Dynamic Access Control

Právě čtete první díl obsáhlejšího seriálu o revoluční novince v bezpečnosti, kterou přinesly Windows 2012 a Windows 8, tedy nové jádro verze 6.2. Jedná se o Dynamic Access Control (DAC).

V dnešním článku se podíváme na filosofii této technologie tak, abyste si uvědomili, na co to vlastně slouží. Jak se jednotlivá nastavení provedou, jaké mají podmínky a jak vnitřně fungují, rozebereme do detailu postupně až v dalších článcích.

Co to je Dynamic Access Control?

Jedná se o balík několika elementárních vylepšení různých stávajících technologií. Pokud byste se podívali na každé z nich jednotlivě, asi by vás to moc nezaujalo. V kombinaci mají ale sílu. Jedná se o tyto součástky:

  • rozšíření NTFS access control listů (ACL) o složitá pravidla s mnoha podmínkami
  • možnost automatického značkování (classification) NTFS souborů za pomoci File Server Resource Manager(FSRM)
  • claims rozšíření Kerberos,NTLM i Schannel ověřování o hodnoty atributů uživatelského objektu v Active Directory (AD)
  • compound id rozšíření Kerberos ověřování a propojení uživatelské identity s identitou počítače, ze kterého uživatel pracuje
  • centrální úložiště klíčových slov souborových značek (classification properties) v Active Directory
  • definice centrálních NTFSACL pravidel (central policy) v Active Directory

Co to všechno ve skutečnosti umožňuje?

Musíme začít trošku víc ze široka. Podívejte se nejprve na následující obrázek.

Klepněte pro větší obrázek

V obrázku jsou vidět uživatelské účty uložené v LDAP databázi Active Directory. Každý má přiřazeny základní organizační atributy jako je popisek (description), oddělení (department), město (city,AD attributl), a bezpečnostní úroveň přístupu, pro kterou není jednoduše vhodný žádný konkrétní atribut, proto jsem využil (pro mě zbytečného) atributu společnost (company).

Obvyklý podnik by takhle nějak mohl mít naplněnu Active Directorydatabázi. Vlastnosti účtu umí zadat kdejaký personalista/ka. A nemusí ani vědět, co jsou uživatelské skupiny.

S uživatelskými skupina je navíc velký problém. Na následujícím obrázku můžete vidět příklad tak zvaných shadow groups - tedy skupin, které se generují automaticky, podle atributů daných účtů - to uděláte na pár řádků jednoduchým PowerShell skriptem.

Klepněte pro větší obrázek

Jenže ouha. Co když máte soubory, na které mohou pouze zaměstnanci (Employee), nebo dodavatelé (Contractor), z výzkumného (Research) oddělení, z Paříze (Paris), kteří ještě navíc mají bezpečnostní prověrku alespoň na Security Level 4? Na to byste museli vytvořit kombinační skupiny, například Paris Employee Research SL4 a Paris Contractor Research SL4.

Normální NTFS zabezpečení neumí dělat podmínky typu AND (a současně). Když si to uvědomíte, obyčejná NTFSpravidla (ACL-access control list) jsou vlastně všechna spojena jen operací OR (nebo). Potřebujete tedy kombinační skupiny, aby pro každou mohlo být jen jedno pravidlo (ACE-access control entry). Zabezpečení citlivého adresáře by pak vypadalo nějak takto:

Klepněte pro větší obrázek

Zkuste si zpočítat, kolik kombinačních skupin vznikne, už jen při našem malém počtu hodnot. Bude to celkem 5 x 6 x 3 x 5 = 450 kombinačních skupin. To by bylo strašně nepřehledné. Navíc to není všechno, ještě bychom potřebovali kombinace jen tří z těch čtyř zařazení. A potom ještě každých dvou z těch čtyř zařazení.

Identita počítače

Co když byste k tomu chtěli přidat i parametry počítače, ze kterého uživatel přistupuje k těm citlivým datům? To až do Windows 2012 nešlo. Dnes už ano. Pro příklad se podívejte, jak to vypadá s účty pracovních stanic na dalším obrázku:

Klepněte pro větší obrázek

I počítačové účty dostaly nějaké atributy. Ty může vyplnit zase nějaký technik. Použil jsem schválně jiný atribut k určení oddělení, ve kterém je daná stanice nasazena.

Klasifikace souborů

A ani to ještě není všechno. Ve Windows 2012 máte nově možnost nechat soubory automaticky klasifikovat (značkovat) pomocí služby File Server Resource Manager(FSRM). Dopadne to pak třeba tak, jak je naznačeno na následujícím obrázku. Každý soubor v nějaké složce dostane značky (classification terms).

