Устройство Windows Server 2012 Dynamic Access Control
advertisement
Устройство Windows Server
2012 Dynamic Access Control
Содержание
•
•
•
•
•
•
Утверждения (claims) для пользователей и устройств
Классификация данных
Централизованные политики доступа и аудита
ACEs, основанные на выражениях
Расширенная диагностика ошибки «Отказ в доступе»
Поддержка протоколом Kerberos
Заповни Анкету
Виграй Приз
http://anketa.msswit.in.ua
Утверждения (claims)
Информация о субъекте доступа, полученная из
доверенного источника
• Утверждения для пользователей
• Департамент
• Должность
• Утверждения для устройств
• Операционная система
• Состояние здоровья
Как было раньше
• Основные ограничения:
• Доступ только на основании членства в группах
• Необходимость создания большого количества групп
• Нет возможности трансформации групп за пределами
леса AD
• Нет возможности контролировать доступ на основе
характеристик устройств пользователей
Как стало теперь
• Выбранные атрибуты пользователей и
компьютеров можно включить в утверждения
• Утверждения могут быть использованы для
предоставления доступа
• Утверждения могут быть трансформированы при
прохождении через доверительные отношения
• Новые политики доступа
Пример:
Allow Write if User.MemberOf(Finance) and
User.EmployeeType=FullTime and Device.Managed=True
Типы утверждений
•
•
•
•
•
•
Boolean
Multi-valued String
Multi-valued Unsigned Integer
Security Identifier
String
Unsigned Integer
Классификация данных
• Впервые появилась в Windows Server 2008 R2 (FCI)
• Возможность классифицировать файлы
• Автоматическая классификация на основании
расположения файла и его содержимого
• Классификация с помощью продуктов третьих фирм
• Применение политик / отчеты
• Новые возможности Windows Server 2012
• Непрерывная классификация
• Ручная классификация
• Поддержка контроля доступа на основе утверждений
Централизованные
политики доступа
Active Directory
1
2
Централизованные правила доступа
Централизованные политики доступа
3
Файловые серверы
High Impact Data rule
Applies To: Resource.Impact == High
Access conditions:
User.Clearance = High AND Device.IsManaged = True
Personal Information rule
Applies To: Resource.PII == True
Access conditions:
Allow MemberOf( PIIAdministrators , Owner)
“Information wall” rule
Applies To: Exists Resource.Department
Access conditions:
User.Department any_of Resource.Department
Standard organization policy
High Impact rule
Personal Information rule
Finance department policy
High Impact Data rule
Personal Information rule
Information wall rule
User folders
Finance folders
Как работает проверка доступа?
Share
Security Descriptor
Share Permissions
File/Folder
Security Descriptor
Central Access Policy Reference
NTFS Permissions
Решение о предоставлении доступа:
1) Проверка прав на общую папку
2) Проверка прав NTFS
3) Проверка всех подходящих централизованных
политик доступа
Active Directory
(кэшируются локально)
Cached Central Access Policy
Definition
Cached Central Access Rule
Cached Central Access Rule
Cached Central Access Rule
Пример работы
централизованной политики
доступа
Классификация файла
Тип разрешений
Департамент
ИТ
Важность
Высокая
Целевые файлы в правилах
Общий ресурс
Разрешения
Everyone:Full
Сотрудники ИТ
FTE
Сотрудники ИТ
non-FTE
Отдел
продаж FTE
Full
Full
Full
Central Access Rule 1:
Engineering Docs
Департамент=ИТ
ИТ:Modify
Everyone: Read
Modify
Modify
Read
Rule 2: Sensitive Data
Важность=Высокая
FTE:Modify
Modify
None
Modify
Rule 3: Sales Docs
Департамент=Отдел продаж
Sales:Modify
NTFS
FTE:Modify
Non-FTE:Read
Действующие права:
[правило игнорируется]
Modify
Read
Modify
Modify
None
Read
Access Control Entry (ACE) до
WS2012
• Элемент ACL
• Содержит:
• SID доверенного лица
• Маску доступа (Access Mask)
• Флаги
• Порядок ACE
WS2012: ACE, основанные на
выражениях
(XA;CIOI;GA;;;AU;(@User.smartcard
(A;CIOI;GA;;;AU)
== 1 ||
@Device.managed == 1)
&& @Resource.dept Any_of {"Sales","HR"}))
WS2012: ACE, основанные на
выражениях
Логические
• AND
• OR
• NOT
• Exists
Условные
• =, != , <, >, <=, >=
• Member_of
• Device_Member_of
• Member_of_Any
• Device_Member_of_Any
• Any_of
• Contains
• NOT
ACE, основанные на выражениях
• Возвращаемые значения:
• TRUE
• FALSE
• UNKNOWN
EXP1
EXP2
EXP1 && EXP2
EXP1 || EXP2
TRUE
TRUE
TRUE
TRUE
TRUE
FALSE
FALSE
TRUE
TRUE
UNKNOWN
UNKNOWN
TRUE
FALSE
UNKNOWN
FALSE
UNKNOWN
FALSE
FALSE
FALSE
FALSE
Диагностика ошибки «Отказ
в доступе»
Поддержка утверждений протоколом
Kerberos
•
•
•
•
•
•
Kerberos Security Support Provider (SSP)
Privilege attribute certificate (PAC)
Kerberos armoring (FAST)
Составное удостоверение (Compound Identity)
Key Distribution Center (KDC)
Уменьшение размера токена
Настройки Kerberos SSP
Групповые политики
• Kerberos client support for claims, compound
authentication and Kerberos armoring
• KDC support for claims, compound authentication,
and Kerberos armoring
•
•
•
•
Not supported (default)
Supported
Always provide claims
Fail unarmored authentication requests
Kerberos
Kerberos до Windows 2012
Kerberos с утверждениями для
пользователей
Kerberos с утверждениями для
пользователей (старый клиент)
Kerberos – составные
удостоверения
Kerberos – через леса
Уменьшение размера токена
• Resource SID compression
• msDS-SupportedEncryptionTypes 0xD
• Увеличение максимально допустимого размера
токена по умолчанию
• Политика Set maximum Kerberos SSPI context
token buffer size
• Новые события в журнале аудита KDC
• Политика Warning for large tickets
Влияние утверждений на размер
PAC
1 утверждение
1 утверждение типа Boolean
Добавляет 242 байт
Байт без сжатия
120
Накладные расходы
пользователя
120
Накладные расходы
устройства
114
На утверждение
int/bool
8
На значение int/bool
138
На утверждение string
2
На знак
Набор утверждений для
пользователя
Набор утверждений для
составного удостоверения
5 утверждений:
• 1 Boolean
• 1 Integer
• 2 String – Single Valued
• Длина: 12 символов
• 1 String – Multi Valued
• Длина: 12 знаков
• Количество: 6
Пользователь - 5 утверждений:
• 1 Boolean
• 1 Integer
• 2 String – Single Valued
• Длина: 12 знаков
• 1 String – Multi Valued
• Длина: 12 знаков
• Количество: 6
Добавляет 970 байт
Утверждения и составные удостоверения не оказывают
серьезного влияния на размер билета Kerberos.
Компьютер - 2 утверждения:
• 1 Boolean
• 1 String – Single Valued
• Длина: 12 знаков
Добавляет 1374 байт данных утверждений
+ данные AuthZ групп компьютера
Ресурсы
• http://blogs.technet.com/b/wincat/archive/2012/08/20/docum
ent-quarantine-with-windows-server-2012-dynamic-accesscontrol.aspx
Заповни Анкету
Виграй Приз
http://anketa.msswit.in.ua
Вопросы
