Windows 7: Retomar el Control por la gestión de los derechos de acceso de Windows

Gestión de los derechos de acceso a Windows puede ser un desafío, pero es más fácil si usted tiene una visión clara de su infraestructura y sus protocolos.

David Rowe

Cuando se trata de los derechos de acceso, se podría pensar que una regla de denegación sería siempre tienen prioridad sobre una regla de permiso, ¿no? Con mucha frecuencia, no es así, al menos no en Windows. Esta jerarquía peculiar contribuye al desafío de administrar eficazmente los derechos de acceso de Windows.

Hay una miríada de componentes involucrados en la gestión de los permisos para cualquier cuenta de usuario o grupo uno. Esto puede ser problemático en esta era de cumplimiento de normas. Usted está considerado cada vez más responsable de proporcionar una evaluación precisa de los derechos de acceso, asistencia a auditores de seguridad y mantenimiento de un entorno seguro.

Como aterradora como parece, hay varios pasos que puede seguir para recuperar el control de los derechos de acceso de Windows, mejorar la seguridad y reducir los costos de cumplimiento de normas. En primer lugar, tienes que saber lo que no sabe. ¡ Compruebe su IQ de derechos de acceso de Windows:

Pregunta 1. True o False: Tengo una idea de cuántos grupos de seguridad existen en Active Directory.

1. Sé exactamente cuántos grupos de seguridad allí son
2. Mi conjetura sería siempre dentro de 10 por ciento de la cantidad real
3. Mi conjetura sería probablemente +/-50 por ciento de la cantidad real

Pregunta 2. Completar esta declaración: Creo que el número de grupos de seguridad que tengo en Active Directory es…

1. Bajo;Limpiar antiguos grupos una vez al año, o más frecuentemente por lo que estoy encima de él
2. Probablemente una relación de los usuarios en el grupo de 5-1
3. Si no los necesitamos, estoy seguro de que alguien hubiera borrado

Pregunta 3. Completar esta declaración: Cuando se trata de administrar y eliminar Windows derechos de acceso …

1. Soy un experto;Sé cómo los derechos se conceden por lo que cuando limpiarles, están limpia
2. Creo que sé lo que estoy haciendo, pero yo estoy volando un poco a ciegas a veces
3. Tengo una política sin intervención humana;No quiero limitar la capacidad de cualquier persona para obtener los archivos que quieren

Pregunta 4. True o False: Tenemos un método sencillo para realizar la certificación de derechos.

1. Sí, tenemos una obligación organizacional de hacerlo en una frecuencia predeterminada
2. Que hemos hecho un par de veces en respuesta a un evento, pero no fue fácil
3. Hablamos de ocasionalmente, pero no creo que lo hemos hecho alguna vez

Pregunta 5. ¿Cómo determinados están usted que sabe quién puede cambiar derechos y si se realiza de forma adecuada?

1. Sé que cuando se realiza cada cambio y exactamente lo que ocurrió;cualquier notificación de crítica es enviado por correo electrónico a mí
2. Podría tengo la capacidad de realizar un seguimiento de ciertos cambios en los registros de
3. No estoy seguro de cómo podría averiguarlo

Pregunta 6. ¿Dónde está ubicados de datos confidenciales de su empresa?

1. Guarda sólo en un único lugar altamente seguro con controles de acceso seguro en lugar
2. Guardado en una serie de alguna manera recursos compartidos de archivos organizados que son accesibles de diversas maneras a la población de empleado
3. Se extendió a través de numerosos servidores desconocidos en carpetas desconocidos

Puntuación obtenida a usted mismo

En un mundo perfecto, habría respondido "A" en todas las preguntas anteriores. Probabilidades son — y ser honesto, no. Para la mayoría de ustedes, hubo algunas respuestas de "B" o "C".

