Právě čtete první díl obsáhlejšího seriálu o revoluční novince v bezpečnosti, kterou přinesly Windows 2012 a Windows 8, tedy nové jádro verze 6.2. Jedná se o Dynamic Access Control (DAC).
V dnešním článku se podíváme na filosofii této technologie tak, abyste si uvědomili, na co to vlastně slouží. Jak se jednotlivá nastavení provedou, jaké mají podmínky a jak vnitřně fungují, rozebereme do detailu postupně až v dalších článcích.
Co to je Dynamic Access Control?
Jedná se o balík několika elementárních vylepšení různých stávajících technologií. Pokud byste se podívali na každé z nich jednotlivě, asi by vás to moc nezaujalo. V kombinaci mají ale sílu. Jedná se o tyto součástky:
- rozšíření NTFS access control listů (ACL) o složitá pravidla s mnoha podmínkami
- možnost automatického značkování (classification) NTFS souborů za pomoci File Server Resource Manager(FSRM)
- claims rozšíření Kerberos,NTLM i Schannel ověřování o hodnoty atributů uživatelského objektu v Active Directory (AD)
- compound id rozšíření Kerberos ověřování a propojení uživatelské identity s identitou počítače, ze kterého uživatel pracuje
- centrální úložiště klíčových slov souborových značek (classification properties) v Active Directory
- definice centrálních NTFSACL pravidel (central policy) v Active Directory
Co to všechno ve skutečnosti umožňuje?
Musíme začít trošku víc ze široka. Podívejte se nejprve na následující obrázek.
V obrázku jsou vidět uživatelské účty uložené v LDAP databázi Active Directory. Každý má přiřazeny základní organizační atributy jako je popisek (description), oddělení (department), město (city,AD attributl), a bezpečnostní úroveň přístupu, pro kterou není jednoduše vhodný žádný konkrétní atribut, proto jsem využil (pro mě zbytečného) atributu společnost (company).
Obvyklý podnik by takhle nějak mohl mít naplněnu Active Directorydatabázi. Vlastnosti účtu umí zadat kdejaký personalista/ka. A nemusí ani vědět, co jsou uživatelské skupiny.
S uživatelskými skupina je navíc velký problém. Na následujícím obrázku můžete vidět příklad tak zvaných shadow groups - tedy skupin, které se generují automaticky, podle atributů daných účtů - to uděláte na pár řádků jednoduchým PowerShell skriptem.
Jenže ouha. Co když máte soubory, na které mohou pouze zaměstnanci (Employee), nebo dodavatelé (Contractor), z výzkumného (Research) oddělení, z Paříze (Paris), kteří ještě navíc mají bezpečnostní prověrku alespoň na Security Level 4? Na to byste museli vytvořit kombinační skupiny, například Paris Employee Research SL4 a Paris Contractor Research SL4.
Normální NTFS zabezpečení neumí dělat podmínky typu AND (a současně). Když si to uvědomíte, obyčejná NTFSpravidla (ACL-access control list) jsou vlastně všechna spojena jen operací OR (nebo). Potřebujete tedy kombinační skupiny, aby pro každou mohlo být jen jedno pravidlo (ACE-access control entry). Zabezpečení citlivého adresáře by pak vypadalo nějak takto:
Zkuste si zpočítat, kolik kombinačních skupin vznikne, už jen při našem malém počtu hodnot. Bude to celkem 5 x 6 x 3 x 5 = 450 kombinačních skupin. To by bylo strašně nepřehledné. Navíc to není všechno, ještě bychom potřebovali kombinace jen tří z těch čtyř zařazení. A potom ještě každých dvou z těch čtyř zařazení.
Identita počítače
Co když byste k tomu chtěli přidat i parametry počítače, ze kterého uživatel přistupuje k těm citlivým datům? To až do Windows 2012 nešlo. Dnes už ano. Pro příklad se podívejte, jak to vypadá s účty pracovních stanic na dalším obrázku:
I počítačové účty dostaly nějaké atributy. Ty může vyplnit zase nějaký technik. Použil jsem schválně jiný atribut k určení oddělení, ve kterém je daná stanice nasazena.
Klasifikace souborů
A ani to ještě není všechno. Ve Windows 2012 máte nově možnost nechat soubory automaticky klasifikovat (značkovat) pomocí služby File Server Resource Manager(FSRM). Dopadne to pak třeba tak, jak je naznačeno na následujícím obrázku. Každý soubor v nějaké složce dostane značky (classification terms).
