IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Windows Server 2012 – Dynamic Access Control , Part 2

Merhaba ,

Dynamic Access Control Part 1 isimli yazımda ( https://aydogmusoglu.com/windows-server-2012-dynamic-access-control-part-1.html), DAC kavramı, Claim , Resource Property ve Resource Property List yapılandırmalarını açıklamıştım. Kaldığım yerden devam ediyorum.

Kimin veya kimlerin resource’lara hangi yetkilerle erişebileceğini belirlemek için Central Access Rule oluşturuyoruz. Central Access Rule menüsünden new ile devam…

clip_image001

Rule ismine (production ortamı için yada test ortamını) uygun bir isim verin. Ben uygulamada Departman-Ulkeismini kullandım.

clip_image003

Target Resourcekısmını düzenlemek için Edit ile yeni bir menü açıyoruz. Aşağıdaki gibi açılan menüden resorce’lar için şart(condition) ekliyoruz.

clip_image005

Condition’larımız aşağıdaki gibi. Yani File Server’da barındıracağımız verilerde (paylaşılan klasör gibi) aşağıdaki gibi property’ler olmalıdır.(existence)

clip_image007

OK ile menüyü kapatıp devam ediyoruz. Sırada permissionskısmı geliyor. (Bu arada bu rule’u silmek isterseniz Protection’a takılıyor. İsterseniz “Protect from Accidentical Deletion” kutucuğunu temizleyin.)

clip_image009

Permissions panelinde Use following permission as current permission seçeneğini işaretleyip Edit ile devam ediyoruz. Aşağıdaki görüldüğü gibi varsayılan izinler mevcut. Biz şarta bağlı olarak ekleme yapacağız.

clip_image010

Add ile devam.

clip_image012

Permission Entry for Permissions menüsünden principal olarak Authenticated Users’ı seçiyorum.Basic Permission’lar aşağıdaki gibi. Condition ekliyoruz (user ve resource matching için)clip_image014

Bu şartlara göre uyum olmazsa access izni verilmeyecektir(deparmen-ulke uyumsuzluğundan access limiti gelecek). OK , OK ve OK ile rule oluşturma işlemi bitirebiliriz.Ayrıca Authenticated Users dan faklı olarak ilgili departman admin’lerine yine select principal kısmından farklı ( daha yüksek seviyeli yada daha düşük seviyeli) permission’lar verebiliriz.

Bu işlemler için yine PowerShell kullanılabiliriz.

$countryClaimType= Get-ADClaimType country

$departmentClaimType= Get-ADClaimType department

$countryResourceProperty= Get-ADResourceProperty Country

$departmentResourceProperty= Get-ADResourceProperty Department

$currentAcl =“O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER.” + $countryClaimType.Name + ” Any_of @RESOURCE.” + $countryResourceProperty.Name + “) && (@USER.” + $departmentClaimType.Name + ” Any_of @RESOURCE.” + $departmentResourceProperty.Name + “)))”

$resourceCondition =“(@RESOURCE.” + $departmentResourceProperty.Name + ” Contains {`”Finance`”})”

New-ADCentralAccessRule “Finance Documents Rule” -CurrentAcl $currentAcl -ResourceCondition $resourceCondition

NOT:

Üst kısımdaki örnektir.Bazı değişkenlere değerlen atanmıştır ve son cmdlet’de de kullanılmıştır. Burada kullanılan SID’ler sizinkinden farklı olacaktır.

Siz kullandığınız kullanıcı/grup ‘ların SID’lerini belirlemek için aşağıdaki PS cmdlet’lerini kullanabilirsiniz.

Local User için ;

$objUser = New-Object System.Security.Principal.NTAccount(“baris.aydogmusoglu”)

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

Bu satırları bir ps1 haline getirip kullanabilirsiniz.

Domain User için ;

$objUser = New-Object System.Security.Principal.NTAccount(“contoso”, “baris.aydogmusoglu”)

$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])

$strSID.Value

Bu satırları bir ps1 haline getirip kullanabilirsiniz.

clip_image016

Şimdi Central Access Policy işlemine geçebiliriz. Biraz önceki kuralı alarak Sunucuların kullanımına sunmak için bir Central Access Policy’ye ekliyoruz.

New Central Access Policy …

Açılan pencerede alt kısımdan Add ile daha önce oluşturduğumuz rule’u (departmen-ulke) policy’ye ekliyoruz.Policy ismi olarak File Server Policykullandım.

clip_image018

Central Access Policy’ye Central Access Rule’u ekledik ve işlemi tamamladık.

clip_image020

Yine bu işlem içinde PowerShell’i kullanabiliriz.

New-ADCentralAccessPolicy “File Server Policy”

Add-ADCentralAccessPolicyMember -Identity ” File Server Policy ” -Member “departman-ulke”

Sırada Central Access Policy’nin File Server’lara GPO ile aktarımı geliyor. GPO oluştururken tüm File Server’ları etkilemesi gerektiği apaçıktır(en azından istenenlerin tamamını). İsmine DAC Policy yazarak bir policy objesi oluşturdum. Policy Objesinin içeriği aşağıdaki gibidir. İsmi “File Server Policy” olan central access policy’yi GPO’ya ekledim.

clip_image022

clip_image024

Oluşturduğum DAC Policy isimli policy’yi sadece file server olarak kullandığım server1’e uyguladım. Policy’nin Security Filtering kısmı aşağıdaki gibidir.Lab oramında bu şekilde kullandım.Dizayn size aittir.

clip_image026

Simdi Dynamic Access Control desteği icin kerberos armoring`i (claims & compound authentication) gpo ile yapilandiracagiz. Bu gpo yapılandırmasını dilerseniz DDC (default domain controller) ou`suna yeni bir policy ile dilerseniz Default Domain Controller Policy üzerinden doğrudan yapabilirsiniz. Tüm dc`lerinize etkilemelidir!!!.

clip_image028

Bi diğer policy aşağıdaki gibi.

clip_image030

DDC policy yapılandırması görsel olarak aşağıdaki gibidir.

clip_image032

Default domain policy’de devreye aldığımız özellikler üstteki gibidir. Bu özellikler Kerberos protokolülün Dycnamic Access Control’ü desteklemesini ve uyumlu client’lar ile çalışmasını sağlayacaktır.Group Policy Object Editor’ü ve Group Policy Management Console’u kapatabiliriz. Ardından GPUPDATE..

clip_image034

Bu noktada; Central Access Rules/Policies yapılandırmasını, Active Directory tarafında Dynamic Access Control desteğini ve Kerberos Protocol’ünü claim&compound authentication için yapılandırmış olduk. Sonraki aşamada Server1 isimli sunucumuza File Server rolünü ve alt bileşenlerini kurup DAC yapısını File Server tarafındaki yapılandırması ile tamamlayacağız. Yazının devamı için aşağıdaki link’ı kullanabilirsiniz.

https://aydogmusoglu.com/windows-server-2012dynamic-access-control-part-3.html

Sorunsuz ve neşeli günler…