La mayoría de ustedes probablemente tienen una buena comprensión de la situación de los derechos de acceso de Windows cuando se trata de asignar y denegación de permisos. Suele haber un poco de confusión, sin embargo, alrededor de la comprensión y la presentación de informes sobre quién tiene acceso a qué archivos y cómo acceder a que ha sido manejado con el tiempo. Esta confusión se debe normalmente a cambios de empleo constante y movimiento de papel en toda la organización. Este flujo y reflujo pueden llevar a los usuarios con la pertenencia a grupos inadecuado, cuentas inactivas y grupos con acceso a circular, entre otras condiciones.

Incluso un sistema de archivos perfectamente configurado está sujeta a la entropía en el tiempo. No ser prevenidos en una falsa sensación de seguridad. Usted tiene que supervisar, evaluar y gestionar los derechos de acceso de activamente. Por lo general requiere a algún tipo de inversión en automatización.

Elevar sus derechos de acceso IQ

Cuando nos referimos a la gestión de derechos de acceso, tenemos inevitablemente a la dirección de grupo y administración de recursos. La mayoría de las empresas tiene grupos de personas trabajando juntos y contribuyendo a cualquier número de proyectos. Con el tiempo, proyectos y empleados obtener cambió todo.

De esta forma, algunas personas terminan con holguras no deben tener y algunos recursos de caen en desuso. Empleados con recursos ya no está en uso y los derechos de acceso inadecuado representan una amenaza para la seguridad interna. Esa amenaza es particularmente peligrosa porque se dan usted probablemente no cuenta hasta que sea demasiado tarde.

Grupo y administración de recursos es una manera eficaz para analizar en busca de amenazas ocultas. Empleados unirse y dejan la empresa, las fusiones y adquisiciones suceden, y departamentos dividieron y reagruparon. En resumen, la organización invariablemente se transforma con el tiempo. Puede agregar permisos para atender necesidades inmediatas, golpeó los plazos y hacer la vida más fácil. Sin embargo, todos esos permisos ad hoc siguen se acumulan y nunca obtener limpia, lo que lleva a un entorno inestable.

Un análisis reciente de la infraestructura de una empresa grande reveló que había grupos de Active Directory de 60.000 a 80.000 empleados (una proporción de 4-3). Además, casi un tercio de los tenía uno o cero miembros. Antes de que se chuckle a sí mismo, esos mismos análisis realizados sobre las organizaciones con 50 a 100.000 usuarios demostraron que la mayoría de esas organizaciones tenía al menos un grupo para cada dos empleados. Muchos de esos grupos tenían menos de dos miembros en ellos. Este tipo de proliferación de derechos es bastante común.

Lo que es peor es hacer cosas que Windows se han concedido los derechos de acceso basado en grupos anidados una docena o incluso de un centenar de capas profundas. Los empleados pueden tener múltiples identidades y niveles de derechos para los diferentes sistemas que utilizan. Los administradores y los diferentes departamentos a menudo creación y gestión estos derechos de forma autónoma, por lo que las políticas no pueden ser coherentes en toda la organización.

El resultado final es de enorme complejidad, incapacidad para saber lo que podría acceder a un determinado usuario o grupo e incapacidad para informar sobre quién tiene acceso a un conjunto de archivos. Esto puede llevar a auditorías fallidas, respuesta de auditoría costosos, pérdida de datos confidenciales y la incapacidad para proteger la propiedad intelectual.

Por ejemplo, un administrador de oficina sólo debe tener derechos para ver archivos relevantes a su Oficina. Puede han trabajó en un proyecto con ejecutivos en la sede corporativa en algún momento, por lo que han puesto en un grupo de permisos de nivel ejecutivo. Sin supervisando activamente los derechos de acceso para este grupo, un administrador de sistemas puede encontrar este gestor en su salida con acceso suficiente para poder proporcionar inteligencia competitiva a la competencia.

