Устройство Windows Server 2012 Dynamic Access Control Константин Леонтьев Архитектор Microsoft

Содержание Утверждения (claims) для пользователей и устройств Классификация данных Централизованные политики доступа и аудита ACEs, основанные на выражениях Расширенная диагностика ошибки «Отказ в доступе» Поддержка протоколом Kerberos

Заповни Анкету Виграй Приз

Утверждения (claims) Информация о субъекте доступа, полученная из доверенного источника Утверждения для пользователей Департамент Должность Утверждения для устройств Операционная система Состояние здоровья

Как было раньше Основные ограничения: Доступ только на основании членства в группах Необходимость создания большого количества групп Нет возможности трансформации групп за пределами леса AD Нет возможности контролировать доступ на основе характеристик устройств пользователей

Как стало теперь Выбранные атрибуты пользователей и компьютеров можно включить в утверждения Утверждения могут быть использованы для предоставления доступа Утверждения могут быть трансформированы при прохождении через доверительные отношения Новые политики доступа Пример: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and Device.Managed=True

Типы утверждений Boolean Multi-valued String Multi-valued Unsigned Integer Security Identifier String Unsigned Integer

Классификация данных Впервые появилась в Windows Server 2008 R2 (FCI) Возможность классифицировать файлы Автоматическая классификация на основании расположения файла и его содержимого Классификация с помощью продуктов третьих фирм Применение политик / отчеты Новые возможности Windows Server 2012 Непрерывная классификация Ручная классификация Поддержка контроля доступа на основе утверждений

Active Directory Централизованные политики доступа Finance folders User folders Standard organization policy High Impact rule Personal Information rule Finance department policy High Impact Data rule Personal Information rule Information wall rule Файловые серверы High Impact Data rule Applies To: Resource.Impact == High Access conditions : User.Clearance = High AND Device.IsManaged = True Personal Information rule Applies To: Resource.PII == True Access conditions: Allow MemberOf( PIIAdministrators, Owner) Information wall rule Applies To: Exists Resource.Department Access conditions: User.Department any_of Resource.Department 2 Централизованные политики доступа Централизованные правила доступа 1 3

Как работает проверка доступа? File/Folder Security Descriptor NTFS Permissions Central Access Policy Reference Решение о предоставлении доступа: 1)Проверка прав на общую папку 2)Проверка прав NTFS 3)Проверка всех подходящих централизованных политик доступа Share Security Descriptor Share Permissions Active Directory (кэшируются локально) Cached Central Access Policy Definition Cached Central Access Rule

Тип разрешенийЦелевые файлы в правилахРазрешения Сотрудники ИТ FTE Сотрудники ИТ non-FTE Отдел продаж FTE Общий ресурсEveryone:Full Central Access Rule 1: Engineering Docs Департамент=ИТИТ:Modify Everyone: Read Rule 2: Sensitive DataВажность=ВысокаяFTE:Modify Rule 3: Sales DocsДепартамент=Отдел продажSales:Modify NTFSFTE:Modify Non-FTE:Read Действующие права: Классификация файла ДепартаментИТ ВажностьВысокая Пример работы централизованной политики доступа Read Full Modify Read Modify None Modify NoneRead [правило игнорируется]

Access Control Entry (ACE) до WS2012 Элемент ACL Содержит: SID доверенного лица Маску доступа (Access Mask) Флаги Порядок ACE 1. Access Deny 2. Access Allow 1. Access Deny 2. Access Allow 1. Access Deny 2. Access Allow Явные ACE Наследование 1 уровня Наследование 2 уровня

WS2012: ACE, основанные на выражениях == 1 == 1) Any_of {"Sales","HR"}))

WS2012: ACE, основанные на выражениях Логические AND OR NOT Exists Условные =, !=,, = Member_of Device_Member_of Member_of_Any Device_Member_of_Any Any_of Contains NOT

ACE, основанные на выражениях Возвращаемые значения: TRUE FALSE UNKNOWN EXP1EXP2EXP1 && EXP2EXP1 || EXP2 TRUE FALSE TRUE UNKNOWN TRUE FALSEUNKNOWNFALSEUNKNOWN FALSE

Диагностика ошибки «Отказ в доступе»

Поддержка утверждений протоколом Kerberos Kerberos Security Support Provider (SSP) Privilege attribute certificate (PAC) Kerberos armoring (FAST) Составное удостоверение (Compound Identity) Key Distribution Center (KDC) Уменьшение размера токена

Настройки Kerberos SSP Групповые политики Kerberos client support for claims, compound authentication and Kerberos armoring KDC support for claims, compound authentication, and Kerberos armoring Not supported (default) Supported Always provide claims Fail unarmored authentication requests

Kerberos Domain Controller User ? File Server KRB_AS_REQ 1 KRB_AS_REP 2 KRB_TGS_REQ 3 KRB_TGS_REP 4 KRB_AP_REQ 5 KRB_AP_REP 6

Kerberos до Windows 2012 TGS (no claims) Contoso DC Pre-Windows 2012 Pre-Windows 2012 File Server User M-TGTU-TGT M-TGT U-TGT TGS (no claims) ?

Kerberos с утверждениями для пользователей TGS (User claims) Contoso DC Windows 2012 User M-TGTU-TGT TGS (User claims) ? File Server

Kerberos с утверждениями для пользователей (старый клиент) TGS (No claims) Contoso DC Windows 2012 TGS (No claims) File Server Pre-Windows 8 User Set Policy to enable claims M-TGTU-TGT TGS (with User Claims) ? S4UToSelf()

Kerberos – составные удостоверения Contoso DC Windows 2012 File Server ? User M-TGTU-TGT TGS (User and Device Groups/Claims) M-TGTU-TGT TGS (User and Device Groups/Claims)

Kerberos – через леса Contoso DC File Server ? User M-TGTU-TGT Woodgrovebank DC Публикация политики преобразования Referral TGT TGS (with claims)

Уменьшение размера токена Resource SID compression msDS-SupportedEncryptionTypes 0xD Увеличение максимально допустимого размера токена по умолчанию Политика Set maximum Kerberos SSPI context token buffer size Новые события в журнале аудита KDC Политика Warning for large tickets

Влияние утверждений на размер PAC 1 утверждение 1 утверждение типа Boolean Добавляет 242 байт Набор утверждений для пользователя 5 утверждений: 1 Boolean 1 Integer 2 String – Single Valued Длина: 12 символов 1 String – Multi Valued Длина: 12 знаков Количество: 6 Добавляет 970 байт Набор утверждений для составного удостоверения Пользователь - 5 утверждений: 1 Boolean 1 Integer 2 String – Single Valued Длина: 12 знаков 1 String – Multi Valued Длина: 12 знаков Количество: 6 Компьютер - 2 утверждения: 1 Boolean 1 String – Single Valued Длина: 12 знаков Добавляет 1374 байт данных утверждений + данные AuthZ групп компьютера Утверждения и составные удостоверения не оказывают серьезного влияния на размер билета Kerberos. Байт без сжатия 120Накладные расходы пользователя 120Накладные расходы устройства 114На утверждение int/bool 8На значение int/bool 138 На утверждение string 2 На знак

Ресурсы ent-quarantine-with-windows-server-2012-dynamic-access- control.aspx ent-quarantine-with-windows-server-2012-dynamic-access- control.aspx

Заповни Анкету Виграй Приз

Вопросы