Poznámka pro pořádek - záložka Classification se na souborech objeví, až nainstalujete FSRM. Na složkách bude vidět dokonce až potom, co nadefinujete klasifikace centrálně v Active Directory (pro složky nelze využít lokální klasifikace).

Klepněte pro větší obrázek

FSRM umí značkovat buď ručně. To by musel správce každý adresář (nebo i jednotlivé soubory) označit ručně. Nebo umí značkovat automaticky a to podle těchto charakteristik:

  • složka, ve které jsou soubory umístěny (to by mohl být třeba náš případ)
  • jméno, nebo přípona souboru podle hvězdičkové konvence
  • slova, která se vyskytují uvnitř souboru - buď porovnává na konstantní řetězec (může ignorovat velikosti písmen), nebo umí vyhledat i regulární výraz (regex). Ke čtení obsahu souboru používá standardníiFiltertechnologii (stejně jako Windows Search), takže je schopen klasifikovat například i dokumenty Office,PDF, neboTIFF apod.
  • nebo můžete nechat rozhodnout u každého souboru dokonce vlastním PowerShell skriptem

A teď to všechno zkombinujme do magického Dynamic Access Control pravidla

Díky novému rozšíření NTFS pravidel (ACL-access control list) o složité podmínky, je možno povolit přístup jen pokud:

  • zařízení, ze kterého uživatel přistupuje je z Paříže (Paris) a je to současně zařízení patřící do Researchoddělení
  • současně uživatel, který to zkouší, je ze stejného města a oddělení
  • uživatel musí současně být buď Employee, nebo Contractor
  • a navíc prostředek, na který se přistupuje má bezpečnostní úroveň SL4, nebo SL5 (dalo by se to vymyslet i rafinovaněji - že by se uživatelům povolil přístup jen na soubory se stejnou úrovní oprávnění)

Podívejte se, jak toho dosáhnout pomocí nového, rozšířeného NTFS přístupového pravidla (ACE-access control entry). Pravidlo klidně uděláme pro všechny ověřené uživatele bez rozdílu (Authenticated Users). Nebudeme vůbec používat AD skupiny:

Klepněte pro větší obrázek

Ale stanovíme podmínku, která musí být splněna, aby pravidlo vůbec platilo. Podmínka využije (na místo AD skupin) přímo AD atributů účtu uživatele, účtu jeho stanice a současně hodnot klasifikací daného souboru:

Klepněte pro větší obrázek

Výsledek pak bude vidět v obvyklé rozšířené NTFS bezpečnostní tabulce, tak jak je na finálním obrázku. Jenom v něm přibude sloupeček s podmínkou (Condition):

Klepněte pro větší obrázek

Příklady pravidel

Zamysleme se na sílou takových pravidel. Čeho třeba můžete ještě dosáhnout?

Máte například veliký adresář plný souborů z různých oddělení, z různých měst i s různými bezpečnostními úrovněmi. Ale přitom stačí jen jediné pravidlo na toto:

  • ke každému souboru může přistupovat jen uživatel ze stejného oddělení, stejného města a se stejnou bezpečnostní klasifikací
  • ale jen za podmínky, že pracuje na stejně umístěném a stejně bezpečném počítači

Nebo něco jiného:

  • jestliže je uživatel manažer, ředitel, a má současně bezpečnostní úroveň SL5, může číst všechny soubory

A mnoho dalších kombinací podmínek, které si už jistě dokážete vymyslet sami. S Dynamic Access Control můžete ušetřit mnoho skupin, celou věc zpřehlednit a dokonce i lépe zabezpečit.FSRM klasifikuje soubory automaticky a to navíc okamžitě. Jakmile někdo soubor vytvoří, nebo ho změní. Znamená to, že stačí do souboru vložit nějaký citlivý údaj, FSRMs oubor překlasifikuje a najednou je nedostupný pro ostatní zvědavce.

A na závěr ještě jedna poznámka. Dneska jsme se věnovali hlavně rozšíření NTFS přístupových oprávnění o Dynamic Access Control pravidla a podmínky. Definice takových pravidel je možné udělat jak na Windows 2012, tak i na stanicích s Windows 8. Službu File Server Resource Manager (FSRM) potřebujete jen kvůli klasifikaci souborů, ale to není vždy. Jinak to má jen jednu podmínku. DAC pravidla nemůžete definovat, pokud počítač není členem domény.

 Autor: Ondřej Ševeček, www.sevecek.com 

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Nejnovější komentáře

Můj názor

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 13

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

21.  9.  2016 | Jakub Čížek | 19

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 127

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

Včera | Stanislav Janů | 7


Aktuální číslo časopisu Computer

Srovnání výhodných 27" monitorů

Velký test levných rychlých routerů

Jak nastavit Android, aby vás nesledoval

45 podrobných testů a recenzí