溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

發(fā)布時間:2021-11-23 09:10:55 來源:億速云 閱讀:146 作者:小新 欄目:云計算

這篇文章主要介紹如何使用Sharepoint+SCO實現(xiàn)PAM門戶,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!

在實際企業(yè)應(yīng)用來說,企業(yè)希望的不僅僅是通過人為審批+人工操作Powershell,最好是有一個門戶,用戶可以在上面去申請權(quán)限,通過在線工作流進行審批,底層是PAM技術(shù)工具的支撐,這樣更加貼近實際環(huán)境,也便于檢閱,本篇進階文章我們就把PAM的操作部分與報告部分做成門戶,實現(xiàn)三個功能

  1. 用戶在門戶申請時效性權(quán)限,管理員審批通過,自動加入到本域安全組或安全主體 

  2. 申請成功后自動把用戶的申請以及審批信息歸檔做成報告 。

  3. 支持在門戶上對用戶申請記錄進行權(quán)限回收,變更回收字段,后臺自動回收安全組或安全主體權(quán)限。

對于微軟的產(chǎn)品體系而言,要對接PAM底層的JIT JEA 安全主體技術(shù),實現(xiàn)門戶申請,審批,歸檔,有三種選擇,Sharepoint+SCO,SCO+SCSM,MIM2016。

本篇文章我們將主要關(guān)注于Sharepoint +SCO實現(xiàn)PAM門戶,Sharepoint+SCO+PAM三個部分的流程對接,思維引導(dǎo),對于PAM概念,PAM技術(shù)工具原理,PAM技術(shù)配置,本文將不再做復(fù)述。

各個組件在流程扮演的作用如下

Sharepoint:創(chuàng)建申請列表,審計報告列表,由管理員定義需要錄入的信息,需要注意申請列表的信息要包括:申請域賬戶,目標(biāo)申請組,申請時間,等三個基本信息,這三個信息會被SCO監(jiān)控到,SCO會拿著這三個信息去讓AD域執(zhí)行加入安全組或加入安全主體操作。除此之外Sharepoint還要實現(xiàn)審批工作流,以此作為每條記錄的跟蹤確認(rèn)項,用戶的申請先要在Sharepoint里面進行人為審批,審批通過后,申請記錄工作流狀態(tài)變?yōu)橐淹ㄟ^

SCO:對于Sharepoint來說工作流已經(jīng)結(jié)束,但對于下一站SCO來說工作流剛剛開始,SCO捕捉審批狀態(tài)已通過的項目,將已通過項目的數(shù)據(jù)通過databus傳遞到下一站執(zhí)行腳本,執(zhí)行腳本活動拿著用戶輸入的信息,連接到域控服務(wù)執(zhí)行加入安全組或加入到安全主體操作。

可以看到整套流程里面Sharepoint主要扮演申請輸入,審批,展示,存放的一方,SCO在做的是對接Sharepoint的信息與PAM,將Sharepoint輸入的結(jié)果,直接讓AD域去執(zhí)行,讓Sharepoint輸入的信息從靜態(tài)變?yōu)檎嬲А?/p>

對于SCO這個產(chǎn)品,老王這里還是簡單介紹一下,SCO全稱System Center Orchestrator,是微軟System Center2012套件里面的自動化產(chǎn)品,主要功能

  1. 支撐微軟私有云自助化實現(xiàn),對接SCSM和底層VMM,將用戶的SCSM自助申請,傳遞到VMM創(chuàng)建生效,

  2. 支持混合云場景,支持和Azure IAAS 整合資源申請,和Azure SMA整合混合自動化呼叫。

  3. 協(xié)調(diào)數(shù)據(jù)中心內(nèi),系統(tǒng)上不同組件,或不同系統(tǒng)之間的自動化協(xié)作。

  4. 管理員可以通過拖拽的方式設(shè)計自動化協(xié)作流程,降低自動化門檻。

SCO產(chǎn)品安裝組件

Management Server:負責(zé)SCO與數(shù)據(jù)庫的對接,用戶導(dǎo)入的集成包,以及寫好的runbook會存放在SCO數(shù)據(jù)庫中,SCO會通過Management Server去數(shù)據(jù)庫撈取runbook,集成包數(shù)據(jù)

