Политика доступа
С помощью политики доступа вы можете ограничить доступ к ресурсам защищаемой системы, а также реализовать многофакторную аутентификацию с помощью push-уведомлений из приложения Indeed Key.
Ограничение доступа происходит в реальном времени в момент обработки запросов на узле обнаружения.
Политика доступа является дополнением к правам доступа, определенным в защищаемой системе. ITDR не может выдать доступ, если его не выдала защищаемая система. Если доступ ограничен или если субъект доступа не подтверждает запрос в push-уведомлении, ITDR не выдаст разрешение, выданное контроллером домена.
Результат применения политики доступа отображается на странице События.
Принцип работы
Политика доступа может состоять из нескольких правил, правила в свою очередь состоят из условий.
В качестве условий можно указать:
- протокол аутентификации;
- один или несколько субъектов доступа, включая группы или подразделения (OU);
- один или несколько ресурсов, к которым запрашивается доступ;
- один или несколько IP-адресов, с которых запрашивается доступ.
Правило применяется, когда одновременно субъект доступа, ресурс и IP-адрес соответствуют заданным условиям (логическая операция И). Если в условии указано несколько элементов, правило применяется при совпадении с любым из них (логическая операция ИЛИ).
Если в одном из условий не указано ни одного элемента, то оно не применяется, будут срабатывать другие условия из этого правила. Если все условия пусты, правило будет применяться ко всем событиям доступа.
Правила доступа не имеют приоритета. При применении нескольких правил будет применено наиболее строгое ограничение.
Политика доступа оперирует терминами «субъект доступа» и «ресурс»:
- субъект доступа — это пользователь или служба (компьютер), который запрашивает доступ,
- ресурс — это приложение, сервис или данные, к которым субъект запрашивает доступ.
Если субъект доступа аутентифицируется с использованием протокола Kerberos, ITDR может определить IP-адрес субъекта доступа. Для таких случаев в политике доступа можно указать соответствующий фильтр.
Добавление правила
Чтобы создать правило:
На странице Политика доступа нажмите Добавить. В появившемся редакторе укажите имя правила и задайте условия.
В секции Протоколы выберите протоколы, для которых будет применено правило. Выбор протокола накладывает ограничения на то, какие типы субъектов, ресурсов и IP-адресов разрешено указывать в других секциях. Если выбраны несколько протоколов, одновременно применяются ограничения, связанные с каждым из протоколов.
Если ограничения на тип элементов не позволяют реализовать правило, разбейте его на несколько отдельных и укажите в каждом разный тип протокола.
- В секции Субъекты доступа укажите пользователей, сервисные учетные записи, группы пользователей или контейнеры (OU). Если вы указываете группу, правило автоматически применится для всех пользователей, входящих в группу.
Чтобы добавить элемент в список, укажите одно из поддерживаемых имен и нажмите Найти и добавить.
Поддерживаемые форматы имен
| Формат имени | Пример ввода |
|---|---|
| Sam Account Name | user |
| Down-level Logon Name | DOMAIN\user |
| User Principal Name (UPN) | user@domain.com |
| Distinguished Name | CN=user,CN=Users,DC=domain,DC=com |
| Object GUID | 94affd5c-44b1-43ce-9397-63368dd53a6c |
Если в защищаемой системе присутствуют несколько субъектов, удовлетворяющих поисковому запросу, ни один из них не будет добавлен. Используйте другой формат имени, чтобы уточнить запрос.
- В секции IP-адреса источников укажите IP-адреса или диапазоны IP-адресов, с которых выполняется запрос доступа.
Чтобы добавить элемент в список, укажите один из поддерживаемых форматов и нажмите Добавить.
Поддерживаемые форматы адресов
| Формат адреса | Пример ввода |
|---|---|
| Отдельный адрес | 10.9.8.7 |
| Диапазон адресов | 10.9.8.7–10.9.8.15 |
| Подсеть | 10.9.8.64/26 |
С использованием ITDR невозможно определить IP-адрес субъекта, аутентифицирующегося по протоколу LDAP. Поэтому указание IP-адресов запрещено, если в секции Протоколы выбран LDAP. Это связано с тем, что сетевое взаимодействие по протоколу LDAP инициирует не субъект, а приложение. IP-адрес субъекта при такой схеме подключения может быть извлечен из журнала приложения.
- В секции Ресурсы укажите ресурсы, к которым запрашивается доступ.
Чтобы добавить элемент в список, укажите один из поддерживаемых форматов имен и нажмите Найти и добавить. Для ряда форматов имен будет автоматически выполнен поиск соответствующего объекта в домене.
Поддерживаемые форматы имен
| Формат имени | Пример ввода | Примечание |
|---|---|---|
| Service Principal Name | HTTP/server.domain.com | Только для протокола Kerberos |
| User Principal Name (UPN) | server@domain.com | Только для протокола Kerberos. Указывает на сервисную учетную запись, от которой выполняется сервис. |
| Down-level Logon Name | DOMAIN\server | Только для протокола Kerberos. Указывает на сервисную учетную запись, от которой выполняется сервис. |
| Отдельный IP адрес | 10.9.8.120 | Только для протокола LDAP. Указывает на IP-адрес, с которого приложение выполняет LDAP- запросы. |
Особенностью протокола Kerberos является то, что сервис и учетная запись, от имени которой выполняется этот сервис, совпадают. В Kerberos сервис определяется через Service Principal Name (SPN), при этом каждое SPN однозначно соответствует конкретной учетной записи. Например, если сервис работает от имени учетной записи user@itdr.local, то именно её нужно указать в качестве идентификатора ресурса. В этом случае политика доступа будет применяться ко всем сервисам, связанным с этой учетной записью.
- В секции Действие выберите действие, которое будет выполняться при выполнении условия:
- Разрешить не применяет никаких ограничений,
- Запретить безусловно запретит доступ,
- Запросить MFA — доступ будет разрешен, если пользователь подтвердит свою подлинность при помощи дополнительного фактора аутентификации.
Если вы включаете опцию Выделять цветом на странице События, то событие, к которому применяются ограничения, будет выделено цветом на странице События.
В текущей версии поддерживается подтверждение дополнительного фактора при помощи приложения Indeed Key. Если у пользователя, к которому применена политика доступа, нет зарегистрированного аутентификатора, доступ будет запрещен. Подробнее о регистрации в разделе Настройка многофакторной аутентификации.
- Нажмите Сохранить.
Редактирование и управление правилом
Чтобы редактировать правило, нажмите 
в строке нужного правила и выберите Редактировать. После изменения условий и действий нажмите Сохранить.
Чтобы отключить правило, нажмите в строке нужного правила и выберите Отключить. Отключенные правила выделяются в таблице серым цветом, в столбце Включено отображается Нет. Чтобы включить правило, нажмите в строке нужного правила и выберите Включить.
Чтобы удалить правило, нажмите в строке нужного правила и выберите Удалить.
Изменения в политике доступа происходит в Management Console мгновенно. Распространение изменений на узлы обнаружения происходит с задержкой, которая не превышает нескольких минут при наличии сетевой связности между узлом обнаружения и узлом управления. Если отсутствует сетевая связность до конкретного узла обнаружения, изменения на нем применены не будут.
Примеры настроенных правил
Выделение действий администраторов цветом
| Секция | Значения |
|---|---|
| Протоколы | Kerberos, LDAP |
| Субъекты доступа | Группа Privileged Users |
| IP-адреса источника | Не указано |
| Ресурсы | Не указано |
| Действие | Разрешить, выделить цветом |
Запрос MFA для доступа на рабочую станцию или общую папку
| Секция | Значения |
|---|---|
| Протоколы | Kerberos |
| Субъекты доступа | Группа MFA Users |
| IP-адреса источника | Не указано |
| Ресурсы | COMPUTER$ |
| Действие | Запросить MFA |
Запрос MFA для доступа в приложение, использующее LDAP для аутентификации пользователей
| Секция | Значения |
|---|---|
| Протоколы | LDAP |
| Субъекты доступа | Группа MFA Users |
| IP-адреса источника | Не указано |
| Ресурсы | 10.10.5.5 |
| Действие | Запросить MFA |
Запрет на использование Kerberos для сервисной учетной записи, используемой для интеграции с LDAP
| Секция | Значения |
|---|---|
| Протоколы | Kerberos |
| Субъекты доступа | ldap-app |
| IP-адреса источника | Не указано |
| Ресурсы | Не указано |
| Действие | Запретить |