ניהול Group Policy באמצעות Gytpol
תשתית Group Policy קיימת מאז שנת 2000 (הושקה יחד עם Active Directory), מאז נעשו שינויים מסוימים אך שינויים אלה היו בעיקר סביב הכלים של תשתית Group Policy, והרכיבים המרכזיים וצורת העבודה לא השתנה באופן מהותי.
ניהול באמצעות GP מאפשר לנהל משתמשים ותחנות קצה עפ”י מדיניות מוגדרת מראש ולהחיל את אותה מדיניות מתוך רכיב GP באופן גורף או פרטני.
ניהול באמצעות Group Policy מאפשר לבצע ניהול ושליטה ביכולות השונות, בין היתר: שליטה בערכי רישום (Registry), הגדרת מאפייני Security, הגדרות בקרות (Audit), ניהול הרשאות NTFS וכן הלאה.
פרטי המדיניות נשמרים באובייקטים ספציפיים של Group Policy וכל אובייקט מכיל מזהה ייחודי המבוסס על GUID. ניתן לשייך כל אובייקט לפי הערכים הבאים:
- Domain
- Site
- OU
כיוון שאובייקט מדיניות קבוצתית ניתן לשיוך רק לאובייקטים מסוימים, ניתן לקבוע הגדרות אבטחה ספציפיות על האובייקט על מנת להחיל אותו באופן יותר פרטני. ולכן באופן כזה ניתן לקבוע כי תחנות קצה, קבוצות או משתמשים יקבלו האובייקט.
לאחר הגדרת מדיניות מתוך Group Policy , השינויים חלים על תחנות הקצה ולכן בכל פרק זמן מסוים יורד פוליסי לתחנת הקצה במטרה לבדוק האם ישנם הגדרות חדשות.
באופן דיפולטי הבדיקה מתבצעת בזמן אקראי של בין 90-120 דקות. במידה וחל שינוי, תחנת הקצה מורידה אליו את קובצי המדיניות אשר השתנו ומחיל אותם. ישנם שינויים אשר נכנסים תוקף מיידית וישנם שינויים אשר תקפים לאחר הפעלת תחנת הקצה מחדש.
למעשה כל סוגי המדיניות נשמרים כקבצים רגילים בשרתי DC’s בתיקיה משותפת SYSVOL וכל תחנת קצה מעתיקה את קובצי המדיניות מהשיתוף.
בעיות ואתגרים
ניהול Group Policy הוא אתגר מעניין לכל ארגון וישנם לכך סיבות רבות, החל מתשתית הארגון ועד אופן הניהול של Group Policy בסביבה הארגונית.
הבעיות של Group Policy נחלקות למספר נקודות עיקריות:
- תשתית Active Directory & DNS
- הרשאות ברמת תשתית ואובייקטים
- ניהול לא יעיל של מדיניות
למשל, ניהול לא יעיל אינו בהכרח חוסר ידע של Group Policy, אלא עלול להיות מצבים בהם אין תיעוד וניהול שינויים במערכת או ביצוע שינויים רבים על גבי פרק זמן קצר בידי מספר גורמים.
אם נקח לדוגמה מצבים שונים אשר קיימים בארגונים רבים אפשר לאתר את הבעיות הסצפיפיות כבעיות:
- לוגין איטי בתחנת קצה עלול לקחת דקות ספורות
- הגדרות אינן נכנסות לתוקף בתחנות קצה
- קונפליקטים בין הגדרות שונות על אותו תחום הגדרות
- ניהול שינויים מול תחנות קצה בגרסאות שונות
- קונפליקטים בין הגדרות טרמינל לבין תחנות קצה
- ביצוע troubleshooting לעיתים עלול להיות מורכב
- בעיות ביצועים ברמת פוליסי ספציפי
- עדכונים שעלולים להשפיע על הגדרות פוליסי שונות
- בעיות וחורי אבטחה אשר נגרמים מהגדרות לא נכונות
- מיפוי Group Policy – מי יועד בוודאות מה קורה במדיניות Group Policy הקיימת אצלו?
כל אלה הם רק חלק מהבעיות המוכרות אשר ארגונים חווים, וישנם בעיות חמורות יותר מול Group Policy.
אחד האתגרים הגדולים של Group Policy היא ביצוע maintenance שוטף לאורך זמן.
Gytpol
ישנם דרכים שונות לניהול נכון Group Policy וכלי שונים, אחד הכלים שעבדתי איתו לאחרונה ועשה עבודה מצוינת הוא Gytpol.
