Ведение матрицы доступа, устанавливающей права пользователей на доступ к информационным ресурсам, является одной из базовых задач службы информационной безопасности. При этом сверка согласованных пользователю прав с реальными правами пользователя в инфраструктуре без применения средств автоматизации достаточно трудоемкая задача. Автоматизация возможна за счет внедрения систем класса IDM, но это весьма затратная процедура и не каждая организация к этому готова.
Решая задачи учета пользователей и их полномочий в инфраструктуре на свет появился скрипт PowerMatrix, позволяющий автоматизировать множество рутинных задач службы ИБ. Далее предлагаю вашему вниманию описание системы с примерами и исходниками.
PowerMatrix собирает данные из инфраструктуры (служба каталогов, базы данных, текстовые файлы) и формирует результирующую матрицу в Excel файл. Скрипт написан на PowerShell.
Работает PowerMatrix в 3 режимах:
- Создание матрицы (первичный аудит инфраструктуры)
- Ведение и актуализация матрицы (контроль изменений и соответствия)
- Внесение изменений в инфраструктуру через матрицу
 |
| Общая схема работы с матрицей доступа |
Состав PowerMatrix
В Матрице пользователей и полномочий размещаются все пользователи службы каталогов (AD) с дополнительной информацией:
- Общая информация по пользователю
- Организация, отдел, должность, кабинет, телефон
- Учетная запись
- Расположение в службе каталогов (юнит AD)
- Время создания УЗ
- Время последнего изменения УЗ
- Время последнего входа в систему
- Время последней неудачной попытки входа в систему
- Компьютер, на котором работал пользователь
- Сигнализация если пользователь работал на нескольких устройствах
- Время последнего подключения
- Указание коммутатора, порта коммутатора, описания порта коммутатора, VLAN
- DLP: сведения о наличии информации по пользователю в DLP системе
- Сигнализация если информация в DLP старее чем последний вход пользователя в систему
- Административные привилегии в домене
- Доменный администратор
- Локальный администратор
- Права доступа к информационным ресурсам (чтение/запись)
- Сигнализация о несоответствии установленных в матрице прав реальным правам пользователя, установленным в службе каталогов
Итоговая матрица выглядит следующим образом (Excel можно взять тут):
 |
| Матрица пользователей и их полномочий, сформированная PowerMatrix |
Помимо сводной информации в комментариях к полям хранятся дополнительные сведения:
 |
| Сведения о пользователе |
 |
| Сведения об учетной записи пользователя |
 |
| Сведения об устройствах, с которых подключался пользователь (используется скрипт описанный ранее) |
 |
| Сведения о правах пользователя, в том числе о несоответствии реальных прав и прав, установленных в Матрице |
Применение
В режиме актуализации PowerMatrix обновляет информацию о пользователях и добавляет новых, но не изменяет установленных пользователю прав. В случае выявления несоответствия в правах скрипт отмечает это в матрице. Как следствие, службе ИБ достаточно при согласовании/установке пользователю новых прав и полномочий только внести соответствующие изменения в матрицу. А все несанкционированные изменения в инфраструктуре, прошедшие мимо службы ИБ, становятся видны после очередной отработки скрипта.
Если вы захотите использовать PowerMatrix для развертывания в своей инфраструктуре то исходники можно скачать тут
А какими скриптами для автоматизации задач службы информационной безопасности пользуетесь вы?
А на скольки пользователях такой скрипт используется?
ОтветитьУдалитьНа 900 учетных записей, время отработки 6 мин, результирующий файл 300 кб.
УдалитьНа 20-25к пользователей как-то написали приложение на PHP, в котором учитывались нестандартные доступы (сеть, инет), нарушения пользователей (для расследований) и инструктажи. Сидел в нем целый ряд регионов + HQ.
ОтветитьУдалитьНачал отлаживать Ваш квест и в самом интересном месте он закончился ! :) Моя первая попытка работы в PS. Хотелось бы дочитать книгу до конца :)
ОтветитьУдалитьКому-нибудь удалось его запустить? По-моему он нерабочий...
ОтветитьУдалить