Active Directory: proteggere i vostri dati di Active Directory

Esistono una serie di strategie per garantire solo a utenti autorizzati l'accesso a dati specifici all'interno dell'infrastruttura di Active Directory.

Darren Mar-Elia

Adattato da "Protezione dei dati critici da gestire il ciclo di vita di identità Active Directory" (Realtime editori)

È necessario proteggere i dati di identità basata su Active Directory. E ' una parte importante di assicurare qualsiasi sistema di identità che hai messo nel posto che funziona con Active Directory è protetto tale che è in grado di fare il suo lavoro di autenticare e autorizzare le persone giuste alle giuste risorse.

Si deve garantire i dati all'interno di Active Directory sono sacrosanti e solo gli utenti con un motivo di business di accedere alle informazioni di Active Directory vengono concesse quell'accesso. Tutti i grandi identità di provisioning processi nel mondo non vi aiutano se Active Directory è una mischia che chiunque può giocherellare con a suo piacimento. È necessario dare un'occhiata profonda al tuo modello di protezione di Active Directory e determinare le migliori tecniche e procedure consigliate per la protezione dei dati che risiedono all'interno.

Le sfide della protezione di Active Directory

Gestire il modello di protezione di Active Directory non è esattamente semplice. La natura di un servizio di directory gerarchica che serve molti mezzi di scopi (compresa la directory dell'applicazione, autenticazione directory, directory di gestione del desktop e così via) il modello di sicurezza può essere una manciata. Più importante, se non prendi un approccio proattivo alla gestione della vostra protezione di Active Directory, può rapidamente uscire di controllo.

Si consideri, ad esempio, il semplice compito di delegare la gestione degli account utente in Active Directory. A causa della natura granulare del modello di protezione di Active Directory, un compito apparentemente semplice come la gestione degli account utente potrebbe evolversi in una vertiginosa serie di autorizzazioni che dovrete delegare:

• Autorizzazione per creare oggetti utente
• Permesso di eliminare gli oggetti utente
• Permesso di spostare gli oggetti utente
• Autorizzazioni sulla proprietà dell'oggetto utente (ciò può abbattere in proprietà sensibili, come dipartimento, manager e appartenenze e proprietà non sensibili quali indirizzo ufficio e numero di telefono)
• Autorizzazione per reimpostare la password dell'utente o per sbloccare il suo conto
• Autorizzazione per controllare chi può modificare le autorizzazioni di un utente

Questa lista è affatto completa, ma sottolinea la potenziale complessità di gestione delegazione solo questo un compito. Si consideri che ciascuna di queste attività (o almeno gruppi di esse) potrebbe essere delegata ad altri sottogruppi. Questi set di autorizzazioni potrebbe anche variare in base l'unità organizzativa (OU) in cui si trovano gli utenti. Aggiungi al mix che gli oggetti del padre in Active Directory possono ereditare le autorizzazioni dai loro figli (ad esempio, autorizzazioni possono spostare dall'unità organizzativa Marketing all'unità organizzativa utenti sotto Marketing). Si può vedere le cose possono davvero arrivare fino gommate se non stai attento.

Non solo la complessità del modello di protezione di Active Directory è impegnativo, richiede disciplina per stabilire un modello di delega buona e tenere che e organizzato nel tempo. Richieste una tantum e insolito business ha bisogno di guidare a compromessi. L'obiettivo finale è quello di proteggere i dati in Active Directory che è critica per l'autenticazione dell'organizzazione e dei meccanismi di autorizzazione, quindi è importante mantenere una maniglia sulla protezione di Active Directory.

Capire il modello di protezione di Active Directory

Modello di sicurezza è comprendere l'Active Directory per comprendere come è strutturato il Active Directory. Non diversamente da un database relazionale, Active Directory contiene uno schema che definisce le classi di oggetti e loro attributi associati disponibili. Un oggetto utente in Active Directory è una creazione di istanze della classe dello schema "utente". Tale oggetto utente, secondo lo schema, contiene un insieme di attributi come nome, cognome, dipartimento, responsabile, numero di telefono e così via.