Runbook Server:負責(zé)Runbook的實際執(zhí)行

Orchestrator Console and Web service:SCO安裝好之后會有一個Web console 供網(wǎng)頁查看執(zhí)行runbook,默認(rèn)端口82,Web Service供SCSM或其它web程序調(diào)用runbook,默認(rèn)端口81

Runbook Designer:Runbook的可視化設(shè)計器,只負責(zé)流程設(shè)計,流程真正執(zhí)行是在Runbook Server

各組件可以安裝到不同服務(wù)器,每個組件支持部署多個,每個Runbook支持指定不同的Runbook Server執(zhí)行

SCO系統(tǒng)服務(wù)

Orchestrator Management  Service:Managment Server角色服務(wù),負責(zé)接收runbook server請求去數(shù)據(jù)庫撈取資料

Orchestrator Runbook Service:Runbook Server角色服務(wù),負責(zé)執(zhí)行runbook活動流程

Orchestrator Runbook Server Monitor :Runbook Server角色服務(wù),監(jiān)控Runbook 執(zhí)行狀態(tài)與事件

Orchestrator Remoting Service:Deployment Manager遠程部署IP使用

SCO術(shù)語介紹

Runbook:描述Orchestrator設(shè)計好的一條自動化流程,一條Runbook可以由多個活動組成,將多個活動連接起來形成自動化流程。

IP:Intergration Pack,默認(rèn)情況下Runbook只能基于默認(rèn)現(xiàn)有的活動設(shè)計流程,可以通過導(dǎo)入不同產(chǎn)品IP讓SCO擁有更多活動,完成Runbook的設(shè)計。

Deployment Manager:用于部署IP包,每一個IP包需要部署到用于設(shè)計的Runbook Designer,還要部署到用于執(zhí)行的Runbook Server 

databus:當(dāng)我們在runbook中通過連接線把多個活動連接在一起,那么上一個活動監(jiān)控到的數(shù)據(jù)或執(zhí)行完產(chǎn)生的數(shù)據(jù),會通過databus傳遞到下一個活動中,下一個活動中可以通過訂閱已發(fā)布的數(shù)據(jù)方式,使用上一個活動產(chǎn)生的數(shù)據(jù)來完成接下來的自動化活動。單獨的一個活動沒有databus的概念,當(dāng)多個活動通過連接線連接,databus將在后面每個活動里面?zhèn)鬟f。

連接線:通過拖拉的方式將多個活動進行連接 形成流程,連接線可以按照不同結(jié)果傳遞到不同的活動,如上一個操作執(zhí)行成功傳遞到下一個活動A,執(zhí)行失敗傳遞到下一個活動B,可以自定義連接線標(biāo)簽提醒管理員用途,可以自定義上一個活動執(zhí)行后延遲多久再執(zhí)行下一個活動,連接線是搭建databus的橋梁。

簽入簽出:當(dāng)我們新建一個runbook時,默認(rèn)它會處于簽出狀態(tài),當(dāng)經(jīng)過runbook tester測試之后,我們將runbook簽入,然后才可以運行runbook,讓runbook生效,一條正在運行的runbook是不能被直接修改的,需要停止runbook,將runbook簽出,修改完成后再將runbook簽入,修改的內(nèi)容才會生效。

對于本次流程而言,最重要的是要理解SCO中databus的概念,我們要建立runbook流程,讓runbook流程去監(jiān)控sharepoint填寫的數(shù)據(jù),監(jiān)控到工作流已通過后,通過databus把數(shù)據(jù)傳遞到下一個活動,不論是本域加入到時效組,或者添加到堡壘林安全主體也好,都是要通過腳本執(zhí)行,所以監(jiān)控sharepoint活動的下一個活動一定要接執(zhí)行腳本的活動,我們要把監(jiān)控sharepoint活動監(jiān)控到的數(shù)據(jù),傳遞到執(zhí)行腳本的活動中,最終執(zhí)行的腳本其實是sharepoint的輸入數(shù)據(jù)。

下文將開始進行實際的流程設(shè)計和演示,通過實驗來幫大家加固理解,由于篇幅有限,將不對SCO,Sharepoint的安裝,以及基本配置,如列表創(chuàng)建,集成包導(dǎo)入等進行演示,我們將逐步實現(xiàn)目標(biāo)的三個功能,首先我們將實現(xiàn)在單域時效性組成員資格的場景下,三個功能的PAM門戶實現(xiàn)。

