Устройство Windows Server 2012 Dynamic Access Control Содержание • • • • • • Утверждения (claims) для пользователей и устройств Классификация данных Централизованные политики доступа и аудита ACEs, основанные на выражениях Расширенная диагностика ошибки «Отказ в доступе» Поддержка протоколом Kerberos Заповни Анкету Виграй Приз http://anketa.msswit.in.ua Утверждения (claims) Информация о субъекте доступа, полученная из доверенного источника • Утверждения для пользователей • Департамент • Должность • Утверждения для устройств • Операционная система • Состояние здоровья Как было раньше • Основные ограничения: • Доступ только на основании членства в группах • Необходимость создания большого количества групп • Нет возможности трансформации групп за пределами леса AD • Нет возможности контролировать доступ на основе характеристик устройств пользователей Как стало теперь • Выбранные атрибуты пользователей и компьютеров можно включить в утверждения • Утверждения могут быть использованы для предоставления доступа • Утверждения могут быть трансформированы при прохождении через доверительные отношения • Новые политики доступа Пример: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True Типы утверждений • • • • • • Boolean Multi-valued String Multi-valued Unsigned Integer Security Identifier String Unsigned Integer Классификация данных • Впервые появилась в Windows Server 2008 R2 (FCI) • Возможность классифицировать файлы • Автоматическая классификация на основании расположения файла и его содержимого • Классификация с помощью продуктов третьих фирм • Применение политик / отчеты • Новые возможности Windows Server 2012 • Непрерывная классификация • Ручная классификация • Поддержка контроля доступа на основе утверждений Централизованные политики доступа Active Directory 1 2 Централизованные правила доступа Централизованные политики доступа 3 Файловые серверы High Impact Data rule Applies To: Resource.Impact == High Access conditions: User.Clearance = High AND Device.IsManaged = True Personal Information rule Applies To: Resource.PII == True Access conditions: Allow MemberOf( PIIAdministrators , Owner) “Information wall” rule Applies To: Exists Resource.Department Access conditions: User.Department any_of Resource.Department Standard organization policy High Impact rule Personal Information rule Finance department policy High Impact Data rule Personal Information rule Information wall rule User folders Finance folders Как работает проверка доступа? Share Security Descriptor Share Permissions File/Folder Security Descriptor Central Access Policy Reference NTFS Permissions Решение о предоставлении доступа: 1) Проверка прав на общую папку 2) Проверка прав NTFS 3) Проверка всех подходящих централизованных политик доступа Active Directory (кэшируются локально) Cached Central Access Policy Definition Cached Central Access Rule Cached Central Access Rule Cached Central Access Rule Пример работы централизованной политики доступа Классификация файла Тип разрешений Департамент ИТ Важность Высокая Целевые файлы в правилах Общий ресурс Разрешения Everyone:Full Сотрудники ИТ FTE Сотрудники ИТ non-FTE Отдел продаж FTE Full Full Full Central Access Rule 1: Engineering Docs Департамент=ИТ ИТ:Modify Everyone: Read Modify Modify Read Rule 2: Sensitive Data Важность=Высокая FTE:Modify Modify None Modify Rule 3: Sales Docs Департамент=Отдел продаж Sales:Modify NTFS FTE:Modify Non-FTE:Read Действующие права: [правило игнорируется] Modify Read Modify Modify None Read Access Control Entry (ACE) до WS2012 • Элемент ACL • Содержит: • SID доверенного лица • Маску доступа (Access Mask) • Флаги • Порядок ACE WS2012: ACE, основанные на выражениях (XA;CIOI;GA;;;AU;(@User.smartcard (A;CIOI;GA;;;AU) == 1 || @Device.managed == 1) && @Resource.dept Any_of {"Sales","HR"})) WS2012: ACE, основанные на выражениях Логические • AND • OR • NOT • Exists Условные • =, != , <, >, <=, >= • Member_of • Device_Member_of • Member_of_Any • Device_Member_of_Any • Any_of • Contains • NOT ACE, основанные на выражениях • Возвращаемые значения: • TRUE • FALSE • UNKNOWN EXP1 EXP2 EXP1 && EXP2 EXP1 || EXP2 TRUE TRUE TRUE TRUE TRUE FALSE FALSE TRUE TRUE UNKNOWN UNKNOWN TRUE FALSE UNKNOWN FALSE UNKNOWN FALSE FALSE FALSE FALSE Диагностика ошибки «Отказ в доступе» Поддержка утверждений протоколом Kerberos • • • • • • Kerberos Security Support Provider (SSP) Privilege attribute certificate (PAC) Kerberos armoring (FAST) Составное удостоверение (Compound Identity) Key Distribution Center (KDC) Уменьшение размера токена Настройки Kerberos SSP Групповые политики • Kerberos client support for claims, compound authentication and Kerberos armoring • KDC support for claims, compound authentication, and Kerberos armoring • • • • Not supported (default) Supported Always provide claims Fail unarmored authentication requests Kerberos Kerberos до Windows 2012 Kerberos с утверждениями для пользователей Kerberos с утверждениями для пользователей (старый клиент) Kerberos – составные удостоверения Kerberos – через леса Уменьшение размера токена • Resource SID compression • msDS-SupportedEncryptionTypes 0xD • Увеличение максимально допустимого размера токена по умолчанию • Политика Set maximum Kerberos SSPI context token buffer size • Новые события в журнале аудита KDC • Политика Warning for large tickets Влияние утверждений на размер PAC 1 утверждение 1 утверждение типа Boolean Добавляет 242 байт Байт без сжатия 120 Накладные расходы пользователя 120 Накладные расходы устройства 114 На утверждение int/bool 8 На значение int/bool 138 На утверждение string 2 На знак Набор утверждений для пользователя Набор утверждений для составного удостоверения 5 утверждений: • 1 Boolean • 1 Integer • 2 String – Single Valued • Длина: 12 символов • 1 String – Multi Valued • Длина: 12 знаков • Количество: 6 Пользователь - 5 утверждений: • 1 Boolean • 1 Integer • 2 String – Single Valued • Длина: 12 знаков • 1 String – Multi Valued • Длина: 12 знаков • Количество: 6 Добавляет 970 байт Утверждения и составные удостоверения не оказывают серьезного влияния на размер билета Kerberos. Компьютер - 2 утверждения: • 1 Boolean • 1 String – Single Valued • Длина: 12 знаков Добавляет 1374 байт данных утверждений + данные AuthZ групп компьютера Ресурсы • http://blogs.technet.com/b/wincat/archive/2012/08/20/docum ent-quarantine-with-windows-server-2012-dynamic-accesscontrol.aspx Заповни Анкету Виграй Приз http://anketa.msswit.in.ua Вопросы