Como você documenta / rastreia suas permissões

Sou um administrador do Windows, portanto, aqueles que se integram ao Windows provavelmente serão mais úteis. Meu principal desafio neste momento é apenas o compartilhamento de arquivos, mas, à medida que o uso do SharePoint aumenta, isso torna as coisas ainda mais difíceis.

Eu tenho todos os meus diretórios configurados e muitos grupos de segurança configurados com a diretiva de menor acesso necessário são permitidos. Meu problema é rastrear tudo por motivos de RH e conformidade.

O usuário A precisa de permissão para o recurso 1. Ele precisa obter a aprovação do gerente do recurso 1 e, em seguida, o gerente dos gerentes também precisa aprovar esse acesso. Feito tudo isso, eu posso fazer a alteração. Neste ponto, estamos apenas monitorando-o no papel, mas é um fardo e provavelmente fica fora de conformidade quando o usuário A é redesignado e não deve mais ter acesso ao recurso 1, entre outros cenários.

Sei que o que estou procurando já deveria existir, mas não sabia para onde procurar e estou entrando em contato com a comunidade.

EDITAR:

Obrigado pelas respostas. Eu acho que eles tocam no lado técnico e espero que minha pergunta não esteja fora de tópico. Eu deveria ter me deixado mais claro sobre meu objetivo. Quais sistemas você usa para mostrar a um auditor que, na data X, o usuário A tinha permissão adicionada / removida e foi aprovada pelo gerente Y? Atualmente, tenho um sistema básico de emissão de bilhetes, mas não o vejo fornecendo o que preciso em um formato fácil de entender.
Na minha cabeça, estou imaginando algo que teria um relatório no usuário A que mostraria todas as alterações que foram feitas em suas permissões. Idealmente, algo com links para o Active Directory seria ideal, mas neste momento espero encontrar algo mais básico. Espero que exista um aplicativo específico para isso.

Obrigado!

Você precisa de um sistema de emissão de bilhetes que forneça três coisas:

1. Registro de data e hora de quando as permissões foram alteradas (adicionadas ou removidas) para um usuário específico
2. Por que eles foram mudados
3. Capacidade de procurar essas alterações

Praticamente todos os sistemas de emissão de bilhetes já fornecem o número 1 na forma de uma data de criação do bilhete, data de modificação, etc. O número 2 depende de você documentar o bilhete. Geralmente, é um e-mail de aprovação do gerenciador de recursos colado no ticket dizendo que eles podem ter acesso (ou o acesso deve ser removido) e de que tipo. O nº 3 é o mais importante e depende do sistema de emissão de bilhetes, mas se você possui um sistema que não é fácil de pesquisar, seu trabalho é feito para você. Se você puder apenas procurar pelo usuário para que todos os tickets de permissão estejam vinculados às informações de contato no sistema de bilhetagem, você estará bem; caso contrário, você está essencialmente documentando suas alterações em um buraco negro.

Fora de um sistema de bilhetagem que pode fazer isso para rastrear alterações (você menciona que possui um sistema básico de bilhetagem, talvez seja necessário obter um melhor que permita melhor capacidade de pesquisa / relatório), qualquer aplicativo, utilitário ou script usado fornecerá apenas um instantâneo de permissões. Você ainda está preso com o "por quê?" de quem tem acesso a quê, que só pode ser documentado adequadamente separadamente do aplicativo, pois você provavelmente precisará capturar o email original ou outro texto de aprovação do gerenciador de recursos. Depois disso, onde você o associa aos resultados do aplicativo?

A execução de um aplicativo ou script para determinar as permissões atuais em uma estrutura de arquivo também não fornece uma boa trilha de auditoria de alterações de permissão para um usuário. Você está essencialmente preso a um grande instantâneo das permissões atuais em um único momento. Ao executá-lo novamente, você terá outro grande instantâneo das permissões de arquivo. Mesmo se você reteve a primeira captura de permissões e a comparou com a captura recente, e as permissões foram alteradas, como vincular isso ao motivo da alteração? Novamente, isso nos leva de volta ao sistema de emissão de bilhetes, já que os parágrafos 1,2 e 3 acima serão todos documentados em um único local.

Outro problema que você levantou é o aumento da permissão (quando um usuário é reatribuído para outra permissão e não precisa mais acessar o recurso X, mas o mantém mesmo assim, porque o fato de não precisar mais acessar o recurso X não foi executado pela TI Departamento durante a transição). A única maneira de controlar isso é informar ao RH ou quem lida com as reatribuições de funcionários que a TI precisa ser notificada quando um funcionário for reatribuído para que ele possa atribuir e revogar permissões adequadamente. É isso aí. Não há aplicativo mágico que diga a você que um usuário tem acesso ao recurso X, mas que não deveria mais, porque seu trabalho agora é Y. De alguma forma, a notificação humana deve ser dada à TI quando isso acontecer.

Se você já possui um sistema de emissão de bilhetes, sugiro a criação de um novo grupo ou tag, etc., no seu aplicativo para esses tipos de solicitações e os usuários enviam tickets para alterações de permissão. Se o seu sistema de venda de passagens permitir encaminhar tickets para outros usuários ou adicioná-los ao ticket, adicione os gerentes necessários e solicite a verificação. Isso permitiria que você mantivesse um registro para cobrir seu trabalho.