當(dāng)前ABC公司已經(jīng)升級域控到2016,林域功能級別升級到2016,已經(jīng)開啟了PAM功能,對于特權(quán)管理組已經(jīng)進行梳理準(zhǔn)備,只保留必備功能管理員,個人管理員已經(jīng)被清除,現(xiàn)希望通過門戶實現(xiàn)個人管理員時效性成員資格的在線請求,審批,歸檔,回收。

實驗環(huán)境介紹

PRIVDC 2016域控 虛擬機1VCPU 2GB內(nèi)存

Sharepoint 2013 +SCO 2012R2 虛擬機4VCPU 8GB內(nèi)存 

功能1:實現(xiàn)用戶在門戶申請時效性權(quán)限,管理員審批通過,自動加入到本域安全組或安全主體 

準(zhǔn)備工作:Sharepoint創(chuàng)建權(quán)限申請自定義列表,除必備申請域賬號,申請目標(biāo)組,申請時效外,管理員可自行設(shè)計所需要的欄目

申請域賬號是最終實際要加入到特權(quán)組的域賬號名稱

申請目標(biāo)組是最終實際要加入到的特權(quán)組名稱

申請時間是傳遞到后面腳本執(zhí)行時的TTL,可以設(shè)計為天,小時,分,秒,這里我設(shè)計為分鐘,隨后腳本中也設(shè)計TTL為分鐘。

申請人信息可以直接使用列表自帶創(chuàng)建者修改。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

在網(wǎng)站集功能開啟工作流功能,隨后在列表設(shè)置工作流設(shè)置中創(chuàng)建審批工作流,在啟動選項處勾選 新建項目將啟動此工作流如何使用Sharepoint+SCO實現(xiàn)PAM門戶

配置工作流審批者,可以規(guī)劃一個安全組作為分配對象,實驗這里我指定每次都由Stat這個人進行審批

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

在這個功能里面,我們需要Sharepoint做的已經(jīng)到位了,提供Web申請的表單,提供在線工作流審批,接下來是SCO的表演時間,開場之前不要忘記為SCO Runbook Server和Designer服務(wù)器導(dǎo)入AD和Sharepoint的IP包,導(dǎo)入完成后記得在Designer界面上方選項處,配置每個IP包,例如AD包要連接到那個域,Sharepoint要連接到的網(wǎng)站集合是哪個。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

這里會遇見第一個坑,一定要注意,配置sharepoint連接里面,有一個Default Monitor Interval Seconds的屬性,是sharepoint活動每次去輪詢監(jiān)控sharepoint數(shù)據(jù)的默認(rèn)間隔時間,所有sharepoint活動會繼承此設(shè)置,默認(rèn)是15秒,你千萬自作聰明給它改短,改短后你會發(fā)現(xiàn)sharepoint的自動化活動失敗。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

要想實現(xiàn)這個功能啊,其實也并不是那么容易,也需要SCO活動的支持,設(shè)想一下我們有兩個傳遞到下一個活動的先決條件

傳遞每一個新建的且sharepoint里面工作流審批已通過的記錄

傳遞新建后審批未通過,但是經(jīng)過一段時間后審批已通過的記錄。

從設(shè)計上面講這個是必須要有的合理需求,但是從實現(xiàn)的角度來講,并不是那么容易,SCO如果要監(jiān)控某一個具體的txt,某個具體的日志還可以,但是要監(jiān)控每一條更新的就有點難度,幸好,7.2版本的sharepoint ip里面的Monitor List items活動完美支持我們的需求,可以監(jiān)控新建的記錄,監(jiān)控變更的記錄,并且可以設(shè)計滿足篩選條件再收數(shù)據(jù)。

拖拽Monitor List items活動進入設(shè)計面板,選擇需要監(jiān)控的申請列表,確保Monitor Interval Seconds為15秒及以上 Monitor New items為true,監(jiān)控新建項目,Monitor Modifieds items為true,監(jiān)控變更項目。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

Filters里面設(shè)計篩選流程審批字段為已通過,實現(xiàn)效果,當(dāng)新申請接入,只有在sharepoint方工作流已經(jīng)走完,審批狀態(tài)已通過,才會監(jiān)控到這條數(shù)據(jù),把這條監(jiān)控的數(shù)據(jù)在SCO databus上面?zhèn)鬟f到下一個活動。除了新建外,變更也一樣,假設(shè)我們在sharepoint里面,新建了一條記錄,但是審批者沒有及時審批,流程審批字段狀態(tài)會是進行中,這時候這條記錄就不會經(jīng)過SCO databus流向下一個活動,過了一會之后審批者審批了這條記錄,記錄變?yōu)橐淹ㄟ^,Monitor Interval Seconds時間到達后Monitor List Items同樣會感知到這次修改,把修改為已通過的這條數(shù)據(jù)通過databus流向下一個活動。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

添加運行.NET腳本活動,語言類型選擇Powershell

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

在Monitor List Items活動處,繪制連接線,連接到下一個活動,建立databus流

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

在腳本活動中復(fù)制這段腳本

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

$TTL = New-TimeSpan -Minutes 10

Add-ADGroupMember -Identity“Domain Admins”-Members “Tony”-MemberTimeToLive $TTL

}

接下來就是有意思的事情了,我們要把sharepoint里面輸入的數(shù)據(jù),通過databus,傳遞給腳本去AD執(zhí)行

在腳本處,點擊 -Minutes 刪除掉數(shù)字10 ,點擊右鍵,選擇訂閱 - 已發(fā)布數(shù)據(jù),從databus尋找數(shù)據(jù)

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

選擇這里的minutes ttl時間,不要使用靜態(tài)的,而是要使用上一個活動傳遞過來的申請時間數(shù)值

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

依次替代申請目標(biāo)組,申請域賬戶數(shù)據(jù)為sharepoint傳來數(shù)值

如何使用Sharepoint+SCO實現(xiàn)PAM門戶如何使用Sharepoint+SCO實現(xiàn)PAM門戶

這就是SCO的神奇之處,它可以在不同系統(tǒng)之間傳遞數(shù)據(jù),你前一個活動系統(tǒng)是sharepoint,后一個活動系統(tǒng)是AD域,沒關(guān)系,我同樣可以通過databus傳遞到下一個活動,只要你傳遞的數(shù)據(jù),不違反下一個活動執(zhí)行需要的格式類型就行。

這里有些人會遇見第二個坑,是腳本層面的問題,原來我們執(zhí)行命令時在-Identity命令后面會有個空格,然后是domain admins靜態(tài)組,但是被我們替換成從sharepoint傳來的數(shù)據(jù)后,在-identity后面會少一個空格,所以會遇見這個活動執(zhí)行失敗

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

還有,后面的一個參數(shù)也有此問題,TTL參數(shù)前面本來是有空格的,前面是靜態(tài)的要加入到時間資格組的用戶,但是被我們替換成sharepoint里面的申請域用戶之后,這個空格會消失

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

所以會導(dǎo)致.NET腳本這個活動執(zhí)行失敗,大家可以把SCO做完sharepoint傳遞的腳本拿出來到ISE復(fù)制就可以看到,回到SCO中把這兩個地方的空格處理掉問題可解

至此第一個功能SCO與Sharepoint部分配置完成,下面進行功能驗證

用戶eric是普通用戶,登陸sharepoint門戶申請5分鐘的domain admins組資格權(quán)限

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

申請得到stat及時審批,流程審批更新為已通過,SCO Monitor List Items感知到新項目建立,監(jiān)控成功,觸發(fā)下一個活動,在下方可以看到Runbook的執(zhí)行記錄如何使用Sharepoint+SCO實現(xiàn)PAM門戶

查看管理員組時效成員資格,可以看到Eric的TTL時效資格已經(jīng)生效

Get-ADGroup -Identity “Domain Admins” -Properties * -ShowMemberTimeToLive |fl member

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

當(dāng)前Jack用戶提交申請,但是未得到stat的及時審批,審批狀態(tài)為進行中,SCO活動不會被觸發(fā)

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

經(jīng)過一段時間后 stat審批了jack的請求,狀態(tài)更新為已通過

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

SCO Monitor List Items感知有已通過項目更新,監(jiān)控成功,將數(shù)據(jù)傳遞到下一個活動執(zhí)行腳本,可在日志歷史紀(jì)錄查看執(zhí)行記錄。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

查看命令可以看到Jack也已經(jīng)獲得了時效性成員組資格。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

至此我們完成了第一個申請功能的實現(xiàn),用戶并不知道后臺發(fā)生的事情,他們只會看到審批通過之后權(quán)限就生效了,只有我們知道,其實我們是結(jié)合了Sharepoint+SCO實現(xiàn)了很酷的東西,如果企業(yè)有Exchange服務(wù)器,還可以再添加一個活動,當(dāng)腳本活動執(zhí)行成功后,郵件通知用戶已獲得臨時權(quán)限。

