คุณทำเอกสาร / ติดตามการอนุญาตของคุณอย่างไร

ฉันเป็นผู้ดูแลระบบ Windows ดังนั้นผู้ที่ทำงานร่วมกับ Windows จะมีประโยชน์มากที่สุด ความท้าทายหลักของฉัน ณ จุดนี้เป็นเพียงการแชร์ไฟล์ แต่เมื่อการใช้ SharePoint เพิ่มขึ้นจะทำให้ยากขึ้น

ฉันได้รับการตั้งค่าไดเรกทอรีทั้งหมดและกลุ่มความปลอดภัยจำนวนมากที่ติดตั้งด้วยนโยบายที่จำเป็นต้องมีการเข้าถึงอย่างน้อยที่สุด ปัญหาของฉันคือติดตามทั้งหมดเพื่อเหตุผลด้านทรัพยากรบุคคลและการปฏิบัติตาม

ผู้ใช้ A ต้องการสิทธิ์ในการใช้ทรัพยากร 1. เขาต้องได้รับการอนุมัติจากผู้จัดการของทรัพยากร 1 จากนั้นผู้จัดการของผู้จัดการก็ต้องอนุมัติการเข้าถึงนี้ด้วย เมื่อทุกอย่างเสร็จสิ้นฉันสามารถเปลี่ยนแปลงได้ ณ จุดนี้เราเพิ่งติดตามมันบนกระดาษ แต่มันเป็นภาระและมีแนวโน้มที่จะหลุดพ้นจากการปฏิบัติตามเมื่อผู้ใช้กถูกมอบหมายใหม่และไม่ควรเข้าถึงทรัพยากร 1 ในสถานการณ์อื่น ๆ อีกต่อไป

ฉันรู้ว่าสิ่งที่ฉันกำลังมองหาควรมีอยู่แล้ว แต่ฉันไม่รู้จักที่จะมองหาและฉันกำลังติดต่อกับชุมชน

แก้ไข:

ขอบคุณสำหรับคำตอบ ฉันคิดว่าพวกเขาสัมผัสด้านเทคนิคและหวังว่าคำถามของฉันจะไม่เป็นหัวข้อ ฉันควรทำให้ตัวเองชัดเจนขึ้นเกี่ยวกับเป้าหมายของฉัน คุณใช้ระบบใดในการแสดงผู้ตรวจสอบว่าในวันที่ผู้ใช้ X มีสิทธิ์เพิ่ม / ลบและได้รับการอนุมัติโดยผู้จัดการ Y ฉันมีระบบการจองตั๋วพื้นฐานในสถานที่ในขณะนี้ แต่ฉันไม่เห็นว่ามันมอบสิ่งที่ฉันต้องการในรูปแบบที่เข้าใจง่าย
ในใจของฉันฉันนึกภาพบางอย่างที่จะมีรายงานเกี่ยวกับผู้ใช้กซึ่งจะแสดงการเปลี่ยนแปลงทั้งหมดที่ทำกับสิทธิ์ของพวกเขา นึกคิดสิ่งที่เชื่อมโยงไปยัง Active Directory จะเหมาะ แต่ ณ จุดนี้ฉันหวังว่าจะพบสิ่งพื้นฐานเพิ่มเติม ฉันหวังว่าจะมีแอปพลิเคชันเฉพาะสำหรับเรื่องนี้

ขอบคุณ!

คุณต้องใช้ระบบตั๋วที่ให้ 3 สิ่ง:

1. เวลาประทับของเวลาที่สิทธิ์ถูกเปลี่ยนแปลง (เพิ่มหรือลบ) สำหรับผู้ใช้เฉพาะ
2. ทำไมพวกเขาถึงถูกเปลี่ยน
3. ความสามารถในการค้นหาการเปลี่ยนแปลงเหล่านี้

ระบบจองตั๋วเกือบทั้งหมดให้คุณเป็น # 1 ในรูปแบบของวันที่สร้างตั๋ววันที่แก้ไข ฯลฯ # 2 ขึ้นอยู่กับคุณที่จะจัดทำเอกสารในตั๋ว โดยปกติแล้วจะเป็นอีเมลอนุมัติจากผู้จัดการทรัพยากรที่วางลงในตั๋วว่าพวกเขาสามารถเข้าถึงได้ (หรือควรลบการเข้าถึง) และประเภทใด # 3 เป็นสิ่งสำคัญที่สุดและขึ้นอยู่กับระบบจำหน่ายตั๋ว แต่ถ้าคุณมีระบบที่ไม่สะดวกในการค้นหางานของคุณก็จะถูกตัดออกไป หากคุณสามารถค้นหาโดยผู้ใช้เพื่อให้ตั๋วสิทธิ์ทั้งหมดเชื่อมโยงกับข้อมูลการติดต่อของพวกเขาในระบบตั๋วคุณก็ทำได้ดีมิฉะนั้นคุณจะต้องบันทึกการเปลี่ยนแปลงของคุณลงในหลุมดำ

