Como você documenta / rastreia suas permissões?

Navegue suas respostas
12

Sou um administrador do Windows, portanto, aqueles que se integram ao Windows provavelmente serão mais úteis. Meu principal desafio neste momento é apenas com os compartilhamentos de arquivos, mas à medida que o uso do SharePoint aumenta, isso só torna isso mais difícil.

Eu tenho toda a minha configuração de diretórios e muitos grupos de segurança que são configurados com a política de menor acesso necessário são permitidos. Meu problema é acompanhar tudo por razões de RH e conformidade.

O usuário A precisa de permissão para o recurso 1. Ele precisa obter a aprovação do gerente do recurso 1 e, em seguida, o gerente dos gerentes também precisa aprovar esse acesso. Uma vez feito isso, posso fazer a mudança. Neste ponto, estamos apenas acompanhando-o no papel, mas é um fardo tão grande e provavelmente não cumpre a conformidade quando o usuário A é reatribuído e não deve mais ter acesso ao recurso 1, entre outros cenários.

Sei que o que estou procurando já deve existir, mas não sei onde procurar e estou entrando em contato com a comunidade.

EDITAR:

Obrigado pelas respostas. Eu acho que eles tocam no lado técnico e espero que minha pergunta não seja fora do tópico. Eu deveria ter me tornado mais claro no meu objetivo. Quais sistemas você usa para mostrar a um auditor que, em X date, o usuário A teve permissão adicionada / removida e foi aprovado pelo gerente Y? Eu tenho um sistema de bilhetagem básico no lugar atualmente, mas eu não vejo isso entregando o que eu preciso em um formato fácil de entender.
Em minha mente, estou imaginando algo que teria um relatório sobre o usuário A que mostraria todas as alterações feitas em suas permissões. O ideal é que algo ligando ao Active Directory seja o ideal, mas, neste momento, espero encontrar algo mais básico. Eu estou esperando que haja uma aplicação especificamente para isso. Eu sinto que isso deve ser um requisito para empresas maiores e esse software existe.

Obrigado!

    
por PHLiGHT 17.01.2013 / 22:59

7 respostas

1

Você precisa de um sistema de tickets que forneça três coisas:

  1. Timestamp de quando as permissões foram alteradas (adicionadas ou removidas) para um usuário específico
  2. Por que eles foram alterados
  3. Capacidade de pesquisar por essas alterações

Praticamente todos os sistemas de bilhetagem já fornecem o número 1 na forma de uma data de criação do ticket, data de modificação, etc. # 2 cabe a você documentar no ticket. Geralmente, é um e-mail de aprovação do gerenciador de recursos colado no ticket dizendo que eles podem ter acesso (ou o acesso deve ser removido) e que tipo. # 3 é o mais importante e depende do sistema de emissão de bilhetes, mas se você tiver um sistema que não seja fácil de pesquisar, seu trabalho será cortado para você. Se você puder apenas pesquisar pelo usuário para que todos os tickets de permissão estejam vinculados a suas informações de contato no sistema de emissão de bilhetes, então você é bom, caso contrário, você está essencialmente documentando suas alterações em um buraco negro.

Fora de um sistema de bilhetagem que pode fazer isso para rastrear alterações (você menciona que tem um sistema básico de emissão de tickets, então talvez você precise obter um melhor que permita uma melhor capacidade de pesquisa / relatório), qualquer aplicativo, utilitário ou O script que você usa fornecerá apenas uma captura instantânea das permissões. Você ainda está preso com o "por quê?" de quem tem acesso a quê, que só pode ser documentado adequadamente separadamente do aplicativo, pois é provável que você precise capturar o e-mail original ou outro texto de aprovação do gerenciador de recursos. Depois de ter isso, onde você o coloca para associá-lo aos resultados do aplicativo?