接下來是第二個審計功能,PAM里面一個主要部分的是要對特權(quán)權(quán)限的申請記錄化,包括申請人,申請原因,申請?zhí)貦?quán)組,審批人,特權(quán)生效時間,等等,形成一個可視化的審計報告,Sharepoint在里面發(fā)揮的作用是提供SCO自動填充的審計列表,老王在sharepoint自己設(shè)計了審計需要的信息欄目,僅供參考

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

SCO部分對于審計功能,我們的設(shè)計思路是添加創(chuàng)建列表項目的第三個活動,讓SCO自動去獲取Monitor list items活動的數(shù)據(jù),當(dāng)?shù)诙€腳本執(zhí)行成功后,自動把第一個活動的數(shù)據(jù)填充進來創(chuàng)建列表項目,由于第三個創(chuàng)建項目的活動需要使用第一個活動的數(shù)據(jù),因此需要確保三個活動都接入連接線,在同一條databus上面,即是說當(dāng)一個申請在sharepoint里面審批通過后,進入SCO要經(jīng)過三個活動 1.獲取數(shù)據(jù) 2.傳遞到AD執(zhí)行腳本 3.基于獲取數(shù)據(jù)創(chuàng)建審計數(shù)據(jù) ,三個活動執(zhí)行成功后此條流程結(jié)束。

拖拽Create List items活動進入設(shè)計面板

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

進行數(shù)據(jù)訂閱,選擇從第一個活動訂閱已發(fā)布數(shù)據(jù)

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

依次將第一個活動中的數(shù)據(jù)進行填充,有一個特權(quán)生效時間,老王建議可以從第二個運行腳本的活動中獲取,這個數(shù)值取第二個活動執(zhí)行成功結(jié)束時間,這個時間結(jié)束后,普通用戶就肯定加入到了特權(quán)組,所以取這個自動時間一定是最準(zhǔn)確的。這也是通過自動化實現(xiàn)的好處,避免了很多人為記憶的偏差。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

針對于權(quán)限是否回收,老王是在sharepoint里面做成了選項列表,默認(rèn)設(shè)置為未回收

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

流程現(xiàn)在設(shè)置如下

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

這個功能到這里已經(jīng)設(shè)計完成,下面進行功能驗證

用戶mike在申請列表提交申請請求

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

Stat審批通過,流程審批狀態(tài)變?yōu)橐淹ㄟ^

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

SCO活動監(jiān)控到匹配數(shù)據(jù),開始觸發(fā)活動,三步活動執(zhí)行成功

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

查看Mike當(dāng)前已經(jīng)獲取到了時效權(quán)限內(nèi)的特權(quán)組權(quán)限

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

打開創(chuàng)建好的IT權(quán)限審計列表可以看到,由SCO自動拿著第一個活動和第二個活動的數(shù)據(jù)自動創(chuàng)建出來的審計信息

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

第三個功能:支持在門戶上對用戶申請記錄進行權(quán)限回收,用戶變更回收字段,后臺自動回收安全組或安全主體權(quán)限

大家可以看到,我們在第二個功能里面設(shè)計了一個權(quán)限是否回收的欄,這個對于審計信息而言老王覺得也是需要的,如果不做成自動化流程,那么就需要審計人員去與審批人確認(rèn),該權(quán)限是否回收,然后更新記錄。有了自動化流程之后我們就可以實現(xiàn),審計人員或者IT管理人員,查看權(quán)限審計列表,如果覺得某一個權(quán)限應(yīng)該被回收,只需要變更權(quán)限是否回收的字段為需要回收,后臺SCO后檢測到這個變更,觸發(fā)一個從安全組或安全主體移除用戶的命令,將用戶移除權(quán)限,然后再更新列表權(quán)限是否回收為已回收,更新權(quán)限回收時間為從安全組或安全主體移除用戶的時間。

這個功能不僅可以適用于我們此次通過申請創(chuàng)建的時效性資格自動更新的審計記錄,企業(yè)的IT管理員也可以把手動賦予過的權(quán)限登記在這里,定期檢查是否已經(jīng)回收,是否需要回收,如需要,自動化完成。