นอกเหนือจากระบบตั๋วที่สามารถทำสิ่งนี้เพื่อติดตามการเปลี่ยนแปลง (คุณพูดถึงว่าคุณมีระบบจองตั๋วพื้นฐานดังนั้นบางทีคุณอาจต้องการระบบที่ดีกว่าที่ช่วยให้สามารถค้นหา / รายงานได้ดีขึ้น) แอปพลิเคชันยูทิลิตี้หรือสคริปต์ที่คุณใช้ จะให้ภาพรวมของสิทธิ์เท่านั้น คุณยังคงติดอยู่กับ "ทำไม" ของผู้ที่สามารถเข้าถึงสิ่งที่สามารถจัดทำเอกสารอย่างถูกต้องแยกต่างหากจากแอปพลิเคชันเนื่องจากคุณอาจต้องเก็บอีเมลต้นฉบับหรือข้อความอนุมัติอื่น ๆ จากผู้จัดการทรัพยากร เมื่อคุณมีแล้วคุณจะนำมันไปเชื่อมโยงกับผลลัพธ์ของแอปพลิเคชันที่ไหน?

การเรียกใช้แอพหรือสคริปต์เพื่อกำหนดสิทธิ์ปัจจุบันในโครงสร้างไฟล์ก็ไม่ได้ช่วยให้คุณมีหลักฐานการตรวจสอบที่ดีของการเปลี่ยนแปลงการอนุญาตสำหรับผู้ใช้ คุณติดอยู่กับสแนปชอตขนาดใหญ่ของการอนุญาตปัจจุบัน ณ เวลาใดเวลาหนึ่ง เมื่อคุณเรียกใช้อีกครั้งคุณจะได้รับสิทธิ์การใช้งานไฟล์ขนาดใหญ่อีกครั้ง แม้ว่าคุณจะเก็บสิทธิ์การจับครั้งแรกไว้และเปรียบเทียบกับการจับล่าสุดและการอนุญาตมีการเปลี่ยนแปลงคุณจะผูกเหตุผลนั้นกับเหตุผลของการเปลี่ยนแปลงอย่างไร อีกครั้งสิ่งนี้นำเรากลับไปที่ระบบจองตั๋วตั้งแต่ # 1,2 และ 3 ข้างต้นทั้งหมดจะถูกบันทึกไว้ในที่เดียว

ปัญหาอื่นที่คุณนำมาใช้คือการคืบคลานการอนุญาต (เมื่อผู้ใช้ถูกกำหนดให้กับการอนุญาตอื่นและไม่ต้องการเข้าถึงทรัพยากร X อีกต่อไป แต่ยังคงรักษาไว้เพราะความจริงที่ว่าพวกเขาไม่ต้องการเข้าถึงทรัพยากร X อีกต่อไป ฝ่ายระหว่างการเปลี่ยนภาพ) วิธีเดียวที่จะควบคุมสิ่งนี้คือการบอกฝ่ายทรัพยากรบุคคลหรือบุคคลที่จัดการการมอบหมายงานของพนักงานใหม่ซึ่งต้องแจ้งให้พนักงานทราบเมื่อพนักงานได้รับการมอบหมายใหม่เพื่อให้พวกเขาสามารถมอบหมายและเพิกถอนสิทธิ์ได้อย่างเหมาะสม แค่นั้นแหละ. ไม่มีแอปพลิเคชั่นเวทมนต์ที่จะบอกคุณว่าผู้ใช้มีสิทธิ์เข้าถึงทรัพยากร X แต่ไม่ควรทำอีกต่อไปเพราะงานของพวกเขาคือตอนนี้ Y การแจ้งเตือนของมนุษย์ในบางรูปแบบจะต้องมอบให้กับฝ่ายไอทีเมื่อเกิดเหตุการณ์นี้

หากคุณมีระบบจองตั๋วอยู่แล้วฉันขอแนะนำให้สร้างกลุ่มหรือแท็กใหม่ในแอปพลิเคชันของคุณสำหรับคำขอประเภทเหล่านี้และให้ผู้ใช้ส่งตั๋วเพื่อเปลี่ยนแปลงสิทธิ์ หากระบบตั๋วของคุณอนุญาตให้คุณส่งต่อตั๋วไปยังผู้ใช้รายอื่นหรือเพิ่มลงในตั๋วให้เพิ่มผู้จัดการที่จำเป็นและขอการตรวจสอบ สิ่งนี้จะช่วยให้คุณเก็บบันทึกเพื่อครอบคลุมงานของคุณ

