Krok za krokem: Ochrana vašich informací prostřednictvím dynamického řízení přístupu

V Active Directory systému Windows Server 2012 je mnoho nových věcí.

V tomto příspěvku se zaměříme na řízení dynamického přístupu (DAC). DAC umožňuje správcům vytvářet a spravovat zásady centrálního přístupu a auditu ve službě Active Directory, které mohou být spravovány prostřednictvím konzoly AD Administration Console, což pomáhá organizacím dosáhnout shody s daty.

** POZNÁMKA: DAC je sloučení různých funkcí pracujících společně. Využívá AD, GPO, servery na serverech ... Je to jedna z těch více zapojených laboratoří, které jsme zatím řešili.

Společnost Microsoft se zaměřuje na následující oblasti:

Nyní můžete vytvořit a spravovat zásady centrálního přístupu a auditu ve službě Active Directory prostřednictvím služby ADAC. Tyto zásady jsou založeny na podmíněných výrazech, které berou v úvahu následující skutečnosti, aby organizace mohly přeložit obchodní požadavky na účinné vymáhání politik a výrazně snížily počet skupin zabezpečení potřebných pro kontrolu přístupu:

Služba Dynamic Access Control integruje požadavky do ověřování systému Windows (Kerberos), takže uživatelé a zařízení mohou být popsány nejen skupinami zabezpečení, které patří, ale také nároky, jako například: "Uživatel je z finančního oddělení" a " Vysoký"

Zde je ukázka využití DAC

Typ politiky

Používání

Pravidla autorizace pro celou organizaci

  • Nejčastěji iniciované z úřadu pro bezpečnost informací

  • Je řízena souladem nebo požadavky na organizaci na vysoké úrovni

  • Relevantní v celé organizaci.

  • Příklad: Soubory HBI jsou přístupné pouze zaměstnancům na plný úvazek

Politika autorizace oddělení

  • Každé oddělení v organizaci má některé speciální požadavky na zpracování dat, které chtějí prosadit

  • Příklad: finanční oddělení by mohlo chtít omezit přístup finančních serverů k finančním zaměstnancům

Specifická politika správy dat

  • Obvykle se týká požadavků na dodržování předpisů a obchodních požadavků a je zaměřena na ochranu správného přístupu k informacím, které jsou spravovány

  • Příklad: finanční instituce mohou provádět informační stěny tak, aby analytici neměli přístup k informacím o zprostředkování a makléři nemají přístup k informacím o analýze

Pravidla pro potřebu vědět

  • Typicky se používá ve spojení s předchozími typy zásad

  • Příklad: dodavatelé by měli mít přístup a upravovat pouze soubory, které se týkají projektu, na kterém pracují

 

Jste král najít různé scénáře využití DAC zde .

Co budeme dělat v tomto příspěvku je nastavit DAC a vytvořit pravidlo pro zobrazení flexibility a hodnoty, které můžete získat z této technologie.

Krok za krokem: povolení a konfigurace DAC

DAC je bezpečnostní funkce založená na nároku.

Reklamace jsou atributy služby Active Directory definované pro použití s ​​Central Access Policies. Reklamace lze nastavit jak pro uživatele, tak pro zařízení. Společnost Microsoft přidala do administračního centra služby Active Directory nový kontejner pro implementaci této nové funkce.

Chcete-li nakonfigurovat centralizované zásady přístupu k souborům pomocí služby Dynamic Access Control, je třeba nakonfigurovat následující součásti.

  1. Typ nároku

  2. Vlastnosti zdrojů souborů

  3. Seznamy vlastností zdrojů (přidat vlastnost zdroje do globální)

  4. Vytvořte nové pravidlo centrálního přístupu

  5. Vytvořte centrální přístupové zásady

Nejprve jsme se přihlásili do našeho řadiče domény ITCamp-DC1 a vytvořili několik účtů pro tuto laboratoř.

  1. Vytvořte následující uživatele s uvedenými atributy:

 Uživatel

Uživatelské jméno

Emailová adresa

oddělení

Země / oblast

Myriam Delesalle

MDelesalle

MDelesalle@ITCAMP.Local

Finance

Kanada

Miles Reid

MReid

MReid@ITCAMP.Local

Finance

Spojené státy

Esther Valle

EValle

EValle@ITCAMP.Local

Operace

Kanada

Maira Wenzel

MWenzel

MWenzel@ITCAMP.Local

HR

Kanada

Jeff Low

JLow

JLow@ITCAMP.Local

HR

Spojené státy

 

Nyní je čas povolit řízení dynamického přístupu pro ITCamp.Local

  1. Otevřete konzolu Správa zásad skupiny, klepněte na položku ITCamp.Local a potom poklepejte na položku Řadiče domény .

  2. Klepněte pravým tlačítkem myši na položku Výchozí zásady řadičů domény a vyberte možnost Upravit .

  3. V okně Editoru správy zásad skupiny poklepejte na položku Konfigurace počítače , poklepejte na položku Zásady , poklepejte na položku Šablony pro správu , poklepejte na položku Systém a poklepejte na položku KDC .

  4. Poklepejte na podporu KDC pro nároky, složenou autentizaci a obložení Kerberos a vyberte možnost vedle možnosti Enabled (Povoleno) . Toto nastavení musíte povolit tak, aby používaly zásady Centrálního přístupu.

  5. Otevřete zvýšený příkazový řádek a spusťte následující příkaz:

 

gpupdate / force

 

Konfigurace typu reklamace

V tomto kroku nastavíme typ nároku pro uživatele. Budeme přidávat existující atributy služby Active Directory do seznamu atributů, které můžeme použít při hodnocení dynamického řízení přístupu. V našem případě uživatelské oddělení a jeho země

1- Po přihlášení do služby DC můžete otevřít Centrum pro správu služby Active Directory a spustit konfiguraci zásady dynamického přístupu (DAP).

obraz

 

2- V sekci Typ reklamace klikněte v podokně úloh na " Nový " a " Typ reklamace "

obraz

 

3- Vyberte atribut, který chcete použít, v našem případě " c " av části navrhované hodnoty definujte země, které chcete definovat. V naší laboratoři budeme hledat Kanadu a Spojené státy.

obraz

4- Opakujte pro atribut oddělení s následující doporučenou hodnotou. (HR, Finance, Operace)

Konfigurovat vlastnosti zdrojů pro soubory

1- V tomto kroku nastavíme vlastnosti, které budou stahovány ze souborových serverů a používají se k klasifikaci souborů nebo adresářů nebo sdílených souborů. Pravidla DAC budou porovnávat hodnoty atributu uživatele s vlastnostmi zdrojů. Můžete povolit stávající vlastnosti nebo vytvořit nové.

obraz

2- Klepněte na vlastnost zdroje a zde můžete vybrat existující vlastnosti zdrojů nebo také můžete vytvořit nové, vybrala jsem zemi a oddělení.

obraz

 

Seznamy vlastností zdrojů (přidat vlastnost zdroje do globální)

1- Každá vlastnost zdroje musí být přidána alespoň k jednomu seznamu vlastností zdroje. Poté budou staženy ve vašem prostředí souborovými servery. Seznam globálních vlastností prostředků je stažen všemi souborovými servery.

obraz

 

Naše nemovitosti jsou již součástí globálního seznamu.

Vytvořte nové pravidlo centrálního přístupu

Toto je, když vytvoříme Pravidlo, které používá vlastnosti, které jsme definovali dříve. To popisuje, které podmínky musí být splněny, aby byl přístup k souborům udělen.

 

1- V části Centrální přístupové pravidlo klepněte na tlačítko "Nové" a "Střední přístupové pravidlo"

obraz

2- Zadejte název do formuláře Create Central Access Rule.

obraz

 

3- V části Oprávnění klepněte na tlačítko "Použití následujících oprávnění" a klepněte na tlačítko "Upravit"

obraz

 

4 - Klikněte na tlačítko "Přidat" av položce "oprávnění Vstup pro oprávnění" vyberte možnost "Ověřený uživatel" jako hlavního povinného a nastavte následující podmínky.

obraz

 

5. Klikněte na "OK", abyste se vrátili na obrazovku konfigurace DAC.

Vytvořte centrální přístupové zásady

Tato část je velmi přímá.

1- V zásadách Centrálního přístupu klepněte na položku "Nové" a "Střední přístupové zásady" a v poli Vytvoření zásady centrálního přístupu uveďte název nové zásady. Jmenovali jsme naši CAP. Musíte také přidat pravidlo centrálního přístupu, které jste dříve vytvořili, k zásadám.

obraz

2- Jakmile je vytvořena, musíme o této politice sdělit společnosti AD. V "Konzoli pro správu zásad skupiny" jsme upravili zásadu "Výchozí doména", ale můžete použít jiné zásady, jak uznáte za vhodné. A v Správa počítače à politiky à Nastavení systému Windows àNastavení zabezpečení à File System à politiky centrální přístup, klepněte pravým tlačítkem myši v pravém podokně a vyberte spravovat zásady centrálního přístupu.

obraz

3- Přidejte vytvořené zásady do příslušných zásad centrálního přístupu.

obraz

Dokončili jsme konfiguraci DAC ... no ... ne tak docela. Musíme ještě nakonfigurovat své akcie a sdílet jejich vlastnosti.

Chcete-li nakonfigurovat sdílené položky, musí být nainstalován správce prostředků souborového serveru na serveru, který bude použit jako souborový server. V našem případě používáme souborový server VMHost10B.itcamp.local .

  1. Přihlaste se VMHost10B.itcamp.local jako itcamp \ administrator

  2. Ve Správci serverů klepněte na tlačítko Přidat role a funkce .

  3. Na stránce Než začnete , klepněte na tlačítko Další .

  4. Na stránce Vybrat typ instalace klepněte na tlačítko Další .

  5. Na stránce Vybrat cílový server klepněte na tlačítko Další .

  6. Na stránce Vybrat role serveru rozbalte položku Soubory a úložiště , zaškrtněte políčko vedle služby Soubor a iSCSI , rozbalte položku a vyberte Správce prostředků souborového serveru .

  7. V Průvodci přidáním rolí a funkcí klepněte na tlačítko Přidat funkce a potom klepněte na tlačítko Další .

  8. Na stránce Vybrat funkce klepněte na tlačítko Další .

  9. Na stránce Potvrdit volby instalace klepněte na tlačítko Nainstalovat .

  10. Na stránce Postup instalace klepněte na tlačítko Zavřít

Na stroji VMHost10B jsme vytvořili 2 akcie SMB Shares-Advanced. (HR, Finance) vyberte všechny výchozí hodnoty pro dokončení této části.

Jakmile byly sdílené položky vytvořeny, musíme přejít na místo, kde byl adresář vytvořen, a upravovat vlastnosti jednotlivých složek.

obraz

Zahrnout klasifikaci těchto složek.

obraz

A v rozšířených nastaveních zabezpečení na kartě Centrální zásady změňte zásady "Žádná centrální politika přístupu" na "CAP", kterou jsme definovali.

Můžete zkontrolovat, zda vše funguje dobře pomocí efektivní karty Access.

obraz

 

To je ten začátek hodnoty, kterou může DAC přinést. Ale my jsme prostě změřili povrch.

Tak zkuste to pro sebe. Stojí to za to.

Můžete jej nasadit ve vaší laboratoři a využít výhod flexibility, kterou tato technologie může poskytnout. Vyzkoušejte si to sami stahováním systému Windows Server 2012 ?