Ogni oggetto in Active Directory dispone anche di un descrittore di protezione associato. Questo descrittore di protezione definisce i permessi su tale oggetto. Questi mostrano un esempio di set di autorizzazioni di un oggetto utente o Access Control List (ACL), come gli utenti da Active Directory utenti e computer.

L'ACL è composto da un insieme di entità di protezione (di solito gli utenti o gruppi) che hanno diritti sopra quell'oggetto e i diritti o le autorizzazioni associate a ogni entità di protezione. Una particolare autorizzazione può essere un "Consenti" o "Deny". Permettere è l'impostazione predefinita. Ciò concede un'autorizzazione per l'entità di protezione. Se si seleziona nega, poi quell'autorizzazione esplicitamente negato a tale entità di protezione. Infatti, se un oggetto eredita le autorizzazioni dal relativo elemento padre e lì si scontrano Consenti e nega voci di controllo accesso (ACE) per una determinata autorizzazione, quindi in genere il Deny vincerà.

Diritti standard e prolungati

Non ogni classe di oggetti in Active Directory ha lo stesso set di autorizzazioni associate. Questo è grande, perché significa che è possibile personalizzare le autorizzazioni per il tipo di oggetto coinvolto. Si consideri questo esempio: un'autorizzazione "avviare la replica" associata a un oggetto di contesto dei nomi di Active Directory consente di delegare a chi può forzare la replica tra due controller di dominio. Avviare la replica non ha alcuna rilevanza a un oggetto utente, però. Infatti, ogni oggetto ha un insieme associato di "diritti standard." Questi includono quelli familiari come:

• Read
• Write
• Elenco
• Creazione
• Delete
• Proprietà di scrittura e lettura

Oltre i diritti standard, una classe dello schema può anche esteso i diritti. Esempi familiari di diritti estesi sono i permessi trovati su un oggetto computer. Un computer ha autorizzazioni come "lettura e scrittura attributi di nome host" specifico per la classe di computer di ogni oggetto.

Questa estensibilità all'interno del modello di sicurezza di Active Directory consente di creare una delegazione granulare e ricca di attività per gli amministratori e gli utenti. Se si estende lo schema di Active Directory con una nuova classe di oggetto, può avere una propria serie di diritti estesi che controllano la delegazione specifico per quel tipo di oggetto (se bisogna anche essere consapevoli delle varie differenze tra le classi di oggetto che si desidera delegare).

Capire l'ereditarietà di sicurezza

Un altro aspetto che rende il modello di protezione di Active Directory impegnativi è la nozione di ereditare le autorizzazioni attraverso la gerarchia Active Directory. Un set nella parte superiore di un dominio di autorizzazioni può gocciolare tutto il senso giù attraverso le unità organizzative nidificate agli oggetti ai livelli più bassi della gerarchia di domini.

È possibile controllare questa eredità, sia dall'alto verso il basso, così come il bottom-up. Ad esempio, dire si stanno impostando le autorizzazioni per gli oggetti utente all'interno di una gerarchia di unità organizzativa composta da un'unità organizzativa Marketing primo livello e due sub-unità organizzative chiamate utenti-Oriente e Occidente-utenti. Volete approfittare dell'eredità di impostare le autorizzazioni per tutti gli oggetti utente a livello di unità organizzativa Marketing e avere quel trickle giù per tutti gli oggetti utente in due sub-unità organizzative. Potete farlo creando il nuovo ACE all'interno ACL dell'unità organizzativa Marketing (ad esempio, utilizzando Active Directory Users and Computers) e poi, dopo aver impostato le autorizzazioni, hanno si applica a tutti i "discendente oggetti utente."