實現(xiàn)起來,這個我們需要單獨再做一個runbook流程,因為同一個runbook里面不能做兩個監(jiān)控list活動,這個runbook用于監(jiān)控IT權(quán)限審計列表,監(jiān)控過濾權(quán)限是否回收字段,匹配到需要回收,就把數(shù)據(jù)傳給下一個活動執(zhí)行腳本,當(dāng)腳本執(zhí)行成功后更新回收狀態(tài)為已回收。

新建一個runbook,添加monitor list items活動,這次選擇監(jiān)控IT權(quán)限審計列表

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

設(shè)置Filters,僅收集和傳遞 權(quán)限是否回收 等于 需要回收 的數(shù)據(jù)

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

添加運行.NET腳本活動,將要 原本靜態(tài)從中刪除的組 替換成已發(fā)布數(shù)據(jù) 申請?zhí)貦?quán)組 ,這個數(shù)值是審計列表而來,審計列表是權(quán)限已經(jīng)賦予了才會生成,所以定不會有錯

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

$ConfirmPreference = 'none'

Remove-AdGroupMember "Domain Admins" -Members  Jack

}

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

要移除的成員替換為 審計列表 權(quán)限申請人,也就是申請時填寫的申請域賬號,實際被加入到特權(quán)組的人。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

如果腳本執(zhí)行失敗,不要忘記檢查空格,還有-ScriptBlock最后結(jié)束的}不要丟失。

添加第三個活動,update list item,選擇要更新的項目:權(quán)限回收狀態(tài),權(quán)限回收時間。

權(quán)限是否回收更新為已回收,回收時間可以從第二個活動運行.NET腳本,取活動結(jié)束時間,需要注意這個數(shù)值要勾選下方的顯示常用已發(fā)布數(shù)據(jù)才可見。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

ID需要從第一個活動中訂閱,這是當(dāng)時那條滿足條件傳遞到第二活動的那條數(shù)據(jù)的ID。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

三個功能到這里都已經(jīng)設(shè)計完成,最后我們來一個整體功能的驗證

Jack當(dāng)前是一個臨時為外包人員創(chuàng)建的賬號,Jack需要拿著這個賬戶去給服務(wù)器做巡檢,臨時申請1小時的domain admins權(quán)限

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

Jack提交申請后,甲方管理stat審批,審批通過后流程審批狀態(tài)更新為已通過,SCO捕捉到數(shù)據(jù),傳遞到后面的活動執(zhí)行

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

流程執(zhí)行成功后,驗證賬戶已經(jīng)得到臨時權(quán)限

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

同時賬戶的數(shù)據(jù)被寫入到審計列表,權(quán)限是否回收為未回收,權(quán)限回收時間為空

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

外包人員通知甲方人員告知已經(jīng)完成巡檢,可以回收權(quán)限,甲方人員設(shè)置權(quán)限為需要回收即可

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

第二條Runbook流程捕捉到需要回收的數(shù)據(jù)傳入,將監(jiān)控到的數(shù)據(jù)傳遞給下一個腳本活動,腳本活動從AD組中移除用戶

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

第三個活動更新權(quán)限是否回收狀態(tài)為已回收,更新權(quán)限回收時間。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

至此我們完整實現(xiàn)了所有規(guī)劃的PAM門戶功能,可以看到Sharepoint SCO PAM技術(shù)很好的工作在一起,三個組件相依相靠,實現(xiàn)最終可用的方案,在整個功能體系中,管理員需要時刻清楚,這個一個流程操作和下一個流程之間的關(guān)系,培養(yǎng)自己這種理解多個系統(tǒng)之間協(xié)作的能力,例如sharepoint輸入的數(shù)據(jù)要被傳到SCO,最終AD域執(zhí)行,sharepoint列表如果更新欄名稱,需要在SCO進行刷新,SCO要確保數(shù)據(jù)可以傳遞到AD正確執(zhí)行。

通過sharepoint作為門戶最大的好處是可以獲得靈活,我們可以定制自己需要的欄信息,可以自定義sharepoint里面的工作流,不需要面對復(fù)雜的MIM門戶部署,也不需要面對復(fù)雜的SCSM服務(wù)目錄堆棧,只需要額外再維護一個SCO即可。通過Sharepoint+SCO+N,將可以實現(xiàn)很多場景的需求,因為SCO和sharepoint的對接好,流程不用太復(fù)雜就可以把數(shù)據(jù)傳遞到其它系統(tǒng)執(zhí)行,強烈建議管理員們?nèi)チ私鈙harepoint 了解sco,在自己的企業(yè)里面實現(xiàn)跨系統(tǒng)的自動化流程,展現(xiàn)自己的價值。

