Windows 2012 - Dynamic Access Control 浅析

最新推荐文章于 2022-08-16 13:06:45 发布
最新推荐文章于 2022-08-16 13:06:45 发布
阅读量101 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33973600/article/details/85087254
版权

Windows 2012相对于前几个版本而已,做出了大量的改进,尤其体现在安全性和虚拟化方面。Dynamic Access Control ( 动态访问控制)是微软在文件服务器的访问控制上的新功能,极大的提高了安全性和灵活性。经过一天的研究学习,豆子发现这个功能给我带来了极大的惊喜。


(一)简单概述

Windows,传统的文件访问控制是通过share和NTFS 来实现的,这种方式已经运行了10几年了。这种访问控制的方式可以实现日常的工作需求,但是有很多问题没有能够解决。这种传统的方式一个很大的弊端就是不够灵活和非常冗余。尤其是在大企业里面,一个部门里面可能还分个三六九等,每一个访问权限都必须创建一个对应的组,这样一来,一个文件夹上面的组可能层层嵌套,数量随着时间迅速增加,在豆子的公司AD里面,文件服务器上创建的组至少有上千个~;另外一个问题是,仅仅通过NTFS和Share控制访问权限,很难控制用户是从哪里访问的。用户可能从网吧,家里,公司,旅馆任何地方访问,而这些远程访问的机器的安全性是很难得到保障的。还有一个问题是,如果有人无意中将高度机密的文件拖到了公共的文件夹中,那么所有能够访问这个文件夹的用户都有可能造成泄密。最后,访问的审计也并不那么简单直观,比如说,对于管理员来说,有的时候需要了解过去12个小时,到底谁访问了这些文件等等。


以上的这些不足,在Dynamic Access Control里面都得到了解决。DAC的访问控制不是通过组,而是通过attribute来实现的。所有的AD对象,包括用户,组,计算机创建的时候都有大量的attribute设置,比如deparment, country,location 等等。这些属性都是在AD schema里面定义的,如果需要更多的attribute,用户可以进行扩展。通过定义这些属性,我可以设定比如 位于悉尼的IT部门的用户可以从成都分公司的计算机上访问高度机密的文件。这个例子里面,悉尼,IT就是用户的属性,成都分公司 就是计算机的属性,高度机密,则可以视作文件的属性。


值得一提的是,DAC并不是用来替代传统的Share+NTFS, 他是一套并行的安全访问机制。换句话说,如果配置了DAC,那么用户的访问权限必须同时满足DAC和Share/NTFS才算通过。


下面来看看豆子的配置实例


我的实验环境很简单,就是一个windows 2012 的DC和windows 2012 的文件服务器。我设定只有来自澳洲的用户可以访问中等机密程度的文档。



(二)实验步骤


简单的说,我需要配置一条Central Access Policy的组策略,推送到文件服务器上。我需要做到以下几个分支操作:


  • Claim types(定义一些用户和计算机的属性)

  • Resource Properties ( 定义文件夹的属性)

  • Resource Properties list (把定义的文件夹属性放在一个集合里面)

  • 文件服务器更新以上定义,就可以在文件的classification里面查看自己的标签(例如访问等级等等)了

  • Central Access Rule 利用前面定义的属性来定义一条或者多条规则

  • Central Access Policy 把上一步定义的1条或者多条规则放入一个Policy集合里面

  • 配置GPO,发布Central Access Policy

  • 文件服务器上在对应的共享文件夹上选择对应的Central Access Policy


登陆DC,打开Active Directory Administrative Center。值得一提的是ADAC在windows 2008 就有了,不过因为大部分功能和ADUC重复了,相当鸡肋。 2012里面他的功能大幅度加强了。


首先我们来 claim types

072110214.png

这里我选中c,他代表的是国家名字的简写。如果你不确定你想找的属性名字,可以去这里查询

http://msdn.microsoft.com/en-us/library/windows/desktop/ms675090(v=vs.85).aspx


然后OK即可

072114755.png

下一步我们需要定义新的resource properties,这个相当于一个标签,你可以把这个标签贴在对应的文件上从而和其他的文件进行区别


072118976.png

我取了个名字叫做 Importance (重要性),然后给他定义了3个等级 high, meidum, low


072122746.png

保存之后返回 resource properties, 就可以看见刚才自定义的Importance了。可以看见,默认预定义的标签已经有很多了。为了使用对应的标签,需要右击然后选择enable,这里豆子enable了Department和Importance两个标签

072127494.png

为了让文件服务器使用这个标签,我们需要在文件服务器上用管理权限执行以下更新命令

072128937.png

然后你就可以在文件服务器的文件上Classificaion上看见自定义的标签了


072130239.png


Classification是windows 2012里面才出现的新玩意,你也可以在File Server Resource Manager上配置本地的标签。注意Scope,global代表的是我在DC上配置的,会同步到所有的文件服务器,而local只是局限于该文件服务器本身。

