ダイナミックアクセス制御：新しい方法でのリソース管理

Windows Server 2008サーバーオペレーティングシステムから始まるすべてのWindowsシステム管理者が知っているように、Active Directoryドメインサービスなどの組織でIDとアクセスを効果的に管理できる重要な統合された役割は、5つの役割に分かれています。 より正確には、 Active Directoryドメインサービスの役割の主なタスクは、識別とアクセスに関連する操作を実行することであることを誰もが理解しています。 つまり、ここには認証と承認に関連するタスクがあり、セキュリティプリンシパル、サイト、サービス、および信頼関係を作成および管理する機会もあります。 この役割は、グループポリシーなどの機能を使用して実装された職場の一元化された設定にも安全に帰することができます。 また、ディレクトリサービスのすべての豊富な機能を利用するために、他のサーバーの役割を操作することもできます。

ネタバレ ：この記事は純粋に理論的な資料であり、この記事には段階的な手順は含まれていません。

そのような役割を検討してください。 上で言ったように、それらの4つ、すなわち：

• Active Directory証明書サービス、つまりActive Directory証明書サービス、AD CS 。 中規模および大規模の組織は、ユーザー、デバイス、またはサービスIDを対応する秘密キーにバインドするデジタル証明書を発行するための認証局を作成するために、PKI公開キーインフラストラクチャでAD CS証明書サービスをホストすることもできます。 つまり、AD CSは、証明書を独立して発行し、その結果、証明書を管理するための効率的で安全な方法を提供します。
• Active Directory Rights Managementサービス-Active Directory Rights Managementサービス 、つまりAD RMS 。 ところで、多くの人が無視しているこのサーバーの役割の機能は、ファイアウォールの境界の内側と外側だけでなく、ネットワークとその外側での許可された使用と不正な使用を指定する持続可能な使用ポリシーのパターンを実装するために使用できる情報保護技術を提供します;
• Active Directoryフェデレーションサービスは、英語ではActive Directoryフェデレーションサービス 、または単にAD FSのように聞こえます。 これらのサービスにより、組織は、Windows環境だけでなく、何らかの方法で複数のプラットフォームにわたってIDおよびアクセスインフラストラクチャを拡張し、信頼できるパートナーにセキュリティ境界外のIDA保護を提供できます。 フェデレーション環境では、組織には独自の識別オブジェクトをサポートおよび制御する機会が与えられます。
• ライトウェイトディレクトリサービス 、つまりActive Directoryライトウェイトディレクトリサービス 、または単にAD LDS 。 この役割は、大まかに言って、ディレクトリリポジトリへのアクセスを必要とするアプリケーションデータのみを格納するLDAPディレクトリですが、その情報はすべてのドメインコントローラに複製されるべきではありません。

そして、読み取り専用ドメインコントローラーの展開機能、ドメインコントローラーの仮想化、Active Directoryを介したオペレーティングシステムのアクティベーションやWindows PowerShellコマンドレットの履歴などの新機能を追加すると、Active Directoryの可能性はほぼ無限にあると結論付けることができます。 。 ただし、情報へのアクセスがどのように提供されるかを見ると、すべてが完全に悲しいと言えます。 実際、NTFSベースの権利では、厳密なファイル分類に従ってドキュメントへのアクセスを制御することはできません。特定のポリシーに従って詳細な監査を行うことはできません。「アクセス要求」を生成する可能性はありませんが、依然としていくつかの制限があります。

しかし、Windows Server 2012などのMicrosoftのサーバーオペレーティングシステムのリリースでは、 ダイナミックアクセス制御 （ ダイナミックアクセス）と呼ばれる技術が登場したため、アクセス制御リスト、つまりACLを介してこれらすべてのファイルアクセス制限を忘れることができますControl ）。これにより、特定の属性または特定の基準に基づいて情報へのアクセスを制御できます。 この記事から始めて、この素晴らしいテクノロジーについて説明します。それをどのように使用できるか、さまざまなシナリオ、ステートメントは何であるか（英語では、アプリケーションまたはklimaと呼ばれることもあります） クレームとして）存在するリソースプロパティ。 また、一元化されたアクセスポリシーとルール、そのような一元化されたアクセスポリシーを正確に公開および適用する方法、さまざまなファイルとフォルダーの分類、動的アクセス制御の問題のトラブルシューティング、および他の多くのことについて。

当然、先ほど書いたこれらすべてのポイントを見ると、この技術についての1つの記事では対応できないことはすぐに明らかです。したがって、比fig的に言えば、この技術を6〜10の記事で完全に公開します。考えられるシナリオ、このテクノロジの微妙な点、およびActive Directoryサーバーの全体管理とWindows PowerShellツールの使用に基づく例も重要です。