Descubrimiento

El primer paso es saber a todos los niveles de su realidad de los derechos de acceso. Con las herramientas adecuadas, no es demasiado difícil encontrar a grupos rápidamente con miembros bajos recuentos, los derechos a los recursos con baja utilización, las cuentas inactivas y otra información que le ayudará a obtener un lay de la tierra. Se preparan para agarrar el fruto de la baja-colgantes.

Identificar rápidamente qué derechos existen en cualquier nivel (cuota, carpetas, archivos, grupos y usuarios). Simplemente poder proporcionar respuestas precisas pueden reducir los costos de auditoría, incrementan la posibilidad de pasar auditorías, mejorar la seguridad y reducir la cantidad de tiempo pasado investigando y respondiendo a las preguntas.

Limpiar

Establecer un proceso para limpiar los objetos y los usuarios de marcado como tener los derechos de acceso inadecuado. Obtener sus sistemas a un "buen estado conocido." Limpieza de cuentas inactivas y grupos obsoletos, eliminar la pertenencia a grupos inadecuado, asegúrese de que todos los usuarios tienen políticas de contraseña adecuadas y controlar el uso de tarjetas inteligentes. Eliminar archivos redundantes o sin usar. Esto ayuda no sólo la orilla la seguridad, sino también ahorrar dinero en los costos de almacenamiento.

Después de hacer frente a los blancos fáciles, mover a áreas con problemas más persistentes, como huérfanos identificadores de seguridad (SID) y grupos circulares. Identificar qué datos confidenciales tienen una alta cantidad de permisos, los archivos que aún no se ha tocado en más de un año, y los usuarios que tienen acceso demasiado mucho. Las herramientas adecuadas pueden simplificar este proceso.

Los usuarios con las asignaciones directas pueden parecer como una práctica común, pero en realidad debería ser la excepción. Asignaciones del grupo de mantener las reglas de acceso al mínimo y son más fáciles de realizar un seguimiento. Tiene que vigilar individualmente los derechos de acceso individual, que suele producir huérfanos insulares en desarrollo. Si dispone de asignaciones de usuario más directa o individuales dentro de un sistema de archivos, es más difícil de limpiar y más porosa.

Mantenimiento

Supervisar la actividad con el tiempo. Realizar un seguimiento de los cambios de pertenencia a grupo, cambios a los derechos de acceso, qué archivos se tiene acceso y quién, cambios de usuario y así sucesivamente. Debe no sólo realizar un seguimiento de estos tipos de cambios, sino también automatizar el análisis en tiempo real. De este modo usted puede registrar eventos y está en mejores condiciones responder a las críticas.

Usted puede automatizar el monitoreo frecuente y rutina de cuentas inactivas, grupos con ningún miembro, SID huérfanos, grupos circulares y mucho más. Realizar la certificación de rutina, programada por los propietarios de unidad de negocio de permisos de usuario y la actividad en las carpetas y archivos confidenciales. También debe supervisar los cambios a los grupos que conceden acceso a archivos confidenciales o aplicaciones de negocios.

Es importante que los derechos de acceso de Windows se mueven a la misma velocidad que el negocio. Un entorno de trabajo fluctuantes conduce a un entorno de acceso errático. Los usuarios pueden agregar, pero los usuarios antiguos son rara vez despegados. Cada usuario latente plantea una amenaza de seguridad potencial. Mantenimiento de los derechos de acceso diario o semanal puede reducir considerablemente esta amenaza. También ayuda a mantener los sistemas de archivos más organizada.

Sistema de archivos de su empresa será más seguro y usted tendrá mayor control de permisos y garantizar el estado de su genio de la gestión de los derechos de un acceso de Windows.

David Rowe es el Director General de NetVision, una empresa privada para aportar soluciones de cumplimiento de normas y control de acceso de la empresa de auditoría. Llegar a él en drowe@netvision.com .

Contenido relacionado:

• Vigilancia de seguridad: Reflexiones sobre la identidad, parte 1
• Vigilancia de seguridad: Reflexiones sobre la identidad, parte 2
• Gestión de usuarios de Active Directory con ILM 2007