권한을 문서화 / 추적하는 방법

저는 Windows 관리자이므로 Windows와 통합 된 사람들이 가장 도움이 될 것입니다. 이 시점에서 나의 주된 과제는 파일 공유에 관한 것이지만 SharePoint 사용이 증가함에 따라이를 어렵게 만들뿐입니다.

모든 디렉토리를 설정했으며 필요한 최소 액세스 정책으로 설정된 많은 보안 그룹이 허용됩니다. 내 문제는 HR 및 규정 준수 이유로 모든 것을 추적하는 것입니다.

사용자 A는 자원 1에 대한 권한이 필요합니다. 자원 1의 관리자로부터 승인을 받아야하며 관리자의 관리자도이 액세스를 승인해야합니다. 모든 것이 끝나면 변경을 할 수 있습니다. 이 시점에서 우리는 단지 그것을 종이로 추적하고 있지만 사용자 A가 재 할당되고 더 이상 다른 시나리오 중에서 자원 1에 액세스 할 수 없어야하는 부담과 규정 준수에서 벗어날 수 있습니다.

찾고있는 것이 이미 존재해야한다는 것을 알고 있지만 어디를 찾아야하는지 알지 못하고 커뮤니티에 연락하고 있습니다.

편집하다:

답변 주셔서 감사합니다. 나는 그들이 기술적 인 측면을 건드리고 내 질문이 주제를 벗어나지 않기를 바랍니다. 나는 내 목표를 더 명확하게해야했다. X 날짜에 사용자 A에게 추가 / 제거 권한이 있고 관리자 Y에 의해 승인되었음을 감사 자에게 표시하기 위해 어떤 시스템을 사용합니까? 현재 기본 발권 시스템을 가지고 있지만 이해하기 쉬운 형식으로 필요한 것을 제공하는 것을 보지 못했습니다.
내 생각에 나는 사용자 A에 대한 보고서를 가지고 권한에 대한 모든 변경 사항을 보여주는 무언가를 그려보고 있습니다. 이상적으로 Active Directory에 연결하는 것이 이상적이지만이 시점에서 더 기본적인 것을 찾고 싶습니다. 나는 이것을 위해 특별히 응용 프로그램이 있기를 바라고 있습니다.

감사!

다음 세 가지를 제공하는 발권 시스템이 필요합니다.

1. 특정 사용자에 대한 권한이 변경 (추가 또는 제거 된) 된 시간 소인
2. 왜 바뀌 었는가
3. 이러한 변경 사항을 검색하는 기능

거의 모든 발권 시스템은 이미 티켓 생성 날짜, 수정 날짜 등의 형태로 # 1을 제공합니다. # 2는 티켓에 문서를 작성하는 데 달려 있습니다. 일반적으로 자원 관리자가 티켓에 붙여 넣은 액세스 권한 (또는 액세스를 제거해야 함)과 어떤 종류의 승인 전자 메일입니다. # 3이 가장 중요하며 발권 시스템에 따라 다르지만 검색하기 쉽지 않은 시스템이 있으면 작업이 중단됩니다. 모든 허가 티켓이 발권 시스템의 연락처 정보에 연결되도록 사용자가 검색 할 수 있다면 좋을 것입니다. 그렇지 않으면 본질적으로 변경 사항을 블랙홀에 기록합니다.

발권 시스템 외부에서 변경 사항을 추적하기 위해이를 수행 할 수 있습니다 (기본 발권 시스템이 있으므로 더 나은 검색 /보고 기능을 제공하는 더 나은 시스템이 필요함), 사용하는 응용 프로그램, 유틸리티 또는 스크립트 권한의 스냅 샷 만 제공합니다. 당신은 여전히 ​​"왜?" 자원 관리자의 원본 전자 메일 또는 기타 승인 텍스트를 캡처해야하기 때문에 응용 프로그램과 별도로 문서화 만 가능한 문서에 액세스 할 수있는 사용자 일단 당신이 그것을 응용 프로그램의 결과와 연결하기 위해 어디에 두어야합니까?

파일 구조에서 현재 권한을 결정하기 위해 앱 또는 스크립트를 실행해도 사용자에 대한 권한 변경에 대한 감사 추적 기능도 제공되지 않습니다. 기본적으로 단일 시점에서 현재 권한의 큰 스냅 샷이 붙어 있습니다. 다시 실행하면 파일 권한에 대한 또 다른 큰 스냅 샷이 생깁니다. 첫 번째 사용 권한 캡처를 유지하고 최근 캡처와 비교하여 사용 권한이 변경된 경우에도 변경 사유와 어떻게 연결합니까? 다시 한 번, 위의 # 1, 2 및 3이 모두 한곳에 문서화되므로 티켓 시스템으로 돌아갑니다.

제기 한 또 다른 문제는 권한 크리프 (사용자가 다른 권한에 재 할당되어 더 이상 리소스 X에 액세스 할 필요가 없지만 더 이상 리소스 X에 액세스 할 필요가 없다는 사실이 IT에 의해 실행되지 않았기 때문에 유지함)입니다. 전환 중 부서). 이를 제어하는 ​​유일한 방법은 HR 또는 직원 재 할당 담당자에게 직원이 재 할당 될 때 IT에 알려야하므로 권한을 적절하게 할당 및 취소 할 수 있음을 알리는 것입니다. 그게 다야. 사용자에게 리소스 X에 대한 액세스 권한이 있지만 더 이상 작업이 Y이기 때문에 더 이상 사용해서는 안된다는 마법의 응용 프로그램은 없습니다. 이러한 상황이 발생하면 IT에 어떤 형태의 사람의 알림도 제공해야합니다.

이미 발권 시스템을 보유하고 있다면, 이러한 유형의 요청에 대해 애플리케이션에 새로운 그룹 또는 태그 등을 생성하고 권한 변경을 위해 티켓을 사용자에게 보내도록 제안합니다. 발권 시스템을 통해 다른 사용자에게 티켓을 전달하거나 티켓에 추가 할 경우 필요한 관리자를 추가하고 확인을 요청하십시오. 이를 통해 작업 내용을 기록 할 수 있습니다.

위에서 언급 한 것처럼 모든 공유에 대한 보안 그룹을 만듭니다. 내 환경에는 FIN_Yearly, GEN_Public, MGM_Reports (각 부서마다 고유 한 약어가 있음)라는 공유가 있습니다. 그런 다음 보안 그룹 이름을 SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin 등으로 지정합니다. 사용자는 읽기 전용이고 관리자는 읽기 / 쓰기입니다.

여기에서 예를 들어 SG_FinancialsManager; 작업에 따라 액세스를 단순화하기 위해 다른 보안 그룹을 포함하는 보안 그룹. 우리는 개인적으로 이것을 추적하지 않습니다. 공유의 SG를 확인하고 권한이있는 많은 SG를 보는 대신 사용자 목록이 있습니다. 개인 취향은 실제로 사이트 크기에 따라 다릅니다. 우리는 일반적으로 특정 위치에 새로운 사용자를 관리하기 위해 사용자 템플릿을 사용합니다.

발권 시스템을 통해 이전 티켓을 검색 할 수 있다면 거의 완료된 것입니다. 누군가 사용자의 권한 제거를 요청하면이를 추적 할 수 있습니다. 그런 다음 사용자가 더 이상 액세스 할 수없는 이유에 대해 질문하면 티켓을 제공 할 수 있습니다. 관리자가 누가 무엇에 액세스 할 수 있는지 물어 보면 요청 된 보안 그룹을 인쇄합니다.

실제로이를위한 몇 가지 상용 응용 프로그램이 있습니다. 이 영역은 "데이터 거버넌스"라고도합니다.

몇 가지 예 :

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager – 데이터 거버넌스 에디션
http://www.quest.com/identity-manager-data-governance

나는 이것들을 사용하지 않고 주제를 연구하고 몇 가지 데모를 보았을 때, 필요한 것의 범위는 시장을 설명 할 것입니다. 이러한 응용 프로그램은 매우 복잡하고 저렴하지 않습니다. 그들 중 일부는 액세스 제어 목록을 추적하기 위해 스토리지 플랫폼에 연결하는 매우 정교한 방법을 가지고 있습니다. 예산에 맞지 않더라도 데모는 이와 같은 응용 프로그램이 기능적 관점에서 무엇을하는지에 대한 아이디어를 얻는 데 유용 할 수 있습니다.

이것을 검토하면서 내가 관찰 한 한 가지는 일반적으로 파일 수준에서 감사하지 않는다는 것입니다. 그렇게한다면 수억 또는 수십억 개의 문서까지 확장 할 수있는 방법이 없을 것입니다. 따라서 일반적으로 디렉토리 수준에서 권한 만 추적합니다.

내가 모르는 추적 / 문서화 를,하지만 난 지정 그룹으로 그들을.

사용자 A는 리소스 # 1에 액세스해야합니다. 그들은 허가를 받고 액세스 그룹에 추가합니다.
그들은 언젠가 재 할당 / 해고 / 무엇이 나올 때까지 비즈니스에 대해 진행하며,이 시점에서 액세스 그룹에서 제거합니다.

내 계정 수정 감사 로그는 액세스 권한을 얻거나 잃어버린 시점을 알려주므로 기록이 있으며 리소스 액세스 그룹은 일반적으로 부서 그룹 (HR, IT, 영업, 재무 등)이므로 재 할당 관리는 일반적으로 그룹을 변경하는 것을 의미합니다. 어쨌든 멤버쉽.

이는 소규모 환경에서 가장 잘 작동하는 경향이 있습니다. 대규모 환경 또는 ACL이 실제로 복잡 해지는 환경의 경우 Zoredache는 ACL 트위 킹을 수행하는 시스템이 어느 정도 문서화를 수행하도록하는 데 좋은 지적을합니다.

액세스 추가 / 제거 요청, 사용자 재 할당 요청 등을 시작하기 위해 전자 용지 (발권 시스템)를 제안합니다. 이렇게하면 사용자가 균열을 피할 수는 없지만 전자 시스템을 종교적으로 사용하려면 전체 기업의 구매가 필요합니다. .
종이보다 장점은 검색 할 수있는 것을 얻는 것입니다. 모든 사람이 자신의 책상에서 프로세스의 일부를 수행 할 수 있습니다 (사무실 간 편지 봉투가 없어 관리자가 더 빨리 승인 할 수 있음, IT 부서에서 즉시 액세스 권한 부여 / 취소 가능) 티켓이 누군가의 쓰레기통 등에 나타날 때)

권한 설정을 수행하는 가장 좋은 방법은 역할 기반입니다.

GG_HR GG_Finance 등, 일반적으로 직위 또는 업무 부서에 매핑됩니다.

여기에서 자원 즉 프린터 또는 Finance 디렉토리에 대한 권한이있는 로컬 그룹을 만듭니다. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

이 로컬 그룹 LG-> GG에 대한 글로벌 그룹을 만든 다음 역할 기반 글로벌 그룹에서 권한 기반 글로벌 그룹을 추가합니다.

GG_Finance <-LG_Finance_FullControl, LG_RoomXPrinter

사람들이 역할에 들어갈 때 계정을 하나의 그룹에 추가하면 해당 권한에서 해당 권한이 흐르고 추적하기가 훨씬 쉬워집니다. (일부 ID 관리 시스템을 사용하는 경우에도 좋습니다). 개별 권한이있는 사용자를 추적하는 것이 훨씬 쉬워 짐에 따라 HR 그룹에 속한 경우 X 권한이 있음을 알 수 있습니다.

작업 관리 시스템을 통해 요청 될 때 그룹 이동을 추적하거나 스크립트를 실행하여 누가 역할 기반 그룹에 속하는지 알아낼 수 있습니다.

두 가지 훌륭한 유틸리티 :

1. AccessEnum : http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk : http://technet.microsoft.com/en-us/sysinternals/bb664922

또한 AccessEnum을 사용하면 결과를 저장 한 후 나중에 비교할 수 있으므로 변경 사항을 찾는 데 유용합니다.

파일 / 폴더 권한 변경 감사를 활성화 한 다음 파일 서버 보안 로그 (수동 또는 Splunk와 같은 SIEM을 사용하여)를 수집하여 문서화에 사용해야합니다. 파일 DACL에 대한 모든 변경 사항을 분석하십시오. 또한 위에서 제안한대로 AccessEnum 및 AccessChk로이를 보완합니다.

또한 적절한 보안 권한을 설정하고 그룹을 통해서만 할당 할 수 없습니다.