活动目录及Azure AD权限管理经验分享
活动目录的权限设置包括:访问控制、用户权限及特权设置,它们定义了用户在企业中可执行哪些操作。由于权限所涵盖的职责范围极其广泛,导致企业常常无法对权限进行有效把控。
如何发现权限异常?
权限在企业内部、云环境、设备和应用中广泛分布。IT管理员使用不同的工具来查看和分配各种资源的权限,但是这些工具对权限的详细信息展现往往不太擅长。当然,不少IT管理员通过PowerShell或CMD等命令行工具进行查看,即便这样也很难满足企业的各种独特需求。而且这些工具缺乏统一的界面来授予或撤销权限,甚至无法获得企业中所有资源的所有权限的整体视图,这使得权限管理和安全性极为复杂。
身份和安全权限的三角方法
无论您是小型企业,还是用户遍布全球的大型企业,对于访问权限的管理都是至关重要的。有效的权限和访问控制管理可以防止未经授权的访问和公司敏感数据的泄漏,并且还可以帮助您更好地管理资源,尤其是当资源数量增加时。
您可以通过权限来控制简单或复杂的任务,如:提供对文本文件的读写访问权限或授予管理特权用户角色或管理服务器的权限。一个看似不重要的允许权限,可能导致特权升级并造成严重破坏。因此,当您着手管理您的权限时,请问自己以下三个简单但至关重要的问题:
用户是否有权访问所需的资源?[权限展示]
是否有用于管理权限和访问的系统?[权限管理]
是否有用于监视权限变更的安全软件?[权限监控]
让我们介绍三角权限的原理,帮助您理解权限的重要性。
1.发现权限
首先需要了解的是权限的应用范围,以及在基础架构中的适用区域。
IT基础架构的发展
越来越多的企业正在采用云环境,其中一半的工作量会在企业的内部环境和云环境之间产生。
如上图所示,企业中的各种角色和权限会在活动目录(AD)、Exchange或Lync等应用程序之间分配;也会在云部署环境(如Azure AD)和在云上运行的应用(如Office 365)上进行分配;当然还会包括数据存储设备,例如文件服务器,NAS设备等。
需要改变的现状
混合身份用户通常可以是本地AD上的安全组成员,可以在本地文件夹中存储信息,拥有Exchange邮箱,还可以是对Office应用程序提供访问权限的Azure AD安全组成员,这些应用包括OneDrive或Skype for business等。
使用windows自带工具来查看权限有很多不足之处。这些工具的功能极为简单,并且使用它们既费时又繁琐。
例如,假设您需要了解Windows文件服务器的嵌套文件夹结构的权限。本地执行此操作的唯一方法是手动检查每个文件和文件夹的“ 安全性”选项卡。
但是,对于继承或显式权限的信息,使用windows自带工具会很复杂。
ManageEngine AD360可以帮助您解码混合基础架构中的权限,帮助您快速定位问题并进行及时修复。
存储数据和关键对象的权限:
借助AD360强大的内置报告和自定义报告,您可以获得所有Windows文件服务器和关键安全对象的权限鸟瞰图。
特权组和嵌套组报告:
如果提供了对敏感资源的访问权限,或特权组的直接或间接(嵌套)成员身份可能会导致机密数据泄漏。AD360中基于组的报告可以帮助您确定内部资源(AD,Exchange等)甚至云(Azure,Office 365等)的组成员身份。
特权和管理员角色(本地和云):
管理员会将任务委派给受信任的用户,但常常不会或忘记撤销授予执行某项任务的权限,也不会记录向最终用户委派了哪些权限。AD360可以为您展示委派用户和权限的清单,还可以记录具有委派角色的用户所执行的活动。
AD360提供基于权限的报告,基于资源的报告(例如,使用的许可证或消耗的存储)和基于法规合规性的报告(用于SOX,HIPAA,PCI-DSS等)的多种报告。使用这些报告,您可以更轻松地优化和确保资源的正确使用并满足合规要求。
2.管理权限和访问
第一步是发现并了解IT基础架构中的权限状态。如何通过一个有效的管理系统来管理权限,并修复易受攻击的权限。
AD360提供一款集中式控制台,可以查看和管理跨混合基础架构(本地和云)的权限。
内置强大的管理功能:
获取特权组的详细成员资格信息,并执行批量管理操作,例如从组中删除不需要的用户或禁用帐户,使您能够发现问题及时修复。
支持跨本地和云自动化执行管理任务:
不再需要在多个工具之间切换,也不需要切换多个屏幕;AD360可以帮助您跨混合环境在单个控制台中执行任务。这是混合身份用户示例:
设置基于时间的访问权限:
管理员和技术支持人员通常向最终用户提供对资源的访问权限,例如授予对机密文件夹的访问权限或对读取共享文件的权限,但他们也常常忘记吊销这些权限。AD360可以允许您基于时间对权限进行设置,在指定的时间后自动吊销权限。
3.监视权限变更
监视权限和访问环境中发生更改的唯一方法是查看审核日志。
对于跨AD和Azure AD环境来说,不同的文件服务器和其他应用程序生成的审核日志数量经常十分庞大,因此很难统一收集所有日志并手动梳理它们以发现可疑的操作或异常情况。
AD360提供丰富的的报告,您可以立即利用它们来监视内部部署环境和云环境,配置警报并通知管理员有关变更事件,并及时实施对应方案。
诸如为用户授予特权访问权限,或更改机密文件夹所有权之类的活动至关重要,必须时刻对其进行关注,甚至进行警告或阻止,这样才能确保任何更改均得到授权。
大多数IT环境(无论是本地,云还是混合)的问题都在于缺乏集中化管理。由于没有统一的界面,因此很难进行查看和管理,更不能监视权限的变更和访问情况。
AD360是一款集成的身份访问和IT管理解决方案,用于管理用户的角色权限,管理对资源的访问,加强安全性并确保合规性。您需要做的就是选择所需的模块,即可轻松获得对本地环境,云环境和混合环境的权限控制!