У Windows Server 2012 з’явився нова концепція централізованого управління доступом до файлів і папок на рівні всієї компанії під назвою Dynamic Access Control (динамічний контроль доступу). Основна відмінність нової системи динамічного контролю доступу від старої системи доступу до файлів і папок Access Control List (ACL – списки контролю доступу), що дозволяє надавати доступ тільки на облікових записів користувачів і груп, полягає в тому, що за допомогою Dynamic Access Control (DAC) можна управляти доступом на основі практично будь-якого заданого атрибуту і навіть критерію. За допомогою Dynamic Access Control в Windows Server 2012 можна створювати цілі правила управління доступу до даних, які дозволять проворить, наприклад, чи входить користувач в певні групи, числиться він в фінансовому відділі і підтримує його планшет шифрування RMS. Ці правила у вигляді політик надалі можна застосувати до будь-якого (або всім) файлових серверів організації, створивши тим самим єдину систему безпеки.

Недоліки організації доступу на основі ACL

Яким чином реалізовувався доступ до загальних каталогах на файлових серверах до появи Dynamic Access Control. На загальну папку на рівні NTFS і / або кулі призначалися певні списки доступу, що включаються в себе певні групи в AD (або локальні групи сервера) або конкретні облікові записи. Щоб користувач отримав доступ до потрібного каталогу, адміністратор повинен був включити його до відповідної групи. Які недоліки такої моделі організації доступу?

· Доступ регулюється тільки на підставі тільки членства в групі

· При великій кількості спільних папок необхідно створювати велику кількість груп (виливається в збільшення квитка Kerberos)

· Відсутня можливість контролю доступу на підставі характеристик пристрою користувача, з якого підключається користувач

· Неможливість реалізації складних сценаріїв доступу

При контролі доступу тільки на основі ACL нерідкі випадки, коли користувач випадково викладає конфіденційну інформацію (зарплати топ-менеджерів, наприклад) на загальнодоступний (public) ресурс, де всі бажаючі можуть з нею познайомиться.

Зазначені вище недоліки покликана усунути технологія динамічного контролю доступу.

Архітектура і принципи Windows Server 2012 Dynamic Access Control

У Windows Server 2012 Dynamic Access Control створює ще один рівень управління доступом до файлових об’єктів на рівні всього домену, причому на ці об’єкти продовжують діяти NTFS дозволами
(ACL). Відзначимо, що правила DAC можуть діяти повсюдно, незалежно від того, які NTFS права виставлені на об’єкті.

Однією з основних концептів моделі DAC є поняття позов (Заявка або твердження). У моделі управління доступом Windows Server 2012 claim є атрибут Active Directory, якою визначено для використання з централізованими політиками доступу (Central Access Policies). В якості критеріїв можна використовувати практично будь-які зберіганню в AD параметри, що належать певному об’єкту, наприклад, ID пристрою, спосіб входу в систему, місцезнаходження, особисті дані і т.д. Налаштування claim-ів здійснюється за допомогою консолі управління Адміністративний центр Active Directory (ADAC) В новому контейнері Доступ на основі претензій. В цьому контейнері (спочатку порожньому) можна створювати власні твердження і пов’язувати їх з атрибутами користувачів або комп’ютерів. Грунтуючись на значеннях claim-ів можна визначити чи давати доступ цьому користувачеві / пристрою до того чи іншого об’єкту файлової системи.

Наступний компонент DAC – властивості ресурсів (Ресурс Властивості), За допомогою яких визначаються властивості ресурсів, які в подальшому будуть використовувати в правила авторизації. Resource Properties – це також окремий контейнер в Dynamic Access Control.

Наступними елементами DAC є правила Central Access Rules і політики Central Access Policy. ЦентральнийДоступ Правила описують який рівень доступу надати до файлів, яким користувачам, з якими задані твердження, з яких пристроїв і т.д. Центральний Доступ Політика – це політика, яка містить в собі правила Central Access Rules, яка в подальшому за допомогою GPO буде поширена по всій організації (або конкретної OU).

Яким чином можна перейти на модель управління доступом Dynamic Access Control в організації:

1. Створити один / кілька видів Клайм.

2. Активувати одні / кілька властивостей ресурсів (мітки або теги у файлових об’єктів)

3. Створити правило Central Access Rule, в якому визначається умови надання доступу

4. Додати створені правила в політику Central Access Policy

5. За допомогою групових політик поширити CAP на файлові сервера

Природно, перед впровадженням Dynamic Access Control необхідно налаштувати систему класифікації файлів, як це зробити описується в статті: Класифікація файлів за допомогою File Classification Infrastructure в Windows Server 2012. Етап визначення та класифікація даних, що зберігаються на файл-серверах найбільш важкий і трудомісткий, результатом якого буде призначення керованим файловим об’єктам NTFS тегів.