ดังกล่าวข้างต้นสร้างกลุ่มความปลอดภัยสำหรับทุก ๆ การแชร์ ในสภาพแวดล้อมของฉันเราจะมีชื่อ FIN_Yearly, GEN_Public, MGM_Reports (แต่ละแผนกมีคำย่อของตัวเอง) กลุ่มความปลอดภัยจะมีชื่อว่า SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin เป็นต้นผู้ใช้เป็นแบบอ่านอย่างเดียวผู้ดูแลระบบจะอ่าน / เขียน

จากตรงนี้คุณสามารถสร้างได้เช่น SG_FinancialsManager กลุ่มความปลอดภัยที่มีกลุ่มความปลอดภัยอื่น ๆ เพื่อให้การเข้าถึงง่ายขึ้นตามงานที่ทำ โดยส่วนตัวเราจะไม่ทำสิ่งนี้เพราะจะทำให้ติดตามไม่ได้ แทนที่จะตรวจสอบ SG ของหุ้นและดู SG ที่มีสิทธิ์เรามีรายชื่อผู้ใช้แทน ความชอบส่วนบุคคลจริงๆและจะขึ้นอยู่กับขนาดของเว็บไซต์ของคุณ เรามักจะใช้แม่แบบผู้ใช้สำหรับการจัดการผู้ใช้ใหม่ในตำแหน่งที่เฉพาะเจาะจง

หากระบบตั๋วของคุณอนุญาตให้คุณค้นหาตั๋วก่อนหน้านี้คุณก็ทำได้ดีมาก หากมีคนขอให้คุณลบการอนุญาตของผู้ใช้คุณสามารถติดตามได้ หากผู้ใช้ถามว่าทำไมพวกเขาถึงไม่สามารถเข้าถึงได้อีกต่อไปคุณสามารถให้ตั๋วได้ หากผู้จัดการถามว่าใครมีสิทธิ์เข้าถึงอะไรให้พิมพ์หน้าจอกลุ่มความปลอดภัยที่ร้องขอ

มีแอพพลิเคชั่นทางการค้ามากมายสำหรับการทำเช่นนี้ บางครั้งพื้นที่นี้เรียกว่า "การกำกับดูแลข้อมูล"

ตัวอย่างสองตัวอย่าง:

ชุดข้อมูลการกำกับดูแลของ Varonis
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Data Governance Edition
http://www.quest.com/identity-manager-data-governance

ฉันไม่ได้ใช้สิ่งเหล่านี้ แต่ได้ค้นคว้าหัวข้อและเห็นการสาธิตบางครั้งขอบเขตของสิ่งที่อาจจำเป็นต้องใช้จะอธิบายตลาด แอปพลิเคชั่นเหล่านี้ซับซ้อนมากและไม่แพง บางคนมีวิธีการที่ซับซ้อนมากในการเชื่อมต่อกับแพลตฟอร์มการจัดเก็บข้อมูลสำหรับการติดตามรายการควบคุมการเข้าถึง แม้ว่าจะไม่ได้อยู่ในงบประมาณของคุณการสาธิตจะมีประโยชน์ในการรับทราบว่าแอปพลิเคชันแบบนี้ทำอะไรจากมุมมองของการทำงาน

หนึ่งการสังเกตที่ฉันมีในขณะที่ตรวจสอบสิ่งนี้คือพวกเขามักจะไม่ตรวจสอบที่ระดับไฟล์ หากพวกเขาทำเช่นนั้นจะไม่มีทางที่มันจะขยายได้ถึงหลายร้อยล้านหรือเอกสารพันล้าน ดังนั้นโดยทั่วไปแล้วพวกเขาจะติดตามการอนุญาตในระดับไดเรกทอรีเท่านั้น

ฉันไม่รู้เกี่ยวกับการบันทึก / ติดตามพวกเขา แต่ฉันกำหนดพวกเขาเป็นกลุ่ม

ผู้ใช้ A ต้องการเข้าถึงทรัพยากร # 1 พวกเขาได้รับอนุญาตและฉันเพิ่มพวกเขาในกลุ่มการเข้าถึง
พวกเขาดำเนินธุรกิจจนกระทั่งวันหนึ่งพวกเขาถูกมอบหมาย / ไล่ออก / อะไรก็ตาม ณ จุดนี้ฉันจะลบพวกเขาออกจากกลุ่มการเข้าถึง

บันทึกการตรวจสอบการปรับเปลี่ยนบัญชีของฉันบอกฉันเมื่อพวกเขาเข้าถึง / สูญเสียการเข้าถึงดังนั้นจึงมีการบันทึกและกลุ่มการเข้าถึงทรัพยากรมักจะเป็นกลุ่มแผนก (HR, IT, การขาย, การเงินและอื่น ๆ ) ดังนั้นการจัดการการมอบหมายใหม่ เป็นสมาชิกอยู่ดี

