und fügen dann in Ihren rollenbasierten globalen Gruppen die berechtigungsbasierten globalen Gruppen hinzu.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Dies macht es einfacher, wenn Personen eine Rolle übernehmen, indem Sie ihr Konto nur einer Gruppe hinzufügen und ihre Berechtigungen aus dieser Rolle ableiten, und es ist viel einfacher, sie zu verfolgen. (Auch toll, wenn Sie ein Identity Management System verwenden). Viel einfacher als zu verfolgen, wer welche individuellen Berechtigungen hat, wissen Sie, dass sie X-Berechtigungen haben, wenn sie in der HR-Gruppe sind.

Sie können die Gruppenbewegung einfach nachverfolgen, wenn sie über Ihr Jobverwaltungssystem angefordert werden, oder Skripts ausführen, um herauszufinden, wer sich in welchen rollenbasierten Gruppen befindet.

Kennzeichen
quelle
0

Sie sollten wirklich in Betracht ziehen, die Überwachung von Datei- / Ordnerberechtigungsänderungen zu aktivieren und dann Sicherheitsprotokolle des Dateiservers zu erfassen (manuell oder mit einem Ereignisprotokoll-Verwaltungstool oder SIEM wie Splunk) und für Ihre Dokumentation zu verwenden. Analysieren Sie alle Änderungen an Datei-DACLs. Außerdem ergänzen Sie dies mit AccessEnum und AccessChk, wie oben vorgeschlagen.

Dies entbindet Sie nicht davon, die richtigen Sicherheitsberechtigungen einzurichten und diese nur über Gruppen zuzuweisen.

Netwrix
quelle