PHL*_*GHT 12 windows active-directory audit
我是一名 Windows 管理员,所以那些与 Windows 集成的人可能会最有帮助。在这一点上,我的主要挑战只是文件共享,但随着 SharePoint 使用的增加,它只会使这变得更加困难。
我已经设置了所有目录,并且允许使用所需的最少访问策略设置许多安全组。我的问题是出于人力资源和合规性原因跟踪这一切。
用户 A 需要对资源 1 的权限。他需要获得资源 1 的经理的批准,然后经理的经理也需要批准此访问权限。一旦所有这些都完成了,我就可以做出改变了。在这一点上,我们只是在纸上跟踪它,但它是如此的负担,并且当用户 A 被重新分配并且在其他情况下不再应该有权访问资源 1 时,它很可能不合规。
我知道我要找的东西应该已经存在,但我不知道去哪里找,我正在与社区联系。
编辑:
感谢您的回复。我认为他们涉及技术方面,希望我的问题不是题外话。我应该让自己更清楚自己的目标。您使用什么系统向审计员展示在 X 天用户 A 已添加/删除权限并且它已被经理 Y 批准?我目前有一个基本的票务系统,但我没有看到它以易于理解的格式提供我需要的东西。
在我的脑海中,我正在想象一些关于用户 A 的报告,该报告将显示对其权限所做的所有更改。理想情况下,链接到 Active Directory 的内容是理想的,但此时我希望找到更基本的内容。我希望有一个专门用于此的应用程序。
谢谢!
您需要一个能够提供以下三项功能的票务系统:
几乎所有票务系统都已经以票证创建日期、修改日期等形式为您提供#1。#2 由您在票证中记录。通常,这是来自资源经理的批准电子邮件,粘贴到票证中,说明他们可以具有访问权限(或应删除访问权限)以及类型。#3 是最重要的,取决于票务系统,但如果您的系统不容易搜索,那么您的工作就被淘汰了。如果您可以仅按用户进行搜索,以便所有权限票证都与票证系统中的联系信息相关联,那么您就很好,否则您实际上是将您的更改记录到黑洞中。
在可以执行此操作以跟踪更改的票务系统之外(您提到您有一个基本的票务系统,因此也许您需要一个更好的系统来实现更好的搜索/报告功能)、您使用的任何应用程序、实用程序或脚本仅提供权限快照。你仍然被“为什么?”所困扰。谁有权访问什么,这只能与应用程序分开正确记录,因为您可能需要从资源管理器捕获原始电子邮件或其他批准文本。一旦你有了它,你将它放在哪里以将其与应用程序的结果关联起来?
运行应用程序或脚本来确定文件结构中的当前权限也无法为您提供用户权限更改的良好审计跟踪。您基本上只能在单个时间点查看当前权限的大快照。当您再次运行它时,您将获得文件权限的另一个大快照。即使您保留了第一个权限捕获并将其与最近的捕获进行比较,并且权限已更改,您如何将其与更改的原因联系起来?再次,这让我们回到了票务系统,因为上面的#s 1,2 和 3 都将记录在一个地方。
您提出的另一个问题是权限蔓延(当用户被重新分配给另一个权限并且不再需要访问资源 X 时,但仍保留它,因为他们不再需要访问资源 X 的事实不是由 IT 运行的过渡期间的部门)。控制这种情况的唯一方法是告诉 HR 或处理员工重新分配的人员,当员工重新分配时需要通知 IT 人员,以便他们可以适当地分配和撤销权限。就是这样。没有神奇的应用程序会告诉您用户可以访问资源 X,但现在不应该再访问,因为他们的工作现在是 Y。发生这种情况时,必须以某种形式向 IT 人员发出通知。
| 归档时间: |
|
| 查看次数: |
6477 次 |
| 最近记录: |