Обзор динамического контроля доступа
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2012 R2, Windows Server 2012
В этой обзорной статье для ИТ-специалистов описывается динамический контроль доступа и связанные с ним элементы, появившиеся в Windows Server 2012 и Windows 8.
Динамический контроль доступа на основе доменов позволяет администраторам применять разрешения и ограничения управления доступом, основываясь на четко определенных правилах, которые включают конфиденциальность ресурсов, работу или роль пользователя и конфигурацию устройства, используемого для доступа к этим ресурсам.
Так, пользователям могут выдаваться разные разрешения при доступе к ресурсу с офисного компьютера и портативного компьютера через виртуальную частную сеть. Либо доступ может быть разрешен, только если устройство соответствует требованиям безопасности, определенным администраторами сети. При использовании динамической контроль доступа разрешения пользователя изменяются динамически без дополнительных действий администратора, если задание или роль пользователя изменяется (в результате изменения атрибутов учетной записи пользователя в AD DS).
Динамический контроль доступа не поддерживается в операционных системах Windows до версий Windows Server 2012 и Windows 8. Если динамический контроль доступа настроен в средах с поддерживаемыми и неподдерживаемыми версиями Windows, изменения будут применяться только в поддерживаемых версиях.
Ниже перечислены компоненты и концепции, связанные с динамическим контролем доступа.
Централизованные правила доступа
Централизованное правило доступа — это выражение правил авторизации, которые могут включать одно или несколько условий, затрагивающих группы пользователей, требования пользователей и устройств, а также свойства ресурсов. Несколько централизованных правил доступа можно объединить в централизованную политику доступа.
Если для домена определены одно или несколько централизованных правил доступа, администраторы файловых ресурсов общего доступа могут сопоставлять определенные правила с определенными ресурсами и бизнес-требованиями.
Централизованные политики доступа
Централизованные политики доступа — это политики авторизации, включающие условные выражения. Например, предположим, что у организации есть бизнес-требование, чтобы ограничить доступ к персональным данным (PII) в файлах только владельцу файлов и членам отдела кадров, которым разрешено просматривать сведения о персональных данных. Эта политика организации применяется к файлам персональных данных, на каком бы из файловых серверов организации они ни располагались. Для реализации этой политики организация должна иметь следующие возможности:
идентифицировать и пометить файлы, содержащие персональные данные;
идентифицировать группу сотрудников отдела кадров, которой разрешен просмотр персональных данных;
добавить централизованную политику доступа к централизованному правилу доступа и затем применить это правило ко всем файлам, содержащим персональные данные, где бы они ни располагались на файловых серверах организации.
Централизованные политики доступа служат "зонтиками" безопасности, прикрывающими все серверы. Эти политики дополняют (но не заменяют) политики локального доступа или списки управления доступом на уровне пользователей (DACL), применяемые к файлам и папкам.
Претензии
Утверждение — это уникальная деталь информации о пользователе, устройстве или ресурсе, опубликованная контроллером домена. Название пользователя, классификация файла или состояние работоспособности компьютера являются допустимыми примерами утверждения. Объект может включать более одного утверждения, и любое сочетание утверждений можно использовать для авторизации доступа к ресурсам. В поддерживаемых версиях Windows доступны следующие типы утверждений:
Утверждения пользователей. Атрибуты Active Directory, связанные с конкретным пользователем.
Утверждения устройств. Атрибуты Active Directory, связанные с конкретным компьютером.
Атрибуты ресурсов. Глобальные свойства ресурсов, отмеченные для использования в решениях авторизации и публикуемые в Active Directory.
Утверждения позволяют администраторам давать точные, охватывающие все предприятие или организацию инструкции, касающиеся пользователей, устройств и ресурсов, которые можно включать в выражения, правила и политики.
Выражения
Условные выражения — это усовершенствование управления доступом, разрешающее или запрещающее доступ к ресурсам при выполнении определенных условий, таких как членство в группе, расположение или состояние безопасности устройства. Этими выражениями можно управлять через диалоговое окно дополнительных параметров безопасности редактора ACL или редактор централизованных правил доступа центра администрирования Active Directory (ADAC).
Выражения помогают администраторам управлять доступом к конфиденциальным ресурсам с помощью гибких условий в бизнес-средах возрастающей сложности.
Предложенные разрешения
Предложенные разрешения позволяют администратору более точно моделировать результаты потенциальных изменений настроек управления доступом до их реального выполнения.
Прогнозирование действительного доступа к ресурсу помогает планировать и настраивать разрешения для него перед их реализацией.
Дополнительные изменения
Ниже перечислены дополнительные изменения в поддерживаемых версиях Windows, обеспечивающие динамический контроль доступа.
Поддержку протокола проверки подлинности Kerberos для надежного предоставления утверждений пользователей, утверждений устройств и групп устройств.
Устройства с поддерживаемыми версиями Windows по умолчанию могут обрабатывать билеты Kerberos, связанные с динамическим контролем доступа, которые включают данные, необходимые для комплексной проверки подлинности. Контроллеры доменов могут выдавать билеты Kerberos, включающие информацию, связанную с комплексной проверкой подлинности, и отвечать на них. Когда домен настраивается для распознавания динамического контроля доступа, устройства получают утверждения от контроллеров домена при начальной проверке подлинности и билеты комплексной проверки подлинности при подаче запросов на билеты службы. Комплексная проверка подлинности ведет к созданию маркера доступа, включающего удостоверение пользователя, и устройства для ресурсов, поддерживающих динамический контроль доступа.
Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене.
У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos.