ככל שהטכנולוגיה מתקדמת, כך גם צוותי הסיסטם, IT ואבטחת מידע צריכים לעמוד בקצב הדינמי של החדשנות, הצמיחה והשינויים הארגוניים.
שמירה על הארגון בתצורה אחידה דורשים תפעול ומשאבים רבים, ולכן Gytpol הגיעה מצורך נדרש וקיים בשטח וכזה שדורש מענה מיידי ולאורך זמן בניהול Group Policy.
תשתית Gytpol מאפשרת לשמור באופן קבוע על תקינות Group Policy, שמירה על המדיניות הארגונית, שמירה על תקינות אבטחת המידע (אשר שייכת אל GP) וניטור השינויים ברמת אדמין וברמת פוליסי בכל רגע נתון.
רכיבים מרכזיים
- Compliance – דיווח מפורט וויזואלי של הפערים בין ה שמוגדרים לבין אלה הקיימים בכל מחשב GPO וחשבונות משתמשים (התוצאות מוצגות על פי רמות החומרה וכוללות שלבים לתיקון
- Boot Time Profile – הצגת זמני הפעלה של המחשב וזמני כניסה של משתמש כולל נקודות סימון והתראות על החריגות, תוך המלצה על תיקונים לביצועים מיטביים
- Optimization ניתוח מאגר הכפילויות, שכפול, התנגשויות והמלצה על צעדים לפעולה ודיווח על מידע כדוגמת: כפילויות, קונפליקטים והגדרות לא נכונות
- Host Analyzer – זיהוי סיכוני ואיומי אבטחה שאינם מזוהים ע”י מערכות אחרות (כולל מערכות אבטחה) והמלצה על פעולות לביצוע (Remediation)
- Group Policy Analyzer – זיהוי פרצות וחורי אבטחה וכן חולשות קיימות בתשתית Group Policy והמלצה לשיפור כל אותם סיכונים וחולשות
- Archive – מערב אחר כל שינוי ושינוי אשר מבוצע מול Group Policy
Gytpol מבצע בכל רגע נתון בדיקות וסריקה מול תשתית Group Policy, ובמידת הצורך מדווח על שינויים וסיכונים קיימים וכן דרכי פעולה ומענה על כל אותם בעיות. (או כמו שאני קורא לזה Gytpol finding & remediation)
אבטחת מידע מובנית
מערכת Gytpol עובדת ומתעדכנת באופן שוטף לפי המלצות ותקני אבטחה שונים:
- Microsoft
- CIS
- NIST
דרכי הפעולה של Gytpol בסביבה הארגונית עובדים לפי מספר כללים מובנים:
- הקשחה – כל מידע אשר עובר למערכת Gytpol וממנה עוברים באופן מוצפן
- זיהוי המערכת נעשה על גבי Kerberos בלבד ומוגדר על גבי קבוצות Active Directory שונות
- איסוף המידע מתוך תחנות קצה נעשה על גבי הרשאות משתמש בלבד
- ניתן לייצא ולהעביר את המידע למערכות SIEM שונות
יתרונות ביישום
היישום של Gytpol הינו יישום מהיר וניתן לקבל quick win תוך זמן קצר מתחילת היישום בגלל מספר סיבות:
- הטמעה אחידה – המערכת מוגדרת במצב כזה שהי מתאימה את עצמה לכל ארגון מבלי לבצע התאמות רבות
- ממצאים מהירים – מערכת Gytpol מבצעת איסוף נתונים מהיר תוך שעות בודדות ומאפשרת הצגת ממצאים
- דוחות – הדיווחים מגיעים בצורה מהירה, פשוטה ומפורטת שמספקים ניתוח מידע מהיר
- ניהול פרוקאטיבי – מספק אפשרויות ניהול לביצוע פעולות יזומות ועקביות
לסיכום
ניהול Group Policy הינו אתגר מעניין שטומן בחובו בעיות, הקצאת משאבים רבים ועלול לגרום לבעיות רוחביות הן בצד תשתיות סיסטם והן בצד סיכוני אבטחה.
מערכת Gytpol נועדה לענות על כל אותן אתגרים ולהביא את ניהול Group Policy למקום טוב יותר של ביצוע פעולות פרואקטיביות ומודעות לגבי מה שיש לנו בארגון.
- מידע נוסף באתר Gytpol
- מאמרים נוספים בנושא