Se in esecuzione OU utenti-est, si potrebbe decidere di non applicano le autorizzazioni posizionate su oggetti utente al livello superiore. Se si dispone di autorizzazioni sufficienti, è possibile essenzialmente disattivare l'eredità che scende dall'unità organizzativa Marketing. Puoi farlo semplicemente deselezionare la casella di controllo nella sezione avanzate dell'editor ACL in Active Directory Users and Computers. Che rompe quella catena di ereditarietà.

Capire la delegazione

All'interno di Active Directory, la delegazione è il processo mediante il quale si concedono le autorizzazioni per gli oggetti Active Directory. Questo consente agli utenti e gruppi di eseguono compiti specifici contro gli oggetti Active Directory. Delegazione implica una sorta di piano ordinato per dando i giusti permessi utenti giusti giusto oggetti di Active Directory, in tutta la struttura Active Directory.

Un esempio della delegazione può essere un gruppo denominato Help Desk amministratori, a cui tutti aiutare scrivania squadra membri appartengono. È possibile concedere questo gruppo la possibilità di reimpostare le password utente su tutti gli oggetti utente del tuo dominio di Active Directory. Ciò li permette di gestire uno dei compiti primari del loro lavoro. Un altro esempio comune di delegazione è lasciare che gli amministratori aggiungere computer al dominio. Questo è un autorizzazione delegata per oggetti computer, in genere applicato alle unità organizzative dove potrebbero risiedere oggetti computer.

Creare un modello di delega per Active Directory è probabilmente uno dei più importanti compiti di pianificazione che è possibile eseguire. Questo è particolarmente vero quando si tratta di delegare l'accesso ai dati sensibili detenuti all'interno di Active Directory. Non importa se hai appena srotolato Active Directory o se siete in procinto di migrazione di Active Directory di 10 anni a una nuova struttura di dominio. In entrambi i casi, è mai troppo tardi per pianificare e creare un modello di delega che protegge in modo appropriato oggetti critici all'interno di Active Directory e i delegati di accesso.

C'è un sacco di dati all'interno di Active Directory che può e deve essere protetto, ma non tutti si riferisce al sistema di identità. L'elenco seguente evidenzia aree per cominciare in termini di protezione dei vostri dati di identità all'interno di Active Directory:

**Proprietà dell'utente:**Attributi sugli utenti possono o non possono essere sensibili e richiedono la delega. Ci sono alcuni attributi — come titolo di lavoro dell'utente, dipartimento e Manager — che sono spesso gestiti dal dipartimento HR. Se Active Directory è integrato in un sistema HR, quegli attributi potrebbero essere gestiti attraverso quel sistema. In tal caso, si vorrebbe impedire tutti gli utenti di essere in grado di modificare questi attributi in proprio.

**Gruppi:**È possibile utilizzare i gruppi per controllare l'accesso ad una varietà di risorse, dai server di file pubblica ai dati sensibili di database. Controllare che dispone delle autorizzazioni per modificare le appartenenze è probabilmente uno dei primi passi che si dovrebbe prendere nella vostra attività di delegazione di Active Directory. Questo si traduce in chi può scrivere all'attributo membri oggetti di gruppo di Active Directory. Un utente con questa autorizzazione può modificare le appartenenze.

**OU si muove:**Sebbene lo spostamento di oggetti quali utenti tra unità organizzative possa sembrare abbastanza benigno da una prospettiva di gestione delle identità, tale mossa spesso può avere effetti a valle. Alcune organizzazioni hanno automatizzato i processi associati all'adesione OU che potrebbe cambiare le cose, come le appartenenze di gruppo di un utente o quello che le impostazioni di criteri di gruppo elaborano. Queste modifiche potrebbero inavvertitamente Concedi all'utente accesso accidentale alle risorse. Di conseguenza, lo spostamento degli oggetti utente OU dovrebbe essere strettamente controllato.

