許可をどのように文書化/追跡しますか

12

私はWindows管理者なので、Windowsと統合する人が最も役立つでしょう。この時点での私の主な課題は、ファイル共有を使用することだけですが、SharePointの使用が増えるにつれて、これは難しくなります。

すべてのディレクトリをセットアップし、必要最小限のアクセスのポリシーでセットアップされた多くのセキュリティグループが許可されています。私の問題は、人事およびコンプライアンスの理由ですべてを追跡することです。

ユーザーAにはリソース1に対する許可が必要です。リソース1のマネージャーから承認を得る必要があり、マネージャーのマネージャーもこのアクセスを承認する必要があります。すべて完了したら、変更を加えることができます。この時点で、私たちはそれを紙で追跡していますが、ユーザーAが再割り当てされ、他のシナリオの中でリソース1にアクセスする必要がなくなると、そのような負担になり、コンプライアンスから外れます。

私が探しているものはすでに存在しているはずですが、どこを探すべきか分からず、コミュニティに手を差し伸べています。

編集：

回答いただきありがとうございます。彼らは技術的な側面に触れていると思うし、うまくいけば私の質問はトピックから外れていないと思います。私は自分の目標を明確にすべきでした。X日にユーザーAが許可を追加/削除し、マネージャーYによって承認されたことを監査人に示すためにどのシステムを使用しますか？現在、基本的なチケットシステムを導入していますが、必要なものがわかりやすい形式で提供されているとは思えません。
私の考えでは、ユーザーAのレポートに、権限に加えられたすべての変更が表示されるようなものを描いています。理想的にはActive Directoryにリンクするものが理想的ですが、この時点でもっと基本的なものを見つけたいと思っています。これ専用のアプリケーションがあることを期待しています。

ありがとう！

windows active-directory audit

— PHLIGHT
ソース

3

しばらくの間、ファイルシステムACLをすべてXMLファイルで使用し、スクリプトセットアップを定期的に実行して、XMLファイルを反映するファイルシステムACLを更新しました。XMLファイルにはコメントが含まれていました。しかし、すべてのバグが実際に解決したわけではありません。しかし、私のポイントは、ドキュメントのドキュメントをACLを設定するツールの一部にすることができるかどうかを確認する必要があるということでした。

— ゾレダチェ

正直に言って、ファイルレベルでファイルのアクセス許可の履歴を追跡する必要がないようにポリシーを変更することを検討します。外部のエンティティから実際にこれを行う必要がある場合は、おそらく、TripwireのようなFIMソリューション（ファイルの整合性の監視）が必要になるでしょう。

— mfinni

1

次の3つを提供するチケットシステムが必要です。

特定のユーザーの権限が変更（追加または削除）されたときのタイムスタンプ
変更された理由
これらの変更を検索する機能

ほとんどすべての発券システムは、チケット作成日、変更日などの形で＃1をすでに提供しています。＃2は、チケットに記録するのはあなた次第です。通常、それはチケットに貼り付けられたリソースマネージャーからの承認メールで、アクセス権がある（またはアクセス権を削除する必要がある）ことと種類を伝えます。＃3は最も重要であり、チケットシステムに依存しますが、検索が容易ではないシステムがある場合は、作業が中断されます。すべての許可チケットがチケットシステムの連絡先情報に関連付けられるようにユーザーだけで検索できる場合は問題ありません。そうでない場合は、本質的に変更をブラックホールに文書化しています。

変更を追跡するためにこれを行うことができるチケットシステムの外（基本的なチケットシステムがあるため、より良い検索/レポート機能を可能にするより良いシステムを取得する必要があることを述べます）、使用するアプリケーション、ユーティリティ、またはスクリプト権限のみのスナップショットを提供します。あなたはまだ「なぜ？」にこだわっています。誰が何にアクセスできるのか。これは、リソースマネージャーから元の電子メールまたはその他の承認テキストをキャプチャする必要があるため、アプリケーションとは別に適切にのみ文書化できます。それができたら、アプリケーションの結果に関連付けるためにどこに配置しますか？

