Windows 7: Nehmensteuerung zurück durch das Management von Windows-Zugriffsrechte

Verwalten von Zugriffsrechten für Windows kann eine Herausforderung sein, aber es ist einfacher, wenn Sie eine klare Sicht auf die Infrastruktur und Protokolle haben.

David Rowe

Wenn es um Rechte zuzugreifen, würden Sie denken, eine Deny-Regel immer eine Zulassungsregel, Vorrang würden würden Sie nicht? In den meisten Fällen es nicht – zumindest nicht in Windows. Diese schrulligen Hierarchie trägt zu der Herausforderung der effektiven Verwaltung von Windows-Zugriffsrechte.

Es gibt unzählige Komponenten beteiligt, Verwalten von Berechtigungen für jede ein Gruppen- oder Benutzerkonto. Dies kann in diesem Zeitalter der Einhaltung behördlicher Auflagen problematisch sein. Sie sind zunehmend für eine genaue Beurteilung der Zugriffsrechte bereitstellen und Verwalten einer sicheren Umgebung, zur Unterstützung von Sicherheitsprüfer verantwortlich.

Als erschreckend, wie es scheint, gibt es mehrere Schritte, die Sie ergreifen können, um Kontrolle über Windows-Zugriffsrechte wiedererlangen, die Verbesserung der Sicherheit und die Compliance-Kosten senken. Zuerst müssen Sie wissen, was Sie nicht wissen. Lassen Sie uns Ihre Windows Access Rights IQ:

Frage 1. True oder False: Ich habe eine ziemlich gute Vorstellung davon wie viele Sicherheitsgruppen in Active Directory vorhanden sind.

1. Ich wissen genau, wie viele Sicherheitsgruppen dort sind
2. Meine Vermutung wäre immer innerhalb von 10 Prozent der die tatsächliche Anzahl
3. Meine Vermutung wäre wahrscheinlich +/-50 Prozent der die tatsächliche Anzahl

Frage 2. Führen Sie diese Anweisung: Ich glaube, dass die Anzahl der Sicherheitsgruppen, die ich in Active Directory ist habe...

1. Niedrig;Ich clean up old Gruppen einmal pro Jahr oder mehr häufig so bin ich auf Spitze davon
2. Wahrscheinlich ein Verhältnis 5-1 Benutzer-zu-Gruppe
3. Wenn wir Sie brauchen nicht, bin ich sicher, jemand Sie gelöscht haben, würde

Frage 3. Führen Sie diese Anweisung: Wenn es darum geht, verwalten und Entfernen von Zugriffsrechten Windows …

1. Ich bin ein Experte;Ich weiß, wie die Rechte erteilt werden, so dass, wenn ich Sie bereinigen, Sie bereinigt sind
2. Ich glaube, ich weiß, was ich mache, aber ich bin ein wenig Blind manchmal fliegen
3. Ich habe eine Hands-Off-Politik;Ich will nicht zu begrenzen anyone's Fähigkeit, die Dateien zu bekommen, die Sie wollen

Frage 4. True oder False: Wir haben eine einfache Möglichkeit, Rechte Bescheinigung durchführen.

1. Yup — haben wir eine organisatorische Voraussetzung es zu tun auf eine vorgegebene Frequenz
2. Wir getan habe es ein paar Mal in Reaktion auf ein Ereignis, aber es war nicht leicht
3. Wir sprechen über es gelegentlich, aber ich glaube nicht, dass wir es jemals tatsächlich getan

Frage 5. Wie sicher sind Sie, die Sie wissen kann, wer ändern, Rechte und ob es angemessen ist?

1. Ich weiß, wann jede Änderung vorgenommen wird, und genau, was geschah;jede kritische Benachrichtigung ist per e-Mail an mich
2. Ich hätte die Möglichkeit, bestimmte Änderungen zu verfolgen, indem betrachten Protokolle
3. Ich bin nicht sicher, wie ich es herausfinden würde

Frage 6. Wo ist Ihre sensiblen Firmendaten befindet sich?

1. Nur in einem einzigen, sehr sicheren Standort mit sicheren Zugangskontrollen gespeichert
2. Gespeichert in einer Reihe von etwas organisierte Dateifreigaben, die auf verschiedene Weise auf die Employee-Bevölkerung zugänglich sind
3. Auf zahlreichen unbekannten Servern in unbekannten Ordnern verteilt

Ergebnis selbst

In einer perfekten Welt würden Sie "A" auf alle vorhergehenden Fragen beantwortet habe. Quoten sind — und ehrlich zu sein — Sie nicht. Für die meisten von Ihnen gab es ein paar "B" oder "C" Antworten.

