Le contrôle d'accès dynamique ou Claims

Grosse nouveauté des serveurs 2012, l'accès dynamique aux ressources partagées. Avant d'aller plus loin, je me dois de rappeler que la majorité des pertes de données informatiques, qu'elles soient volontaires ou non, sont dû à des actions menées au sein de l'entreprise et non venant de l'extérieur. Donc, avant de tenter de se protéger contre d'éventuelles attaques de boutonneux, sécurisez votre intranet.

 

Windows Server 2012 et Windows 8 améliore le contrôle de l'utilisation des ressources système et réseau au moyen de mécanismes d'authentification et d'autorisation liés entre eux. Une fois qu'un utilisateur est authentifié, Windows Server 2012 et Windows 8 utiliser les autorisations Windows et accèdent des technologies de contrôle de mise en œuvre de la deuxième phase de la protection des ressources : déterminer si un utilisateur authentifié dispose des autorisations appropriées pour accéder à une ressource.

Les ressources partagées sont disponibles pour les utilisateurs et les groupes autres que le seul propriétaire de la ressource, et dont ils ont besoin d'être protégé contre toute utilisation non autorisée. Dans le modèle de contrôle d'accès de Windows Server 2012 et Windows 8, les utilisateurs et groupes (également appelés des entités de sécurité) sont représentés par identifiant de sécurité unique (SID), auxquels sont affectés les droits et les autorisations qui informent le système d'exploitation ce que chaque utilisateur et chaque groupe peuvent faire. Chaque ressource a un propriétaire qui accorde des autorisations aux entités de sécurité. Au cours de la vérification de contrôle d'accès, ces autorisations sont examinées afin de déterminer quelles entités de sécurité peuvent accéder à la ressource et comment ils peuvent y accéder.
Les entités de sécurité effectuent des actions (qui peuvent inclure lecture, écriture, modification ou contrôle total) sur les objets. Les objets comprennent des fichiers, dossiers, imprimantes, clés de Registre et les objets Active Directory Domain Services (AD DS). Le partage de ressources utilisation accès listes de contrôle (ACL) pour affecter des autorisations, qui permet aux gestionnaires de ressources faire respecter le contrôle d'accès dans deux manières suivantes :

• Refuser l'accès à des groupes et des utilisateurs non autorisés
• Fixer des limites bien définies sur l'accès fourni aux utilisateurs et groupes autorisés

Les propriétaires d'objets accordent généralement des autorisations aux groupes de sécurité plutôt qu'à des utilisateurs individuels. Les utilisateurs et les ordinateurs qui sont ajoutés à des groupes existants récupèrent les autorisations de ce groupe. Si un objet (tel qu'un dossier) peut contenir d'autres objets (tels que les fichiers et sous-dossiers), il est appelé "conteneur". Dans une hiérarchie d'objets, la relation entre un conteneur et son contenu est exprimée en se référant au conteneur comme parent et d'un objet dans le conteneur que l'enfant qui hérite des paramètres de contrôle d'accès du parent. Les propriétaires d'objets définissent souvent les autorisations pour les objets conteneur, plutôt que des objets enfants individuels, pour faciliter la gestion de contrôle d'accès.

Le niveau de sécurité se mesure à son maillon le plus faible. Un salarié non sensibilisé à la sécurité constituera toujours le maillon le plus faible de votre chaîne de sécurité. D'où l'intérêt du contrôle d'accès dynamique.

Le contrôle d'accès dynamique permet de combler une partie du fossé mais reste néanmoins dépendant de la sensibilité du personnel. L'objectif du contrôle d'accès dynamique et de permettre l'accès aux dites données en fonction:

• De leur contenu
• D'attributs Active Directory

De ce fait, les combinaisons sont telles qu'il sera encore moins évidents de trouver la raison d'un refus...

Cela implique de renseigner correctement les attributs des comptes dans Active Directory.

Par exemple, seul les utilisateurs faisant parti du service "Direction" pourront accéder aux fichiers classés "sensible" se trouvant dans un partage bien précis à condition qu'ils tentent de les ouvrir à partir de leur poste et non d'un autre poste.

Par exemple, un fichier contenant 3 fois le mot "contrat" peut être lu par les membres du groupes "ventes" mais pas par les autres personnes alors que tout le monde pourra accéder aux fichiers contenants moins de 3 fois le mot "contrat".

Ce système reste dépendant de la sensibilité des utilisateurs du groupe "ventes" à la sécurité des données. Si ces derniers ne mettent pas minimum 3 fois le mot "ventes". La sécurité baissera...

A noter que le contrôle d'accès dynamique complète des droits d'accès NTFS classiques et ne les remplacent pas, du moins pour le moment...

La mise en place de cette solution est constituée de 4 étapes:

• Préparation d'active Directory
• Configuration des utilisateurs et périphériques Claims
• Configuration des propriétés des ressources et de la classification des fichiers
• Configuration des règles centrales d'accès et des politiques d'accès.

Les différentes briques

Règles d'accès central

Une règle d'accès central est une expression de règles d'autorisation qui peuvent inclure une ou plusieurs conditions impliquant des groupes d'utilisateurs, réclamations, revendications de dispositif. Plusieurs règles d'accès central peuvent être combinés dans une stratégie d'accès central.

Stratégies d'accès central

Les stratégies d'accès central sont des stratégies d'autorisation qui incluent des expressions conditionnelles... Par exemple, si une organisation a un besoin qui est de restreindre l'accès aux renseignements personnels identifiables (PII) dans des fichiers uniquement du propriétaire du fichier et des membres du département des ressources humaines (RH), seuls ces derniers seront autorisés à afficher les informations de PII. C'est une politique d'ensemble de l'organisation qui s'applique aux fichiers PII partout où ils sont situés sur des serveurs de fichiers au sein de l'organisation. Pour mettre en oeuvre cette politique, une organisation doit être en mesure de :

• Identifier et marquer les fichiers qui contiennent des PII.
• Identifier le groupe de membres de RH qui sont autorisés à afficher les informations de PII.
• Ajouter la stratégie d'accès central à une règle d'accès central et ensuite appliquer la règle d'accès central à tous les fichiers qui contiennent les PII partout où ils se trouvent parmi les serveurs de fichiers au sein de l'organisation.

Revendication

Une revendication est une pièce unique d'informations sur un utilisateur, le périphérique ou la ressource qui a été publié par un contrôleur de domaine. Le titre de l'utilisateur, la classification du service d'un fichier, ou l'état de santé d'un ordinateur sont des exemples valides d'une revendication. Une entité peut impliquer plusieurs revendications, et n'importe quelle combinaison des revendications peut être utilisé pour autoriser l'accès aux ressources. Les types de demandes suivants sont disponibles dans Windows Server 2012 et Windows 8 :

• Revendication de l'utilisateur : Les attributs active Directory qui sont associés à un utilisateur spécifique.
• Revendications de dispositif : Les attributs active Directory qui sont associés à un objet spécifique ordinateur.
• Attributs de la ressource : Les propriétés de ressource globale qui sont marquées pour une utilisation dans les décisions d'autorisation et publiées dans Active Directory.

Expressions

Les expressions conditionnelles sont une amélioration de la gestion de contrôle d'accès dans Windows Server 2012 et Windows 8 qui autoriser ou refuser l'accès aux ressources que lorsque certaines conditions sont remplies, par exemple, les membres d'un groupe, l'emplacement ou l'état de sécurité de l'appareil. Les expressions sont gérées par le biais de la boîte de dialogue "Paramètres de sécurité avancés" de l'éditeur ACL ou l'éditeur de règle d'accès centrale dans le Centre Administratif Active Directory (ADAC).

Autorisations proposées

Les autorisations proposées permettent à un administrateur à mieux modéliser l'impact des changements potentiels d'accés aux paramètres de contrôle sans les modifier réellement.