アプリまたはスクリプトを実行してファイル構造内の現在のアクセス許可を決定することでも、ユーザーのアクセス許可の変更に関する優れた監査証跡も提供されません。基本的に、ある時点での現在のアクセス許可の大きなスナップショットに固執しています。再度実行すると、ファイルアクセス許可の別の大きなスナップショットが作成されます。最初のアクセス許可のキャプチャを保持して最近のキャプチャと比較し、アクセス許可が変更された場合でも、それを変更の理由とどのように結び付けますか？繰り返しになりますが、上記の1、2、3はすべて1か所で文書化されるため、チケットシステムに戻ります。

あなたが提起した別の問題は、アクセス許可のクリープです（ユーザーが別のアクセス許可に再割り当てされ、リソースXへのアクセスが不要になったが、リソースXへのアクセスが不要になったという事実がITによって実行されなかったため、とにかく保持されます）移行中に部）。これを制御する唯一の方法は、HRまたは従業員の再割り当てを処理する人に、従業員が適切に割り当ておよび取り消しできるように従業員が再割り当てされたときに通知する必要があることを伝えることです。それでおしまい。ユーザーがリソースXにアクセスできることを通知する魔法のアプリケーションはありませんが、ジョブがYになったため、これ以上はすべきではありません。これが発生した場合、何らかの形でITに通知する必要があります。

— 8月
ソース

2

既にチケットシステムを導入している場合は、これらのタイプのリクエスト用にアプリケーションに新しいグループやタグなどを作成し、ユーザーに権限変更のチケットを送信してもらうことをお勧めします。チケットシステムでチケットを他のユーザーに転送したり、チケットに追加したりできる場合は、必要なマネージャーを追加して確認を求めます。これにより、作業内容を記録することができます。

前述のように、共有ごとにセキュリティグループを作成します。私の環境では、FIN_Yearly、GEN_Public、MGM_Reportsという名前の共有があります（各部門には独自の頭字語があります）。セキュリティグループには、SG_FIN_YearlyAdmin、SG_FIN_YearlyUser、SG_GEN_PublicAdminなどの名前が付けられます。ユーザーは読み取り専用で、管理者は読み取り/書き込み可能です。

ここから、たとえばSG_FinancialsManagerを作成できます。他のセキュリティグループを含むセキュリティグループ。実行するジョブに基づいてアクセスを簡素化します。私たちは個人的にはこれをしませんが、追跡が少し混乱するからです。共有のSGを確認し、権限を持つSGの束を見るのではなく、代わりにユーザーのリストがあります。実際、個人的な好みはサイトのサイズに依存します。通常、新しいユーザーを特定のポジションに管理するためにユーザーテンプレートを使用します。

チケットシステムで以前のチケットを検索できる場合は、ほぼ完了です。ユーザーのアクセス許可を削除するように要求された場合は、追跡できます。その後、ユーザーがアクセスできなくなった理由を質問した場合、チケットを提供できます。マネージャーが誰に何にアクセスできるかを尋ねる場合は、要求されたセキュリティグループをprintscreenします。

— 不眠症
ソース

発券システム+1。それは非常に良い点です。チケットシステムはありますが、この使用法（または質問）に注意を払うことはありません。

— ジョン・シウ

2

実際には、これを行うためのいくつかの商用アプリケーションがあります。この領域は「データガバナンス」と呼ばれることもあります。

いくつかの例：

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager – Data Governance Edition
http://www.quest.com/identity-manager-data-governance

私はこれらを使用しませんが、トピックを調査し、いくつかのデモを見たので、必要なものの範囲は市場を説明するでしょう。これらのアプリケーションは非常に複雑で、安価ではありません。それらの一部には、アクセス制御リストを追跡するためにストレージプラットフォームにフックする非常に洗練された方法があります。たとえ予算内に収まっていなくても、デモはこのようなアプリケーションが機能するという観点から機能を理解するのに役立ちます。

私がこれをレビューしているときに見た1つの観察は、彼らが通常ファイルレベルで監査しないことです。そうした場合、数億または数十億のドキュメントに拡大する方法はありません。そのため、通常はディレクトリレベルでのみ権限を追跡します。

— グレッグ・アスキュー
ソース

データガバナンスという用語を教えてくれてありがとう。これらは、はるかに大きなプレーヤー向けのツールのようです。SMB向けのソリューションが必要なようです。

— PHLiGHT

1

それらの文書化/追跡については知りませんが、グループに割り当てます。

ユーザーAはリソース＃1にアクセスする必要があります。彼らは許可を得て、アクセスグループに追加します。
彼らは、1日再割り当て/解雇/何でも取得するまでビジネスを続けます。その時点で、私はそれらをアクセスグループから削除します。

アカウント変更監査ログは、アクセスの取得/喪失を記録するため、その記録があります。また、リソースアクセスグループは通常部門別のグループ（HR、IT、セールス、ファイナンスなど）であるため、再割り当ての管理は通常、グループの変更を意味しますとにかくメンバーシップ。

これは小規模な環境で最もよく機能する傾向があります-大規模な環境やACLが非常に複雑になる環境では、ZoredacheはACL調整を行うシステムにある程度文書化も行わせることについて良い点を示します

アクセスの追加/削除、ユーザーの再割り当てなどのリクエストを開始するには、電子ペーパー（チケットシステム）をお勧めします。これにより、ユーザーがクラックをすり抜けることはできませんが、電子システムを宗教的に使用するには企業全体の賛同が必要です。
紙よりも優れた点は、検索できるものを手に入れることであり、誰もが自分のデスクからプロセスの一部を実行できることです（オフィス内にメールエンベロープが移動しないため、マネージャーはより迅速に承認でき、ITはすぐにアクセスを許可/取り消しできます）チケットが誰かのビンに表示されるなど）

— voretaq7
ソース

また、グループの管理をビジネスの適切な人に委任することをお勧めします。電子メールアドレスがあり、GALに表示される場合、Outlookのアドレス帳を介して非常にユーザーフレンドリーな方法で管理できます。

— dunxd

1

パーミッションの設定を行うための最良の方法は、ロールベースです。

GG_HR GG_Financeなど。通常、ポジションまたはビジネスユニットにマップされます。

そこから、リソース、つまりプリンタまたはFinanceディレクトリに対するアクセス許可を持つローカルグループを作成します。LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

これらのローカルグループLG-> GGのグローバルグループを作成し、ロールベースのグローバルグループに、アクセス許可ベースのグローバルグループを追加します。

GG_Finance <-LG_Finance_FullControl、LG_RoomXPrinter

ユーザーが1つのグループにアカウントを追加するだけで簡単にロールに参加できるようになり、そのロールから権限が流れるようになり、追跡がはるかに容易になります。（何らかのID管理システムを使用する場合にも素晴らしいです）。誰がどのような権限を持っているかを追跡する方がはるかに簡単です。HRグループに属している場合、X権限を持っていることがわかります。

ジョブ管理システムを介して要求されたときにグループの動きを追跡するか、スクリプトを実行して、どのロールベースのグループに誰がいるかを吐き出すことができます。

— マーク
ソース

0

2つの優れたユーティリティ：

AccessEnum：http ://technet.microsoft.com/en-us/sysinternals/bb897332
AccessChk：http : //technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnumを使用すると、結果を保存して、将来的に比較することもできます。これは、変更を探すのに役立ちます。

— サミッチ
ソース

0

ファイル/フォルダーのアクセス許可の変更の監査を有効にし、ファイルサーバーのセキュリティログを（手動で、またはSplunkなどのイベントログ管理ツールまたはSIEMを使用して）収集し、ドキュメントに使用することを検討する必要があります。ファイルDACLへのすべての変更を分析します。さらに、上記のようにAccessEnumとAccessChkでこれを補完します。

また、これにより、適切なセキュリティ権限を設定し、グループのみを介してそれらを割り当てることから解放されません。

— Netwrix
ソース