Active Directory: schützen Sie Ihre Active Directory-Daten

Es gibt eine Reihe von Methoden, mit denen sichergestellt werden kann, dass nur berechtigte Personen auf die Daten in Ihrer Active Directory-Infrastruktur zugreifen können.

Darren Mar-Elia

Adaptiert von "Schutz kritische Daten von Active Directory Identity Lifecycle Management" (Realtime Publishers)

Sie müssen Ihre Identitätsdaten des Active Directory-basierte schützen. Es ist ein wichtiger Bestandteil der Gewährleistung Identität-System, die Sie eingerichtet, die mit Active Directory geschützt ist, so dass es in der Lage, ihre Arbeit des authentifizieren und autorisieren die richtigen Leute an die richtigen Ressourcen zu tun.

Du musst die Daten in Active Directory ist unantastbar und nur Benutzer mit einer geschäftlichen Gründen Zugriff auf Active Directory-Informationen erhalten, dass der Zugang zu gewährleisten. Alle großen Identität-provisioning Prozesse in der Welt werden dir nicht helfen, wenn Ihr Active Directory ein Gerangel ist, das jemand mit zum Inhalt seines Herzens Geige kann. Sie müssen nehmen einen tiefen Blick in Ihr Active Directory-Sicherheitsmodell und bestimmen die besten Techniken und bewährte Methoden für die Sicherung der Daten, die ihren Wohnsitz innerhalb.

Die Herausforderungen der Sichern von Active Directory

Verwalten des Active Directory-Sicherheitsmodells ist nicht gerade einfach. Die Natur von einem hierarchischen Verzeichnisdienst, der viele Zwecke (einschließlich Anwendungsverzeichnis, Authentifizierungsverzeichnis, desktop-Management-Verzeichnis und so weiter) bedeutet das Sicherheitsmodell dient, kann eine Handvoll sein. Noch wichtiger ist, wenn Sie keinen proaktiven Ansatz zur Verwaltung Ihrer Active Directory-Sicherheit, kann es schnell außer Kontrolle geraten.

Betrachten Sie z. B. die einfache Aufgabe delegieren Benutzerkontenverwaltung in Active Directory. Wegen der körnige Beschaffenheit des der Active Directory-Sicherheitsmodell könnte eine scheinbar einfache Aufgabe wie das Verwalten von Benutzerkonten in eine verwirrende Anzahl von Berechtigungen entwickeln, müssen Sie delegieren:

• Berechtigung zum Erstellen von Benutzerobjekten
• Berechtigung zum Löschen von Benutzerobjekten
• Berechtigung zum Benutzerobjekte verschieben
• Berechtigungen für Benutzer-Objekt: Eigenschaften (Dies kann in sensible Eigenschaften, z. B. Abteilung, Manager und Gruppenmitgliedschaften und unproblematischen Eigenschaften wie Telefonnummer und Büro-Adresse zerlegen)
• Berechtigung zum Kennwort des Benutzers zurückgesetzt oder sein Konto entsperren
• Berechtigung zum Steuern die Berechtigungen eines Benutzers ändern können

Diese Liste ist keineswegs vollständig, aber es unterstreicht die potenzielle Komplexität der Verwaltung Delegierung auf nur diese eine Aufgabe. Der Ansicht, dass jede dieser Aufgaben (oder zumindest Gruppen von ihnen) könnte an anderen Untergruppen delegiert werden. Diese Berechtigungssätze könnte auch abhängig von der Organisationseinheit (OU) variieren, in denen sich die Benutzer befinden. Fügen Sie zu der Mischung, übergeordnete Objekte in Active Directory Berechtigungen, von ihren Kindern erben können (z. B. Berechtigungen können aus der Organisationseinheit Marketing zu wechseln der Organisationseinheit "Benutzer" unter Marketing). Sie können sehen, dass die Dinge wirklich oben gummiert erhalten können, wenn du nicht aufpasst.

Nicht nur die Komplexität der Active Directory-Sicherheitsmodell ist eine Herausforderung, erfordert es Disziplin, um ein gutes Delegierungsmodell und behalten Sie es im Laufe der Zeit organisiert. Einmalige Anfragen und ungewöhnliche Geschäft fahren Sie Kompromisse eingehen müssen. Das Endziel ist zum Schutz der Daten in Active Directory, das ist entscheidend für Ihre Organisation Authentifizierungs- und Autorisierungsmechanismen, deshalb ist es wichtig, einen Handle auf Active Directory-Sicherheit zu halten.

