Active Directory: proteger os dados do Active Directory

Há uma série de táticas que servem para assegurar que apenas as pessoas certas tenham acesso aos dados certos dentro da sua infraestrutura do Active Directory.

Darren Mar-Elia

Adaptado de "Proteger dados críticos através do gerenciamento do ciclo de vida da identidade do Active Directory" (em tempo real os editores)

Você deve proteger seus dados de identidade baseada no Active Directory. É uma parte importante de garantir qualquer sistema de identidade que você colocar no lugar que funciona com o Active Directory é protegida tal que é capaz de fazer seu trabalho de autenticar e autorizar as pessoas certas para os recursos adequados.

Você tem que garantir os dados dentro do Active Directory serão sagrados e somente os usuários com uma razão de negócios para acessar informações do Active Directory recebem esse acesso. Todos os grandes provisionamento de identidade processos no mundo não vai ajudá-lo se o seu Active Directory é uma luta que ninguém pode brincar com o conteúdo do seu coração. Você precisa dar uma olhada profunda de seu modelo de segurança do Active Directory e determinar as melhores técnicas e práticas recomendadas para proteger os dados que residem dentro.

Os desafios de segurança do Active Directory

Gerenciar o modelo de segurança do Active Directory não é exatamente simples. A natureza de um serviço de diretório hierárquica que serve muitos meios de fins (incluindo o diretório de aplicativo, diretório de autenticação, gerenciamento de desktops diretório e assim por diante), o modelo de segurança pode ser um punhado. Mais importante, se você não levar uma abordagem proativa para gerenciar a segurança do Active Directory, pode rapidamente ficar fora de controle.

Considere, por exemplo, a simples tarefa de delegar o gerenciamento de contas de usuário no Active Directory. Devido à natureza granular do modelo de segurança do Active Directory, como gerenciar contas de usuário, uma tarefa aparentemente simples pode evoluir para uma variedade estonteante de permissões que você terá que delegar:

• Permissão para criar objetos de usuário
• Permissão para excluir objetos de usuário
• Permissão para mover objetos de usuário
• Permissões nas propriedades de objeto de usuário (isto pode se dividem em Propriedades sensíveis, tais como o departamento, gerente e associações de grupo e propriedades não-sensíveis, tais como escritório e endereço de telefone)
• Permissão para redefinir a senha do usuário ou desbloquear sua conta
• Permissão para controlar quem pode alterar as permissões de um usuário

Esta lista é de forma abrangente, mas que evidencia a complexidade potencial do gerenciamento de delegação só esta uma tarefa. Considere que cada uma dessas tarefas (ou pelo menos grupos deles) pode ser delegada a outros subgrupos. Esses conjuntos de permissão também podem variar de acordo com a unidade organizacional (UO) no qual os usuários estão localizados. Adicione à mistura que pai objetos no Active Directory podem herdar permissões de seus filhos (por exemplo, permissões podem mover de unidade organizacional Marketing para a unidade organizacional usuários sob Marketing). Você pode ver que as coisas realmente podem ficar entupidas se você não for cuidadoso.

Não só a complexidade do modelo de segurança do Active Directory é desafiador, que exige disciplina para estabelecer um modelo de delegação boa e mantenha que ela organizada ao longo do tempo. Solicitações pontuais e incomum negócio precisa levá-lo a fazer compromissos. O objetivo final é para proteger os dados no Active Directory que é fundamental para a autenticação da sua organização e mecanismos de autorização, por isso é importante manter um identificador de segurança do Active Directory.

Entender o modelo de segurança do Active Directory

Noções básicas sobre o Active Directory modelo de segurança é compreender como é estruturado o Active Directory. Não muito diferente de um banco de dados relacional, o Active Directory contém uma esquema que define as classes disponíveis de objetos e seus atributos associados. Um objeto de usuário no Active Directory é uma instanciação da classe de esquema "usuário". O objeto de usuário, conforme o esquema, contém um conjunto de atributos como primeiro nome, último nome, departamento, gerente, número de telefone e assim por diante.

Cada objeto no Active Directory também possui um descritor de segurança associado. Esse descritor de segurança define as permissões nesse objeto. Estes mostram um exemplo de um objeto de usuário conjunto de permissões ou lista de controle de acesso (ACL), como visto a partir de computadores e utilizadores do Active Directory.

A ACL é composta por um conjunto de entidades de segurança (geralmente os usuários ou grupos) que possuem direitos sobre esse objeto e os direitos ou as permissões associadas a cada entidade de segurança. Uma permissão específica pode ser um "Allow" ou "Deny". Permitir é o padrão. Isso concede uma permissão para a entidade de segurança. Se negar é selecionada, essa permissão é explicitamente negada a essa entidade de segurança. Na verdade, se um objeto herda as permissões de seu pai e lá estão colidindo permitir e negar entradas de controle de acesso (ACEs) para uma determinada permissão, então normalmente a negar vai ganhar.

Direitos padrão e estendidos

Não, cada classe de objeto no Active Directory tem o mesmo conjunto de permissões associadas. Isso é ótimo, porque isso significa que você pode personalizar as permissões para o tipo de objeto envolvido. Considere este exemplo: uma permissão de "disparar replicação" associada com um objeto de contexto de nomeação do Active Directory permite delegar que pode forçar a replicação entre dois controladores de domínio. Gatilho de replicação não tem relevância para um objeto de usuário, porém. Na verdade, cada objeto tem um conjunto associado de "direitos padrão." Estes incluem os familiares tais como:

• Ler
• Gravação
• Lista
• Criar
• Excluir
• Propriedades de gravação e leitura

Além dos direitos padrão, uma classe de esquema também pode ter estendido os direitos. Exemplos familiares de direitos estendidos são as permissões que encontrou em um objeto de computador. Um computador tem permissões como "atributos de nome de host Read e Write" específicos para a classe de computador de cada objeto.

Essa extensibilidade do modelo de segurança do Active Directory permite que você crie uma rica e granular a delegação de tarefas para seus administradores e usuários. Se você estender o esquema do Active Directory com uma nova classe de objeto, ele pode ter seu próprio conjunto de direitos estendidos que controlam a delegação específica para esse tipo de objeto (embora você também tem que estar ciente das várias diferenças entre as classes de objeto que você deseja delegar).

Entender a herança de segurança

Outro aspecto que torna o modelo de segurança do Active Directory desafiador é a noção de herança de permissões por meio da hierarquia do Active Directory. Uma permissão definida na parte superior de um domínio pode vir todo o caminho para este através de OUs aninhadas para objetos em níveis mais baixos da hierarquia de domínio.

Você pode controlar essa herança, tanto de cima para baixo, bem como de baixo para cima. Por exemplo, diz você está definindo permissões para objetos de usuário dentro de uma hierarquia de UO, composto de uma UO de nível superior de Marketing e dois sub-UOs chamados usuários, leste e oeste-usuários. Você quer tirar proveito da herança para definir permissões para todos os objetos de usuário no nível de unidade organizacional Marketing e ter aquela gota a gota para baixo para todos os objetos de usuário em ambos sub-UOs. Você pode fazê-lo, criando o novo ACE na ACL do unidade organizacional Marketing (usando computadores e utilizadores do Active Directory como um exemplo) e então, depois de definir as permissões, tem se aplicam a todos os "descendente usuário objetos."

Se você estava executando a UO de usuários-leste, você pode decidir não aplicam as permissões colocadas em cima de seus objetos de usuário no nível superior. Se você tiver permissões suficientes, você pode desativar essencialmente a herança que vem de unidade organizacional Marketing. Você pode fazer isso, simplesmente desmarcando a caixa de seleção na seção avançado do editor de ACL em computadores e utilizadores do Active Directory. Isso quebra a cadeia de herança.

Entender a delegação

Dentro do contexto do Active Directory, a delegação é o processo pelo qual você conceder permissões para objetos do Active Directory. Isso permite que os usuários e grupos realizam tarefas específicas contra objetos do Active Directory. Delegação implica algum tipo de plano ordenado para dar os usuários certo as certa permissões nos objetos do Active Directory certo, em toda sua estrutura do Active Directory.

Um exemplo de delegação pode ser um grupo chamado administradores de secretária ajuda, ao qual todos ajudam a equipe mesa Membros pertencem. Você pode conceder a este grupo a capacidade de redefinir senhas de usuário em todos os objetos de usuário dentro do seu domínio do Active Directory. Isso permite que eles lidar com uma das tarefas principais do seu trabalho. Outro exemplo comum de delegação está deixando admins associar computadores ao domínio. Este é um delegado permissões em objetos de computador, normalmente aplicado a unidades organizacionais onde objetos de computador podem residir.

Criar um modelo de delegação para o Active Directory provavelmente é uma das mais importantes tarefas de planejamento que você pode realizar. Isto é especialmente verdadeiro quando se trata de delegar acesso a dados confidenciais mantidos no Active Directory. Não importa se você apenas rolou para fora do Active Directory, ou se você está no processo de migração de seu 10-year-old Active Directory para uma nova estrutura de domínio. Em ambos os casos, é nunca é tarde para planejar e criar um modelo de delegação que protege objetos críticos dentro do Active Directory e Delega acesso apropriadamente.

Há uma grande quantidade de dados no Active Directory que podem e devem ser protegidos, mas não tudo isso refere-se ao seu sistema de identidade. A lista a seguir destaca áreas começar com em termos de proteger seus dados de identidade dentro do Active Directory:

**Propriedades de usuário:**Atributos em seus usuários podem ou não podem ser sensíveis e requerem a delegação. Existem determinados atributos — tais como o título do trabalho, departamento e gerente do usuário — que muitas vezes são geridos pelo departamento de RH. Se o Active Directory é integrado em um sistema de RH, esses atributos podem ser gerenciados através desse sistema. Nesse caso, você iria querer impedir que todos os usuários sejam capazes de modificar esses atributos por conta própria.