動的アクセス制御などのテクノロジーに関するこの最初の記事から、正確に何を学ぶことができますか？ また、この記事から、次の点についてさらに学習します。

• このテクノロジーの目的について。
• このテクノロジーがACLに基づいてアクセスを提供するよりも優れている理由について。
• 現在の技術の利点と制限について学びます。
• また、動的アクセス制御と集中型アクセスポリシーを使用すると便利ないくつかのシナリオについても説明します。

さあ、始めましょう。

ACLからの動的アクセス制御の目的と違い

この技術の最初の記事の大部分で既に述べたように、動的アクセス制御により、主にWindows Server 2012を実行しているドメインコントローラーとファイルサーバーにある企業リソースへの共有アクセスを提供するメカニズムを再確認できます。それでは、なぜアクセスの提供を改めて見直すことができ、なぜアクセス制御リストがそれほど不快なのでしょうか？

まず、この謎めいたテクノロジーのリリース前に、リソースへのアクセスがどのように提供されていたかを思い出しましょう。

アクセス許可は以前どのように割り当てられていましたか？

一般的に、アクセス制御許可は共有オブジェクトとActive Directoryオブジェクトに割り当てられ、さまざまなユーザーが各オブジェクトを使用する方法を決定します。 誰もが知っているように-管理者だけでなく、通常のPCユーザーも- 共有オブジェクトまたは共有リソースは、ネットワーク上の1人以上のユーザーの使用を伴うオブジェクトです。 もちろん、そのようなオブジェクトは、ファイル、プリンター、フォルダー、およびサービスです。 Active Directoryでは、フルアクセス、書き込み、読み取り、アクセスなしなど、さまざまなアクセスレベルまたはアクセス許可のオブジェクトを設定することにより、オブジェクトレベルでアクセス制御が実行されました。 共有オブジェクトとActive Directoryオブジェクトの両方のアクセス制御許可は、セキュリティ記述子に保存されます。

セキュリティ記述子には、各オブジェクトのセキュリティ情報の割り当てと制御に使用される2つのアクセス制御リスト （ACL）が含まれています。 もちろん、これは選択アクセス制御テーブル（DACL）とシステムアクセス制御テーブル（SACL）です。

• 随意アクセス制御リスト（DACL） 。 公式ソースからわかるように、DACLはオブジェクトへのアクセスを明示的に許可または拒否されているユーザーとグループをリストします。 明らかな理由により、メンバーである特定のユーザーまたはグループがDACLで明示的に指定されていない場合、そのユーザーはオブジェクトへのアクセスを拒否されます。 デフォルトでは、DACLはオブジェクトの所有者またはオブジェクトを作成したユーザーによって制御され、オブジェクトへのユーザーアクセスを定義するアクセス 制御エントリ （ ACE ）が含まれています。
• システムアクセス制御リスト（SACL）。 次に、SACLには、オブジェクトへのアクセス試行の成功および失敗を監査するユーザーとグループがリストされます。 監査は、システムまたはネットワークのセキュリティに関連するイベントを監視し、セキュリティシステムの欠陥を検出し、損害の範囲と場所を判断するために使用されます。 デフォルトでは、DACLと同様に、SACLはオブジェクトの所有者またはオブジェクトを作成したユーザーによって管理されます。 SACLには、このアクセス許可（フルコントロールや読み取りなど）を使用したユーザーによるオブジェクトへのアクセス試行の成功または失敗を記録する必要があるかどうかを決定するアクセス制御レコードが含まれています。

既定では、DACLおよびSACLは各Active Directoryオブジェクトに関連付けられており、サイバー犯罪者やランダムドメインユーザーエラーによるネットワーク攻撃の可能性を低減します。 ただし、攻撃者がActive Directory管理者権限を持つアカウントの名前とパスワードを見つけた場合、このフォレストは攻撃に対して脆弱になります。

また、既定では、Active Directoryオブジェクトは親コンテナーオブジェクトのセキュリティ記述子からACEを継承することに注意してください。 継承を使用すると、Active Directoryコンテナオブジェクトに固有のアクセス制御情報を、他のコンテナとそのオブジェクトを含む下位オブジェクトのセキュリティ記述子に適用できます。 これにより、新しい各子オブジェクトにアクセス許可を適用する必要がなくなります。 必要に応じて、継承された権限を変更できます。 ただし、Active Directoryオブジェクトの既定のアクセス許可と継承設定を変更しないことをお勧めします。

