Windows 7:通過管理 Windows 存取權限收回控制權
管理 Windows 存取權限是一種挑戰,不過,只要您熟悉您的基礎架構和協定,就會很輕鬆。
David Rowe
談到存取權限,您可能會認為拒絕規則始終優先于允許規則,是這樣麼? 通常情況下,事實並非如此 — 至少在 Windows 中不是這樣。 這個多變的層次結構使有效管理 Windows 存取權限更具挑戰性。
管理任何一個組或使用者帳戶的許可權涉及很多組成部分。 在這個受規章制度約束的年代,這可能會產生問題。 您在提供準確的存取權限評估、為安全性審核員提供説明以及維護安全環境方面所承擔的責任越來越大。
儘管看上去困難重重,但您可以通過多個步驟重新獲得 Windows 存取權限的控制權、提高安全性並降低合規性成本。 首先,您必須瞭解一些您所不知道的內容。 下麵讓我們測試一下您在 Windows 存取權限方面的智商:
問題 1. 是或否: 我對 Active Directory 中擁有的安全性群組數量一清二楚。
- 我知道安全性群組的確切數量
- 我猜測的數量通常不到實際數量的 10%
- 我猜測的數量可能是實際數量 +/- 50%
問題 2. 完成以下陳述: 我確信 Active Directory 中擁有的安全性群組數量…
- 很小;我每年或在更短的時間內清理一次舊組,因此我對安全性群組的數量一清二楚
- 使用者與組之間的比例可能為 5-1
- 如果我們不需要安全性群組,我相信某人會將其刪除
問題 3. 完成以下陳述: 在管理和刪除 Windows 存取權限方面 …
- 我是專家;我知道如何授予許可權,因此當我清理許可權時,相關許可權將被徹底清除
- 我想我知道自己在做什麼,但有時也會顯得有點盲目
- 我有一個無需干預的策略;我不希望限制任何人獲取所需檔的能力
問題 4. 是或否: 我們採用一種簡單的方法執行許可權驗證。
- 是的 — 我們根據組織需求按預定頻率執行許可權驗證
- 我們為回應某個事件執行了幾次許可權驗證,但方法並不簡單
- 我們偶爾會談到許可權驗證,但我想我們實際上從未執行此操作
問題 5. 您對於確定誰可以更改許可權以及是否進行了正確更改有多大把握?
- 我知道執行每項更改的時間,並且對所發生的情況一清二楚;任何關鍵通知將通過電子郵件發送給我
- 我或許能夠通過查看日誌跟蹤某些更改
- 我不清楚如何確定
問題 6. 您所在公司的敏感性資料位於何處?
- 只保存在一個設置了安全存取控制的高度安全的位置中
- 保存在一些經過某種程度的組織的檔共用中,員工群體可以通過各種方式對其進行訪問
- 分佈在大量未知伺服器的未知資料夾中
給自己打分
理想情況下,您將對上述所有問題回答“A”。 但坦白地講,您很可能做不到這一點。 大多數人將對其中的幾個問題回答“B”或“C”。
就分配和拒絕許可權而言,大多數人可能對 Windows 存取權限的狀態有著充分的瞭解。 但在瞭解以及報告哪些人對哪些檔具有存取權限以及如何隨時間的推移對該存取權限進行管理方面,多數人通常會感到有些困惑。 這種困惑通常源于整個組織中不斷進行的人事變動和角色變化。 這種不斷起伏變化的狀況可能會產生具有不正確組成員身份的使用者、休眠帳戶、具有迴圈存取權限的組,以及其他問題。
即使經過良好配置的檔案系統也會逐漸變得混亂。 切勿盲目產生一種虛假的安全感。 您必須主動監控、評估和管理存取權限。 這通常需要在自動化方面進行某種投資。
提高您在存取權限方面的智商
在我們探討存取權限管理時,我們不可避免地要談到組和資源管理。 大多數公司都有協同工作並為任意數量的專案出力的使用者組。 隨著時間的推移,專案和員工不斷變化。
因此,某些使用者最終將獲得不應擁有的許可權,而某些資源將被棄用。 具有錯誤存取權限的員工和不再使用的資源將構成內部安全威脅。 這種威脅非常危險,這是因為您在悲劇發生之前可能意識不到它的存在。
通過進行組和資源管理,可以有效地掃描隱藏的威脅。 公司員工不斷更迭,合併和收購不斷發生,各個部門不斷分割和重組。 總之,組織隨時間的推移而不斷變化。 您可以添加許可權,以滿足當前的需求、按時完成工作並使生活變得更加輕鬆。 然而,所有這些臨時許可權將不斷地累積並從未進行清理,從而產生不穩定的環境。