**Associações de Grupo:**Você pode usar grupos para controlar o acesso a uma variedade de recursos, de servidores de arquivos públicos para dados de banco de dados sensíveis. Quem tem permissões para alterar as associações de grupo de controlo é provavelmente um dos primeiros passos que você deve tomar em suas tarefas de delegação do Active Directory. Isso se traduz em quem pode escrever para o atributo de membros nos objetos de grupo do Active Directory. Um usuário com essa permissão pode modificar associações de grupo.

**UO se move:**Embora movendo-se objetos como usuários entre OUs pode parecer bastante benigno de uma perspectiva de gerenciamento de identidades, tal movimento muitas vezes pode ter efeitos a jusante. Algumas organizações automatizamos processos associados com a adesão de UO que poderia mudar as coisas, tais como associações de grupo de um usuário ou o que eles processam as configurações de diretiva de grupo. Essas alterações inadvertidamente podem conceder ao usuário acesso não intencional de recursos. Como resultado, movendo-se objetos de usuário da UO deve ser rigidamente controlada.

Ferramentas de delegação

Você tem alguma ajuda em relação a delegação. Isto vem na forma dos usuários do Active Directory e o assistente para delegação de controle de computadores (DoC). O assistente do doutor está disponível sempre que o botão direito do mouse um objeto de contêiner (por exemplo, um domínio ou unidade organizacional) em computadores e utilizadores do Active Directory. Verifica-se essencialmente um conjunto de tarefas padrão, que você pode querer delegar dentro do Active Directory em um modelo.

Ele também permite que você criar tarefas de delegação personalizada escolhendo classes de objeto e escolhendo o que você precisa sobre essas classes de direitos. O assistente do doutor selos de um conjunto de permissões que você solicitou no recipiente com o qual você está trabalhando.

O assistente do doutor facilita tarefas simples delegação, mas ele tem várias deficiências:

• Ele suporta apenas um pequeno conjunto de tarefas de delegação (embora você pode estender o conjunto).
• É uma delegação do momento-in-time. Em outras palavras, nenhum estado da delegação que você acabou de executar é mantido. As permissões são simplesmente carimbadas nos objetos do Active Directory em que você está focado. Você não pode modificar essa delegação, por meio do assistente, após o fato. Você precisaria entrar e editar manualmente as permissões ACL diretamente.
• O assistente do doutor não dá-lhe nenhuma vista aérea da delegação em toda sua inteira do Active Directory. Porque que é em última análise, apenas carimbando privilégios, há nenhuma maneira para "acompanhar" das delegações que fizeste sem olhar para as ACLs de cada objeto do Active Directory de interesse.

Active Directory delegação melhores práticas

Uma série de melhores práticas surgiram ao longo dos anos que vale a pena considerar como você determinar como criar seu modelo de delegação e proteger seus dados do Active Directory. Uma abordagem comum é a abordagem de "role-based" para delegar tarefas dentro do Active Directory. Isso envolve a listagem das tarefas que você espera que as pessoas para executar dentro do Active Directory. Esta lista deve ser bastante longa, como você vai querer realmente carne para fora todas aquelas coisas que você espera que as pessoas façam contra seu Active Directory, especialmente quando se trata de modificar objetos sensíveis.

O próximo passo é identificar os grupos de usuários que precisam executar cada tarefa ou função. Realizando este mapeamento entre os grupos que precisam de acesso ao Active Directory e os tipos de acesso que você deseja oferecer suporte, você está efetivamente criando um modelo de delegação baseada em funções, que você pode tornar real através de permissões no Active Directory.

Você pode criar um modelo de delegação do Active Directory que invade as tarefas ou funções de segurança do Active Directory e, em seguida, atribui essas tarefas para grupos de usuários. Esta abordagem extremamente pode simplificar o gerenciamento de segurança do Active Directory e assumo reativa a concessão de permissões para o gerenciamento proativo de acesso aos dados do Active Directory.

Considerar todos estes aspectos e como eles afetam o nível geral de segurança dos dados armazenados em seus diretórios do Active Directory. Combinando e todas essas técnicas de análise podem ajudar a colocar os dados do Active Directory em um grau seguro de confinamento.

Darren Mar-Elia é um Microsoft MVP de política de grupo, o criador do popular site de diretiva de grupo gpoguy.com e co-autor do "Guia Diretiva de grupo do Microsoft Windows" (Microsoft Press, 2005). Ele também é o CTO e fundador da SDM Software Inc. Contactá-lo no Darren@gpoguy.com.

Para mais informações sobre este e outros títulos de editores em tempo real, confira o em tempo real os editores Web site.

Conteúdo relacionado

• Gerenciamento de acesso e identidade: O acesso é um privilégio
• Gerenciamento de acesso e identidade: Preenchendo a lacuna na identidade e controle de acesso
• Segurança: 19 Inteligente dicas para proteger o Active Directory