Regel für zentrale Autorisierungsrichtlinien
Der Zweck der zentralen Autorisierungsrichtlinienregel (CAPR) besteht darin, eine domänenweite Definition eines isolierten Aspekts der Autorisierungsrichtlinie der Organisation bereitzustellen. Der Administrator definiert die CAPR, um eine der spezifischen Autorisierungsanforderungen zu erzwingen. Da die CAPR nur eine bestimmte gewünschte Anforderung der Autorisierungsrichtlinie definiert, kann sie einfacher definiert und verstanden werden, als wenn alle Autorisierungsrichtlinienanforderungen der Organisation in einer einzigen Richtliniendefinition kompiliert werden.
Die CAPR weist die folgenden Attribute auf:
- Name – identifiziert die CAPR für die Administratoren.
- Beschreibung – definiert den Zweck des CAPR und alle Informationen, die von verbrauchern des CAPR benötigt werden können.
- Anwendbarkeitsausdruck – definiert die Ressourcen oder Situationen, in denen die Richtlinie angewendet wird.
- ID – Id für die Verwendung bei der Überwachung von Änderungen am CAPR.
- Effektive Zugriffssteuerungsrichtlinie – ein Windows-Sicherheitsdeskriptor, der eine DACL enthält, die die effektive Autorisierungsrichtlinie definiert.
- Ausnahmeausdruck – ein oder mehrere Ausdrücke, die eine Möglichkeit bieten, die Richtlinie außer Kraft zu setzen und den Zugriff auf einen Prinzipal gemäß der Auswertung des Ausdrucks zu gewähren.
- Stagingrichtlinie – ein optionaler Windows-Sicherheitsdeskriptor, der eine DACL enthält, die eine vorgeschlagene Autorisierungsrichtlinie (Liste der Zugriffssteuerungseinträge) definiert, die anhand der effektiven Richtlinie getestet, aber nicht erzwungen wird. Wenn es einen Unterschied zwischen den Ergebnissen der effektiven Richtlinie und der Stagingrichtlinie gibt, wird der Unterschied im Überwachungsereignisprotokoll aufgezeichnet.
- Da das Staging unvorhersehbare Auswirkungen auf die Systemleistung haben kann, muss ein Gruppenrichtlinienadministrator in der Lage sein, bestimmte Computer auszuwählen, auf denen staging wirksam wird. Dadurch kann die vorhandene Richtlinie auf den meisten Computern in einer OE ausgeführt werden, während das Staging auf einer Teilmenge der Computer erfolgt.
- P2 – Ein lokaler Administrator auf einem bestimmten Computer sollte die Staging deaktivieren können, wenn die Staging auf diesem Computer zu einem zu großen Teil einer Leistungsbeeinträchtigung führt.
- Backlink zu CAP – Eine Liste von Backlinks zu allen CAPs, die auf diesen CAPR verweisen können.
Während der Zugriffsüberprüfung wird die CAPR basierend auf dem Anwendbarkeitsausdruck für die Anwendbarkeit ausgewertet. Wenn ein CAPR anwendbar ist, wird ausgewertet, ob er dem anfordernden Benutzer den angeforderten Zugriff auf die identifizierte Ressource gewährt. Die Ergebnisse der CAPE-Auswertung werden dann logisch von UND mit den Ergebnissen der DACL für die Ressource und allen anderen anwendbaren CAPRs verbunden, die auf die Ressource wirksam sind.
Beispiel-CAPRs:
[HBI-POLICY]
APPLIES-TO="(@resource.confidentiality == HBI"
SD ="D:(A;;FA;;;AU;(@memberOf("Smartcard Logon")))"
StagingSD = "D:(A;;FA;;;AU;(@memberOf("Smartcard Logon") AND memberOfAny(Resource.ProjectGroups)))"
description="Control access to sensitive information"
[RETENTION-POLICY]
Applies-To="@resource.retention == true"
SD ="D:(A;;;FA;;BA)(A;;FR;;;WD)"
description="If the document is marked for retention, then it is read-only for everyone however Local Admins have
full control to them to put them out of retention when the time comes"
[TEST-FINANCE-POLICY]
Applies-To="@resource.label == 'finance'"
SD="D:(A;;FA;;;AU;(member_of(FinanceGroup))"
description="Department: Only employees of the finance department should be able to read documents labeled as finance"
Verweigerung von ACEs in CAPEs
In Windows 8 werden ACEs nicht in einem CAPR unterstützt. Die CAPR-Erstellungs-UX lässt die Erstellung einer Verweigerungs-ACE nicht zu. Wenn die LSA die CAP aus Active Directory abruft, überprüft LSA außerdem, dass keine CAPRs ACEs verweigern. Wenn eine Verweigerungs-ACE in einer CAPR gefunden wird, wird die CAP als ungültig behandelt und nicht in die Registrierung oder SRM kopiert.
Anmerkung
Die Zugriffsüberprüfung erzwingt nicht, dass keine Verweigerungs-ACEs vorhanden sind. AcEs in einem CAPR verweigern wird angewendet. Es wird erwartet, dass die Erstellungstools dies verhindern.
CAPE-Definition
CAPRs werden erstellt, obwohl eine neue UX im Active Directory-Verwaltungscenter (ADAC) bereitgestellt wird. In ADAC wird eine neue Aufgabenoption zum Erstellen eines CAPR bereitgestellt. Wenn diese Aufgabe ausgewählt ist, fordert ADAC den Benutzer mit einem Dialogfeld auf, in dem der Benutzer nach einem CAPR-Namen und einer Beschreibung gefragt wird. Wenn diese bereitgestellt werden, werden die Steuerelemente zum Definieren der verbleibenden CAPR-Elemente aktiviert. Für jedes der verbleibenden CAPR-Elemente ruft die UX die ACL-UI auf, um die Definition von Ausdrücken und/oder ACLs zuzulassen.
Verwandte Themen