Die meisten von Ihnen haben wahrscheinlich ein gutes Verständnis von den Zustand der Windows-Zugriffsrechte, wenn es um die Zuweisung und das Verweigern von Berechtigungen. Häufig besteht ein wenig Verwirrung, obwohl, um das Verständnis und die Berichterstattung über wer Zugriff hat auf welche Dateien und wie zugreifen, hat im Laufe der Zeit geschafft worden. Diese Verwirrung stammt in der Regel Konstante Beschäftigung Änderungen und Rolle-Bewegung in der gesamten Organisation. Diese Ebbe und Flut können Benutzern mit ungeeigneten Gruppenmitgliedschaften, nachrichtenlose Konten und Gruppen mit kreisförmigen Zugang, unter anderen Bedingungen führen.

Sogar ein perfekt konfigurierten Dateisystem unterliegt der Entropie im Laufe der Zeit. Seien Sie nicht in falscher Sicherheit wiegen. Sie haben aktiv überwachen, bewerten und Zugriffsrechte zu verwalten. Das erfordert in der Regel eine Art von Investitionen in die Automatisierung.

Erhöhen Sie Ihre Zugriffsrechte IQ

Wenn wir über Access Rights Management sprechen, müssen wir zwangsläufig Adresse-Gruppe und Ressourcen-Management. Die meisten Unternehmen haben Gruppen von Menschen zusammen arbeiten und eine beliebige Anzahl von Projekten beiträgt. Im Laufe der Zeit erhalten, Projekte und Mitarbeiter um verschoben.

Aus diesem Grund einige Leute, die bis Ende mit rechtwinkligem Sie keinen haben sollten und einige Ressourcen in Nichtnutzung fallen. Mitarbeiter mit unzulässigen Zugriffsrechte und Ressourcen nicht länger in Betrieb darstellen eine interne Sicherheitsrisiko. Diese Bedrohung ist besonders gefährlich, weil Sie es wahrscheinlich erkennen wird nicht, bis es zu spät ist.

Gruppe und Ressourcenmanagement ist ein wirksames Mittel für versteckte Bedrohungen scannen. Mitarbeiter beitreten und verlassen das Unternehmen, Fusionen und Akquisitionen passieren und Abteilungen aufgeteilt und umgruppieren. Kurz gesagt, verwandelt sich die Organisation ausnahmslos im Laufe der Zeit. Sie können Berechtigungen zum unmittelbare Anforderungen erfüllen, Termine zu hit und machen das Leben leichter hinzufügen. Jedoch weiterhin alle diese ad-hoc-Berechtigungen zu sammeln und nie erhalten aufgeräumt, das führt zu einer unstable-Umgebung.

Ein letzten Scan eines großen Unternehmens-Infrastruktur ergab, dass es 60.000 Active Directory-Gruppen für 80.000 Mitarbeitern (4: 3-Verhältnis). Darüber hinaus hatte fast ein Drittel derer eine oder keine Mitglieder. Bevor Sie sich selbst kichern, zeigte diese gleichen Scans auf Unternehmen mit 50 bis 100.000 Benutzern durchgeführt, dass die meisten Organisationen, die mindestens eine Gruppe für jeden zwei Mitarbeiter hatten. Viele dieser Gruppen hatten weniger als zwei Mitglieder in Ihnen. Diese Art der Rechte Proliferation ist durchaus üblich.

Making Matters ist schlimmer, dass Windows Zugangsrechte gewährt werden basierend auf geschachtelte Gruppen ein Dutzend oder sogar hundert Schichten tiefen. Mitarbeiter können mehrere Identitäten und Ebenen der Rechte für verschiedene Systeme, die Sie verwenden. Verschiedene Abteilungen und Administratoren oft erstellen und verwalten diese Rechte autonom, so dass Policies konsistent in der gesamten Organisation möglicherweise nicht.

Das Endergebnis ist massive Komplexität, Unfähigkeit zu wissen, was ein bestimmter Benutzer oder eine Gruppe zugreifen konnte und Unfähigkeit zu berichten, wer Zugriff auf einen bestimmten Satz von Dateien hat. Dies führt zu fehlgeschlagenen Prüfungen, kostspielige Audit Response, Verlust von vertraulichen Daten und die Unfähigkeit zum Schutz geistigen Eigentums.

Beispielsweise sollte ein Office Manager nur Rechte zum Anzeigen von Dateien relevant zu seinem Büro haben. Er kann gearbeitet haben an einem Projekt mit Führungskräften Konzernzentrale an einem gewissen Punkt, so dass er in einer Berechtigungsgruppe Executive-Ebene gebracht worden sind, kann. Ohne aktiv überwacht, Zugriffsrechte für diese Gruppe, kann ein IT-Administrator diesen Manager auf seinem Weg raus mit ausreichenden Zugriffsberechtigungen zum Wettbewerb mit competitive Intelligence anbieten zu können finden.

