Windows 7 : Reprendre le contrôle de la gestion des droits d'accès Windows

  • Article

Gérer les droits d'accès à Windows peut être compliqué, mais cela est plus facile si vous avez un aperçu clair de vos infrastructures et protocoles.

David Rowe

En ce qui concerne les droits d'accès, on croirait qu'une règle de refus serait toujours avoir préséance sur une règle d'autoriser, ne serait pas vous ? Le plus souvent, ce n'est pas — du moins pas dans Windows. Cette hiérarchie quirky contribue au défi de gérer efficacement les droits d'accès Windows.

Il y a une multitude de composants impliqués dans la gestion des autorisations pour tout un compte utilisateur ou de groupe. Cela peut poser problème dans cette ère de respect de la réglementation. Vous êtes responsables plus en plus de fournir une évaluation exacte des droits d'accès, à aider les auditeurs de sécurité et à maintenir un environnement sécurisé.

Intimidante qu'il semble, il y a plusieurs mesures que vous pouvez prendre pour reprendre le contrôle de droits d'accès Windows, d'améliorer la sécurité et les coûts de conformité. Tout d'abord, vous devez savoir ce que vous ne connaissez pas. Vérifions votre QI de droits accès Windows :

Question 1. Vrai ou faux : J'ai une assez bonne idée de groupes de sécurité combien il y a dans Active Directory.

  1. Je sais exactement comment de nombreux groupes de sécurité sont
  2. J'imagine serait toujours au sein de 10 p. 100 du nombre réel
  3. J'imagine serait probablement +/-50 p. 100 du nombre réel

Question 2. Remplissez cette déclaration : Je crois que le nombre de groupes de sécurité, j'ai dans Active Directory c'est…

  1. Faible ;Nettoyer des anciens groupes une fois par an, ou plus souvent je suis dessus
  2. Probablement un ratio de 5-1-de-groupe utilisateurs
  3. Si nous n'a pas besoin d'eux, je suis certain que quelqu'un serait avez supprimé les

Question 3. Remplissez cette déclaration : Lorsqu'il s'agit de gérer et de suppression de Windows droits d'accès...

  1. Je suis un expert.Je sais comment les droits sont accordés pour lorsque je les nettoyer, ils sont nettoyés
  2. Je crois que je sais ce que je fais, mais je suis voler un peu aveugle parfois
  3. J'ai une politique interventionniste.Je ne veux pas de limiter la capacité pour obtenir les fichiers qu'ils veulent

Question 4. Vrai ou faux : Nous avons un moyen facile d'effectuer l'attestation de droits.

  1. Yup — nous avons une exigence organisationnelle de le faire sur une fréquence prédéterminée
  2. Nous avons fait quelques fois en réponse à un événement, mais il n'était pas facile
  3. Nous parlons parfois, mais je ne pense pas que nous ayons jamais réellement fait il

Question 5. Comment certains sont vous que vous savez qui peut changer de droits et savoir si c'est fait de façon appropriée ?

  1. Je sais où chaque modification est faite et exactement ce qui est arrivé.toute notification critique est envoyé par courriel à me
  2. Je pourrais ont la capacité de suivre certaines modifications en regardant les journaux
  3. Je ne sais pas comment je serait il figure out

Question 6. Où est situées les données sensibles de votre entreprise ?

  1. Enregistrés seulement dans un endroit unique et hautement sécurisé avec les contrôles d'accès sécurisé en place
  2. Enregistré dans un certain nombre de quelque peu des partages de fichiers organisés qui sont accessibles de diverses façons à la population de l'employé
  3. Répartis sur plusieurs serveurs inconnus dans les dossiers inconnus

Marquer vous-même

Dans un monde parfait, vous avez serait avez répondu « A » sur toutes les questions précédentes. Les chances sont — et être honnête — que vous ne. Pour la plupart d'entre vous, il y a quelques réponses « B » ou « C ».

