Bagaimana Anda mendokumentasikan / melacak izin Anda

Saya seorang Admin Windows sehingga mereka yang berintegrasi dengan Windows kemungkinan akan sangat membantu. Tantangan utama saya pada saat ini adalah hanya dengan berbagi file tetapi dengan meningkatnya penggunaan SharePoint, ini hanya akan membuat ini lebih sulit.

Saya sudah menyiapkan semua direktori saya dan banyak grup keamanan yang mengatur dengan kebijakan paling sedikit akses yang diperlukan diperbolehkan. Masalah saya melacak semuanya karena alasan SDM dan kepatuhan.

Pengguna A perlu izin untuk sumber daya 1. Dia perlu mendapatkan persetujuan dari manajer sumber daya 1 dan kemudian manajer manajer perlu menyetujui akses ini juga. Setelah semua itu selesai saya bisa melakukan perubahan. Pada titik ini kami hanya melacaknya di atas kertas tetapi itu merupakan beban dan kemungkinan besar akan gagal ketika pengguna A ditugaskan kembali dan tidak lagi harus memiliki akses ke sumber daya 1 di antara skenario lainnya.

Saya tahu apa yang saya cari seharusnya sudah ada tetapi saya belum tahu ke mana harus mencari dan saya menjangkau masyarakat.

EDIT:

Terima kasih atas tanggapannya. Saya pikir mereka menyentuh sisi teknis dan semoga pertanyaan saya tidak di luar topik. Saya seharusnya membuat diri saya lebih jelas tentang tujuan saya. Sistem apa yang Anda gunakan untuk menunjukkan kepada auditor bahwa pada pengguna tanggal X ada izin yang ditambahkan / dihapus dan disetujui oleh manajer Y? Saya memiliki sistem tiket dasar di tempat saat ini tetapi saya tidak melihatnya memberikan apa yang saya butuhkan dalam format yang mudah dimengerti.
Dalam pikiran saya, saya membayangkan sesuatu yang akan memiliki laporan tentang pengguna A yang akan menunjukkan semua perubahan yang telah dibuat untuk izin mereka. Idealnya sesuatu yang menghubungkan ke Active Directory akan ideal tetapi pada titik ini saya berharap menemukan sesuatu yang lebih mendasar. Saya berharap ada aplikasi khusus untuk ini.

Terima kasih!

Anda memerlukan sistem tiket yang menyediakan 3 hal:

1. Stempel waktu ketika izin diubah (ditambahkan atau dihapus) untuk pengguna tertentu
2. Mengapa mereka berubah
3. Kemampuan untuk mencari perubahan ini

Hampir semua sistem tiket sudah memberi Anda # 1 dalam bentuk tanggal pembuatan tiket, tanggal modifikasi, dll. # 2 terserah Anda untuk mendokumentasikannya dalam tiket. Biasanya ini adalah email persetujuan dari manajer sumber daya yang disisipkan ke tiket yang mengatakan bahwa mereka dapat memiliki akses (atau akses harus dihapus) dan jenis apa. # 3 adalah yang paling penting dan tergantung pada sistem tiket, tetapi jika Anda memiliki sistem yang tidak mudah dicari maka pekerjaan Anda cocok untuk Anda. Jika Anda hanya dapat mencari oleh pengguna sehingga semua tiket izin terkait dengan info kontak mereka di sistem tiket maka Anda baik, jika tidak, Anda pada dasarnya mendokumentasikan perubahan Anda ke dalam lubang hitam.

Di luar sistem tiket yang dapat melakukan ini untuk melacak perubahan (Anda menyebutkan bahwa Anda memiliki sistem tiket dasar sehingga mungkin Anda perlu mendapatkan yang lebih baik yang memungkinkan kemampuan pencarian / pelaporan yang lebih baik), aplikasi, utilitas, atau skrip apa pun yang Anda gunakan akan memberikan snapshot dari izin saja. Anda masih terjebak dengan "mengapa?" dari siapa yang memiliki akses ke apa, yang hanya dapat didokumentasikan dengan baik secara terpisah dari aplikasi karena Anda mungkin perlu menangkap email asli atau teks persetujuan lainnya dari manajer sumber daya. Setelah Anda memilikinya, di mana Anda meletakkannya untuk mengaitkannya dengan hasil aplikasi?