Strumenti di delegazione

Avete qualche aiuto rispetto alla delegazione. Questo si presenta sotto forma di Active Directory utenti e computer Delega guidata del controllo (DoC). La procedura guidata di DoC è disponibile ogni volta che il tasto destro del mouse un oggetto contenitore (ad esempio, un dominio o unità organizzativa) all'interno di Active Directory utenti e computer. Esso si trasforma essenzialmente un insieme di attività standard, che è possibile delegare all'interno di Active Directory in un modello.

Inoltre, consente di creare attività personalizzate delegazione raccogliendo le classi di oggetti e scegliendo quali diritti hai bisogno su quelle classi. La procedura guidata DoC francobolli un set di autorizzazioni che hai richiesto nel contenitore con cui stai lavorando.

Il mago DoC semplifica attività delegazione semplice, ma ha diverse lacune:

• Supporta solo un piccolo insieme di attività di delega (anche se è possibile estendere il set).
• È una delegazione del momento-in-time. In altre parole, nessun stato della delegazione che è stato appena eseguito è mantenuto. Le autorizzazioni sono timbrate semplicemente degli oggetti di Active Directory su cui si sono concentrati. Non è possibile modificare tale delega attraverso la procedura guidata dopo il fatto. Devi andare e modificare manualmente le autorizzazioni ACL direttamente.
• La procedura guidata DoC vi non dà nessuna vista dall'alto della delegazione attraverso Active Directory intero. Perché in definitiva è solo stampaggio privilegi, non c'è modo di "tenere traccia" di ciò che le delegazioni che hai fatto senza guardare gli ACL di ogni oggetto di Active Directory di interesse.

Active Directory delegazione consigliate

Un certo numero di procedure consigliate è emerse nel corso degli anni che sono da prendere in considerazione, come si determinano come creare il tuo modello di delega e proteggere i vostri dati di Active Directory. Un approccio comune è il "ruolo" approccio per delegare all'interno di Active Directory. Ciò comporta l'elenco dei compiti che invitare la gente a eseguire all'interno di Active Directory. Questo elenco deve essere abbastanza lungo, si vorrà veramente rimpolpare tutte quelle cose che invitare la gente a fare contro l'Active Directory, soprattutto quando si tratta di modificare gli oggetti sensibili.

Il passo successivo è individuare quei gruppi di utenti che devono eseguire ogni attività o ruolo. Eseguendo il mapping tra i gruppi che devono accedere ad Active Directory e i tipi di accesso che si desidera supportare efficacemente stai creando un modello di delega basata sui ruoli che è possibile rendere reale attraverso le autorizzazioni all'interno di Active Directory.

È possibile progettare un modello di delega di Active Directory che si rompe la protezione di Active Directory in compiti o ruoli e quindi assegna le attività per gruppi di utenti. Questo approccio può notevolmente semplificare la gestione di sicurezza di Active Directory e prendere da reattiva concessione di autorizzazioni per la gestione proattiva di accesso ai dati di Active Directory.

Considerare tutti questi aspetti e come influenzano il livello generale di sicurezza dei dati memorizzati nella tua directory di Active Directory. Combinando e l'analisi di tutte queste tecniche può aiutare a mettere i dati di Active Directory a un livello sicuro di lockdown.

Darren Mar-Elia è un MVP per i criteri di gruppo Microsoft, creatore del famoso sito criteri di gruppo gpoguy.com e coautore di "Microsoft Windows Group Policy Guide" (Microsoft Press, 2005). Egli è anche, CTO e fondatore di SDM Software Inc. Contattarlo al Darren@gpoguy.com.

Per ulteriori informazioni su questo e altri titoli di editori in tempo reale, controlla la Realtime editori Web sito.

Contenuti correlati

• Identity e Access Management: L'accesso è un privilegio
• Identity e Access Management: Colmare il divario nella identità e Governance di accesso
• Sicurezza: 19 Smart consigli per protezione di Active Directory