A execução de um aplicativo ou script para determinar as permissões atuais em uma estrutura de arquivos também não fornece uma boa trilha de auditoria de alterações de permissão para um usuário. Você está basicamente preso a um grande instantâneo das permissões atuais em um único ponto no tempo. Quando você executá-lo novamente, você terá outro grande instantâneo de permissões de arquivo. Mesmo que você tenha retido a primeira captura de permissões e a tenha comparado com a captura recente, e as permissões tenham mudado, como você amarra isso ao motivo da alteração? Mais uma vez, isso nos traz de volta ao sistema de bilheteira, já que os números 1, 2 e 3 acima serão todos documentados em um só lugar.

Outro problema que você mencionou é a permissão creep (quando um usuário é reatribuído a outra permissão e não precisa mais acessar o recurso X, mas o mantém de qualquer maneira, porque o fato de não precisar mais acessar o recurso X não foi executado pelo IT Dept durante a transição). A ÚNICA maneira de controlar isso é dizer ao RH ou a quem quer que cuide das reatribuições de funcionários que a equipe de TI precisa ser notificada quando um funcionário for reatribuído para que possa atribuir e revogar as permissões adequadamente. É isso aí. Não existe uma aplicação mágica que lhe diga que um usuário tem acesso ao recurso X, mas não deve mais porque seu trabalho agora é Y. A notificação humana de alguma forma deve ser dada à TI quando isso acontecer.

    
por 29.01.2013 / 14:19
2

Se você já tiver um sistema de tickets ativado, sugiro criar um novo grupo, ou tag, etc. em seu aplicativo para esses tipos de solicitações e solicitar que os usuários enviem tickets para alterações de permissão. Se o sistema de emissão de tickets permitir que você encaminhe tíquetes para outros usuários ou adicione-os ao tíquete, adicione os gerentes necessários e solicite a verificação. Isso permitiria que você guardasse um registro para cobrir seu trabalho.

Como mencionado acima, crie um grupo de segurança para cada compartilhamento. No meu ambiente, teríamos compartilhamentos chamados FIN_Yearly, GEN_Public, MGM_Reports (cada departamento tem seu próprio acrônimo). Os grupos de segurança seriam, então, denominados SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin etc. O usuário é somente leitura, Admin é de leitura / gravação.

A partir daqui você pode criar, por exemplo, SG_FinancialsManager; grupos de segurança que incluem outros grupos de segurança para simplificar o acesso com base nos trabalhos que eles executam. Nós, pessoalmente, não fazemos isso, pois é um pouco confuso. Em vez de verificar o SG de um compartilhamento e ver um grupo de SGs com permissões, temos uma lista de usuários. Preferência pessoal, realmente, e dependerá do tamanho do seu site. Geralmente, usamos modelos de usuário para gerenciar novos usuários em posições específicas.

Se o seu sistema de emissão de bilhetes permite-lhe pesquisar através de bilhetes anteriores, está praticamente pronto. Se alguém solicitar que você remova as permissões de um usuário, você poderá rastreá-lo. Se um usuário perguntar por que não tem mais acesso, você poderá fornecer o ticket. Se um gerente perguntar a você quem tem acesso, imprima o grupo de segurança solicitado.

    
por 26.01.2013 / 00:26
2

Na verdade, existem vários aplicativos comerciais para fazer isso. Às vezes, a área é chamada de "Governança de dados".

Alguns exemplos:

Varonis Data Governance Suite
link

Gerenciador de identidades da Quest One - Data Governance Edition
link

Eu não uso isso, mas tendo pesquisado o tópico e visto algumas demos, o escopo do que pode ser necessário explicaria o mercado. Essas aplicações são muito complexas e não são baratas. Alguns deles têm métodos muito sofisticados de conectar-se a plataformas de armazenamento para rastrear listas de controle de acesso. Mesmo que não esteja no seu orçamento, as demonstrações podem ser úteis para ter uma ideia do que uma aplicação como essa faz a partir de uma perspectiva funcional.