Поддержка использования групповой политики центра распространения ключей (KDC) для обеспечения динамического контроля доступа в домене.
У каждого контроллера домена должна быть та же настройка политики административных шаблонов, которую можно найти в папке Конфигурация компьютера\Политики\Административные шаблоны\Система\KDC\Поддержка динамического контроля доступа и защиты Kerberos.
Поддержка сохранения утверждений пользователей и устройств, свойств ресурсов и объектов централизованных политик доступа в Active Directory.
Поддержка использования групповых политик для развертывания объектов централизованных политик доступа.
Следующий параметр групповой политики позволяет развертывать объекты централизованной политики доступа на файловых серверах в организации: Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Файловая система\Централизованная политика доступа.
Поддержка авторизации файлов на основе утверждений и аудита для файловых систем посредством использования групповой политики и аудита доступа к глобальным объектам
Для аудита реального доступа, предоставляемого централизованной политикой доступа с помощью предложенных разрешений, необходимо включить поэтапный аудит централизованной политики доступа. Эту настройку можно выполнить на компьютере на странице Конфигурация расширенной политики аудита в разделе Параметры безопасности объекта групповой политики. После настройки параметра безопасности в объекте групповой политики этот объект можно развернуть на компьютерах в сети.
Поддержка преобразования или фильтрации объектов политики утверждений, просматривающих отношения доверия лесов Active Directory
Вы можете фильтровать или преобразовывать входящие и исходящие утверждения, просматривающие доверие леса. Существуют три основных сценария фильтрации и преобразования утверждений.
Фильтрация на основе значений. Фильтры могут быть основаны на значении утверждения. Это позволяет доверенному лесу предотвратить отправку утверждений с определенными значениями доверяющему лесу. Контроллеры доменов в доверяющих лесах могут использовать фильтрацию на основе значений для защиты от несанкционированного повышения привилегий, фильтруя входящие утверждения от доверенного леса по их значениям.
Фильтрация на основе типов утверждений. Фильтры, основанные на типе утверждения, а не на его значении. Тип утверждения определяется по его имени. Фильтрация на основе типов утверждений используется в доверенном лесе. Она не позволяет Windows отправлять утверждения, раскрывающие информацию доверяющему лесу.
Преобразование на основе типов утверждений. Изменяет утверждение перед отправкой его намеченной цели. Преобразование на основе типов утверждений используется для обобщения известного утверждения, содержащего конкретную информацию. Преобразования можно использовать для обобщения типа утверждения, значения утверждения или того и другого.
Требования к программному обеспечению
Так как утверждения и комплексная проверка подлинности для динамического контроля доступа требуют расширений проверки подлинности Kerberos, у домена, поддерживающего динамический контроль доступа, должно быть достаточно контроллеров домена, использующих поддерживаемые версии Windows, для поддержки проверки подлинности клиентов Kerberos, применяющих динамический контроль доступа. По умолчанию устройства должны применять контроллеры доменов на других сайтах. Если такие контроллеры недоступны, проверка подлинности окончится неудачей. Поэтому необходима поддержка одного из следующих условий.
Во всех доменах, поддерживающих динамический контроль доступа, должно быть достаточно контроллеров доменов с поддерживаемыми версиями Windows Server для поддержки проверки подлинности всех устройств с поддерживаемыми версиями Windows или Windows Server.
Для устройств с поддерживаемыми версиями Windows, которые не защищают ресурсы с помощью утверждений или составных удостоверений, следует отключить поддержку динамического контроля доступа протоколом Kerberos.
В доменах, поддерживающих утверждения пользователей, все контроллеры доменов с поддерживаемыми версиями Windows должны быть настроены для поддержки утверждений, комплексной проверки подлинности и защиты Kerberos. Настройте параметры в политике административного шаблона KDC следующим образом.
Всегда предоставлять утверждения. Используйте этот параметр, если на всех контроллерах доменов используются поддерживаемые версии Windows Server. Кроме того, установите режим работы домена Windows Server 2012 или выше.
Поддерживается. При использовании этого параметра отслеживайте контроллеры доменов, чтобы убедиться в том, что число контроллеров домена с поддерживаемыми версиями Windows Server достаточно для числа клиентских компьютеров, которым необходим доступ к ресурсам, защищенным динамическим контролем доступа.
Если домен пользователя и домен файлового сервера находятся в разных лесах, все контроллеры домена в корне леса файлового сервера должны быть заданы на уровне windows Server 2012 или более высоком функциональном уровне.
Если клиенты не признают динамический контроль доступа, между двумя лесами должны существовать двусторонние отношения доверия.
Если утверждения преобразуются при выходе из леса, все контроллеры домена в корневом каталоге леса пользователя должны быть установлены на уровне windows Server 2012 или более высоком функциональном уровне.
У файлового сервера с ОС Windows Server 2012 или Windows Server 2012 R2 должен быть параметр групповой политики, указывающий, должен ли сервер получать утверждения пользователей для токенов пользователей, у которых нет утверждений. По умолчанию этот параметр групповой политики установлен в значение Автоматически, что ведет к его включению при наличии централизованной политики, содержащей утверждения пользователей или устройств для данного файлового сервера. Если файловый сервер содержит списки управления доступом на уровне пользователей, включающие утверждения пользователей, эту групповую политику необходимо установить в значение Включено, чтобы сервер знал о необходимости запрашивать утверждения от имени пользователей, которые не предоставляют утверждений при доступе к серверу.
Дополнительный ресурс
Сведения о реализации решений на основе этой технологии см. в статье "Динамические контроль доступа: обзор сценария".