072135105.png

下一步,我们需要配置实际的Central Access Rule了

072139875.png

我取了个名字叫做 Country rule, 并定义了Target resource 和 Current Permission

这个rule的基本含义就是 来自AU (澳洲)的用户,对重要等级为中等的文件,具有Modify的权限。

072143535.png

072145632.png

072148930.png


最后,创建一个Central Access Policy,把自定义的rule添加即可

072149605.png

072152660.png


下一步我们需要配置GPO来推送这个Central Access Rule


我在文件服务器所在的OU创建了一个新的GPO,

Computer Configuration/Policies/Windows Settings/Security Settings/File System/Central Access Policy 上添加前面创建的Central Access Rule

074455258.png

Computer Configuration/Policies/Windows Settings/Security Settings/Advanced Audit Policy Configuration/Audit Policies/Object Access. 上配置audit file share 和audit central access policy staging

074458906.png

然后在Default Domain Controllers GPOComputer Configuration/Policies/Administrative Templates/System/KDC enable KDC

074502610.png


最后,去文件服务器的共享文件上,激活对应的Rule

074504450.png

大功告成。现在可以创建几个用户测试一下了。


我创建了两个用户,唯一的属性区别是国家不一样

083658639.png

083704894.png


然后共享文件夹的Share/NTFS 权限设置如下


083916232.png

083922708.png


最后我们来看看访问权限如何,先看看kevin,他所在的组允许他有读和运行的权利,然后CAG允许他modify的权利,两者的交集,他只有读和运行的权利。

084011194.png

084014752.png


然后看看Mac,尽管他所在的组有读取和运行的权利,但是CAG限制了他的国家,所以他没有任何读写权利。

084106729.png


由此可见,实验成功!


限于水平和经验,欢迎指出不足之处!

