Изменения в AD Windows Server 2012. Часть 1. Динамический контроль доступа

На Windows ITPro вышла увлекательная статья Windows Server 2012 Active Directory Security Changes, посвященная главным изменениям Active Directory в Windows Server 2012.

Статья большая, потому я решил разбить ее на две части. В первой части мы остановимся на динамическом контроле доступа (Dynamic Access Control), который представляет собой большой шаг вперед в модели авторизации в Windows и Active Directory. Во 2-ой части подвергнутся рассмотрению другие конфигурации в AD Server 2012, которые касаются вопросов безопасности, а конкретно:

Новые функции управления безопасностью в ADAC (графический интерфейс корзины AD и гранулярных политик паролей),
Сервисные учетные записи, управляемые группами (Group Managed Service Accounts)
Первичные компы.

Желаю отметить, что язык статьи довольно непростой, потому перевод местами может хромать. Прошу заблаговременно извинить за это.

Динамический контроль доступа: все дело в заявках

Динамический контроль доступа представляет собой более базовое изменение в плане безопасности, которое включено в Server 2012. Динамический контроль доступа интегрирует внутри себя модель контроля доступа на базе заявок (claims-based access control — CBAC) с моделью ОС Windows и AD. Заявки (claims) представляют собой типичные утверждения о юзерах либо устройствах (к примеру, “Имя моей учетной записи JanDC”, “Я состою в отделе продаж” и т.д.), которые выпускаются доверенными источниками (trusted authority). Microsoft в первый раз представила CBAC в Active Directory Federation Services v 1.0 (ADFS v1) в Windows Server 2003.

Заявки могут представить гибкий механизм для обмена доверенными идентификационными атрибутами меж ADFS серверами. Организации сейчас могут использовать заявки для защиты данных в файле и папке, хранящихся на доменных (domain-joined) машинах под Windows Server 2012 либо Windows 8. Контроллеры домена в Server 2012 могут выпускать заявки (claim statements) в процессе аутентификации юзера либо машины; осуществляется это методом включения заявки в аутентификационный билет (authentication ticket) юзера либо машины. (Более подробная информация о заявках и том, как Microsoft употребляет их, находится на MSDN A Guide to Claims-based Identity and Access Control.)

Динамический контроль доступа основан на нескольких новых и улучшенных функциях авторизации данных в Windows, которые созданы для:

Систематизации и тегирования данных
Внедрения опций контроля доступа на базе заявок (CBAC)
Аудита доступа к данным
Шифрования данных.

Исходя из убеждений разработчиков в динамический контроль доступа были внесены бессчетные конфигурации в главные составляющие, службы и протоколы Windows. Они касаются AD, объектов групповых политик, DNS, Kerberos, Local Security Authority (LSA) и Netlogon процессов, равно как и такие сетевых протоколов как Server Message Block (SMB), LDAP и удаленный вызов процедур (remote procedure call – RPC). Microsoft привнесла несколько конфигураций в Server 2012, которые были обоснованы возникновением динамического контроля доступа:

Расширение логики контролера домена и Kerberos Key Distribution Center (KDC) для того, чтоб активировать выпуск заявок и токенах аутентификации (authentication tokens)
Изменение формата токена Kerberos для воплощения транспортировки заявок
Добавлены другие потоки данных (alternate data streams — ADS) в NTFS, добавлена поддержка кастомных параметров для файлов и папок
Включено хранение секретных выражений в ACL файла и папки для воплощения гибкого контроля доступа и опции аудита
Расширена схема AD, что сейчас позволяет производить централизованное хранение параметров и политик динамического контроль доступа.

Политики центрального доступа

Динамический контроль доступа может использовать AD для хранения политик центрального доступа (central access policies — CAP); делается это для того, чтоб применить эти политики к членам домена. В диалоговом окне Advanced Security Settings для папок была добавлена вкладка Central Policy (показано на рисунке 1). Из этой вкладки, админы могут избрать политику центрального доступа (CAP), которую они желают присвоить данной папке. Сейчас можно задавать политику доступа к файлам и папкам в вашем домене либо лесе, основываясь на значениях стандартных и кастомных атрибутов ваших объектов AD (юзеры либо компы). К примеру, вы сможете отказать юзеру в доступе к сетевой папке на файловом сервере, если атрибут Department пользовательского объекта AD не содержит значение “Sales» либо «Marketing.» Эта эластичная логика авторизации очень отличается от той логики, которая была ранее (SID юзера и группы).

