IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Windows Server 2012 – Dynamic Access Control , Part 1

Merhaba ,

Gelişen ve gelişimle doğru orantılı olarak kompleks hale gelen IT dünyasında , File Server’lar üzerinde barınan , erişilen dosyalarının güvenliği ve kimlerin hangi kaynaklara eriştiği, erişebildiği yada erişmek istediği konsept’i firmalar için dikkat edilmesi gereken bir “zorunluluk” haline gelmiştir.

Aşağıdaki gereksinimlerden ötürü Windows Server 2012 geliştirilirken bu durum ön görülmüş yada gözlenmiş olsa gerek ki Dynamic Access Control isimli bir özellik yeni nesil sunucu platformuna dahil edilmiş.

· Firma ihtiyaçları doğrultusunda firma bilgilerine erişimin merkezi olarak yönetilmesi.

· Analiz amacıyla firma bilgilerine erişimin denetlenmesi.

· Hassas bilgilerin nereye taşınırsa taşınsın korunmasını sağlamak.

· Her kullanıcının kendi bilgisinden mesul olması.

· Her durumda da işte üretkenlik maksimize edilsin.

Firmaların çeşitli kademelerinden alıntılar aşağıdaki gibidir.

clip_image001

Bu amaçla Microsoft yeni nesil sunucu platformunu geliştirirken aşağıdaki noktalara eğilmiş görünüyor.

  • Yönetilen ve erişilen kaynakların(kaynakların türlerinin) şirket ihtiyaçları doğrultusunda belirlenmesi
  • Kaynaklara uygun erişim izinlerinin atanması
  • Kaynaklara erişimin gözlenmesi denetlenmesi
  • Kaynakların korunması (encryption, bu aşamada Rights Management Service sahnede)

Bu bağlamda Windows Server 2012 cephesinde Dynamic Access Control’e ilişkin eklenenler kısaca aşağıdaki gibidir :

– Central Access & Audit Policy Policy ve konfigürasyonu

– Bu policy’ler (kullanıcı kimliği , cihaz kimliği yada erişilen data bazında ) şirketin ihtiyaçları doğrultusunda esnek seçenekler sunuyor ve kaynaklar üzerinde Security Group sayısını azaltmaya yönelik.

– Claim ve Compound Kerberos entegrasyonu ile kullanıcının security group mmembership’liği yanı sıra farklı attribute’ları da data’ya erişim sırasında sorgulanabilir hale gelmiş. ( Örneğin veriye ulaşmak isteyen kullanıcının Contry, Departman,Office vs… attribute’ları gibi)

– Kaynaklar üzerinde (File Server’lardaki klasörler vs..) gelişmiş File Classification Infrastructure

– RMS ile entegrasyon. Bu durumda , data sunucudan alınsada RMS’in yapabildikleri ile doğru orantılı olarak korunacak.

Veri güvenliği ile ilgili olarak Windows Server 2012 ve yeni nesil windows client’ı ile elde edilebilecek windows çözümü aşağıdaki gibi görünüyor.

clip_image002

Yazılabilecekler fazlaca mevcut . İlgilenenler için şu aralar bakılabilecek yerler ; http://technet.microsoft.com/en-us/library/hh831717.aspx

http://channel9.msdn.com/posts/Dynamic-Access-Control-Demo-and-Interview

Ben sohbet kısmını burada bırakarak uygulamaya geçmek istiyorum. Uygulamada üç adet windows server 2012 sürümü kullandım. Bir tanesi domain controller diğeri ise file server olarak hizmet verdi. Üçüncü sunucuyu user’lar ile logon olarak test amaçlı kullandım. Domain ismi olarak contoso.com kullandım.

DC’ye contoso\administrator hesabı ile logon olup devam ediyoruz.

Öncelikle Administrative Center’a girelim. Server Manager’dan tools kısmından ADAC’ye geçebilirsiniz.

clip_image004

ADAC’nin ilk görünümünü kullanmak yerine konsola daha fazla hakim olmanızı sağlayacak bir diğer görünüm biçimine geçebilirsiniz.

clip_image005

Tamamen size bağlı. Hangi görünüm tipi hoşunuza gidiyorsa.

clip_image006

Dynamic Access Control panelini genişletiyoruz. Karşımıza AD’deki benzer bir yapı geliyor. Kavramları kısaca açıklayayım.