認可プロセスはユーザーにとっては単一のイベントのように見えますが、2つの部分で構成されています。

ユーザーはアクセスパラメータ（通常はユーザー名とパスワード）を提供し、AD DSデータベースで検証されます。 ユーザー名とパスワードがデータベースに保存されている情報と一致する場合、ユーザーは承認され、ドメインコントローラーがチケットを受け取るためのチケットが発行されます。 この時点で、ユーザーはネットワークリソースにアクセスできません。

セカンダリバックグラウンドプロセスは、確認のためにチケットをドメインコントローラーに渡し、ローカルマシンへのアクセスを要求します。 ドメインコントローラーはユーザーにサービスチケットを発行し、ユーザーはローカルコンピューターと対話できます。 プロセスのこの時点で、ユーザーはAD DSで承認され、ローカルマシンに登録されます。

その後、ユーザーがネットワーク上の別のコンピューターとの接続を確立しようとすると、セカンダリプロセスが再び開始され、チケットを取得するためのチケットは、検討のために最も近いドメインコントローラーに渡されます。 ドメインコントローラーがサービスチケットを返すと、ユーザーはネットワーク上のコンピューターにアクセスし、そのコンピューターで承認イベントを生成します。

ドメインに接続されたコンピューターは、起動時にAD DSにもログインします。これはしばしば見落とされがちです。 コンピューターがActive Directoryドメインサービスでの承認にアカウント名とパスワードを使用する場合、トランザクションは表示されません。 認証後、コンピューターは承認されたユーザーのグループのメンバーになります。 コンピューターの承認プロセスのグラフィカルユーザーインターフェイスには視覚的な確認はありませんが、このアクティビティを記録するイベントプロトコルがあることを覚えておく価値があります。 さらに、監査がアクティブになっている場合、イベントビューアーセキュリティログで表示できるイベントが増えます。

そして、動的アクセス制御よりも優れているものは何ですか？

実際、アクセス制御リストに基づいてアクセスを許可する構成要素に基づいて、この方法を使用すると、特定のグループのターゲットのメンバーシップのみに基づいて許可が許可されるという結論に達することができます。 サードパーティの特性に基づいて、特定のユーザーデバイスへのアクセスを制限したり、逆に許可したりすることはできません。また、非標準のシナリオをすぐに忘れることもできます。

動的アクセス制御により、これらの制限が削除され、さまざまな基準に従ってアクセスを提供できるより詳細なルールを作成できます。 言い換えれば、まず第一に、このテクノロジーは集中型セキュリティポリシーを作成することでファイルやデータへのアクセスを制御する機能を提供するという事実に注意を払う価値があります。 つまり、ビジネスの戦略を最もよく反映し、規制要件を完全に遵守するようなポリシーを作成できます。 さらに、手動モードと自動モードの両方でファイル分類を使用するときに、このような情報を特定できます。 ACLを使用する場合、これら2つのオプションのみが即座に制御にアクセスできます。

ただし、これだけではありません。 アクセスされる最も一般的なデータタイプは、Officeドキュメント、つまり、Microsoft Office製品を使用して管理できるファイルです。 以前は、特定のユーザーまたはグループにドキュメントの暗号化による一意のアクセス許可を付与するために、Active Directory Rights Managementサービス、つまりAD RMSが各ドキュメントに使用されていました。 この技術は十分に証明されており、ダイナミックアクセス制御の出現により、特定の基準に基づいた自動暗号化を使用してRMS保護を適用する機会が与えられました。

今日、多くの企業の最も貴重な資産の1つは情報そのものに他なりません。情報自体は組織を超えてはなりません。 そのような情報の誤用は、会社全体の運命に悪影響を与える可能性があります。 このテクノロジーの一元化された監査ポリシーのおかげで、ファイルへのアクセスをさらに監査するためのレポートを作成したり、緊急の場合は法医学分析を作成したりできます。 つまり、サードパーティのアプリケーションやソフトウェア製品を使用する必要はありません。

これ以外に強調表示できるものは何ですか？ また、Active Directoryスキームに変更を加えることなく、追加のロールや特定のソフトウェアを展開することなく、一般的に「すぐに使用できる」現在のテクノロジを使用できることを強調できます。 さらに、特にダイナミックアクセス制御を使用する可能性のために、Windowsオペレーティングシステム用に新しい承認および監査メカニズムが開発され、Kerberos認証機能用にいくつかの革新が実装されました。これについては、 Kerberosネットワーク認証プロトコル、またはクレームが必要な理由 。」

