Pregunta ¿Cómo documentar / rastrear sus permisos?


Soy un administrador de Windows, por lo que aquellos que se integran con Windows probablemente serán de gran ayuda. Mi principal desafío en este momento es solo con el uso compartido de archivos, pero a medida que el uso de SharePoint aumenta, esto solo lo hará más difícil.

Tengo todos mis directorios configurados y muchos grupos de seguridad que están configurados con la política de menor acceso necesario están permitidos. Mi problema es rastrearlo todo por razones de recursos humanos y cumplimiento.

El usuario A necesita permiso para el recurso 1. Necesita obtener la aprobación del administrador del recurso 1 y luego el administrador de los administradores necesita aprobar este acceso también. Una vez hecho todo eso, puedo hacer el cambio. En este punto, simplemente lo estamos rastreando en papel, pero es una carga tan grande y es probable que quede fuera de cumplimiento cuando el usuario A sea reasignado y ya no deba tener acceso al recurso 1 entre otros escenarios.

Sé que lo que estoy buscando ya debería existir, pero no he sabido dónde buscar y me dirijo a la comunidad.

EDITAR:

Gracias por las respuestas. Creo que tocan el lado técnico y espero que mi pregunta no sea fuera de tema. Debería haberme aclarado mi meta. ¿Qué sistemas utiliza para mostrarle a un auditor que en la fecha X el usuario A tenía permiso agregado / eliminado y fue aprobado por el gerente Y? Actualmente tengo un sistema básico de tickets pero no veo que ofrezca lo que necesito en un formato fácil de entender.
En mi mente, estoy imaginando algo que tendría un informe sobre el usuario A que mostraría todos los cambios que se habían realizado en sus permisos. Idealmente, algo que se vincula con Active Directory sería ideal, pero en este punto espero encontrar algo más básico. Espero que haya una aplicación específica para esto. Siento que esto debe ser un requisito para las empresas más grandes y tal software existe.

¡Gracias!


12
2018-01-17 21:59


origen


Durante un tiempo tuve nuestras ACL del sistema de archivos, todas en un archivo XML, y tuve una configuración de script, que se ejecutaría periódicamente y actualizaría las ACL del sistema de archivos que reflejaban el archivo XML. El archivo XML incluía comentarios. Sin embargo, nunca tuve todos los errores resueltos. Pero mi punto fue que debería ver si puede hacer que su documentación sea parte de la herramienta que establece las ACL. - Zoredache
Me gustaría cambiar mis políticas para no requerir que rastree el historial de permisos de archivos a nivel de archivo, honestamente. Si realmente es necesario que lo haga una entidad externa, es probable que necesite una solución FIM (monitoreo de integridad de archivos) como Tripwire, que puede hacer metadatos y cambios de archivos. - mfinni


Respuestas:


Necesitas un sistema de tickets que ofrezca 3 cosas:

  1. Marca de tiempo de cuándo se cambiaron (agregaron o eliminaron) los permisos para un usuario en particular
  2. Por qué fueron cambiados
  3. Posibilidad de buscar estos cambios.

Casi todos los sistemas de tickets ya le proporcionan el # 1 en forma de fecha de creación del ticket, fecha de modificación, etc. El # 2 depende de usted para documentarlo en el ticket. Por lo general, se trata de un correo electrónico de aprobación del administrador de recursos pegado en el ticket que indica que pueden tener acceso (o que se debe eliminar el acceso) y de qué tipo. El # 3 es el más importante y depende del sistema de emisión de boletos, pero si tiene un sistema que no es fácil de buscar, su trabajo se corta para usted. Si solo puede realizar una búsqueda por parte del usuario para que todos los tickets de permisos estén vinculados a su información de contacto en el sistema de tickets, entonces usted es bueno, de lo contrario, esencialmente está documentando sus cambios en un agujero negro.

Fuera de un sistema de tickets que puede hacer esto para rastrear los cambios (usted menciona que tiene un sistema básico de tickets, por lo que tal vez necesite obtener uno mejor que permita una mejor capacidad de búsqueda / reporte), cualquier aplicación, utilidad o script que use proporcionará una instantánea de los permisos solamente. Todavía estás atascado con el "¿por qué?" de quién tiene acceso a qué, que solo se puede documentar adecuadamente por separado de la aplicación, ya que es probable que necesite capturar el correo electrónico original u otro texto de aprobación del administrador de recursos. Una vez que tienes eso, ¿dónde lo pones para asociarlo con los resultados de la aplicación?

La ejecución de una aplicación o script para determinar los permisos actuales en una estructura de archivos tampoco le proporciona un buen seguimiento de auditoría de los cambios de permisos para un usuario. Básicamente, te quedas atascado con una gran instantánea de los permisos actuales en un solo punto en el tiempo. Cuando lo ejecute de nuevo, tendrá otra gran instantánea de los permisos de archivo. Incluso si conservó la primera captura de permisos y la comparó con la captura reciente, y los permisos han cambiado, ¿cómo relaciona eso con la razón del cambio? Nuevamente, esto nos regresa al sistema de venta de boletos, ya que los números 1, 2 y 3 anteriores se documentarán en un solo lugar.

Otro problema que surgió es el desplazamiento de permisos (cuando un usuario es reasignado a otro permiso y ya no necesita acceso al recurso X, pero lo retiene de todos modos, ya que el hecho de que ya no necesitan acceso al recurso X no fue manejado por TI). Depto durante la transición). La ÚNICA manera de controlar esto es decirle a RH o a quienquiera que se encargue de las reasignaciones de empleados que TI debe ser notificado cuando se reasigne a un empleado para que pueda asignar y revocar los permisos de manera adecuada. Eso es. No hay una aplicación mágica que le diga que un usuario tiene acceso al recurso X, pero ya no debería hacerlo porque su trabajo ahora es Y. Se debe dar una notificación humana a TI cuando esto suceda.


1
2018-01-29 13:19





Si ya tiene un sistema de emisión de boletos implementado, sugeriría crear un nuevo grupo o etiqueta, etc. en su aplicación para este tipo de solicitudes y pedir a los usuarios que envíen tickets para los cambios de permisos. Si su sistema de tickets le permite reenviar tickets a otros usuarios o agregarlos al ticket, agregue los gerentes necesarios y solicite verificar. Esto le permitiría mantener un registro para cubrir su trabajo.

Como se mencionó anteriormente, cree un grupo de seguridad para cada recurso compartido. En mi entorno, tendríamos recursos compartidos denominados FIN_Yearly, GEN_Public, MGM_Reports (cada departamento tiene su propio acrónimo). Los grupos de seguridad se denominarían SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin, etc. El usuario es de solo lectura, el administrador es de lectura / escritura.

Desde aquí puede crear, por ejemplo, SG_FinancialsManager; Grupos de seguridad que incluyen otros grupos de seguridad para simplificar el acceso en función de los trabajos que realizan. Personalmente no hacemos esto ya que se enturbia un poco el seguimiento. En lugar de verificar el SG de un recurso compartido y ver un grupo de SG con permisos, tenemos una lista de usuarios. Las preferencias personales, realmente, y dependerán del tamaño de su sitio. Usualmente usamos plantillas de usuario para administrar nuevos usuarios a posiciones específicas.

Si su sistema de boletos le permite buscar a través de boletos anteriores, está prácticamente terminado. Si alguien le solicita que elimine los permisos de un usuario, puede rastrearlo. Si un usuario pregunta por qué ya no tiene acceso, puede proporcionarle el ticket. Si un administrador le pregunta quién tiene acceso a qué, imprime la pantalla del grupo de seguridad solicitado.


2
2018-01-25 23:26



Sistema de venta de entradas +1. Ese es un muy buen punto. Tenemos un sistema de venta de boletos, pero nunca prestamos atención a este uso (o pregunta). - John Siu


En realidad, hay varias aplicaciones comerciales para hacer esto. El área a veces se conoce como "Gobernanza de datos".

Un par de ejemplos:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html 

Quest One Identity Manager - Edición de control de datos
http://www.quest.com/identity-manager-data-governance 

No uso estos, pero después de haber investigado el tema y de ver algunas demostraciones, el alcance de lo que puede ser necesario explicaría el mercado. Estas aplicaciones son muy complejas y no son baratas. Algunos de ellos tienen métodos muy sofisticados de conexión a plataformas de almacenamiento para rastrear las listas de control de acceso. Incluso si no está dentro de su presupuesto, las demostraciones pueden ser útiles para tener una idea de lo que hace una aplicación como esta desde una perspectiva funcional.

