null

Check-list (чек лист) аудита структуры Active Directory

Часто приходится работать с реорганизацией и наведением порядка с структуре каталогов Active Directory у заказчиков. Для упрощения жизни предлагаю сформированный чек-лист по областям просмотра/интервью при аудите в ходе наведения порядка.

Те, кто понимают что аудит Active Directory это не только

  • посмотреть структуру леса,
  • связность контроллеров
  • и функциональный уровень схемы,

а ещё понять

  • бизнес-структуру отображения объектов,
  • процессы предоставление и контроля доступа, актуализации учетных данных,
  • сложившуюся модель распределения прав
  • и ролевую модель итд, итп....,

с легкостью применят приведенный чек-лист для упрощения себе жизни на входе в аудит AD. Как в хорошем вопросе, часть ответа как хорошо уже содержится в самих пунктах :-)

Две группы вопросов

Следует разбить вопросы на две группы, чтобы понять как сейчас устроен каталог объектов AD:

  1. Схема AD,  её использование в инфраструктуре, как используется в приложениях и приложениями
  2. Организация. Разделения привелигированного административного доступа к системам и сервисам с которыми предстоит работать и ролевая модель.

Чеклист

  1. Схема AD - функциональный уровень. Связность контроллеров и сайтов.
  2. Процесс заведения нового пользователя. 
    1. Какие аттрибуты используются при заведении?
    2. Есть ли переконфигурация схемы с созданием собственных атрибутов?
    3. Используются ли нестандартные атрибуты?
  3. В какие OU распределяются пользователи и по каким признакам?
  4. Как и кем определяется членство пользователя в группах?
  5. Как определяются членства и права пользователей в приложениях?
  6. В каких приложениях используются членства, аттрибуты, OU из AD, а в каких собственная ролевая модель прав с собственной системой безопасности?
  7. Через что (группы, OU) определяется доступ пользователей к системам, сервисам и приложениям? 
  8. Соблюдается ли правила иерархии типов групп в AD (Domain local, domain global)? Работает ли групповая модель между соседними доменами?
  9. На какую бизнес-единицу/техническую-единицу разбивает OU и как/где используется?
  10. Есть ли практика предоставления прав НЕ администраторам за контролем, актуализацией групп или OU? Для каких систем?
  11. Кто и как отзывает права у пользователей тех или иных информационных систем?
  12. Зоны ответственности в AD. Следят и вмешиваются ли владельцы систем (со стороны бизнеса) в учетные записиили все через администраторов AD.
  13. Безопасность
    1. Всегда ли пользователя создают по процессу со стороны бизнеса? Какие случаи создания пользователя напрямую, администратором?  Ведется ли учет/журнал создания таких пользователей?
    2. Системные учетные данные есть ли в структуре от которых запущены сервисы, процессы в AD на системах? Или на системах сервисы работают от локальных УЗ?
    3. Есть ли разграничение прав у привилигированных пользователей (админов) по разным системам? Или все «администраторы» входят в Domain Admins или Administrators на уровне домена?
    4. Включаются ли пользователи непосредственно в привелигированную группу без групп в группы с привелегиями верхнего уровня?
    5. Как ведется контроль пользователей с административными правами? Как разграничивается он на уровне систем?
    6. Разделены ли привелигированные пользователи и учетные записи на группы по информационные сервисам?
  14. От каких УЗ запускаются процессы приложений?
  15. Какие группы пользователей с привелигированными правами(обслуживающий персонал: администраторы, backup operator, системная уз по резервному копированию) имеют доступ/должны иметь доступ?
  16. Как на уровне приложений возможно используется AD аттрибуты и группы? Если возможно, по какой причине не используется?

 

Покрытие рисков

Данный чек лист покрывает не только ИТ-структуру AD, но и следующие риски

  1. Отсутствие изоляции информационной системы и сервиса на уровне системного ПО
  2. Отсутствие структуры порядка и процесса безопасности в разграничении прав
  3. Беспорядок в отражении прав, использовании приложений в каталоге. 

Обращайтесь за аудитом, миграцией и консультацией к нам, у нас большой опыт и экспертиза по наведению порядка в и с  Active Directory и ИТ-инфраструктуры у наших заказчиков. В том числе оценка миграции не на решения Microsoft.