Claim : Bu panelde kullanıcılar için kullanacağımız attribute’ları belirliyoruz (departman, office vs…)

Resource Properties ve Listspanellerinde File Server’larda paylaştırılacak klasörler’ler için classification’lar belirliyoruz.(Yine departman office vs.. gibi)

Bunları belirlemekteki amaç ; “User’daki Claim ile Resource’daki classification uyarsa Access sağlansın, uymazsa Access sağlanmasın” biçimindedir. (Access Control List’e overrideedecektir)

Central Access Policy ve Rule’larile Claim’leri ve Resource property’leri birleştirip File Server’lar için uygulanabilir hale getiriyoruz.

Claim’lerimizi belirleyelim.

clip_image007

Bu uygulamada departman ve countryattribute’larını kullanıyorum. Yani veriye erişim sırasında kullanıcının Department ve Country attribute’larına bakılacaktır.

clip_image009

Seçeceğim ilk attribute department olacak. Attribute ’un tipi string ’dir! Üstte Display Name kısmına farklı bir isim yazabilirsiniz.

clip_image011

İkinci attribute Country ‘dir. Bunu seçmek için Source Attribute panelinde C harfine basınız. Contry-Name gelecek. Ben display name’i Country yaptım. Veri tipi string ’dir. Attribute’lar arasında bir de country-code mevcut. Onu seçerseniz very tipi integer olacaktır !!! Sonrasında dikkat etmekte fayda var. Bir attribute Turkiye için TR değeri ararken diğer attribute 9 rakamı arayacaktır.

Sonrasında Resource Properties belirlenmesi işlemi geliyor. DAC panelinden new-resource property ile devam…

clip_image012

Display Name için Country kullandım. Ardından value belirlemek için sağ alt kısımdan Add…

clip_image014

İki ülke için kod ekliyorum. Tabii ihtiyaçlarınız doğrultusunda sayı arttırılacaktır. Value seçimi firma ve politikası doğrultusunda değişir.

clip_image016

TR ve US girdim ve ok ile devam ediyorum.

Bu işlemleri PS ile yapmak için aşağıdaki iki cmdlet’i kullanabilirsiniz.

New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry(“US”,”US”,””)), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry(“TR”,”TR”,””)))

New-ADClaimType department -SourceAttribute department

clip_image018

Üstte görüldüğü gibi Country resource property’si aktif oldu. Şimdi Department ( üstte hazırda mevcut) property’sini aktif ediyorum.Department için önerilen değerlere bakmak isterseniz , Department isimli resource property’ye çift click ve ardından Suggested Values bölgesi incelenebilir.

clip_image020

Önerilen değerler üstteki gibi.(engineering , finance,sales vs….)

clip_image022

Department değerine sağ click ve Enable… Department değerini de aktifleştirdik…

Resource Property List ile devam ediyoruz.

clip_image023

File server’lar tarafından kullanılacak olan Global Resource Property Listesine bizim daha once üst kısımlarda oluşturduklarımızı katalım.

clip_image025

Liste’ye sağ click ve add…. Aslında Country attribute’unu ilk oluşturduğumuzdan Global Rosurce Property List’e katıldı ama yine department ve country attribute’larını listye eklemekte fayda var. Ekliyse bile kontrol etmiş oluruz.

clip_image027

Her iki değeride seçip ok ile işimizi tamamlaıyoruz. Global Resource Property listesinin özelliklerine girerek eklediklerimizi gözleyebilirsiniz ve doğrulayabilirsiniz.

clip_image029

Yine bu işlemler için PowerShell kullanmak isterseniz aşağıdaki cmdlet’leri kullanabilirisiniz.

New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith country

Set-ADResourceProperty Department_MS -Enabled $true

Add-ADResourcePropertyListMember “Global Resource Property List” -Members Country

Add-ADResourcePropertyListMember “Global Resource Property List” -Members Department_MS

Şu ana kadar Dynamic Access Control için Claim , Resource Property ve Resource Property List kısımlarını yapılandırdık. Okuyanın sıkılmaması için yazımı burada bitiriyorum. Sonraki kısmı okumak isterseniz aşağıdaki link’ten devam edebilirsiniz.

https://aydogmusoglu.com/windows-server-2012-dynamic-access-control-part-2.html

Sorunsuz ve neşeli günler…