事實上PAM并不是只有微軟提出的概念,這是一個安全業(yè)界里面公認(rèn)的一個主要話題,企業(yè)在PAM進程里面,老王認(rèn)為可以分為五個階段

  1. 了解PAM概念,認(rèn)識到重要性,認(rèn)可要做PAM

  2. 在企業(yè)里面開始規(guī)劃PAM,將技術(shù)與行政手段并行,如特權(quán)賬號必須滿足密碼復(fù)雜度要求,建立管理員組成員登記表,特權(quán)賬號在使用者離職后必須修改密碼,特權(quán)賬號必須和服務(wù)賬戶隔離,與外包人員簽訂項目時告知不得將臨時賬號用于應(yīng)用系統(tǒng)賬戶,臨時分配的管理賬戶將被禁用,要求外包人員規(guī)范化使用服務(wù)賬戶和管理賬號,識別權(quán)限申請,針對于臨時性權(quán)限,通過郵件等方式臨時授予,到達期限必須刪除。針對于應(yīng)用系統(tǒng)盡量使用最小化權(quán)限。

  3. 了解PAM工具技術(shù),如微軟AD2016 JIT ,JEA等概念,開始對環(huán)境內(nèi)先有管理員進行梳理,特權(quán)組只保留關(guān)鍵功能賬號,密碼高度安全,剩余個人管理賬戶疏解出特權(quán)組,開始通過powershell+人工操作授予試用。

  4. 落地PAM應(yīng)用,使用sharepoint+sco或sco+scsm或mim2016或自開發(fā)Web系統(tǒng)構(gòu)建權(quán)限申請,權(quán)限審計門戶,對于特權(quán)權(quán)限使用,必須經(jīng)過申請,必須通過審批,必須通過歸檔審計,必須可以操作回收,以此實現(xiàn)PAM的操作-審計模型,對于特權(quán)賬戶保護,如果采用MIM作為安全門戶,可以設(shè)計在用戶申請權(quán)限時通過Azure MFA驗證才可以得到特權(quán)權(quán)限,如果使用sharepoint也可以設(shè)計在用戶登錄sharepoint時候通過Azure MFA或智能卡驗證。針對于重要服務(wù)器,管理員工作站安裝防病毒軟件,防竊取軟件。

  5. 管理與應(yīng)用分離,徹底的將用戶個人管理賬戶,從現(xiàn)有生產(chǎn)林中剝離出來,構(gòu)建單獨的堡壘林,用于存放管理賬戶,當(dāng)需要執(zhí)行特權(quán)訪問的時候,再經(jīng)過門戶進行審批,依此降低生產(chǎn)林管理賬戶被破解,橫向攻機的風(fēng)險。

微軟特權(quán)訪問管理一文發(fā)出后,也有網(wǎng)友和老王討論過,關(guān)于堡壘林在國內(nèi)應(yīng)用的問題,不可否認(rèn),這確實是一件大動干戈的事情,要把管理賬戶梳理出來,生產(chǎn)林不存在管理賬戶,這并不是一件容易的事情,一定要對每個系統(tǒng)做好排查,確認(rèn)沒有使用后再移除。但是到底值不值得就要企業(yè)結(jié)合自身需要的安全級別去做思考。

我和網(wǎng)友討論了一個很有意思的例子,我們把當(dāng)前單林單域應(yīng)用和管理賬戶一體的架構(gòu)稱為全火影忍者架構(gòu),每個管理員都是火影忍者,那么惡意的管理員只要掌握一個忍者的特征就可以混進忍者高層,時效訪問資格是針對于一些需要臨時的任務(wù),由下影經(jīng)過上影批準(zhǔn)后獲得臨時成為上影的權(quán)利,堡壘林的架構(gòu)是,除了村長和幾個必不可少的上影外,其它任何下影全部單獨拿出去變?yōu)榇迕?,平時和火影忍者沒有任何往來,當(dāng)需要執(zhí)行任務(wù)的時候,臨時申請變成忍者(加入安全主體),任務(wù)結(jié)束的時候重新變成和和忍者沒有任何關(guān)系的普通村民