Ermittlung

Der erste Schritt ist zu jeder Ebene Ihren Zugang Rechte Realität zu wissen. Mit den richtigen Tools ist es nicht schwer schnell Gruppen mit niedrigem Mitglied zählt, Rechte auf Ressourcen mit niedriger Auslastung, nachrichtenlose Konten und andere Informationen, die Ihnen einen Lay of the Land helfen wird. Bereiten Sie die niedrig hängenden Früchte zu greifen.

Identifizieren Sie schnell, welche Rechte auf jeder Ebene (Share, Ordner, Dateien, Gruppen und Benutzer) vorhanden sind. Einfach in der Lage, präzise Antworten können Audit-Kostenreduzierung, erhöhen Sie die Chance der Übergabe von Audits verbessern Sicherheit und reduzieren die Zeit ausgegeben erforscht und auf Fragen reagieren.

Bereinigen

Einen Prozess zur bereinigen Objekte und Benutzer gekennzeichnet als unangemessen Zugriffsrechte eingeführt. Erhalten Sie Ihre Systeme auf eine "funktionierend bekannten Zustand." Clean up nachrichtenlose Konten und obsolete Gruppen unangemessene Gruppenmitgliedschaften zu entfernen, stellen Sie sicher, dass alle Benutzer geeigneter Kennwortrichtlinien und Überwachen der Verwendung von Smartcards. Löschen Sie redundante oder nicht verwendete Dateien. Dies wird helfen, nicht nur die Küste bis Sicherheit, sondern auch Geld sparen, in Speicherkosten.

Nach Bewältigung der leichten Zielen, zum Bewegen Sie mehr persistent Problembereiche, wie verwaiste Sicherheits-IDs (SIDs) und circular-Gruppen Identifizieren Sie, welche sensiblen Daten hat ein hohes Maß an Berechtigungen, welche Dateien noch nicht berührt worden, in mehr als einem Jahr, und welche Benutzer haben zuviel Zugang. Die richtigen Tools können diesen Prozess zu vereinfachen.

Benutzer mit direkten Zuweisungen mag wie gängige Praxis, aber in Wirklichkeit sollte es die Ausnahme. Gruppenzuweisungen Zugriffsregeln auf ein Minimum halten und sind leichter zu verfolgen. Müssen Sie einzeln überwachen Sie individuelle Zugriffsrechte, woraus sich ergibt oft verwaiste SIDs. Wenn Sie mehr individuelle oder direkte Benutzerzuordnungen innerhalb eines Dateisystems haben, wird es schwieriger zu reinigen und poröser sein.

Wartung

Überwachen Sie die Aktivität im Laufe der Zeit. Verfolgen Sie Änderungen an der Gruppenmitgliedschaft, Änderungen an Zugriffsrechten, welche Dateien zugegriffen wird, und von wem, Benutzeränderungen und So weiter. Sie sollten nicht nur diese Typen von Änderungen verfolgen, sondern auch Echtzeit-Analyse automatisieren. Jene Weise Sie können Ereignisse protokolliert und sind besser in der Lage, zur Bewältigung kritischer Ones.

Sie können Automatisieren häufiger, routinemäßige Überwachung der nachrichtenlose Konten, Gruppen mit keine Mitglieder, verwaiste SIDs, kreisförmige Gruppen und mehr. Führen Sie regelmäßige, geplante Bescheinigung durch die Business Unit Eigentümer der Benutzerberechtigungen und Aktivität auf vertrauliche Dateien und Ordner. Sie sollten auch Änderungen an Gruppen überwachen, die Zugriff auf vertrauliche Dateien oder Geschäftsanwendungen zu gewähren.

Es ist wichtig, dass Windows-Zugriffsrechte bei der gleichen Geschwindigkeit als Business bewegen. Eine schwankende Arbeitsumgebung führt zu einer erratische Access-Umgebung. Benutzer hinzugefügt werden können, aber alte Benutzer sind selten abgenommen. Jeden nachrichtenlose Benutzer stellt ein potenzielles Sicherheitsrisiko darstellen. Tägliche oder wöchentliche Zugang Rechte Wartung kann dieser Bedrohung erheblich reduzieren. Es hilft auch, die Dateisysteme besser organisiert zu halten.

Das System Ihres Unternehmens Datei werden sicherer und Sie haben mehr Kontrolle über Berechtigungen — und Ihren Status zu gewährleisten, wie ein Windows-Access Management-Genie Rights.

David Rowe ist der CEO von NetVision, eine privat finanzierte Firma, die Bereitstellung von Lösungen für Compliance und Kontrolle für Enterprise Access auditing. Erreichen Sie ihn unter drowe@netvision.com .

Verwandter Inhalt:

• Sicherheit auf dem Prüfstand: Gedanken zur Identität, Teil 1
• Sicherheit auf dem Prüfstand: Gedanken zur Identität, Teil 2
• Verwalten von Active Directory-Benutzern mit ILM 2007