Como mencionado acima, crie um grupo de segurança para cada compartilhamento. No meu ambiente, teríamos compartilhamentos nomeados FIN_Yearly, GEN_Public, MGM_Reports (cada departamento tem seu próprio acrônimo). Os grupos de segurança seriam denominados SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin etc. O usuário é somente leitura, o administrador é leitura / gravação.

A partir daqui, você pode criar, por exemplo, SG_FinancialsManager; grupos de segurança que incluem outros grupos de segurança para simplificar o acesso com base nos trabalhos que realizam. Pessoalmente, não fazemos isso, pois atrapalha um pouco o rastreamento. Em vez de verificar o SG de um compartilhamento e ver vários SGs com permissões, temos uma lista de usuários. Preferência pessoal, realmente, e vai depender do tamanho do seu site. Geralmente, usamos modelos de usuário para gerenciar novos usuários em posições específicas.

Se seu sistema de emissão de bilhetes permite pesquisar tickets anteriores, você está praticamente pronto. Se alguém solicitar que você remova as permissões de um usuário, você poderá controlá-lo. Se um usuário questionar por que ele não tem mais acesso, você poderá fornecer o ticket. Se um gerente perguntar a você quem tem acesso a quê, imprima o grupo de segurança solicitado.

Na verdade, existem vários aplicativos comerciais para fazer isso. A área às vezes é chamada de "Governança de Dados".

Alguns exemplos:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Data Governance Edition
http://www.quest.com/identity-manager-data-governance

Eu não os uso, mas, depois de pesquisar o tópico e ver algumas demos, o escopo do que pode ser necessário explicaria o mercado. Essas aplicações são muito complexas e não são baratas. Alguns deles têm métodos muito sofisticados de conectar-se a plataformas de armazenamento para rastrear listas de controle de acesso. Mesmo que não esteja no seu orçamento, as demos podem ser úteis para ter uma idéia do que um aplicativo como esse faz de uma perspectiva funcional.

Uma observação que tive ao revisar isso é que eles normalmente não fazem auditoria no nível do arquivo. Se o fizessem, não haveria como escalar até centenas de milhões ou bilhões de documentos. Portanto, eles normalmente controlam apenas as permissões no nível do diretório.

Não sei como documentá- los / rastreá- los, mas os atribuo a grupos.

O usuário A precisa acessar o recurso nº 1. Eles obtêm permissão e eu os adiciono ao grupo de acesso.
Eles continuam seus negócios até que um dia sejam transferidos / demitidos / o que for, quando eu os removo do grupo de acesso.

Meus registros de auditoria de modificação de conta me informam quando eles obtiveram / perderam acesso, para que haja um registro disso, e os grupos de acesso a recursos são tipicamente grupos departamentais (RH, TI, Vendas, Finanças, etc.), portanto, gerenciar redesignações geralmente significa alterar seu grupo associação de qualquer maneira.

Isso tende a funcionar melhor em ambientes menores - para ambientes maiores ou onde as ACLs ficam realmente complexas, o Zoredache faz questão de ter o sistema que executa os ajustes da ACL também documentando até certo ponto

Para iniciar a solicitação para adicionar / remover acesso, reatribuir usuários etc. Eu sugeriria papel eletrônico (um sistema de emissão de bilhetes) - isso garante que os usuários não escapem das brechas, mas exige uma adesão corporativa geral para usar religiosamente o sistema eletrônico .
A vantagem sobre o papel é que você obtém algo que pode pesquisar e todos podem fazer sua parte do processo em sua mesa (os gerentes podem aprovar mais rapidamente, pois não há envelope de correio entre escritórios, a TI pode conceder / revogar o acesso assim que possível. pois o ticket aparece na lixeira de alguém etc.)

A melhor maneira de encontrar uma configuração de permissões é baseada em funções.

GG_HR GG_Finance Etc, geralmente mapeado para a posição ou unidade de negócios.

A partir daí, você cria grupos locais que têm permissão no recurso, ou seja, na impressora ou no diretório Financeiro. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Você cria grupos globais para esse grupo local LG-> GG e, em seus grupos globais baseados em funções, adiciona os grupos globais baseados em permissões.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Para facilitar quando as pessoas assumem uma função, basta adicionar sua conta a um grupo e suas permissões fluem dessa função e são muito mais fáceis de rastrear. (Também é ótimo se você usar algum tipo de sistema de gerenciamento de identidades). Muito mais fácil do que rastrear quem tem quais permissões individuais, você sabe que, se estiverem no grupo de RH, terão X permissões.

Você pode apenas rastrear o movimento do grupo quando solicitado pelo sistema de gerenciamento de tarefas ou executar scripts para citar quem está em quais grupos baseados em funções.

Dois grandes utilitários:

1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

O AccessEnum também permite salvar seus resultados e compará-los no futuro, o que será útil para procurar alterações.

Você deve considerar habilitar a auditoria das alterações de permissão de arquivo / pasta e coletar os logs de segurança do servidor de arquivos (manualmente ou usando qualquer ferramenta de gerenciamento de log de eventos ou SIEM, como Splunk) e usá-lo para sua documentação. Analise todas as alterações nos arquivos DACLs. Além disso, você complementa isso com o AccessEnum e o AccessChk, conforme sugerido acima.

E isso não impede que você configure permissões de segurança apropriadas e as atribua apenas por meio de grupos.