彼には制限がありますか？

残念ながら、予想されるように、このテクノロジーにはいくつかの制限もあります。 まず、組織にActive Directoryドメインサービスを展開する必要があります。 つまり、ワークグループの一部であるコンピューターに動的アクセス制御を使用する場合、成功しません。 第二に、動的アクセス制御は単なる独立した機能ではありません。 このテクノロジは、Windows Server 2012インフラストラクチャに基づいて構築されたファイルサーバーソリューションであり、直接のKerberosクレームのサポート、リソースプロパティを格納するためのActive Directoryサポート、ユーザーとコンピューターのクレーム、集中アクセスポリシーを格納するためのActive Directoryサポート、実装などが含まれますグループポリシーの機能などを使用した、このような一元化されたアクセスポリシーの配布。

したがって、これらのすべての要件に従って、次の結論を導き出すことができます。WindowsServer 2012を実行するドメインコントローラーを少なくとも1つ組織に展開する必要があります。また、フォレストに複数のドメインが展開されている場合、このようなドメインは、Windows Server 2012で少なくとも1つのドメインコントローラーと共に展開する必要があります。これは、信頼関係が確立されているドメイン間でクレームを使用する可能性のために特に行われます。 さらに、前述したように、Windows Server 2012では、KDCサービスは、Kerberosチケット内のクレームを処理するために特に改善されました。

ファイルサーバー上のオペレーティングシステムは当然Windows Sever 2012である必要があります。ユーザーが共有フォルダーに接続すると、ファイルサーバーは着信接続の資格情報を使用してリソースへのアクセスを確認します。 これは、ファイルサーバーが共有リソースへのアクセスを決定することを意味します。 また、ファイルサーバー上のさまざまなコンポーネントが、LSAやKerberosアプリケーションサーバーなどのクレームをサポートする必要があることも意味します。 ユーザーがデータにアクセスするファイルサーバーは、Kerberosチケットからデバイスのクレームと承認データを読み取り、これらのセキュリティ識別子（SID）とチケット承認を認証トークンに変換し、承認データを比較できる必要があることがわかりますセキュリティ記述子に条件が含まれるトークン内。 つまり、OSの古いバージョンは結果として機能しません。

さて、指定されたデバイスに対する要求がある場合、Windows 8またはWindows Server 2012を実行しているコンピューターのみがクライアントとして使用できます。つまり、この制限は、クライアントを8に移行する正当な理由と言えます。

ダイナミックアクセス制御を使用するための主なシナリオ

次に、より活気のある瞬間-シナリオ自体について、動的アクセス制御を適用することをお勧めします。 概して、多くのシナリオをシミュレートできますが、主に次の7つのシナリオを区別できます。

• 認可ポリシーの集中展開 。 まず、このテクノロジーの主なタスクの1つは、企業ファイルの集中アクセスポリシーを作成し、特定の条件に基づいてユーザーまたはユーザーのデバイスがファイルにアクセスできるようにすることです。 それらは各特定の企業のニーズに基づいてのみ作成されるため、この技術は特に価値があります。 このシナリオの実装方法：
  
  
  1. まず、ビジネスの方向性を評価し、そのようなポリシーがどのように機能するかを判断する必要があります。 つまり、まず最初に、一般に集中型アクセスポリシーが必要な理由を判断する必要があります。つまり、将来そのようなポリシーが適用されるリソースをローカライズする必要があります。 その後、環境に適用するすべてのポリシーのリストが作成されます。 それほどあいまいではないが、条件に応じてファイルリソースを部門、特定のカテゴリに分割します。多数のブランチの場合、物理的な場所に応じてアクセスを制限する方が収益性が高い方法を検討しています。
  2. 次に、サーバーが理解できる形式で、Windows Serverの構造コンポーネントにアクセスポリシー式を実装します。 この一連の単語はどういう意味ですか？ また、このシナリオの実装の2番目のステップは、必要なアクセスポリシーを正しい式に変換することです。 このようなポリシーは、一般に、誰にとっても理解できる通常の形式から、セキュリティプリンシパルに承認を提供するために必要な言語に非常に簡単に変換されます。 つまり、このようなアクセスポリシーには、適用可能性 、 アクセス条件 、および例外の ルールがあります 。 あなたと私は、この短いサイクルの以下の記事のいずれかでこれを詳細に検討します。
  3. その後、タスク3は、ユーザーグループ、リソースプロパティ、および必要なステートメントを識別することです。 つまり、各集中アクセスポリシーに対して作成されたステートメントがどの特定のリソースおよびどのセキュリティプリンシパルに適用されるかを分析する必要があります。
  4. そして、明らかに、最後のポイントは、そのような集中型アクセスポリシーが適用されるサーバーの定義です。 たとえば、このようなポリシーを一度にすべてのファイルサーバーに配布することも、元の目的に応じてサーバーに配布することもできます。
• フォレスト間でクレームを実装する 。 Windows Server 2012オペレーティングシステムは、各フォレストでいわゆるクレームディクショナリを使用できるように設計されており、これらはすべてActive Directoryドメインサービスレベルで直接定義されます。 基本的なシナリオは、クライアントがアクセスの承認を取得する必要がある状況であり、何らかの方法で信頼の境界をバイパスします。
  
  明らかに、クレームは、関連付けられているオブジェクトに関連しており、各Active Directoryフォレストに対して、独自の種類のクレームが定義されています。 フォレスト間クレームの変換により、信頼できるフォレストおよび信頼できるフォレストでそれらを認識および適用できます。 少し明確にするために：
  
  信頼されたフォレストを使用してクレームを変換し、特定の値に従って受信クレームをフィルタリングすることにより、昇格した特権に関連する攻撃を回避できます。 また、信頼されたフォレストが特定のアサーションをサポートしない、または発行しない場合、信頼境界を越えてプリンシパルに対してアサーションを発行します。
  
  次に、信頼されたフォレストはアサーション変換を使用して、特定の種類のクレームを防止し、特定のパラメーターを持つクレームが信頼できるフォレストに入るのを防ぎます。
  
  ところで、クレーム変換ポリシーの作成には、クレーム変換ポリシーオブジェクトと変換参照の2つのコンポーネントが関係していることを理解することが非常に重要です。 これらのポイント、および特にシナリオについては、このテクノロジーに関する対応する記事でさらに詳しく説明します。
• アクセスを拒否されたユーザーのサポートの改善 。 原則として、通常の状況：ユーザーNは仕事に来て、ファイルサーバーにある特定の情報に関連するタスクを受け取りますが、そのようなユーザーにはアクセスが提供されません。 次に何が起こるか：同じユーザーNは共有フォルダーにアクセスしようとしますが、共有フォルダーを開こうとすると、「アクセスが拒否されました」という唯一の答えが返されます。 その後、ユーザーはサポートサービスに連絡し、実践が示すように、このユーザーのみが理解できる形式で、どのドキュメントにアクセスする必要があるのか​​、なぜ必要なのか、そのようなドキュメントがある場所などを説明しようとします。
  
  動的アクセス制御を使用する利点は何ですか？ , , , .
  
  . , , . . Microsoft? , , :
  
  
  1. , . , , , . , - . , ;
  2. , , , ;
  3. , ;
  4. , . , , ;
  5. , . - .
• . , – , , , , . , - , , . , , ( DFS-R), , . , , - , .
  
  Windows Server 2012 , , , , . , , , . , , . :
  
  
  1. , . ? , , ;
  2. , , - , . , , , , , , , . .
• Microsoft Office . AD RMS… . , , . . Active Directory. , Windows Server 2012, , Microsoft Office, , , . :
  
  
  1. , , . , , . - , . , . , . , , , , , ;
  2. , . , , , , AD RMS. , . -, , , . , , . ;
  3. , , , , - .
• . , : ? , « , , ». , . , , . , -, - , . , , , , , Microsoft. , , , - . , , :
  
  
  1. , , , , . , ;
  2. , , . , , .
• . , , . ? , , . : ? , , , , , .
  
  ? -, . : , , . -, , . , , , , , , , , , . , , - , - , , , .
  
  , , , , .

?

私自身も、特に多くの資料がすぐに提示される場合は、純粋に理論的な部分が非常につまらない場合があることをよく知っています。ただし、理論的根拠のない実践は、材料を研究するための間違ったアプローチです。このサイクルの以下の記事では、前述したように、ステートメントがどのようなものであり、どのように作成され、このプロセス中に発生する可能性のある落とし穴について学習します。リソースのプロパティについて学習します。集中型アクセスポリシーとルールの作成におけるさまざまなニュアンスについて詳しく説明します。もちろん、このような集中型アクセスポリシーをどのように公開および適用できるかについても説明します。上記のいくつかの段落で簡単に言及されたすべてのシナリオが考慮されます。監査について学習し、さまざまなファイルとフォルダーの分類についても説明します。さらに、動的アクセス制御に関連する可能性のある問題のトラブルシューティングに、必ず別の記事を捧げます。

一般に、この記事があなたにとってあまりにも疲れないこと、そしてこの技術の使用についてもっと知りたいという欲求を失っていないことを願っています。同様に、次の記事には当然、理論的な資料が豊富にないため、主にシナリオ、さまざまな手順、およびこのテクノロジの使用の段階的な例を検討します。