Geekly articles weekly

无需钳子和胶带即可跟踪用户的生命周期



下午好 您担心来自会计的Valentina Ostroukhova。 谢尔盖·谢尔盖耶维奇(Sergey Sergeyevich)休假两个星期,我将取代他。 您能否让我这次访问// fs-buh / black_cashier /损坏目录中的他的文件夹? 预先感谢!

Valentina Ostroukhova,合伙会计师

你好 这是来自技术支持的Kolya。 我们在AD中专门为安全部门的新负责人创建了一个新小组。 可以访问特定的服务器。 您可以暂时在这里添加我,以便我检查访问的正确性吗? 谢谢啦

Nikolay Zubatov,技术支持工程师

如果公司不遵循授予的权利条款,而Valentina和Nikolai仍然可以访问其工作所不需要的资源怎么办? 组织中的用户越多,此类潜在威胁就越多。 在本文中,我们将告诉您用户的生命周期由什么组成,以及有关控制它的工具。

用户的生命周期是用户的供应,管理和取消供应。 在这些阶段的每个阶段,都会为用户分配或禁用特定属性:组成员身份,邮箱,对文件存储的访问等。 如果您想了解更多有关该过程的信息,我们建议您使用本文档 。 我们将考虑对用户属性的控制和详细报告的形成。



第一步在组织中最有效-创建用户并授予他们权限。 管理和禁用用户有时会无济于事,一团糟。 本文开头的两个故事是一个图形插图。

这些故事是我们两个客户的真实案例。 在第三个客户处,我们发现用户在两年或更长时间内未更改密码(不,在此处配置了有效期策略,但不是每个人都配置)。 事实证明,现在没有人知道为什么这些用户需要这样的特权。 在其中一家银行中,曾发生过一次曾经在汽车经销店发行贷款的远程用户的不受阻碍的非个性化用户帐户的情况。 该银行早在两年前就关闭了该地区,但仍保留了活跃账户。 在另一家公司中,所有用户都可以使用彩色激光打印机,员工可以在其中打印个人文档,照片和其他与工作无关的东西。 还存在嵌套AD组的情况,其中多年以来一直没有识别出在域中具有管理权限的用户。

在评论中告诉我们有关类似情况以及如何识别它们的信息。 可以期待非常精彩的故事的感觉。

AD(和其他Microsoft产品)的自写脚本和内部功能并不总是提供机会详细了解与基本安全要求之间的真正差异。 另外,对此类决策的支持通常是由特定人员执行的,没有一个人不清楚它是如何在后台运行的。 使用商业解决方案来报告用户权利的目的是识别隐藏的威胁并减少对特定人员的依赖。

Quest Enterprise Reporter是适用于Microsoft环境的访问控制和安全报告工具:Active Directory / Azure AD,Exchange / Exchange Online,Office 365,Windows Servers,OneDrive for Business,SQL Server,Azure基础结构(VM,磁盘,网络安全组和其余)。 可以为列出的基础结构预先安装数百个报告 ,可以通过直接从报告中导航并根据基础结构中可用的数据生成自己的报告来执行对访问权限的控制操作(将用户添加到组,取消对目录的访问等)。



可以按计划生成每个报告并进行检查,例如,如果使用“红色森林”或ESAE方法 ,则对象是否处于正确的级别。
我们重点介绍了Quest Enterprise Reporter报告中最具启发性的报告:

  1. 最近30天内未登录的管理用户。 在同一报告中,您可以看到嵌套组中的用户。
  2. 具有无限密码的用户。
  3. 服务不是从系统帐户启动的。 攻击的一种类型是通过从特定帐户启动的服务登录到服务器(作为服务登录)。
  4. AD中有一个用户的组。
  5. 计算机上安装的修补程序。
  6. 安装在域控制器(或任何其他计算机)上的软件。
  7. 访问一个帐户的共享文件夹或访问其他帐户的文件夹。 这两个相关的报告将使我们能够从本文开始的历史中找出情况。
  8. 超过N天的文件,最近30天创建的文件,最近30天打开的文件。
  9. 委派的邮箱及其属性。
  10. 帐户对MSSQL数据库中架构的访问权限。

您可以直接从链接报告中转到安全浏览器,通过该浏览器执行典型的操作:添加到AD组,为文件夹分配访问权限等。 这就是专业报告的外观。



用于确定用户有权访问哪些文件的安全资源管理器模块。



从同一界面,您可以为文件准确分配权限。



如果您的公司对报告的格式有特殊要求,则可以轻松插入徽标并根据需要进行修改。



报告中的字段也可以是任意字段(可用)。





该界面提供了各种格式的报告卸载功能。



Quest Enterprise Reporter是一个简单但实​​用的解决方案,已安装且可以正常运行。 该产品是用于管理Microsoft基础结构的Quest解决方案组的一部分。 我们在有关信息安全审计自动化文章中对此进行了详细介绍。 如果您有兴趣在基础结构上测试产品,或者想了解有关产品的更多信息,请与我们联系,并在我们网站反馈表中简要介绍现有的Microsoft基础结构

Source: https://habr.com/ru/post/zh-CN464333/

More articles:


All Articles