Uma observação que tive ao revisar isso é que eles normalmente não fazem auditoria no nível do arquivo. Se o fizessem, não haveria maneira de aumentar para centenas de milhões ou bilhões de documentos. Então, eles normalmente só rastreiam permissões no nível do diretório.

    
por 29.01.2013 / 14:41
1

Eu não sei sobre documentar / rastrear eles, mas atribuo a eles com grupos.

O usuário A precisa acessar o recurso # 1. Eles obtêm permissão e eu os adiciono ao grupo de acesso.
Eles continuam seus negócios até que um dia eles sejam transferidos / demitidos / o que quer que seja, quando eu os removo do grupo de acesso.

Meus registros de auditoria de modificação de conta informam quando eles ganharam / perderam acesso, então há um registro disso, e os grupos de acesso a recursos são tipicamente grupos departamentais (RH, TI, Vendas, Finanças, etc.), então gerenciar reatribuições normalmente significa alterando a participação em grupos de qualquer maneira.

Isso tende a funcionar melhor em ambientes menores - para ambientes maiores ou onde as ACLs são realmente complexas O Zoredache faz questão de ter o sistema que faz os ajustes da ACL também faz a documentação até certo ponto

Para iniciar a solicitação para adicionar / remover acesso, reatribuir usuários, etc. Eu sugeriria papel eletrônico (um sistema de emissão de bilhetes) - isso garante que os usuários não passarão pelas rachaduras, mas exigirá que o buy-in corporativo geral seja usado sistema eletrônico religiosamente.
A vantagem sobre o papel é que você obtém algo que pode pesquisar e todos podem fazer sua parte do processo em sua mesa (os gerentes podem aprovar mais rapidamente, pois não há nenhum envelope de correspondência entre escritórios, a TI pode conceder / revogar o acesso assim que como o bilhete aparece na caixa de alguém, etc.)

    
por 17.01.2013 / 23:26
1

A melhor maneira de fazer uma configuração de permissões é baseada em função.

GG_HR GG_Finance Etc, geralmente mapeado para a posição ou unidade de negócios.

A partir daí, você cria grupos locais que têm permissão no recurso, ou na impressora, ou no diretório Finanças. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Você cria Grupos globais para esses grupos locais LG- > GG e, em seus grupos globais baseados em funções, adiciona os grupos globais baseados em permissões.

GG_Finance < - LG_Finance_FullControl, LG_RoomXPrinter

Torna mais fácil quando as pessoas entram em uma função que você acabou de adicionar a conta delas a um grupo e as permissões delas fluem dessa função e são muito mais fáceis de rastrear. (Também é bom se você usar algum tipo de sistema de gerenciamento de identidades). Muito mais fácil do que rastrear quem tem quais permissões individuais, você sabe que, se estiverem no grupo de RH, terão permissões X.

Você pode acompanhar o movimento do grupo quando solicitado por meio do sistema de gerenciamento de tarefas ou executar scripts para citar quem está em quais grupos baseados na função.

    
por 17.01.2013 / 23:44
0

Dois ótimos utilitários:

  1. AccessEnum: link
  2. AccessChk: link

O AccessEnum também permite salvar seus resultados e compará-los no futuro, o que será útil para procurar alterações.

    
por 17.01.2013 / 23:17
0

Você deve realmente considerar a ativação da auditoria de alterações de permissão de arquivo / pasta e, em seguida, coletar logs de segurança do servidor de arquivos (manualmente ou usando qualquer ferramenta de gerenciamento de logs de eventos ou SIEM, como o Splunk) e usá-los em sua documentação. Analise todas as alterações nas DACLs de arquivo. Além disso, você complementa isso com AccessEnum e AccessChk, como sugerido acima.

E isso não o impede de configurar permissões de segurança adequadas e atribuí-las apenas por grupos.

    
por 18.07.2013 / 20:52

Tags

proxy: o corpo da solicitação de aprovação falhou Como posso registrar o cabeçalho e o corpo da resposta no apache?