La plupart d'entre vous ont probablement une bonne compréhension de l'état de droits d'accès Windows lorsqu'il s'agit d'attribution et de refus d'autorisations. Il y a souvent un peu de confusion, cependant, autour de la compréhension et de faire rapport sur l'accès à quels fichiers et comment accéder à qui a été gérée au fil du temps. Cette confusion provient généralement de changements d'emploi constant et le mouvement de rôle dans toute l'organisation. Ce flux et le reflux peuvent conduire aux utilisateurs avec appartenances inappropriés, les comptes inactifs et les groupes avec accès circulaire, parmi les autres conditions.

Même un système de fichier parfaitement configurée est soumise à l'entropie au fil du temps. Ne soyez pas bercer d'un faux sentiment de sécurité. Vous devrez activement suivre, d'évaluer et de gérer les droits d'accès. Cela nécessite généralement une sorte d'investissement dans l'automatisation.

Sensibiliser vos droits d'accès IQ

Lorsque nous parlons de gestion des droits d'accès, nous devons inévitablement adresse groupe et gestion des ressources. La plupart des entreprises ont des groupes de personnes travaillant ensemble et en contribuant à un certain nombre de projets. Dans le temps, les projets et les employés se déplace autour.

De ce fait, certaines personnes finissent avec habilitations, ils ne devraient pas avoir et certaines ressources tombent en désuétude. Les employés avec les droits d'accès inapproprié et des ressources n'est plus en usage représentent une menace pour la sécurité interne. Cette menace est particulièrement dangereuse car vous probablement ne rendent jusqu'à ce qu'il est trop tard.

Groupe et gestion des ressources est un moyen efficace de rechercher les menaces cachées. Employés rejoignent et quittent l'entreprise, fusions et acquisitions se produisent et ministères split et se regroupent. En bref, l'organisation se métamorphose invariablement au fil du temps. Vous pouvez ajouter des autorisations de répondre aux besoins immédiats, de frapper les délais et de faciliter la vie. Cependant, toutes ces autorisations ad hoc continuent de s'accumuler et de jamais obtenir nettoyé, qui conduit à un environnement instable.

Une récente analyse de l'infrastructure d'une grande entreprise a révélé qu'il y a 60 000 groupes Active Directory pour 80 000 employés (un ratio de 4-3). En outre, près d'un tiers de ceux qui avaient un ou zéro membres. Avant de vous ricanent à vous-même, ces analyses mêmes effectués sur les organisations avec 50 à 100 000 utilisateurs ont montré que la plupart de ces organisations avaient au moins un groupe pour chaque deux employés. Beaucoup de ces groupes avaient moins de deux membres en eux. Ce type de prolifération des droits est assez fréquent.

Faire des questions est pire que Windows, droits d'accès sont accordés selon les groupes imbriqués une douzaine ou même une centaine couches profondes. Employés peuvent avoir de multiples identités et les niveaux des droits pour les différents systèmes qu'ils utilisent. Les administrateurs et les différents départements souvent créer et gérer des ces droits de façon autonome, politiques peut-être pas cohérents dans l'ensemble de l'organisation.

Le résultat final est la complexité massive, incapacité de savoir ce qu'un utilisateur ou un groupe pourrait accéder et incapacité de rapport sur l'accès à un ensemble de fichiers. Cela peut conduire à l'échecs vérifications, réponse de vérification onéreux, perte de données sensibles et l'incapacité à protéger la propriété intellectuelle.

Par exemple, un chef de bureau devrait avoir seulement de droits pour afficher les fichiers pertinents à son bureau. Il peut avoir travaillé sur un projet avec des cadres supérieurs au siège social à un certain moment, il peut mettre en un groupe de cadres supérieurs permission. Sans activement de surveillance des droits d'accès pour ce groupe, un administrateur peut trouver ce gestionnaire sur son chemin out avec un accès suffisant pour être en mesure de fournir la compétition avec la veille concurrentielle.

Découverte

La première étape est de savoir de tous les niveaux de votre réalité de droits accès. Avec les bons outils, il n'est pas trop difficile trouver rapidement des groupes avec faible membre chefs d'accusation, droits aux ressources avec faible utilisation, les comptes inactifs et les autres renseignements qui vous aideront à obtenir un lay de la terre. Se préparer à saisir le fruit de basses.

Identifier rapidement quels droits existent à tous les niveaux (des actions, des dossiers, des fichiers, des groupes et des utilisateurs). Tout simplement être en mesure de fournir des réponses précises peuvent réduire les coûts de vérification, augmenter les chances de passer les vérifications, améliorer la sécurité et réduire la quantité de temps passé des recherches et en répondant aux questions posées.

Nettoyer

Mettre un processus en place pour nettoyer les objets et les utilisateurs signalées comme ayant des droits d'accès inapproprié. Obtenez vos systèmes à un « bon état connu. » Nettoyage de comptes inactifs et groupes obsolètes, supprimer les appartenances inapproprié, s'assurer que tous les utilisateurs ont des politiques de mot de passe approprié et surveillent l'utilisation de cartes à puce. Supprimez les fichiers inutiles ou inutilisés. Cela sera aider non seulement la rive sécurité, mais également économiser de l'argent en frais de stockage.

Après s'attaquer les cibles faciles, passer à des problématiques plus persistants, comme orphelines identificateurs de sécurité (SID) et de groupes circulaires. Identifier les données sensibles ont une grande quantité d'autorisations, les fichiers qui n'ont pas été touchés dans plus d'un an, et les utilisateurs qui ont trop d'accès. Les bons outils peuvent simplifier ce processus.

Les utilisateurs avec des affectations directes peuvent paraître comme une pratique courante, mais en réalité, il devrait être l'exception. Groupe affectations garder les règles d'accès au minimum et sont plus faciles à suivre. Vous devrez suivre individuellement les droits d'accès individuels, qui aboutit souvent à des orphelins SID. Si vous avez plus individuelle ou directe utilisateur affectations au sein d'un système de fichiers, il sera plus difficile à nettoyer et plus poreux.

Entretien

Surveiller l'activité au fil du temps. Suivi des modifications groupe adhésion, changements de droits d'accès, les fichiers sont en cours d'accès et par qui, modifications de l'utilisateur et ainsi de suite. Vous devez non seulement suivre ces types de changements, mais également automatiser l'analyse en temps réel. De cette façon vous pouvez enregistrer les événements et sont plus aptes à répondre aux critiques.

Vous pouvez automatiser fréquents, routine, surveillance des comptes inactifs, groupes avec aucun membre, Sid orphelins, groupes circulaires et plus encore. Effectuer une attestation routine, prévue par les propriétaires d'unité Affaires des autorisations de l'utilisateur et l'activité sur les fichiers et dossiers sensibles. Vous devez également surveiller tout changement aux groupes qui accorder l'accès aux fichiers sensibles ou des applications d'entreprise.

Il est important que les droits d'accès Windows se déplacent à la même vitesse comme entreprise. Un environnement de travail fluctuante mène à un environnement d'accès erratique. Les utilisateurs peuvent être ajoutés, mais anciens utilisateurs sont rarement prises au large. Chaque utilisateur dormant pose une menace potentielle de sécurité. Entretien de droits accès journalière ou hebdomadaire peut réduire significativement cette menace. Il aide aussi à conserver les systèmes de fichiers plus organisée.

Système de fichiers de votre entreprise sera plus sécurisé et vous aurez plus de contrôle sur les autorisations — et assurer votre statut comme un accès Windows les droits de gestion genius.

David Rowe

David Rowe le chef de la direction de NetVision, une compagnie privée offrant des solutions de conformité et de contrôle d'accès de l'entreprise par la vérification. Joindre à drowe@netvision.com .

Contenu associé :