นี้มีแนวโน้มที่จะทำงานได้ดีที่สุดในสภาพแวดล้อมที่มีขนาดเล็ก - สำหรับสภาพแวดล้อมที่มีขนาดใหญ่หรือคนที่ได้รับ ACLs ซับซ้อนจริงๆZoredache ทำให้จุดที่ดีเกี่ยวกับการมีระบบที่ที่ไม่ ACL-tweaking ยังทำเอกสารที่มีขอบเขต

สำหรับการเริ่มต้นคำขอเพื่อเพิ่ม / ลบการเข้าถึงกำหนดผู้ใช้ใหม่และอื่น ๆ ฉันขอแนะนำกระดาษอิเล็กทรอนิกส์ (ระบบตั๋ว) - ช่วยให้มั่นใจว่าผู้ใช้จะไม่ลื่นไหลผ่านรอยแตก แต่ต้องการการซื้อโดยรวมขององค์กรเพื่อใช้ระบบอิเล็กทรอนิกส์อย่างเคร่งครัด .
ข้อได้เปรียบเหนือกระดาษคือคุณได้รับสิ่งที่คุณสามารถค้นหาได้และทุกคนสามารถทำส่วนหนึ่งของกระบวนการได้จากโต๊ะทำงานของพวกเขา (ผู้จัดการสามารถอนุมัติได้เร็วขึ้นเนื่องจากไม่มีซองจดหมายระหว่างสำนักงานเคลื่อนที่อยู่รอบด้านไอทีสามารถให้สิทธิ์ / เพิกถอนการเข้าถึงได้ทันที ตามที่ปรากฏในตั๋วของใครบางคน ฯลฯ )

วิธีที่ดีที่สุดที่ฉันจะทำคือตั้งค่าการอนุญาตตามบทบาท

GG_HR GG_Finance Etc โดยทั่วไปจะจับคู่กับตำแหน่งหรือหน่วยธุรกิจ

จากที่นั่นคุณสร้างกลุ่มโลคัลที่มีสิทธิ์บนทรัพยากรเช่นเครื่องพิมพ์หรือไดเรกทอรีการเงิน LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

คุณสร้างกลุ่มส่วนกลางสำหรับกลุ่มโลคัล LG-> GG จากนั้นในกลุ่มส่วนกลางตามบทบาทของคุณคุณเพิ่มสิทธิ์กลุ่ม Global ตาม

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

ทำให้ง่ายขึ้นเมื่อผู้คนเข้ามามีบทบาทคุณเพียงแค่เพิ่มบัญชีของพวกเขาไปยังกลุ่มหนึ่งและการอนุญาตของพวกเขาจากบทบาทนั้นและง่ายต่อการติดตาม (ดีมากถ้าคุณใช้ระบบจัดการข้อมูลผู้ใช้บางประเภท) ง่ายกว่ามากในการติดตามว่าใครมีสิทธิ์แบบใดคุณจะรู้ว่าถ้าพวกเขาอยู่ในกลุ่มทรัพยากรบุคคลพวกเขาจะมีสิทธิ์ X

คุณสามารถติดตามการเคลื่อนไหวของกลุ่มของพวกเขาเมื่อมีการร้องขอผ่านระบบการจัดการงานของคุณหรือเรียกใช้สคริปต์เพื่อคายว่าใครอยู่ในกลุ่มตามบทบาท

สาธารณูปโภคที่ยอดเยี่ยมสองอย่าง:

1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum ยังช่วยให้คุณสามารถบันทึกผลลัพธ์และเปรียบเทียบกับมันในอนาคตซึ่งจะเป็นประโยชน์สำหรับการค้นหาการเปลี่ยนแปลง

คุณควรพิจารณาเปิดใช้งานการตรวจสอบการเปลี่ยนแปลงการอนุญาตของไฟล์ / โฟลเดอร์จากนั้นรวบรวมไฟล์เซิร์ฟเวอร์ Security log (ด้วยตนเองหรือใช้เครื่องมือจัดการบันทึกเหตุการณ์หรือ SIEM เช่น Splunk) และใช้สำหรับเอกสารของคุณ วิเคราะห์การเปลี่ยนแปลงทั้งหมดในไฟล์ DACL รวมทั้งคุณเสริมสิ่งนี้ด้วย AccessEnum และ AccessChk ตามที่แนะนำข้างต้น

และสิ่งนี้จะไม่ปล่อยคุณจากการตั้งค่าการอนุญาตด้านความปลอดภัยที่เหมาะสมและกำหนดให้ผ่านกลุ่มเท่านั้น