Menjalankan aplikasi atau skrip untuk menentukan izin saat ini dalam struktur file juga tidak memberi Anda jejak audit yang bagus untuk perubahan izin bagi pengguna. Anda pada dasarnya terjebak dengan snapshot besar dari izin saat ini pada satu titik waktu. Ketika Anda menjalankannya lagi, Anda akan memiliki snapshot besar lain dari izin file. Bahkan jika Anda mempertahankan penangkapan izin pertama dan membandingkannya dengan penangkapan baru-baru ini, dan izin telah berubah, bagaimana Anda mengikat itu dengan alasan perubahan? Sekali lagi, ini membawa kita kembali ke sistem tiket sejak # 1.2, dan 3 di atas semua akan didokumentasikan di satu tempat.

Masalah lain yang Anda ajukan adalah izin merayap (ketika pengguna dipindahkan ke izin lain dan tidak lagi membutuhkan akses ke sumber daya X, tetapi tetap menyimpannya, karena fakta bahwa mereka tidak lagi membutuhkan akses ke sumber daya X tidak dijalankan oleh IT Dept selama masa transisi). Cara HANYA untuk mengendalikan ini adalah memberi tahu SDM atau siapa pun yang menangani penugasan kembali karyawan bahwa TI perlu diberitahukan ketika seorang karyawan dipindahkan sehingga mereka dapat menetapkan dan mencabut izin dengan tepat. Itu dia. Tidak ada aplikasi ajaib yang akan memberi tahu Anda pengguna memiliki akses ke sumber daya X tetapi seharusnya tidak lagi karena pekerjaan mereka sekarang Y. Pemberitahuan manusia dalam beberapa bentuk harus diberikan kepada IT ketika ini terjadi.

Jika Anda sudah memiliki sistem tiket, saya sarankan membuat grup baru, atau tag, dll di aplikasi Anda untuk jenis permintaan ini dan meminta pengguna mengirim tiket untuk perubahan izin. Jika sistem tiket Anda memungkinkan Anda untuk meneruskan tiket ke pengguna lain, atau menambahkannya ke dalam tiket, tambahkan manajer yang diperlukan dan minta verifikasi. Ini akan memungkinkan Anda untuk menyimpan catatan untuk menutupi pekerjaan Anda.

Seperti disebutkan di atas, buat grup keamanan untuk setiap bagian. Di lingkungan saya, kami akan memiliki saham bernama FIN_Yearly, GEN_Public, MGM_Reports (setiap dept memiliki akronim sendiri). Grup keamanan kemudian akan diberi nama SG_FIN_YearlyAdmin, SG_FIN_YearlyUser, SG_GEN_PublicAdmin dll. Pengguna hanya baca, Admin membaca / menulis.

Dari sini Anda dapat membuat, misalnya SG_FinancialsManager; grup keamanan yang menyertakan grup keamanan lain untuk menyederhanakan akses berdasarkan pekerjaan yang mereka lakukan. Kami secara pribadi tidak melakukan ini karena membuat pelacakan sedikit membingungkan. Daripada memeriksa SG saham dan melihat sekelompok SG dengan izin, kami memiliki daftar pengguna sebagai gantinya. Preferensi pribadi, sungguh, dan akan tergantung pada ukuran situs Anda. Kami biasanya menggunakan templat pengguna untuk mengelola pengguna baru ke posisi tertentu.

Jika sistem tiket Anda memungkinkan Anda untuk mencari tiket sebelumnya Anda sudah cukup banyak selesai. Jika seseorang meminta Anda untuk menghapus izin pengguna, Anda dapat melacaknya. Jika seorang pengguna kemudian mempertanyakan mengapa mereka tidak lagi memiliki akses, Anda dapat memberi mereka tiket. Jika seorang manajer bertanya kepada Anda siapa yang memiliki akses ke apa, cetak layar grup keamanan yang diminta.

Sebenarnya ada beberapa aplikasi komersial untuk melakukan ini. Area ini terkadang disebut sebagai "Tata Kelola Data".

Beberapa contoh:

Varonis Data Governance Suite
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager - Edisi Tata Kelola Data
http://www.quest.com/identity-manager-data-governance

Saya tidak menggunakan ini tetapi setelah meneliti topik dan melihat beberapa demo, ruang lingkup apa yang mungkin diperlukan akan menjelaskan pasar. Aplikasi ini sangat kompleks, dan tidak murah. Beberapa dari mereka memiliki metode yang sangat canggih untuk menghubungkan ke platform penyimpanan untuk melacak daftar kontrol akses. Bahkan jika itu tidak ada dalam anggaran Anda, demo dapat berguna untuk mendapatkan gambaran tentang apa yang dilakukan aplikasi seperti ini dari perspektif fungsional.