Source partiel de l'article Technet ci-dessus

Objectif de la procédure

La procédure suivante s'appuie sur les objectifs suivants:

• Les dossiers appartenant au service "Recherche" ne peut être accessible et modifiable que par les membres du service "Recherche"
• Les documents se trouvant dans "applications du domaine" ayant une classification haute ne peuvent être accessible que par les membres du groupe "G-DirectionPers"
• Les membres du groupe "G-DirectionPers" ne peuvent accéder aux données confidentielles uniquement à partir des postes appartenant au groupe de sécurité "G-DirectionPC"

Pour cette manipulation, vous créerez des fichiers contenant le mot "secret" dans votre dossier "applications du domaine"

Pré-requis

• Os des serveurs: Windows Server 2012
• Niveau fonctionnel du domaine "Windows server 2012"
• Os des postes clients: Windows 8
• Rôle FSRM sur les serveurs de fichiers

Préparation d'Active Directory

• Créer dans votre Active Directory une nouvelle "OU" nommée par exemple "Claims".
• Vous déplacerez dans cette ou "Claims" les comptes ordinateurs de votre serveur de fichiers et de deux postes clients Windows 8 (pour moi SFN, pc-bureau et Windows 8 004"
• Créer dans votre Active Directory une nouvelle "OU" Direction nommée par exemple "Direction". Vous créerez dans cette "ou" un ou plusieurs utilisateurs. (Pour moi Stephane).
• Créez dans votre Active Directory un ou plusieurs comptes qui devront avoir renseigné dans l'onglet "Organisation", attribut "Service" le mot "Recherche". (Pour moi Joran).
• 

• Créer dans votre Active Directory une nouvelle "OU" Recherche nommée par exemple "Recherche". Vous créerez dans cette "ou" un ou plusieurs utilisateurs. (Pour moi Soline). Ces comptes devront avoir renseigné dans l'onglet "Organisation", attribut "Service" le mot "Recherche".
• Créer dans votre Active Directory un groupe "G-DirectionPC" dans lequel vous rendrez membre tous les postes utilisés par le personnel de la direction.

Création de la gpo

Lancez la console "gestion des stratégies de groupe"

Editez la gpo "Default domain policy"

Déplacez-vous dans le noeud "Configuration ordinateur - Modèles d'administration - Système -KDC"

Editez le paramètre "Prise en charge du contrôleur de domaine Kerberos..."

Activez ce paramètre et dans les options, sélectionnez "Pris en charge"

Puis validez

• Dans la console "Utilisateurs et ordinateurs Active Directory", créez un groupe de sécurité "G-Direction"
• Recherchez dans votre "OU" "Claims" le compte ordinateur appartenant à la direction (pour moi PC-Bureau) et rendez le membre du groupe "Direction"
• Recherchez dans votre le compte utilisateur appartenant à la direction (pour moi Stephane) et rendez le membre du groupe "Direction"

Configuration des revendications d'utilisateurs et de périphériques (ordinateurs)

Lancez la console "Centre d'administration Active Directory"

Et sélectionnez dans le volet de gauche "Contrôle d'accès dynamique - Claim Types".

Eh oui! Tout n'est pas encore traduit...

Configuration des utilisateurs

Clic droit sur la partir centrale de la fenêtre, "nouveau - type de revendication", sélectionnez "Description" et cochez la case "utilisateur" et la case "ordinateur"

Configuration des revendications pour les périphériques

Clic droit sur la partir centrale de la fenêtre, "nouveau - type de revendication", sélectionnez "Department" et décochez la case "utilisateur" et cochez la case "ordinateur".

Configuration des propriétés des ressources et des classifications des fichiers

Configuration des propriétés des ressources

Toujours dans la console "Centre d'administration Active Directory", sélectionnez dans le volet de gauche "Contrôle d'accès dynamique - Resource Properties".

Et activez le noeud "Department"

Ainsi que le noeud "Confidentiality"

Editez le noeud "Department", dans la zone "Valeurs suggérées", cliquez sur "Ajouter..."

Et renseignez dans les deux champs "Recherche". Pour rappel, cela correspond à l'attribut "service" renseigné pour les utilisateurs du service "Recherche".