Una observación que tuve al revisar esto es que normalmente no auditan a nivel de archivo. Si lo hicieran, no habría manera de escalar a cientos de millones o miles de millones de documentos. Por lo tanto, normalmente solo rastrean permisos a nivel de directorio.


2
2018-01-29 13:41



Gracias por informarme del término gobierno de datos. Estas parecen herramientas que son para los jugadores mucho más grandes. Parece que se necesita una solución dirigida a SMB. - PHLiGHT


No se sobre documentación / seguimiento ellos, pero yo asignar Con grupos.

El usuario A necesita acceso al recurso # 1. Obtienen permiso y los agrego al grupo de acceso.
Continúan con sus asuntos hasta que un día son reasignados / despedidos / lo que sea, en cuyo momento los elimino del grupo de acceso.

Los registros de auditoría de modificación de mi cuenta me dicen cuándo obtuvieron / perdieron el acceso, por lo que hay un registro de eso, y los grupos de acceso a los recursos suelen ser grupos departamentales (RR.HH., TI, Ventas, Finanzas, etc.), por lo que administrar las reasignaciones generalmente implica cambiar su grupo membresía de todos modos

Esto tiende a funcionar mejor en entornos más pequeños, para entornos más grandes o en los que las ACL se vuelven realmente complejas. Zoredache hace un buen punto acerca de tener el sistema que hace el ajuste de ACL y también la documentación hasta cierto punto.


Para iniciar la solicitud de agregar / eliminar acceso, reasignar usuarios, etc., sugeriría papel electrónico (un sistema de emisión de boletos): esto garantiza que los usuarios no se resquebrajen, pero requiere un compromiso corporativo general para utilizar religiosamente el sistema electrónico. .
La ventaja sobre el papel es que obtiene algo que puede buscar, y todos pueden hacer su parte del proceso desde su escritorio (los gerentes pueden aprobar más rápidamente ya que no hay ningún sobre de correo entre oficinas, TI puede otorgar / revocar el acceso tan pronto como sea posible). como el ticket aparece en el contenedor de alguien, etc.)


1
2018-01-17 22:26



También sugeriría que delegue la administración de los grupos a una persona apropiada en el negocio. Si tienen una dirección de correo electrónico y aparecen en el GAL, entonces pueden administrarse a través de la Libreta de direcciones en Outlook de una manera muy fácil de usar. - dunxd


La mejor manera que encuentro para hacer una configuración de permisos está basada en roles.

GG_HR GG_Finanzas Etc, generalmente asignado a la posición o unidad de negocio.

Desde allí, creará grupos locales que tienen permiso sobre el recurso, es decir, la impresora o el directorio de Finanzas. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Crea grupos globales para estos grupos locales LG-> GG, luego en sus grupos globales basados ​​en roles agrega los grupos globales basados ​​en permisos.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Facilita la tarea cuando las personas se incorporan a un rol, simplemente agrega su cuenta a un grupo y sus permisos fluyen desde ese rol y es mucho más fácil de rastrear. (También es genial si utiliza algún tipo de sistema de gestión de identidad). Mucho más fácil que rastrear quién tiene qué permisos individuales, usted sabe que si están en el grupo de Recursos Humanos tienen permisos X.

Simplemente puede rastrear el movimiento de su grupo cuando se solicitan a través de su sistema de administración de trabajos o ejecutar secuencias de comandos para indicar quién está en qué grupos basados ​​en roles.


1
2018-01-17 22:44





Dos grandes utilidades:

  1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
  2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum también le permite guardar sus resultados y luego compararlos en el futuro, lo que será útil para buscar cambios.


0
2018-01-17 22:17





Debería considerar la posibilidad de habilitar la auditoría de los cambios de permisos de archivos / carpetas y luego recopilar los registros de seguridad del servidor de archivos (manualmente o mediante cualquier herramienta de gestión de registros de eventos o SIEM, como Splunk) y utilizarlos para su documentación. Analiza todos los cambios al archivo DACLs. Además, complementa esto con AccessEnum y AccessChk como se sugirió anteriormente.

Y esto no le impide configurar los permisos de seguridad adecuados y asignarlos solo a través de grupos.


0
2017-07-18 18:52