Конфигурации в AD Windows Server 2012. Часть 1. Динамический контроль доступа
Прирастить

Центральные политики доступа (CAP) можно задать из контейнера динамического контроля доступа (DAC), который представлен в освеженном Active Directory Administrative Center (ADAC), что показан на рисунке 2, либо c помощью PowerShell комендлетов. При помощи тех же инструментов можно активировать поддержку заявок (claim statements) для объектов AD (юзеры и компы) и добавить значения этим атрибутам. Контроллер домена Server 2012 добавит заявки (claim statements) к токенам авторизации юзера и компьютера исключительно в том случае, если атрибуты этих объектов вправду содержат информацию и связаны с активированным типом заявки. Перед тем как ваш контроллер домена в Windows Server 2012 сумеет выпускать заявки, эту фунцию нужно включить; имейте ввиду, что КД в Server 2012 по дефлоту не активны для использования CBAC. Чтоб включить CBAC, используйте настройку объекта групповой политики Domain Controller support for Dynamic Access Control and Kerberos armoring в контейнере Computer ConfigurationPoliciesAdministrative TemplatesSystemKDC. Чтоб использовать объекты групповых политик для распространения CAP на ваши машины, вы сможете использовать опцию объекта групповой политики Central Access Policy в контейнере Computer ConfigurationPoliciesWindows SettingsSecurity SettingsFile System.

Конфигурации в AD Windows Server 2012. Часть 1. Динамический контроль доступа
Прирастить

Аудит доступа к файлам и папкам в Windows Server 2012

С введением динамического контроля доступа заявки можно гибко использовать не только лишь для делегирования доступа к файлам и папкам, да и для аудита доступа к ним. К примеру, в Server 2012 мы сможете настроить правило аудита для отслеживания всех юзеров, которым был предоставлен либо запрещен доступ к папкам, которые помечены как “секретные” (свойство “confidential”). Чтоб централизованно задать опции аудита для файлов и папок на основании заявок, используйте объект групповой политики Global Object Access Auditing, который Microsoft представила в Windows Server 2008 R2 и который сейчас расширен при помощи динамического контроля доступа.

Админы могут задавать гибкие настойки контроля доступа и аудита доступа к файлам и папкам; это производить как в качестве прибавления, так и независимо от централизованно определённых CAP’ов. Были изменены диалоговые окна в Advanced Security Settings в Windows 8 и Server 2012, чтобым можно было задавать условные выражения (conditional expressions) при настройке авторизации и аудита файлов и папок. Набросок 3 указывает этот новый интерфейс, иллюстрируя тем определение разрешения, которые включает условное выражение в папку, нареченную SharedData.

Конфигурации в AD Windows Server 2012. Часть 1. Динамический контроль доступа
Прирастить

Систематизация данных

Кроме аудита и контроля доступа Dynamic Access Control также дает новые гибкие механизмы систематизации данных. Сейчас можно добавить кастомные характеристики файлу либо папке, которые получили заглавие характеристики глобальных ресурсов (global resource properties); это осуществляется через диалоговые окна опций аудита и контроля доступа. Опять, вы сможете сделать то же самое при помощи ADAC либо PowerShell командлетов. Чтоб распространить (propagate) эти кастомные характеристики на ваши доменные компы, Microsoft оснастила клиенты Windows 8 и Server 2012 особыми расширениями, которые употребляют LDAP, чтоб подключиться к AD и извлечь эти характеристики. Эта новенькая функция систематизации дает вам производить гибкую систематизацию данных на базе избранных вами атрибутов и, соответственно, использовать защиту.

Вы сможете систематизировать файлы и папки вручную, используя вкладку Classification в свойствах файла либо папки, как показано на рисунке 4. Эта вкладка возникает исключительно в системах, в каких находится установленная функция Desktop Experience и которая хостит (host) File Server Resource Manager role service

Конфигурации в AD Windows Server 2012. Часть 1. Динамический контроль доступа

Автоматизация процесса систематизации файлов

Процесс систематизации файлов можно заавтоматизировать, если использовать функцию File Classification Infrastructure (FCI). FCI была представлена в Server 2008 R2 и позволяет админам определять кастомные классификационные ярлычки (теги), устанавливать правила систематизации и истечения ее срока и сформировывать отчеты по классификациям. Админы могут управлять FCI прямо из File Server Resource Manager (FSRM). FCI может быть применена с RMS Bulk Protection Tool, чтоб автоматом использовать RMS защиту к файлам.

Это достаточно куцее введение в динамический контроль доступа. Подробную информацию (настройка, конфигурирование, решение заморочек) можно отыскать в white paper от Microsoft (» Understand and Troubleshoot Dynamic Access Control in Windows Server 8 Beta».)

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.