Zentrale Autorisierungsrichtlinienregel
Der Zweck der Central Authorization Policy Rule (CAPR) besteht darin, eine domänenweite Definition eines isolierten Aspekts der Autorisierungsrichtlinie des organization bereitzustellen. Der Administrator definiert den CAPR, um eine der spezifischen Autorisierungsanforderungen zu erzwingen. Da der CAPR nur eine bestimmte gewünschte Anforderung der Autorisierungsrichtlinie definiert, kann sie einfacher definiert und verstanden werden, als wenn alle Autorisierungsrichtlinienanforderungen des organization in einer einzigen Richtliniendefinition zusammengefasst werden.
Der CAPR weist die folgenden Attribute auf:
- Name: Gibt den CAPR für die Administratoren an.
- Beschreibung: Definiert den Zweck des CAPR und alle Informationen, die von den Verbrauchern der CAPR benötigt werden können.
- Anwendbarkeitsausdruck: Definiert die Ressourcen oder Situationen, in denen die Richtlinie angewendet wird.
- ID : Bezeichner zur Verwendung bei der Überwachung von Änderungen am CAPR.
- Effektive Access Control-Richtlinie – ein Windows-Sicherheitsdeskriptor, der eine DACL enthält, die die effektive Autorisierungsrichtlinie definiert.
- Ausnahmeausdruck – mindestens ein Ausdruck, der ein Mittel zum Überschreiben der Richtlinie und zum Gewähren des Zugriffs auf einen Prinzipal gemäß der Auswertung des Ausdrucks bietet.
- Stagingrichtlinie – ein optionaler Windows-Sicherheitsdeskriptor, der eine DACL enthält, die eine vorgeschlagene Autorisierungsrichtlinie (Liste der Zugriffssteuerungseinträge) definiert, die mit der effektiven Richtlinie getestet, aber nicht erzwungen wird. Wenn es einen Unterschied zwischen den Ergebnissen der effektiven Richtlinie und der Stagingrichtlinie gibt, wird die Differenz im Überwachungsereignisprotokoll aufgezeichnet.
- Da staging einen unvorhersehbaren Einfluss auf die Systemleistung haben kann, muss ein Gruppenrichtlinie Administrator in der Lage sein, bestimmte Computer auszuwählen, auf denen staging wirksam ist. Dadurch kann die vorhandene Richtlinie auf den meisten Computern in einer Organisationseinheit eingerichtet werden, während das Staging auf einer Teilmenge der Computer stattfindet.
- P2: Ein lokaler Administrator auf einem bestimmten Computer sollte in der Lage sein, das Staging auf einem bestimmten Computer zu deaktivieren, wenn das Staging auf diesem Computer eine zu große Leistungsbeeinträchtigung verursacht.
- Backlink zu CAP : Eine Liste von Backlinks zu allen CAPs, die sich möglicherweise auf diese CAPR beziehen.
Während der Zugriffsprüfung wird der CAPR basierend auf dem Anwendbarkeitsausdruck auf Anwendbarkeit ausgewertet. Wenn ein CAPR anwendbar ist, wird ausgewertet, ob er dem anfordernden Benutzer den angeforderten Zugriff auf die identifizierte Ressource gewährt. Die Ergebnisse der CAPE-Auswertung werden dann logisch von AND mit den Ergebnissen der DACL für die Ressource und allen anderen anwendbaren CAPRs verknüpft, die für die Ressource gelten.
Beispiel-CAPRs:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
Verweigern von ACEs in CAPEs
In Windows 8 deny-ACEs werden in einer CAPR nicht unterstützt. Die CAPR-Erstellungs-UX lässt die Erstellung eines Deny-ACE nicht zu. Wenn der LSA die CAP aus Active Directory abruft, überprüft LSA darüber hinaus, dass keine CAPRs ACEs verweigern. Wenn ein Deny-ACE in einem CAPR gefunden wird, wird die CAP als ungültig behandelt und nicht in die Registrierung oder srm kopiert.
Hinweis
Die Zugriffsprüfung erzwingt nicht, dass keine Deny-ACEs vorhanden sind. Verweigerungs-ACEs in einem CAPR werden angewendet. Es wird erwartet, dass Erstellungstools dies verhindern.
CAPE-Definition
CAPRs werden über eine neue UX erstellt, die im Active Directory Administrative Center (ADAC) bereitgestellt wird. In ADAC wird eine neue Taskoption bereitgestellt, um einen CAPR zu erstellen. Wenn diese Aufgabe ausgewählt ist, fordert ADAC den Benutzer in einem Dialogfeld zur Eingabe eines CAPR-Namens und einer Beschreibung auf. Wenn diese bereitgestellt werden, werden die Steuerelemente zum Definieren der verbleibenden CAPR-Elemente aktiviert. Für jedes der verbleibenden CAPR-Elemente ruft die UX die ACL-UI auf, um die Definition von Ausdrücken und/oder ACLs zuzulassen.
Zugehörige Themen