Pour info, dans la console "Contrôle d'Accès Dynamique", si vous sélectionnez "Resource Property Lists", vous devriez voir "Department" et Confidentiality" apparaîtrent. Au besoin, ajoutez-les.

Classification des fichiers

L'objectif de cette action est que le serveur soit en mesure apposer une classification aux ressources. C'est en fonction de cette classification que les utilisateurs pourront ou non accéder aux dites ressources.

Basculez à présent sur votre serveur de fichiers et procédez à l'installation du service de rôle "Gestionnaire de ressources du serveur de fichiers" en passant par l'ajout de rôles - services de fichiers et de stockage - Services de fichiers et iSCSI.

A l'issue, rendez-vous dans la console "Gestionnaire de ressources du serveur de fichiers"

Sélectionnez le noeud "Propriétés de classification"

Actualisez la vue à partir du volet de droite afin de faire apparaître "Confidentiality" et " Department".

Dans le volet de gauche, sélectionnez "règles de classification", puis "Créer une règle de classification"

Dans l'onglet "Général", mettez le nom Confidentiel"

Dans l'onglet "Portée"

Ajoutez le ou les dossiers partagés contenant les ressources à classifier

Dans l'onglet "Classification", sélectionnez les réglages suivants...

Sélectionnez "Configurez..."

Et indiquez les paramètres suivants...

Dans l'onglet "Type d'évaluation", sélectionnez les réglages suivants...

Toujours dans la console "Gestionnaire de ressources du serveur de fichiers", dans le volet "Actions", cliquez sur "Exécuter la classification avec toutes les règles maintenant..."

Notez la possibilité de planifier la classification...

Sélectionnez "Attendre la fin de la classification"

Affichez le rapport...

Affecter des propriétés à un dossier

Effectuez un clic droit sur le dossier "Recherche" et sélectionnez l'onglet "classification".

Sélectionnez "Department" et dans "Valeur" sélectionnez "Recherche".

 

Configuration des règles et des politiques d'accès centralisées

Configuration des règles d'accès centralisées

• Vous allez créer 2 règles:
• La première pour la conformité au service "Recherche"
• La deuxième pour l'accès aux données confidentielles classées "high"

Règle d'accès pour la conformité au service

Dans le centre d'administration Active Directory, sélectionnez le noeud "Central Access Rules"

Sélectionnez nouveau - Règle d'accès central

Dans la zone "Ressources Cibles", cliquez sur modifiez

Ajouter une condition

Et procéder à la sélection comme montré ci-dessous

Appuyer sur "OK"

Dans la section "Autorisations", cliquez sur "Modifier..."

Cochez bien la case "Utiliser les autorisations suivantes en tant qu'autorisations actuelles"

Puis cliquez sur "Modifier..."

Supprimez le groupe "administrateurs"

Et ajoutez

Sélectionnez un principal

Prenez "Utilisateurs authentifiés"

Octroyez les droits en modifications, puis cliquez sur "Ajouter une condition"

Sélectionnez les paramètres comme ci-après

Voici ce vous devriez obtenir à la fin:

Seuls les membres faisant parti du service "Recherche" auront un accès au dossier qui se verra attribuer cette stratégie.

Règle d'accès aux données confidentielles

Cliquez à trois reprises sur "OK"

Ajouter une condition

Et procéder à la sélection comme montré ci-dessous

Appuyer sur "OK"

Dans la section "Autorisations", cliquez sur "Modifier..."

Cochez bien la case "Utiliser les autorisations suivantes en tant qu'autorisations actuelles"

Puis cliquez sur "Modifier..."

Supprimez le groupe "administrateurs"

et ajoutez

Sélectionnez un principal

Prenez "Utilisateurs authentifiés"

Octroyez les droits en modifications, puis cliquez sur "Ajouter une condition"

Sélectionnez les paramètres comme ci-après.

Le groupe à prendre est "G-DirectionPC"

Ajoutez une deuxième condition en ciblant cette fois-ci les utilisateurs en leur attribuant la valeur "G-DirectionPers".