Satu pengamatan yang saya miliki saat meninjau ini adalah mereka biasanya tidak mengaudit di tingkat file. Jika mereka melakukannya, tidak akan ada cara untuk meningkatkan hingga ratusan juta atau miliaran dokumen. Jadi mereka biasanya hanya melacak izin di tingkat direktori.

Saya tidak tahu tentang mendokumentasikan / melacak mereka, tetapi saya menugaskan mereka dengan kelompok.

Pengguna A membutuhkan akses ke sumber daya # 1. Mereka mendapat izin dan saya menambahkannya ke grup akses.
Mereka melanjutkan bisnis mereka sampai suatu hari mereka ditugaskan kembali / dipecat / apa pun, pada titik mana saya menghapus mereka dari grup akses.

Log audit modifikasi akun saya memberi tahu saya ketika mereka memperoleh / kehilangan akses sehingga ada catatan tentang itu, dan grup akses sumber daya biasanya grup departemen (SDM, IT, Penjualan, Keuangan, dll.) Sehingga mengelola pengalihan tugas biasanya berarti mengubah grup mereka keanggotaan tetap.

Hal ini cenderung bekerja paling baik di lingkungan yang lebih kecil - untuk lingkungan yang lebih besar atau di tempat ACL menjadi sangat kompleks, Zoredache membuat poin yang baik tentang memiliki sistem yang melakukan penyesuaian ACL juga melakukan dokumentasi hingga batas tertentu

Untuk memulai permintaan untuk menambah / menghapus akses, menugaskan kembali pengguna, dll. Saya akan menyarankan kertas elektronik (sistem tiket) - ini memastikan pengguna tidak akan lolos dari keretakan, tetapi membutuhkan dukungan perusahaan secara keseluruhan untuk menggunakan sistem elektronik secara religius .
Keuntungan daripada kertas adalah Anda mendapatkan sesuatu yang dapat Anda cari, dan semua orang dapat melakukan bagian dari proses mereka dari meja mereka (manajer dapat menyetujui lebih cepat karena tidak ada amplop surat antar-kantor bergerak, IT dapat memberikan / mencabut akses segera karena tiket muncul di tempat sampah seseorang, dll.)

Cara terbaik yang saya temukan untuk melakukan pengaturan izin adalah berdasarkan peran.

GG_HR GG_Finance Dll, umumnya dipetakan ke posisi atau unit bisnis.

Dari sana Anda membuat grup lokal yang memiliki izin pada sumber daya yaitu printer, atau direktori Keuangan. LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

Anda membuat Grup Global untuk grup Lokal ini LG-> GG, lalu di Grup Global Anda yang berbasis peran, Anda menambahkan grup Global berbasis izin.

GG_Finance <- LG_Finance_FullControl, LG_RoomXPrinter

Mudahkan ketika orang masuk ke peran yang baru saja Anda tambahkan akun mereka ke satu grup dan izin mereka mengalir dari peran itu dan lebih mudah dilacak. (Juga bagus jika Anda menggunakan semacam Sistem Manajemen Identitas). Jauh lebih mudah melacak siapa yang memiliki izin individu, Anda tahu bahwa jika mereka berada di grup HR mereka memiliki izin X.

Anda bisa melacak pergerakan grup mereka ketika mereka diminta melalui sistem manajemen pekerjaan Anda atau menjalankan skrip untuk memuntahkan siapa yang menjadi grup berbasis peran.

Dua utilitas hebat:

1. AccessEnum: http://technet.microsoft.com/en-us/sysinternals/bb897332
2. AccessChk: http://technet.microsoft.com/en-us/sysinternals/bb664922

AccessEnum juga memungkinkan Anda untuk menyimpan hasilnya dan kemudian membandingkannya di masa depan, yang akan berguna untuk mencari perubahan.

Anda harus benar-benar mempertimbangkan untuk mengaktifkan audit perubahan izin file / folder dan kemudian mengumpulkan log keamanan server file (secara manual atau menggunakan alat manajemen log peristiwa atau SIEM, seperti Splunk) dan menggunakannya untuk dokumentasi Anda. Analisis semua perubahan pada file DACL. Plus Anda melengkapi ini dengan AccessEnum dan AccessChk seperti yang disarankan di atas.

Dan ini tidak membebaskan Anda dari pengaturan izin keamanan yang tepat dan menugaskan mereka melalui grup saja.