Для офисных структур > Схема внедрения комплекса Информационной Безопасности. Часть 2. Сквозная авторизация

Схема внедрения комплекса Информационной Безопасности. Часть 2. Сквозная авторизация

26 Март 2010 Написать комментарий К комментариям

Продолжение. Начало здесь: Схема внедрения комплекса Информационной Безопасности. Часть 1. Условия

Введение схемы доверительных отношений между AD доменами ОФИСА и филиалов.

Пояснение: Грубо говоря установка доверительных отношений означает возможность членам домена domainА получать доступ к ресурсам домена domainВ, авторизуясь на контролере domainВ. Еще грубее — папке TheDir на контроллере domainB можно дать права на  чтение для пользователя domainA\u.user.Плюсы

  • При доступе представителей филиала к ресурсам центра их права определяются и регулируются админами центра, без необходимости ввода большого количества учетных записей, что приводит как минимум к путанице, а как максимум к раздаче неоправданно высоких прав в критических ситуациях, чем вполне могут воспользоваться при внешней атаке при помощи социальной инженерии.
  • Возможность централизованного контроля приема-увольнения персонала.
  • Возможность централизованного управления правами пользователей, а так же значительное облегчение работы с доверяющими доменами.
  • Упрощение установок разграничения доступа к информации компании.
  • Корпоративная сеть становится единым целым на большем количестве уровней.
  • Возможность создания единого внутреннего IM – сервера (xmpp – jabber) без дополнительных усилий и расширения основного домена.
  • Мелкий удобства типа общей адресной книги, и.т.п, которые дает протокол LDAP.

Минусы

  • Кажется, что сложность управления схемой возрастает. Однако при продуманной реализации — все как раз наоборот. К тому же напрочь исчезают возможные проблемы с авторизацией при доступе по протоколу SMB.

Централизованное управление учетными записями пользователей

Пояснение: в связи с отсутствием филиального сисадмина необходимо переложить эту работу на ОФИС. Реально осущестимо при условии реализации предыдущего пункта. Как вариант — организация веб-интерфейса — формы для заполнения сотрудниками филиалов, с последующим занесением информации в централизованную базу. Также возможен более четкий учет оборудования на местах (к примеру системой аудита Spiceworks)

Плюсы

  • Централизованная база учетных записей.
  • Облегчение администрирования.
  • Более четкий учет оборудования.

Минусы

  • Довольно сложно обработать весь текущий персонал.
  • Требуется разработка инструментария.

Повсеместное введение доменной авторизации.

Пояснение: Большинство программ, требующих авторизации имеют возможность работать с доменными пользователями. К примеру система Лига-Закон и Бухгалтерские программы типа 1С (v8 и выше). При запуске программы с правами пользователя domain\user программа запустится, и пройдет внутреннюю авторизацию в домене. Так же подразумевается авторизация на прокси-серверах.

Плюсы

  • Уменьшение количества типов учетных записей, а также соотвественно количества паролей, запоминамых пользователем. В результате большая часть паролей оказывается написанной на бумажке приклеенной к монитору.
  • Более четкий контроль учетных записей. К примеру при увольнении человека достаточно отключить его учетную запись и он не сможет пользоваться 1С. Это исключает возможность потери информации о увольнении при передаче по цепочке СисАдмин — Админ1С — отдел Персонала.
  • Значительно увеличивается удобство администрирования.
  • Увеличение безопасности. Пользователь не будет иметь возможности зайти в Программы под чужим именем.
  • Уменьшение количества запросов в техподдержку  — пользователю достаточно 1 раз войти в систему, а дальнейшие прохождения внутренних авторизаций будут скрыты от него.
  • Авторизация на прокси-сервере — идеальная средство защиты и контроля траффика. Пользователь (НЕ КОМПЬЮТЕР) не сможет выйти в интернет, не имеючи прав на это. Производится контроль траффика ПОЛЬЗОВАТЕЛЯ, а не мифического ip-адреса.

Минусы

  • Возрастающая нагрузка на контроллеры домена.
  • Выход из строя доменной инфраструктуры блокирует доступ к большему количеству ресурсов. (Несколько резервных контроллеров домена обеспечат высокую отказоустойчивость системы в целом)
  • Кража учетной записи дает злоумышленнику доступ к большему количеству данных. (Однако в большинстве случаев пароли вход в систему и к примеру ту же самую 1С и так совпадают)
  • Довольно таки большой объем работы в переводе на авторизацию такого рода.
  • Весьма сложная в настройке (Однако дающая великолепные результаты) настройка прокси-серверов.

Продолжение здесь:

Categories: Для офисных структур, Просто в блог Tags: , , ,

Confirm that you are not a bot - select a man with raised hand: