С помощью политики вы можете заблокировать доступ к ресурсам защищаемой системы, а также запросить дополнительный фактор аутентификации с помощью push-уведомлений в приложении Indeed Key. Политика не изменяет права доступа, заданные в защищаемой системе, а лишь является дополнением к уже существующим правам.
Политика оперирует терминами «субъект доступа» и «объект доступа».
Субъект доступа — это пользователь или служба (компьютер), который запрашивает доступ, объект доступа — это ресурс, к которому субъект запрашивает доступ.
В предварительной версии Indeed ITDR в политике поддерживаются протоколы LDAP и Kerberos.
В качестве субъектов доступа, на которых распространяется действие политики, вы можете указать пользователя, компьютер, группу, контейнер или подразделение.
Для протокола LDAP в качестве объектов доступа указываются адреса ресурсов.
Для протокола Kerberos указываются Service Principal Name (SPN), от имени которой запускаются нужные сервисы, которые вы хотите указать как ресурсы для запросов доступа.
Особенностью протокола Kerberos является то, сервис и учетная запись,
от имени которой запущен этот сервис, равнозначны. В Kerberos сервис может иметь
формата Service Principal Name (SPN), однако, эти имена однозначно связаны с конкретной учетной записью.
Например, если нужный вам сервис запущен от имени учетной записи
user@itdr.local, в качестве идентификатора ресурса вы должны указать user@itdr.local,
при этом политика доступа будет применяться ко всем сервисам, которые связаны с этой учетной записью.
Если с помощью политики вы настраиваете запрос дополнительного фактора аутентификации, необходимо, чтобы пользователи (субъекты доступа) зарегистрировались в приложении Indeed Key. Подробнее о регистрации в разделе Настройка многофакторной аутентификации.
В текущей версии Indeed ITDR политика создается и редактируется в конфигурационном файле. Подробнее о работе с ним читайте в Приложении.
Настроенные правила политик отображаются в Management Console в разделе Политика доступа.
Правило, применяемое к привилегированной группе. Активность по этому правилу выделяется в таблице событий.
"Id": "d3fdcf1f-87ac-460c-b5f4-4d8de28b5e21",
"Conditions": {
"Generic": {
"AuthenticationProtocols": "All", // правило распространяется на активности по протоколам LDAP и Kerberos
"Principals": {
"Groups": [
"{{ groups.auditedusers }}" // значение атрибута objectGuid целевой группы пользователей в каталоге Active Directory
]
},
"PrincipalRiskScoreThreshold": null
},
"Kerberos": null,
"Ldap": null
},
"Actions": {
"Restrict": "None", // запросы на предоставление доступа будут разрешены
"Notify": true // активности по этому правилу будут выделены в таблице событий
}
Правило с запросом дополнительной проверки подлинности для входа на рабочую станцию или доступ по SMB
"Id": "1eb5f535-40a7-474b-8b6d-5081d046a210",
"Enabled": null,
"Conditions": {
"Generic": {
"AuthenticationProtocols": "Kerberos", // правило распространяется на активности по протоколу Kerberos
"Principals": {
"Groups": [
"{{ groups.users }}" // значение атрибута objectGuid целевой группы пользователей в каталоге Active Directory
]
},
"PrincipalRiskScoreThreshold": null
},
"Kerberos": {
"ResourceServiceAccounts": [
"{{ computers.win10_1 }}" // значение атрибута objectGuid объекта доступа (компьютера) в каталоге Active Directory
]
},
"Ldap": null
},
"Actions": {
"Restrict": "AdditionalAuthenticationByMobilePhone", // запрос на подтверждение push-уведомления из мобильного приложения
"Notify": false // активности по этому правилу не будут выделены в таблице событий
}
Запрос дополнительной проверки подлинности для входа в приложение по протоколу LDAP
"Id": "1eb5f535-40a7-474b-8b6d-5081d046a206",
"Enabled": null,
"Conditions": {
"Generic": {
"AuthenticationProtocols": "Ldap", // правило распространяется на активности по протоколу LDAP
"Principals": {
"Groups":
[
"{{ groups.users }}" // значение атрибута objectGuid целевой группы пользователей в каталоге Active Directory
]
}
},
"Ldap": {
"ResourceEndPoints": [ "s{{ ip.portainer }}" ] // IP-адрес сервера, на котором размещается приложение
}
},
"Actions": {
"Restrict": "AdditionalAuthenticationByMobilePhone", // запрос на подтверждение push-уведомления из мобильного приложения
"Notify": false // активности по этому правилу не будут выделены в таблице событий
}
Запрет на использование протокола Kerberos для сервисной учетной записи
"Id": "0a9b78f1-2727-4cb0-9ec7-ed74e09f1101",
"Enabled": true,
"Conditions": {
"Generic": {
"AuthenticationProtocols": "Kerberos", // правило распространяется на активности по протоколу Kerberos
"Principals": {
"Identities": [
{
"ObjectGuid": "17fb1e29-854e-45a1-ac60-23743a2d3de1" // значение атрибута objectGuid целевого пользователя в каталоге Active Directory
}
]
}
},
"Kerberos": null
},
"Actions": {
"Restrict": "DenyAlways", // использование протокола Kerberos запрещено
"Notify": true // активности по этому правилу будут выделены в таблице событий
}
Запрет сервисной учетной записи на доступ по протоколу LDAP со всех адресов, кроме одного разрешенного
"Id": "0a9b78f1-2727-4cb0-9ec7-ed74e09f1100",
"Enabled": true,
"Conditions": {
"Generic": {
"AuthenticationProtocols": "LDAP", // правило распространяется на активности по протоколу LDAP
"Principals": {
"Identities": [
{
"ObjectGuid": "17fb1e29-854e-45a1-ac60-23743a2d3de1" // значение атрибута objectGuid целевого пользователя в каталоге Active Directory
}
]
}
},
"Ldap": {
"ResourceEndPoints": ["r[10.0.0.0;10.10.10.137]","r[10.10.10.139;10.254.254.254]"] //указаны два диапазона: 10.0.0.0-10.10.10.137 и 10.10.10.139-10.254.254.254
}
},
"Actions": {
"Restrict": "DenyAlways", // доступ запрещен
"Notify": false // активности по этому правилу не будут выделены в таблице событий
}
Следующие шаги