Часто приходится работать с реорганизацией и наведением порядка с структуре каталогов Active Directory у заказчиков. Для упрощения жизни предлагаю сформированный чек-лист по областям просмотра/интервью при аудите в ходе наведения порядка.
Те, кто понимают что аудит Active Directory это не только
- посмотреть структуру леса,
- связность контроллеров
- и функциональный уровень схемы,
а ещё понять
- бизнес-структуру отображения объектов,
- процессы предоставление и контроля доступа, актуализации учетных данных,
- сложившуюся модель распределения прав
- и ролевую модель итд, итп....,
с легкостью применят приведенный чек-лист для упрощения себе жизни на входе в аудит AD. Как в хорошем вопросе, часть ответа как хорошо уже содержится в самих пунктах :-)
Две группы вопросов
Следует разбить вопросы на две группы, чтобы понять как сейчас устроен каталог объектов AD:
- Схема AD, её использование в инфраструктуре, как используется в приложениях и приложениями
- Организация. Разделения привелигированного административного доступа к системам и сервисам с которыми предстоит работать и ролевая модель.
Чеклист
- Схема AD - функциональный уровень. Связность контроллеров и сайтов.
- Процесс заведения нового пользователя.
- Какие аттрибуты используются при заведении?
- Есть ли переконфигурация схемы с созданием собственных атрибутов?
- Используются ли нестандартные атрибуты?
- В какие OU распределяются пользователи и по каким признакам?
- Как и кем определяется членство пользователя в группах?
- Как определяются членства и права пользователей в приложениях?
- В каких приложениях используются членства, аттрибуты, OU из AD, а в каких собственная ролевая модель прав с собственной системой безопасности?
- Через что (группы, OU) определяется доступ пользователей к системам, сервисам и приложениям?
- Соблюдается ли правила иерархии типов групп в AD (Domain local, domain global)? Работает ли групповая модель между соседними доменами?
- На какую бизнес-единицу/техническую-единицу разбивает OU и как/где используется?
- Есть ли практика предоставления прав НЕ администраторам за контролем, актуализацией групп или OU? Для каких систем?
- Кто и как отзывает права у пользователей тех или иных информационных систем?
- Зоны ответственности в AD. Следят и вмешиваются ли владельцы систем (со стороны бизнеса) в учетные записиили все через администраторов AD.
- Безопасность
- Всегда ли пользователя создают по процессу со стороны бизнеса? Какие случаи создания пользователя напрямую, администратором? Ведется ли учет/журнал создания таких пользователей?
- Системные учетные данные есть ли в структуре от которых запущены сервисы, процессы в AD на системах? Или на системах сервисы работают от локальных УЗ?
- Есть ли разграничение прав у привилигированных пользователей (админов) по разным системам? Или все «администраторы» входят в Domain Admins или Administrators на уровне домена?
- Включаются ли пользователи непосредственно в привелигированную группу без групп в группы с привелегиями верхнего уровня?
- Как ведется контроль пользователей с административными правами? Как разграничивается он на уровне систем?
- Разделены ли привелигированные пользователи и учетные записи на группы по информационные сервисам?
- От каких УЗ запускаются процессы приложений?
- Какие группы пользователей с привелигированными правами(обслуживающий персонал: администраторы, backup operator, системная уз по резервному копированию) имеют доступ/должны иметь доступ?
- Как на уровне приложений возможно используется AD аттрибуты и группы? Если возможно, по какой причине не используется?
Покрытие рисков
Данный чек лист покрывает не только ИТ-структуру AD, но и следующие риски
- Отсутствие изоляции информационной системы и сервиса на уровне системного ПО
- Отсутствие структуры порядка и процесса безопасности в разграничении прав
- Беспорядок в отражении прав, использовании приложений в каталоге.
Обращайтесь за аудитом, миграцией и консультацией к нам, у нас большой опыт и экспертиза по наведению порядка в и с Active Directory и ИТ-инфраструктуры у наших заказчиков. В том числе оценка миграции не на решения Microsoft.