Vous obtiendrez cela:

Synthèse 1

Synthèse 2

Seuls les membres du groupe "G-DirectionPers" étant logués sur les postes membre du groupe "G-DiretionPC" auront un accès en modification aux fichiers classés hautement confidentiels.

Création de la politique d'accès centralisée

Dans le noeud "Central Access Policies", faites nouveau - Stratégies d'accès centralisé

Sélectionnez "accès aux données confidentielles" et cliquez sur le bouton >>, puis sur "OK"

Récréer une deuxième stratégie en prenant "Correspondance au service"

Publication de la politique d'accès centralisée à l'aide d'une GPO

Créez et lier une "GPO" nommée "Accès aux ressources" au niveau du domaine et éditez-la. Positionnez-vous dans le noeud "Configuration ordinateur - Paramètres Windows - Paramètres de sécurité - Système de fichiers" et faites un clic droit sur Stratégie d'accès centralisée", sélectionnez " Gérer les stratégies d'accès centralisées".

Sélectionnez les stratégies et ajoutez-les dans le volet de droite

Configuration de l'assistance en cas de refus

En cas de refus d'accès, il peut être pertinent de donner à l'utilisateur la possibilité d'effectuer une demande d'accès...Pour cela, positionnez-vous dans le noeud "Configuration ordinateur - Modèle d'administration - Système - Assistance en cas d'accès refusé"

Sélectionnez le premier paramètre et appliquez les réglages suivants

Activez le deuxième paramètre également...

Application de la politique d'accès à la ressource

Loguez-vous sur le serveur de fichier et faites

Gpupdate /force

Faites un clic droit sur la ressource "applications du domaine" propriété - onglet sécurité - avancé - onglet Stratégie centralisée.

Cliquez sur "Modifier" et sélectionnez "Protection des données confidentielles"

Si vos stratégies ne sont pas disponibles, effectuez la commande PowerShell suivante:

Update-FsrmClassificationPropertyDefinition

Faites un clic droit sur la ressource "Recherche" propriété - onglet sécurité - avancé - onglet Stratégie centralisée.
Cliquez sur "Modifier" et sélectionnez "Correspondance au service"

Tests

Sur le poste client, ouvrez powershell

whoami /claims

Si vous vous loguez avec un compte faisant ayant l'attribut "service" renseigné "Direction" sur un poste de la direction, vous devez avoir accès à la ressource.

Si toute fois une de ces deux conditions n'est pas remplie, une boîte de dialogue identique à celle ci-dessous apparaît...

Si vous cliquez sur "Demander de l'aide", une autre boîte de dialogue apparaîtra

Vérification des accès

Malgré que la meilleure vérification reste le test des accès en utilisant les comptes, je vous propose de tester les accès via les accès effectifs, ces derniers ayant également évolués.

Effectuez un clic droit sur le dossier "Recherche" puis "Propriétés"

Sélectionnez l'onglet "Sécurité"

Sélectionnez l'onglet "Accès effectif" et sélectionnez l'utilisateur "Joran"

Et cliquez sur "Afficher l'accès effectif"

Comme Joran fait partie du service "Recherche", il se voit attribuer un accès en modification.

A présent, sélectionnez l'utilisateur "Stéphane" et cliquez à nouveau sur "Afficher l'accès effectif". Stéphane n'a pas accès à la ressource

Dans un but de simulation, si vous sélectionnez "Inclure une revendication utilisateur" et que vous sélectionnez "Service" et que vous tapiez "Recherche", vous constaterez qu'après avoir cliquez sur "Afficher l'accès effectif", l'utilisateur aurez les droits d'accès en modification à la ressource.

Quelques commandes Powershell

A essayer avec les comdlets "Remove" et "Set"

Add-ADCentralAccessPolicyMember
Add-ADResourcePropertyListMember
Clear-ADClaimTransformLink
Get-ADCentralAccessPolicy
Get-ADCentralAccessRule
Get-ADClaimTransformPolicy
Get-ADClaimType
New-ADCentralAccessPolicy
New-ADCentralAccessRule
New-ADClaimTransformPolicy
New-ADClaimType