最近對一家大型公司的基礎結構進行的掃描顯示,該公司的員工與 Active Directory 組的數量分別為 80,000 和 60,000(比例為 4-3)。 此外,幾乎三分之一的 Active Directory 組只有一名成員或沒有成員。 在您暗自慶倖之前請注意,對使用者數量為 50 至 100,000 的組織進行的相同掃描顯示,在接受掃描的大多陣列織中,每兩名員工至少就有一個組。 其中很多組的成員不足兩名。 此類許可權氾濫非常普遍。
更糟糕的是,Windows 存取權限基於深度達十幾層甚至一百層的嵌套組授予。 員工對其使用的不同系統可能有多個身份標識和許可權級別。 不同的部門和管理員通常自行創建和管理這些許可權,因此整個組織中的策略可能不一致。
最終的結果是,複雜程度很高,無法確定給定使用者或組可以訪問的內容以及無法報告哪些使用者可以訪問給定的檔集。 這可能導致審核失敗、審核回應成本很高、敏感性資料丟失以及無法保護智慧財產權。
例如,辦公室經理應只有權查看與其職責相關的檔。 他可能在某些時候與公司總部的高層管理人員協同處理專案,因此他可能加入高層管理人員級別的許可權組中。 如果不對該組的存取權限進行主動監控,IT 管理人員可能會發現這名經理在離開公司時擁有足夠的存取權限來為競爭對手提供競爭情報。
發現
第一步是確定您的存取權限設置的每個級別。 利用適當的工具,很容易就會快速發現成員數量較少的組、對利用率較低的資源的許可權、休眠帳戶以及其他有助於您瞭解相關情況的資訊。 請為輕鬆獲得所需資訊做好準備。
快速確定任何級別(共用、資料夾、檔、組和使用者)所擁有的許可權。 只要能夠提供準確的回答便可以降低審核成本、提高通過審核的機會、提高安全性以及縮短調查和回答問題所需的時間。
清理
設置一個流程,以便清理標記為擁有錯誤存取權限的物件和使用者。 使您的系統處於一個已知的“良好狀態”。清理休眠帳戶和已過時的組,刪除錯誤的組成員身份,確保所有使用者擁有正確的密碼策略,並監視智慧卡的使用。 刪除多餘或未使用的檔。 這不但會維護安全性,還會節省存儲成本。
實現簡單的目標後,轉移到更持久的問題領域,如孤立的安全性識別碼 (SID) 和迴圈組。 確定哪些敏感性資料具有大量許可權,哪些檔在一年多的時間內未被訪問,以及哪些使用者擁有過多的存取權限。 正確的工具可以簡化此過程。
向使用者直接分配許可權表面看是一個常見的做法,但實際上,它應是一個例外。 向組分配許可權可使訪問規則的數量保持在最低限度,並更易於跟蹤。 您必須分別監視單獨的存取權限,這通常會產生孤立的 SID。 檔案系統中單獨或直接的使用者許可權分配越多,清理許可權的難度就越大,漏洞也越多。
維護
監視活動隨時間變化的情況。 跟蹤組成員身份更改、存取權限更改、已訪問的檔和訪問者、使用者更改等等。 您不但應跟蹤此類更改,還應該自動進行即時分析。 這樣,您便可以記錄事件,並能夠更好地回應關鍵事件。
您可以對休眠帳戶、沒有成員的組、孤立 SID、迴圈組等自動進行頻繁的常規監視。 業務部門主管應針對使用者對敏感檔和資料夾的許可權以及對其執行的活動進行常規、有計劃的驗證。 您還應監視對授予敏感檔或業務應用程式存取權限的組進行的任何更改。
Windows 存取權限的變化速度應與業務變化保持一致,這一點很重要。 不斷變化的工作環境會產生不斷變化的訪問環境。 使用者可能會增加,但舊使用者卻很少被刪除。 每個休眠使用者都會帶來潛在的安全威脅。 每日或每週的存取權限維護可以顯著減少這種威脅, 同時還有助於確保檔案系統更有條理。
您所在公司的檔案系統將更加安全,您將能夠更好地控制許可權,並確保您成為 Windows 存取權限管理方面的能手。
.jpg)
David Rowe 是 NetVision 的 CEO。該公司是一家為企業存取權限審核提供合規性和控制解決方案的獨資公司。 可通過 drowe@netvision.com.