weixin_33973600
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows Server 2012系列---动态访问控制
weixin_34331102的博客
11-11 1463
什么是DAC? 动态访问控制(DAC,Dynamic Access Control)是Windows Server 2012的一个针对文件系统资源的新的访问控制机制。它允许管理员去定义可以应用在组织中所有文件服务器的中心文件访问策略。DAC为所有的文件服务器和现有的共享以及NTFS文件系统权限提供了安全保障。无论共享和NTFS文件系统的权限怎么改变,它都能够确保中心策略被强...
Dynamic Access Control
bianzha6623的博客
09-12 236
DAC (DynamicAccessControl) let's take a look at the different pieces that make up Dynamic Access Control. The first one is going to be Claim types. Now, once you've create a Claim type, you then put t...
windows server 2019 动态访问控制
m0_57856520的博客
08-16 240
 仅允许相关 region 的用户对其自己的 region 有读写权,无法跨 region 访问其 他的文件夹,region 文件夹示例:\\worldskills.ts\HQ\Region。 仅允许相关 region 的用户对其自己的 region 有读写权,无法跨 region 访问其 他的文件夹,region 文件夹示例:\\worldskills.ts\HQ\Region。policy --- 通过组策略发布出去-在客户端上生效。编辑规则,可以添加多个条件,需要在声明上创建值。...
DAC自主访问控制
林多
03-08 8131
DAC自主访问控制 DAC简介 DAC(Discretinoary Access Control),自主访问控制。它是传统的Linux访问控制方式。资源所有者负责管理访问控制权限,并通过ACL(Acess Control List)管理非所有者权限。 DAC思想:进程与其执行用户,拥有相同的权限。 例如:进程A,以root用户执行,进程A就拥有了root用户的权限。 基于DAC的安全策略,可以简...
MCSE2012之412视频课程:配置WinSrv 2012 R2服务
05-19
【MCSE2012之412视频课程:配置WinSrv 2012 R2服务】本课程主要介绍了网络服务(配置DHCP、DNS、IPAM);文件服务;DAC;分布式AD DS部署;AD DS站点与复制;RMS;FS;NLB及故障转移群集的企业应用;灾难恢复等
elasticsearch-analysis-dynamic-synonym-7.6.2
08-17
`elasticsearch-analysis-dynamic-synonym-7.6.2`是一个专为ES7.6.2版本设计的动态同义词插件,旨在实现同义词的动态加载和管理,使得同义词库可以随着业务需求的变化而实时更新。 **一、动态同义词插件的作用** 1...
ES同义词插件 analysis-dynamic-synonym7.5.1版本
06-29
在本话题中,我们将聚焦于“ES同义词插件analysis-dynamic-synonym7.5.1版本”,它是Elasticsearch中一个增强搜索功能的重要组件。 Elasticsearch同义词插件的作用在于扩展默认的文本分析过程,允许我们在搜索时将...
mybatis-plus-dynamic-datasource
07-12
《mybatis-plus-dynamic-datasource:mybatis-plus与多数据源的集成实践》 在当今的软件开发中,数据库的灵活管理和切换是系统架构中不可或缺的一部分。mybatis-plus-dynamic-datasource 是一个专门为 SpringBoot ...
Nvidia-Dynamic-Fan-Control
05-28
Nvidia动态风扇控制 用于动态控制Nvidia卡风扇速度的Python脚本根据卢克·弗里斯肯(Luke Frisken)的工作: 风扇速度根据卡的温度而变化[温度,速度]点的可修改2D曲线用于控制风扇 仅适用于专有驱动程序不支持SLI...
ng-dynamic-forms:Angular的快速表单开发库
01-31
NG动态表单 NG Dynamic Forms是基于官方Angular的快速表单开发库。 通过引入一组可维护的表单控件模型和动态表单... import { DynamicFormsMaterialUIModule } from "@ng-dynamic-forms/ui-material" ; @ NgModule
论文研究 - SDN的动态访问控制方法
05-17
针对SDN(软件定义网络)环境中网络拓扑频繁变化,难以实现细粒度的访问控制的问题,利用SDN传输控制分离和软件编程的特点,ABAC模型(基于属性的访问控制) )通过引入安全级别进行扩展,并为主体和客体的属性定义安全级别,以基于强制性访问规则建立访问映射关系。 同时,以安全访问路径作为SDN访问控制属性,设计了一种基于粒子群优化算法的访问控制路径动态生成方法,以保证访问数据流的安全性。 原型系统实验表明,该方法考虑了SDN访问控制的细化和动态要求,在保证访问效率的同时,提高了SDN的访问安全性。
3com DABS(DYNAMIC ACESS BOOT SERVICE
07-24
网络装机必备软件之一。用处不多讲了
微软-DynCache
02-08
微软动态缓存设置工具-DynCache
Windows Server 2012高级文件服务器管理-动态访问控制
weixin_34306676的博客
04-12 301
Windows Server 2012高级文件服务器管理——动态访问控制作者:兰晓宇【引子】领导说:公司的文档对公司的发展至关重要,一定要保障公司文档的安全性和可用性,绝不可以泄密。作者说:我的文档放在公司的服务器上安全吗?权限是如何控制的呢?用户说:我想访问XX文档,为什么没有权限呢?我要申请权限。安全,就像给IT穿一件棉袄,虽然行动不便,但是很暖和。面对着这种“领导要求‘...
访问控制模型DAC,MAC,RBAC
weixin_34292924的博客
05-10 735
访问控制      访问控制是指控制对一台计算机或一个网络中的某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前,必须通过识别、验证、授权。     换言之,访问控制控制着一个主体(subject)可以访问哪些对象(objects)。主体和对象是访问控制模型和技术中的两个重要术语。主体是指可以授予或拒绝访问某个对象的人或事物,如用户,程序,系统进...
Windows Server 2012动态访问控制介绍
weixin_33775582的博客
06-22 658
引用一篇TechNet上关于动态访问的介绍。随着组织迁移到虚拟化程度越来越高的环境中,安全性这个概念有了全新的意义。您能确保只有经过授权的用户才可以访问机密数据吗?对审计访问有相应的粒度控制吗?事实上,安全性和访问控制对每个公司都是需要的。今天,在管理访问控制的方法上,组织还需要更大的灵活度。动态访问控制是一种新的机制,它可以从组织级别集中定义访问策略。这些策略可以被自动地...
访问控制基础(DAC,MAC,RBAC,ABAC,BLP)
qq_36735125的博客
04-05 3907
访问控制基础,包含对DAC,MAC,RBAC,ABAC,BLP的简要介绍。
访问控制模型DAC,MAC,RBAC
烂笔头
02-16 1882
访问控制是指控制对一台计算机或一个网络中的某个资源的访问。没有它,所有人都可以访问任何资源。有了访问控制,用户在获取实际访问资源或进行操作之前, 必须通过识别、验证、授权。换言之,访问控制控制着一个主体(subject)可以访问哪些对象(objects)。主体和对象是访问控制模型和技术中的两个重要术语。主体是指可以 授予或拒绝访问某个对象的人或事物,如用户,程序,系统进程。对象的例子如文件、打
Active Directory中的访问控制
weixin_34072857的博客
09-23 185
以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书。   6.1.4  Active Directory中的访问控制 为达到安全目的,管理员可使用访问控制来管理对共享资源的用户访问权。在Active Directory中,访问控制是通过为对象设置不同的访问级别或权限(如“完全控制”、“写入”、“读取”或“拒绝访问”),在对象级别进行管理的。Active Directory 中的访...
redux-dynamic-modules
最新发布
08-29
redux-dynamic-modules是一个用于构建动态、可组合和可延迟加载Redux模块的库。它可以帮助我们在应用程序中动态地加载和卸载Redux模块,而无需依赖于应用程序的初始配置。 通过使用redux-dynamic-modules,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值