活動目錄的許可權設定包括:訪問控制、使用者許可權及特權設定,它們定義了使用者在企業中可執行哪些操作。由於許可權所涵蓋的職責範圍極其廣泛,導致企業常常無法對許可權進行有效把控。
如何發現許可權異常?
許可權在企業內部、雲環境、裝置和應用中廣泛分布。it管理員使用不同的工具來檢視和分配各種資源的許可權,但是這些工具對許可權的詳細資訊展現往往不太擅長。當然,不少it管理員通過powershell或cmd等命令列工具進行檢視,即便這樣也很難滿足企業的各種獨特需求。而且這些工具缺乏統一的介面來授予或撤銷許可權,甚至無法獲得企業中所有資源的所有許可權的整體檢視,這使得許可權管理和安全性極為複雜。
身份和安全許可權的三角方法
無論您是小型企業,還是使用者遍布全球的大型企業,對於訪問許可權的管理都是至關重要的。有效的許可權和訪問控制管理可以防止未經授權的訪問和公司敏感資料的洩漏,並且還可以幫助您更好地管理資源,尤其是當資源數量增加時。
因此,當您著手管理您的許可權時,請問自己以下三個簡單但至關重要的問題:
使用者是否有權訪問所需的資源?[許可權展示]
是否有用於管理許可權和訪問的系統?[許可權管理]
是否有用於監視許可權變更的安全軟體?[許可權監控]
讓我們介紹三角許可權的原理,幫助您理解許可權的重要性。
1.發現許可權
首先需要了解的是許可權的應用範圍,以及在基礎架構中的適用區域。
it基礎架構的發展
越來越多的企業正在採用雲環境,其中一半的工作量會在企業的內部環境和雲環境之間產生。
如上圖所示,企業中的各種角色和許可權會在活動目錄(ad)、exchange或lync等應用程式之間分配;也會在雲部署環境(如azure ad)和在雲上執行的應用(如office 365)上進行分配;當然還會包括資料儲存裝置,例如檔案伺服器,nas裝置等。
需要改變的現狀
混合身份使用者通常可以是本地ad上的安全組成員,可以在本地資料夾中儲存資訊,擁有exchange郵箱,還可以是對office應用程式提供訪問許可權的azure ad安全組成員,這些應用包括onedrive或skype for business等。
使用windows自帶工具來檢視許可權有很多不足之處。這些工具的功能極為簡單,並且使用它們既費時又繁瑣。
例如,假設您需要了解windows檔案伺服器的巢狀資料夾結構的許可權。本地執行此操作的唯一方法是手動檢查每個檔案和資料夾的「 安全性」選項卡。
但是,對於繼承或顯式許可權的資訊,使用windows自帶工具會很複雜。
manageengine ad360可以幫助您解碼混合基礎架構中的許可權,幫助您快速定位問題並進行及時修復。
儲存資料和關鍵物件的許可權:
借助ad360強大的內建報告和自定義報告,您可以獲得所有windows檔案伺服器和關鍵安全物件的許可權鳥瞰圖。
特權組和巢狀組報告:
如果提供了對敏感資源的訪問許可權,或特權組的直接或間接(巢狀)成員身份可能會導致機密資料洩漏。ad360中基於組的報告可以幫助您確定內部資源(ad,exchange等)甚至雲(azure,office 365等)的組成員身份。
特權和管理員角色(本地和雲):
管理員會將任務委派給受信任的使用者,但常常不會或忘記撤銷授予執行某項任務的許可權,也不會記錄向終端使用者委派了哪些許可權。ad360可以為您展示委派使用者和許可權的清單,還可以記錄具有委派角色的使用者所執行的活動。
ad360提供基於許可權的報告,基於資源的報告(例如,使用的許可證或消耗的儲存)和基於法規合規性的報告(用於sox,hipaa,pci-dss等)的多種報告。使用這些報告,您可以更輕鬆地優化和確保資源的正確使用並滿足合規要求。
2.管理許可權和訪問
第一步是發現並了解it基礎架構中的許可權狀態。如何通過乙個有效的管理系統來管理許可權,並修復易受攻擊的許可權。
ad360提供一款集中式控制台,可以檢視和管理跨混合基礎架構(本地和雲)的許可權。
內建強大的管理功能:
獲取特權組的詳細成員資格資訊,並執行批量管理操作,例如從組中刪除不需要的使用者或禁用帳戶,使您能夠發現問題及時修復。
支援跨本地和雲自動化執行管理任務:
不再需要在多個工具之間切換,也不需要切換多個螢幕;ad360可以幫助您跨混合環境在單個控制台中執行任務。這是混合身份使用者示例:
設定基於時間的訪問許可權:
管理員和技術支援人員通常向終端使用者提供對資源的訪問許可權,例如授予對機密資料夾的訪問許可權或對讀取共享檔案的許可權,但他們也常常忘記吊銷這些許可權。ad360可以允許您基於時間對許可權進行設定,在指定的時間後自動吊銷許可權。
3.監視許可權變更
監視許可權和訪問環境中發生更改的唯一方法是檢視審核日誌。
對於跨ad和azure ad環境來說,不同的檔案伺服器和其他應用程式生成的審核日誌數量經常十分龐大,因此很難統一收集所有日誌並手動梳理它們以發現可疑的操作或異常情況。
ad360提供豐富的的報告,您可以立即利用它們來監視內部部署環境和雲環境,配置警報並通知管理員有關變更事件,並及時實施對應方案。
諸如為使用者授予特權訪問許可權,或更改機密資料夾所有權之類的活動至關重要,必須時刻對其進行關注,甚至進行警告或阻止,這樣才能確保任何更改均得到授權。
大多數it環境(無論是本地,雲還是混合)的問題都在於缺乏集中化管理。由於沒有統一的介面,因此很難進行檢視和管理,更不能監視許可權的變更和訪問情況。
ad360是一款整合的身份訪問和it管理解決方案,用於管理使用者的角色許可權,管理對資源的訪問,加強安全性並確保合規性。您需要做的就是選擇所需的模組,即可輕鬆獲得對本地環境,雲環境和混合環境的許可權控制!
檔案及目錄許可權
linux許可權主要分為讀,寫,執行三種控制,使用ls l命令檢視檔案或目錄資訊時,系統會顯示為r 讀取的許可權 w 寫的的許可權 x 執行的許可權 比如檢視我shell的資訊 第一列的第一字元為檔案型別 代表普通檔案,d代表目錄,l代表鏈結檔案,b或c代表裝置。第二個字元到第九個字元代表許可權,三...
檔案許可權及目錄操作
檔案擁有者 群組概念 賬號密碼群組資訊 預設情況下,所有系統上的賬號與一般賬號,及root相關資訊,都記錄在 etc passwd。個人密碼記錄在 etc shadow 所有組名記錄在 etc group root bys more etc fstab label ext3 defaults 1 1...
Linux檔案 目錄許可權及歸屬
讀寫執行 讀寫執行讀 寫執行rw xrwx rwx檔案所有者 檔案所屬組 其他使用者 r 讀 w 寫 x 可執行 檢視內容cat 修改內容vi 作為命令使用 列出目錄內容ls 新增 刪除 touch rm 進入資料夾或搜尋 cd ugoa rwx 檔案或目錄 遞迴修改指定目錄下所有檔案 子目錄的許可...