Das Active Directory Sicherheitsmodell

Grundlegendes zu Active Directory ist-Sicherheitsmodell zu begreifen, wie Active Directory strukturiert ist. Nicht im Gegensatz zu einer relationalen Datenbank enthält Active Directory ein Schema, das die verfügbaren Klassen von Objekten und deren zugeordnete Attribute definiert. Ein Benutzerobjekt in Active Directory ist eine Instanziierung der Schemaklasse "Benutzer." Das Objekt nach dem Schema enthält einen Satz von Attributen wie Vorname, Nachname, Abteilung, Manager, Telefonnummer und so weiter.

Jedes Objekt in Active Directory hat auch eine zugeordnete Sicherheitsbeschreibung. Diese Sicherheitsbeschreibung definiert die Berechtigungen für dieses Objekt. Diese zeigen ein Beispiel für ein Benutzerobjekt Berechtigungssatz oder Access Control List (ACL), wie Sie in Active Directory-Benutzer und-Computer angezeigt.

Die ACL besteht aus einer Reihe von Sicherheitsprinzipalen (normalerweise Benutzer oder Gruppen), die Rechte über das Objekt, und die Rechte oder Berechtigungen für jedes Sicherheitsprinzipal haben. Eine bestimmte Berechtigung kann ein "Zulassen" oder "Verweigern." Erlaubt ist die Standardeinstellung. Dies gewährt eine Berechtigung dem Sicherheitsprinzipal. Wenn verweigern aktiviert ist, wird diese Berechtigung explizit auf das Sicherheitsprinzipal verweigert. In der Tat, wenn ein Objekt erbt Berechtigungen vom übergeordneten und es sind widerstreitenden Allow und Deny von Zugriffssteuerungseinträgen (ACEs) für eine bestimmte Berechtigung wird dann in der Regel Deny gewinnen.

Standard- und erweiterte Rechte

Nicht jede Objektklasse in Active Directory hat den gleichen Satz von Berechtigungen. Das ist großartig, weil es bedeutet, dass Sie Berechtigungen für den Typ des Objekts beteiligten zuschneiden können. Betrachten Sie Folgendes Beispiel: eine "Replikation auslösen" Berechtigung zugeordnet ein Active Directory naming Context-Objekt können Sie delegieren, die Replikation zwischen zwei Domänencontrollern zwingen kann. Replikation auslösen hat zwar keine Relevanz für ein Objekt. Jedes Objekt hat eine Gruppe zugeordnete "Standardrechte." Dazu gehören z. B. vertraut sind:

• Lesezugriff
• Write (Schreiben)
• List
• Create
• Delete
• Lese- und Schreib-Eigenschaften

Darüber hinaus die Standardrechte kann eine Schemaklasse auch eine Rechte erweitert. Bekannte Beispiele von erweiterten Rechte sind die Berechtigungen auf ein Computerobjekt gefunden. Ein Computer hat Berechtigungen wie "Read und Write-Host Name-Attribute" speziell für die Computerklasse der einzelnen Objekte.

Diese Erweiterbarkeit innerhalb der Active Directory-Sicherheitsmodell können Sie eine reiche und granulare Delegation von Aufgaben für Ihre Administratoren und Benutzer zu erstellen. Wenn Sie das Active Directory-Schema mit einer neuen Klasse des Objekts erweitern, kann es einen eigenen Satz von erweiterte Rechte haben, die spezifisch für diesen Objekttyp Delegation Steuern (obwohl Sie müssen auch die verschiedenen Unterschiede über die Objektklassen beachten, die Sie delegieren möchten).

Verstehen Sicherheitsvererbungsinformationen

Ein weiterer Aspekt, der das Active Directory-Sicherheitsmodell schwierig macht ist der Begriff der Vererbung von Berechtigungen über die Active Directory-Hierarchie. Ein Berechtigungssatz an der Spitze einer Domäne kann ganz nach unten Rinnsal durch untergeordnete OUs auf Objekte auf dem niedrigsten Niveau der Domänenhierarchie.

Sie können diese Vererbung, sowohl von oben nach unten als auch von unten nach oben steuern. Zum Beispiel sind sagen Sie Berechtigungen für Benutzerobjekte in einer OU-Hierarchie, bestehend aus einer übergeordneten Organisationseinheit "Marketing" und zwei untergeordneten Organisationseinheiten namens Benutzer-Ost und Benutzer-West fest. Nutzen die Vorteile der Vererbung Festlegen von Berechtigungen für alle Benutzerobjekte auf der Ebene der Organisationseinheit "Marketing" und das Rinnsal hinunter alle Benutzerobjekte in beiden untergeordneten Organisationseinheiten werden soll. Sie können dazu den neuen ACE innerhalb der Organisationseinheit Marketing ACL (mit Active Directory-Benutzer und-Computer als Beispiel) und dann, nachdem Sie die Berechtigungen haben, es gelten für alle "Nachkomme Benutzerobjekte."

Wenn Sie die Benutzer-Ost OU liefen, empfiehlt es sich, die Berechtigungen, die Ihre Benutzerobjekte auf der höheren Ebene nicht zutreffen. Wenn Sie über ausreichende Berechtigungen verfügen, können Sie im Wesentlichen die Vererbung deaktivieren, die von der Organisationseinheit Marketing ankommt. Sie können dies tun, indem Sie einfach deaktivieren das Kontrollkästchen im Abschnitt "Erweitert" im ACL-Editor in Active Directory-Benutzer und -Computer. Das bricht die Vererbungskette.

Delegation zu verstehen

Im Rahmen des Active Directory ist die Delegierung der Prozess, durch den Sie Berechtigungen für Active Directory-Objekte erteilen. Auf diese Weise können Benutzer und Gruppen bestimmte Aufgaben gegen Active Directory-Objekte. Delegation bedeutet eine Art geordneter Plan geben Anwendern die richtigen Berechtigungen auf die richtigen Active Directory-Objekte in Active Directory-Struktur.

Ein Beispiel der Delegation ist möglicherweise eine Gruppe mit dem Namen Help Desk Admins, alle helfen die Desk-Team, die Mitglieder angehören. Sie können dieser Gruppe die Möglichkeit zum Zurücksetzen von Benutzerkennwörtern auf alle Benutzerobjekte in Active Directory-Domäne erteilen. Dadurch können sie eine der primären Aufgaben ihrer Tätigkeit behandeln. Ein anderes häufiges Beispiel Delegation lässt Admins Computer der Domäne beitreten. Dies ist eine delegierte Berechtigung auf Computerobjekte in der Regel angewendet, Organisationseinheiten, die Computerobjekte befinden könnte.

Erstellung eines Delegierungsmodells für Active Directory ist wahrscheinlich eine der die wichtigsten Planungsaufgaben, die Sie ausführen können. Dies gilt insbesondere, wenn es geht, um Zugriff auf sensible Daten in Active Directory delegieren. Es spielt keine Rolle, ob Sie Active Directory nur ausgerollt haben oder wenn Sie in den Prozess der Migration von Active Directory 10-Year-Old zu einer neuen Domänenstruktur. In beiden Fällen ist es nie zu spät, planen und erstellen Sie ein Delegierungsmodell, die kritische Objekte in Active Directory und Delegierte Access entsprechend schützt.

Es gibt eine Menge von Daten in Active Directory, die gesichert werden sollen und können, aber nicht alle davon bezieht sich auf Ihre Identität-System. Der folgenden Liste werden die Gebiete zunächst im Hinblick auf den Schutz Ihrer Identitätsdaten in Active Directory:

**Eigenschaften:**Attribute für Ihre Benutzer können oder kann nicht empfindlich und Delegierung erfordern. Es gibt bestimmte Attribute — wie z. B. Berufsbezeichnung, Abteilung und Manager des Benutzers — oft durch die Personalabteilung verwaltet werden. Wenn Active Directory in einem HR-System integriert ist, können diese Attribute mit diesem System verwaltet werden. In diesem Fall würden Sie möchten verhindern, dass alle Benutzer in der Lage, diese Attribute auf ihre eigenen zu ändern.

**Gruppen-Mitgliedschaften:**Sie können Gruppen verwenden, Zugriff auf eine Vielzahl von Ressourcen, von öffentlichen Dateiservern an sensiblen Datenbankdaten zu steuern. Steuern, die Berechtigungen zum Ändern von Gruppenmitgliedschaften hat ist wahrscheinlich eine der ersten Schritte, die Sie in Ihre Active Directory-Delegierung-Aufgaben sollten. Dies entspricht einem Schreibzugriff auf das Attribut Member auf Active Directory-Gruppe-Objekte haben. Benutzer mit dieser Berechtigung können Gruppenmitgliedschaften ändern.

**OU bewegt:**Obwohl bewegte Objekte wie Benutzer zwischen Organisationseinheiten aus Sicht der Identitätsmanagement relativ harmlos erscheinen mag, kann ein solcher Schritt oft nachgelagerte Auswirkungen haben. Einige Organisationen haben automatisierte Prozesse zugeordnet OU-Mitgliedschaft, die Dinge, wie z. B. Gruppenmitgliedschaften des Benutzers oder was ändern könnte Gruppenrichtlinieneinstellungen, die sie verarbeiten. Diese Änderungen könnten versehentlich gewähren Sie dem Benutzer unbeabsichtigt Zugriff auf Ressourcen. Infolgedessen sollte OU Benutzer Objektverschiebung streng kontrolliert werden.

Delegation-Werkzeuge

Sie haben etwas Hilfe bezüglich Delegation. Dies kommt in der Form des Active Directory-Benutzer und Computer-Objektverwaltung (DoC)-Assistenten. Der DoC-Assistent ist verfügbar, wenn Sie ein Container-Objekt (z. B. eine Domäne oder Organisationseinheit) in Active Directory-Benutzer und-Computer mit der rechten Maustaste. Es stellt sich im Wesentlichen eine Reihe von standard-Aufgaben, die Sie vielleicht innerhalb von Active Directory in einer Vorlage delegieren möchten.

Sie können auch benutzerdefinierte Delegierungen Aufgaben Kommissionierung Objektklassen und wählen welche Rechte Sie auf diese Klassen müssen zu erstellen. Der DoC-Assistent versieht einen Satz von Berechtigungen, die Sie auf den Container angefordert haben, mit denen Sie arbeiten.

Der DoC-Assistent erleichtert die einfache Delegierung Aufgaben hat, aber es einige Mängel:

• Es unterstützt nur eine kleine Gruppe von Delegation Aufgaben (obwohl Sie das Set erweitern können).
• Es ist ein Augenblick-in-Time-Delegation. Mit anderen Worten, ist kein Zustand der Delegation soeben ausgeführten gehalten. Berechtigungen sind die Active Directory-Objekte einfach gestempelt worauf Sie gerichtet sind. Sie können diese Delegation durch den Assistenten im Nachhinein nicht ändern. Sie müssten reingehen und manuell Berechtigungen in der ACL direkt bearbeiten.
• Der DoC-Assistent bietet Ihnen keine Vogelperspektive der Delegation über Ihre gesamte Active Directory. Da es letztlich nur Privilegien Stampfen ist, gibt es keine Möglichkeit zu "behalten" welche Delegationen gemacht ohne Blick auf die ACLs der einzelnen Active Directory-Objekte von Interesse.

Active Directory-Delegation-Empfehlungen

Eine Reihe von best Practices entstanden im Laufe der Jahre, die Überlegung wert sind, wie Sie bestimmen, wie Sie erstellen Ihre Delegierungsmodell und schützen Sie Ihre Active Directory-Daten. Ein gemeinsamer Ansatz ist die "Rolle" Ansatz zum Delegieren von Aufgaben innerhalb von Active Directory. Dies beinhaltet die Liste der Aufgaben, die Sie erwarten, dass Menschen in Active Directory ausführen. Diese Liste sollte ziemlich lang sein, wie Sie all diese Dinge wirklich auszuarbeiten Menschen tun gegen Ihre Active Directory zu erwarten, vor allem, wenn es darum geht, sensible Objekte ändern wollen.

Der nächste Schritt ist die Ermittlung dieser Gruppen von Benutzern, die jede Aufgabe oder Rolle ausführen müssen. Durch Ausführen dieser Zuordnung zwischen Gruppen, die Zugriff auf Active Directory benötigen und die Zugriffsarten, die Sie unterstützen möchten, erstellen Sie effektiv eine rollenbasierte Delegierung-Modell können Sie real durch Berechtigungen in Active Directory zu machen.

Sie können ein Active Directory-Delegierungsmodell entwerfen, die Sicherheit von Active Directory in Vorgänge oder Rollen bricht und Benutzergruppen dann diese Aufgaben zugewiesen. Dieser Ansatz kann erheblich vereinfachen Active Directory-Sicherheits-Management und übernehme, reaktive Erteilung von Berechtigungen zur proaktiven Verwaltung auf Active Directory-Daten.

Berücksichtigen Sie alle diese Aspekte und Auswirkungen auf die Gesamthöhe der Sicherheit der Daten in Ihre Active Directory-Verzeichnisse gespeichert. Kombinieren und analysieren alle diese Techniken können helfen, Ihre Active Directory-Daten auf ein sicheres Maß an Lockdown zu setzen.

Darren Mar-Elia ist eine Microsoft Gruppenrichtlinien-MVP, Schöpfer der beliebten Gruppenrichtlinien-Site gpoguy.com und Mitautor von "Microsoft Windows Group Policy Guide" (Microsoft Press, 2005). Er ist auch CTO und Gründer von SDM Software Inc. Sie erreichen ihn am Darren@gpoguy.com.

Für weitere Informationen zu dieser und anderen Titeln von Realtime Publishers, lesen Sie in der Realtime Publishers-Website.

Verwandte Inhalte

• Identitäts- und Zugriffsverwaltung: Der Zugang ist ein Privileg
• Identitäts- und Zugriffsverwaltung: Die Lücke im Identity und Access Governance
• Sicherheit: 19 Clevere Tipps zum Sichern von Active Directory