Poznámka pro pořádek - záložka Classification se na souborech objeví, až nainstalujete FSRM. Na složkách bude vidět dokonce až potom, co nadefinujete klasifikace centrálně v Active Directory (pro složky nelze využít lokální klasifikace).
FSRM umí značkovat buď ručně. To by musel správce každý adresář (nebo i jednotlivé soubory) označit ručně. Nebo umí značkovat automaticky a to podle těchto charakteristik:
- složka, ve které jsou soubory umístěny (to by mohl být třeba náš případ)
- jméno, nebo přípona souboru podle hvězdičkové konvence
- slova, která se vyskytují uvnitř souboru - buď porovnává na konstantní řetězec (může ignorovat velikosti písmen), nebo umí vyhledat i regulární výraz (regex). Ke čtení obsahu souboru používá standardníiFiltertechnologii (stejně jako Windows Search), takže je schopen klasifikovat například i dokumenty Office,PDF, neboTIFF apod.
- nebo můžete nechat rozhodnout u každého souboru dokonce vlastním PowerShell skriptem
A teď to všechno zkombinujme do magického Dynamic Access Control pravidla
Díky novému rozšíření NTFS pravidel (ACL-access control list) o složité podmínky, je možno povolit přístup jen pokud:
- zařízení, ze kterého uživatel přistupuje je z Paříže (Paris) a je to současně zařízení patřící do Researchoddělení
- současně uživatel, který to zkouší, je ze stejného města a oddělení
- uživatel musí současně být buď Employee, nebo Contractor
- a navíc prostředek, na který se přistupuje má bezpečnostní úroveň SL4, nebo SL5 (dalo by se to vymyslet i rafinovaněji - že by se uživatelům povolil přístup jen na soubory se stejnou úrovní oprávnění)
Podívejte se, jak toho dosáhnout pomocí nového, rozšířeného NTFS přístupového pravidla (ACE-access control entry). Pravidlo klidně uděláme pro všechny ověřené uživatele bez rozdílu (Authenticated Users). Nebudeme vůbec používat AD skupiny:
Ale stanovíme podmínku, která musí být splněna, aby pravidlo vůbec platilo. Podmínka využije (na místo AD skupin) přímo AD atributů účtu uživatele, účtu jeho stanice a současně hodnot klasifikací daného souboru:
Výsledek pak bude vidět v obvyklé rozšířené NTFS bezpečnostní tabulce, tak jak je na finálním obrázku. Jenom v něm přibude sloupeček s podmínkou (Condition):
Příklady pravidel
Zamysleme se na sílou takových pravidel. Čeho třeba můžete ještě dosáhnout?
Máte například veliký adresář plný souborů z různých oddělení, z různých měst i s různými bezpečnostními úrovněmi. Ale přitom stačí jen jediné pravidlo na toto:
- ke každému souboru může přistupovat jen uživatel ze stejného oddělení, stejného města a se stejnou bezpečnostní klasifikací
- ale jen za podmínky, že pracuje na stejně umístěném a stejně bezpečném počítači
Nebo něco jiného:
- jestliže je uživatel manažer, ředitel, a má současně bezpečnostní úroveň SL5, může číst všechny soubory
A mnoho dalších kombinací podmínek, které si už jistě dokážete vymyslet sami. S Dynamic Access Control můžete ušetřit mnoho skupin, celou věc zpřehlednit a dokonce i lépe zabezpečit.FSRM klasifikuje soubory automaticky a to navíc okamžitě. Jakmile někdo soubor vytvoří, nebo ho změní. Znamená to, že stačí do souboru vložit nějaký citlivý údaj, FSRMs oubor překlasifikuje a najednou je nedostupný pro ostatní zvědavce.
A na závěr ještě jedna poznámka. Dneska jsme se věnovali hlavně rozšíření NTFS přístupových oprávnění o Dynamic Access Control pravidla a podmínky. Definice takových pravidel je možné udělat jak na Windows 2012, tak i na stanicích s Windows 8. Službu File Server Resource Manager (FSRM) potřebujete jen kvůli klasifikaci souborů, ale to není vždy. Jinak to má jen jednu podmínku. DAC pravidla nemůžete definovat, pokud počítač není členem domény.
Autor: Ondřej Ševeček, www.sevecek.com
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