Яким чином здійснюється перевірка дозволів пі доступі до файлу / каталогу кінцевого користувача, адже тепер крім прав доступу на NTFS здійснюється ще і перевірка на відповідність Клайм? Послідовність перевірки дозволів наступна:

· Поділитися ACL

· Політика центрального доступу

· NTFS ACL

Приклад використання Dynamic Access Control в Windows Server 2012

Спробуємо розібрати на практиці можливі приклад налаштування DAC в Windows 2012. Припустимо, що ми хочемо створити політику доступу, регулюючу доступ на основі департаменту користувачі і країни, в якій він знаходиться.

За допомогою консолі AD Administrative Center створимо два нових claim-a: Department і Country. Для цього перейдіть в контейнер Динамічний контроль доступу -> Типи претензій і в меню виберіть пункт Новий:

Створимо нове твердження з ім’ям Кафедра :

і Країна :

В атрибуті Country вкажемо два зумовлених (запропонував) значення (EG – Єгипет та QR – Катар):

Далі створимо нову властивість ресурсу (Resource Properties) для затвердження Country: Нове-> Властивості ресурсу.

Потім в контейнері Resource Properties активуйте твердження Department

Тепер створимо нове правило Правило центрального доступу. У цьому правилі будуть вказані дозволи, які застосовуються до об’єкта, якщо claim збігається з правилом, описаному в CAR.

Припустимо, ми правило, що визначає, що пользовали Finance Admins (Department = Finance і County = EG), мають повний доступ, а користувачі Finance Execs (Department = Finance) – доступ тільки на читання. Це правило буде застосовано до всіх правилами, класифікованих, як відносяться до фінансового департаменту:

У підсумку, правило буде виглядати так:

Потім створимо політику Central Access Policy (CAP), яка за допомогою GPO буде застосована до всіх файлових серверів.

У нову політику CAP, включимо правило для фінансового департаменту, створене раніше:

Далі правило Central Access Policy за допомогою групових політик потрібно застосувати до всіх файлових серверів. Для цього потрібно створити нову політику GPO і прілінкованние її до OU з файловими серверами.

У вікні редактора групових політик (Group Policy Management Editor) перейдіть в розділ Конфігурація комп’ютера-> Політика-> Налаштування Windows-> Налаштування безпеки-> Файлова система-Політика центрального доступу-> Керування політиками центрального доступу.

У вікні налаштувань Конфігурація політик центрального доступу додамо політику Finance Data і натиснемо OK.

Далі потрібно дозволити всім доменним контролерам призначати Клайм. Це також виконується за допомогою GPO, проте в цьому випадку нам потрібно відредагувати політику контролерів домену – За замовчуванням Домен Контролери Політика . Перейдіть в розділ Комп’ютерна конфігурація-> Політика-> Адміністративні шаблони-> Система-> KDC. Відкрийте параметр Підтримка KDC для претензій, складеної автентифікації та бронювання Kerberos, Задайте йому значення Enabled, а в випадаючому списку виберіть Supported

Закрийте редактор групових політик і обновіть політики на контролері домену і файлових серверах командою

gpupdate /force

Подивимося, що ж у нас вийшло.

Відкрийте на файлом сервері, до якого застосовується створена нами політика, властивості будь-якої загальної папки або документа, і перейдіть на вкладку Classification. Як ви бачите, в ньому з’явилися два твердження. Якщо автоклассіфікація не настроєна, їх значення будуть не задані.

Примітка: Щоб при доступі до файлу перевірялися ще й дозволу DAC, у користувачів повинен бути доступ до каталогу / файлу на рівні NTFS. У цьому прикладі ми надамо всім повний доступ на рівні NTFS.

Перевіримо поточні дозволу на папку.

Перейдемо на вкладку Central Policy і застосуємо політику Finance Data.

Якщо у користувача не призначені затвердження (він входить в потрібну групу, але у нього не визначені атрибути department і country), доступу до каталогу у нього не буде.

висновок

За допомогою комбінації технологій DAC, AD RMS (як організувати динамічне шифрування файлів за допомогою AD RMS і FCI) і FCI можна створювати потужні схеми управління доступом до документів і захисту конфіденційної інформації, реалізуючи повноцінне DLP систему на базі інфраструктури Windows Server 2012.

Leave a Reply

Your email address will not be published. Required fields are marked *