不知道大家是否有理解,所謂的堡壘林架構(gòu),其實就是去壓縮hacker的破解空間,原來你可以去掃描生產(chǎn)林里面100個管理員,現(xiàn)在我生產(chǎn)林里面就只有5個,而且都是高權(quán)限,開啟了身份保護,當(dāng)執(zhí)行管理操作的時候呢,堡壘林的普通用戶會申請加入已經(jīng)創(chuàng)建好的安全主體,當(dāng)完成管理操作的時候堡壘林用戶又變成普通權(quán)限。將原來100個管理員,現(xiàn)在變成堡壘林的安全主體,需要的時候臨時將堡壘林用戶穿透過去執(zhí)行,生產(chǎn)林是看不到這些堡壘林用戶成員的,如果破解堡壘林用戶也沒有意義,因為堡壘林用戶日常就是普通權(quán)限,而且不一定每次是由那個堡壘林用戶來申請安全主體。

MS有時會說做到第五階段才叫PAM,老王卻以為未必要如此,企業(yè)要導(dǎo)入PAM,PAM的成功與否,還是看行政手段+技術(shù)手段最后是否有生效,內(nèi)部管理人員有多大程度上遵循PAM的規(guī)則來完成特權(quán)賬號的獲取,申請,審批,使用,記錄,操控,特權(quán)賬戶的生命周期有多大程度上是安全可控的。

針對于微軟PAM的未來,老王希望,下一步微軟能夠控制拿到JIT時效資格的管理員只能在有限的服務(wù)器上執(zhí)行管理操作,能夠?qū)崿F(xiàn)回收權(quán)限后自動關(guān)閉遠程撥入和郵箱功能,減少自身MIM門戶的部署復(fù)雜度,簡化JEA的設(shè)置步驟允許配置文件實時更新。

文章最后作為彩蛋,我們將實戰(zhàn)第五階段堡壘林,生產(chǎn)林架構(gòu)下如何利用Sharepoint+SCO,實現(xiàn)門戶請求陰影主體角色。

要做陰影主體申請,我們需要變更堡壘林Sharepoint的列表,把申請目標(biāo)組變?yōu)槟繕?biāo)主體角色,可以做成選項菜單,這里菜單的內(nèi)容需要是已經(jīng)在堡壘林里面創(chuàng)建好的陰影主體,這里我添加Domain admins,Enterprise admins,以及JEA定義的Automation admins角色。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

修改IT權(quán)限申請列表如下

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

制作Runbook流程,第一個活動還是監(jiān)控Sharepoint列表,監(jiān)控流程審批為已通過的項目,通過databus傳遞給下一個活動

第二個活動也還是運行.NET腳本,復(fù)制這段腳本進去

$session = New-PSSession -Computer PRIVDC

Invoke-Command  -session $session -ScriptBlock {

Import-Module ActiveDirectory

Set-ADObject -Identity "CN=ABC-Domain Admins,CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=admin,DC=com" -Add @{'member'="<TTL=600,CN=Mike,OU=ITAccount,DC=admin,DC=com>"}

}

替換三個地方 1.CN=ABC-目標(biāo)主體角色 2.TTL=申請時間秒 3.CN=堡壘林賬戶

相信看完整篇文章的朋友都應(yīng)該知道老王這里在說什么,我就不再放出圖片指示,要注意空格問題,以及最后}號問題。

堡壘林用戶Mike登錄堡壘林Sharepoint,提交目標(biāo)主體權(quán)限申請

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

Stat審批通過后,Runbook捕捉數(shù)據(jù),傳遞到下一個活動,腳本活動按照預(yù)先設(shè)置好的跨系統(tǒng)映射執(zhí)行。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

打開堡壘林陰影主體,可以看到,mike用戶已經(jīng)作為生產(chǎn)林domain admins陰影主體的成員,此時堡壘林用戶mike通過陰影主體具備生產(chǎn)林domain admins組權(quán)限,可以登錄到生產(chǎn)林服務(wù)器,但將在時效性到達后自動移出陰影主體成員,或做第二個runbook支持管理員門戶操作移除權(quán)限。由此Sharepoint+SCO不僅可以實現(xiàn)本域內(nèi)時效性組資格申請,也可以做堡壘林架構(gòu)的跨林陰影主體申請。

如何使用Sharepoint+SCO實現(xiàn)PAM門戶

以上是“如何使用Sharepoint+SCO實現(xiàn)PAM門戶”這篇文章的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對大家有幫助,更多相關(guān)知識,歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI