La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

RBAC Y HERRAMIENTAS EN EXCHANGE 2010. ROLE BASED ACCESS CONTROL.

Presentaciones similares


Presentación del tema: "RBAC Y HERRAMIENTAS EN EXCHANGE 2010. ROLE BASED ACCESS CONTROL."— Transcripción de la presentación:

1 RBAC Y HERRAMIENTAS EN EXCHANGE 2010

2 ROLE BASED ACCESS CONTROL

3 Exchange 2003 A través del Delegation Wizard de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: A través del Delegation Wizard de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: Exchange Full Administrator Exchange Full Administrator Exchange Administrator Exchange Administrator Exchange View Only Administrator Exchange View Only Administrator

4 Exchange 2007 En Exchange 2007 los roles de administración se incrementaron a los siguientes: En Exchange 2007 los roles de administración se incrementaron a los siguientes: Exchange Organization Administrators Exchange Organization Administrators Exchange Recipient Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange View-Only Administrators Exchange Public Folder Administrators Exchange Public Folder Administrators Exchange Server Administrators Exchange Server Administrators

5 Objetivos La implementación actual está limitada La implementación actual está limitada La administración es compleja La administración es compleja Los permisos se fijan en función de los objetos, no de las tareas. Los permisos se fijan en función de los objetos, no de las tareas. Es necesario dar permisos excesivos para determinadas operaciones. Es necesario dar permisos excesivos para determinadas operaciones. Auditar la delegación de permisos es complicado Auditar la delegación de permisos es complicado No hay opción a la auto administración (Self- Service Management) No hay opción a la auto administración (Self- Service Management)

6 Exchange Server 2010 Access Control Nuevas funcionalidades Nuevas funcionalidades Roles administrativos basados en tareas Roles administrativos basados en tareas Roles personalizados Roles personalizados Ámbito de role Ámbito de role Permisos forzados en toda la organización Permisos forzados en toda la organización Control de acceso a nivel de tarea Control de acceso a nivel de tarea Opciones de auditoría y reporting Opciones de auditoría y reporting

7 Componentes Management Roles Management Roles Management Role Assignments Management Role Assignments Role Groups Role Groups Role Assignment Policies Role Assignment Policies Management Role Scopes Management Role Scopes

8 Modelo Básico Role Assignment User, USG, Policy Who Scope Where Role What

9

10 Objetos de RBAC en Directorio Activo

11 Management Roles Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Built-In Management Roles Built-In Management Roles Custom Management Roles Custom Management Roles Unscoped Top Level Management Roles Unscoped Top Level Management Roles Se compone de Management Role Entries, las tareas que los usuarios/grupos asignados pueden ejecutar Se compone de Management Role Entries, las tareas que los usuarios/grupos asignados pueden ejecutar

12 Management Role Scopes Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el scope pueden ser modificados por el usuario/grupo asignado al role Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el scope pueden ser modificados por el usuario/grupo asignado al role Existen tres tipos de scope: Existen tres tipos de scope: Implícito – herdado del objeto padre Implícito – herdado del objeto padre Explícito - Se especifica al assignar el management role Explícito - Se especifica al assignar el management role Exclusivo – Para limitar el acceso a ciertos objetos Exclusivo – Para limitar el acceso a ciertos objetos

13 Management Role Scopes SCOPE IMPLICITO SCOPE IMPLICITO RecipientReadScope RecipientReadScope RecipientWriteScope RecipientWriteScope ConfigReadScope ConfigReadScope ConfigWriteScope ConfigWriteScope SCOPE EXPLICITO SCOPE EXPLICITO predefined relative scopes predefined relative scopes custom scopes custom scopes

14 Role Groups Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los management roles Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los management roles Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo

15 Role Assignment Policies Son objetos utilizados para enlazar un role con un buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario. Son objetos utilizados para enlazar un role con un buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario. Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo. Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo. Durante la instalación se facilita y asigna una política llamada Default Policy. Ésta se aplicará sobre todos los buzones durante su creación. Durante la instalación se facilita y asigna una política llamada Default Policy. Ésta se aplicará sobre todos los buzones durante su creación. Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos. Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.

16 Management Role Assignments Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito) Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito)

17 Management Role Delegation Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos. Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos. La propiedad RoleAssignmentDelegationType property determina el comportamiento: La propiedad RoleAssignmentDelegationType property determina el comportamiento: Regular – no existe la delegación Regular – no existe la delegación Delegating – los asignados pueden delegar el role hacia otros Delegating – los asignados pueden delegar el role hacia otros DelegatingOrgWide – los asignados pueden modificar el role y su asignación DelegatingOrgWide – los asignados pueden modificar el role y su asignación

18 Authorization Model El objetivo de RBAC es: El objetivo de RBAC es: Forzar el control de acceso de forma consistente Forzar el control de acceso de forma consistente Prevenir que se pueda ignorar este control Prevenir que se pueda ignorar este control RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos

19 RBAC/Management Tool Interaction

20 RBAC y Active Directory RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange. RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange.

21 RBAC CMDLETS Get-ManagementRole Get-ManagementRole New-ManagementRole New-ManagementRole Remove-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Get-ManagementRoleEntry Add-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope Get-ManagementScope New-ManagementScope New-ManagementScope Set-ManagementScope Set-ManagementScope Remove-ManagementScope Remove-ManagementScope

22 RBAC CMDLETS (CONTINUED) Get-RoleGroup Get-RoleGroup New-RoleGroup New-RoleGroup Set-RoleGroup Set-RoleGroup Remove-RoleGroup Remove-RoleGroup Get-RoleGroupMember Get-RoleGroupMember Add-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment Get-ManagementRoleAssignment New-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment Remove-ManagementRoleAssignment

23 RBAC CMDLETS (CONTINUED) Get-RoleAssignmentPolicy Get-RoleAssignmentPolicy New-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Understanding Role Based Access Control

24 DEMO

25 HERRAMIENTAS EXCHANGE 2010

26 Herramientas en versiones anteriores Funcionalidades Funcionalidades Exchange 2003 Exchange 2003 Exchange System Manager Exchange System Manager Active Directory Users and Computers Active Directory Users and Computers Exchange 2007 Exchange 2007 Windows PowerShell Windows PowerShell Exchange Management Shell Exchange Management Shell Exchange Management Console Exchange Management Console

27 Objetivos Control de acceso Control de acceso Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración. Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración. Acceso a las herramientas administrativas Acceso a las herramientas administrativas No tenemos forma de controlar la instalación de las herramientas y el intento de ejecución No tenemos forma de controlar la instalación de las herramientas y el intento de ejecución Auditing Auditing La auditoría sobre las acciones realizadas es limitada La auditoría sobre las acciones realizadas es limitada Self-Management Self-Management

28 Remote PowerShell Las herramientas de Exchange 2007 se ejecutaban sobre Local PowerShell Las herramientas de Exchange 2007 se ejecutaban sobre Local PowerShell En Exchange 2010 se ejecutan sobre Remote PowerShell En Exchange 2010 se ejecutan sobre Remote PowerShell Esto es así gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 Esto es así gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan) WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan)

29 Fan-In Configuration Los clientes que ejecutan las herramientas de Exchange conectan a un servidor Exchange remotamente. Los clientes que ejecutan las herramientas de Exchange conectan a un servidor Exchange remotamente. Esto es así incluso cuando se están ejecutando desde el propio servidor. Esto es así incluso cuando se están ejecutando desde el propio servidor. Se fuerza a utilizar puntos de conexión centralizados. Se fuerza a utilizar puntos de conexión centralizados. Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope

30 DEMO

31 Exchange Control Panel (ECP) ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios. ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios. ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor. ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor.

32 Outlook Web App options page Los usuarios pueden administrar su propia configración. Los usuarios pueden administrar su propia configración. Páginas/Opciones de Self-Management: Páginas/Opciones de Self-Management: Account – Puede modificar información personal Account – Puede modificar información personal Organize – acceso a Reglas, Respuestas Automáticas (OOF) y Delivery Reports Organize – acceso a Reglas, Respuestas Automáticas (OOF) y Delivery Reports Groups – Los usuarios pueden ver a qué grupos pertenecen y agregarse a otros grupos. Groups – Los usuarios pueden ver a qué grupos pertenecen y agregarse a otros grupos. Settings – Utilizado para administrar opciones de correo, calendario, etc, Settings – Utilizado para administrar opciones de correo, calendario, etc, Phone – Muestra los teléfonos sincronizados y la configuración de los mensajes de texto Phone – Muestra los teléfonos sincronizados y la configuración de los mensajes de texto Block or Allow – Para configurar listas de destinatarios seguros o bloqueados Block or Allow – Para configurar listas de destinatarios seguros o bloqueados

33 Administration page En función del roles asignado dispondremos de cietas opciones de administración a través de Outlook Web App, dentro del display Select what to manage. Las opciones dispnibles son: En función del roles asignado dispondremos de cietas opciones de administración a través de Outlook Web App, dentro del display Select what to manage. Las opciones dispnibles son: Mailboxes – Se pueden hacer cambios en la configuración de los buzones. Mailboxes – Se pueden hacer cambios en la configuración de los buzones. Groups – Podremos adminitrar las listas de distribución de la organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips. Groups – Podremos adminitrar las listas de distribución de la organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips. External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización. External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización. Administrator Roles – Podemos ver los roles de administración y modificar sus miembros. Administrator Roles – Podemos ver los roles de administración y modificar sus miembros. User Roles – Permite asignar roles a una determinada política User Roles – Permite asignar roles a una determinada política Reporting – Podemos obtener la información de seguimiento de los correos Reporting – Podemos obtener la información de seguimiento de los correos

34 ¿Qué es Toolbox? Las herramientas que compnen toolbox se dividen en dos categorías principales: Las herramientas que compnen toolbox se dividen en dos categorías principales: Herramientas Microsoft Management Console (MMC) 3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas Microsoft Management Console (MMC) 3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas independientes como el Best Practices Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado. Herramientas independientes como el Best Practices Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado. Las herramientas aparecen agrupadas de la siguiente forma: Las herramientas aparecen agrupadas de la siguiente forma: Configuration Management Tools Configuration Management Tools Performance Tools Performance Tools Security Tools Security Tools

35 DEMO

36 Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España

37 Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: _ant.aspx _ant.aspx _ant.aspx _ant.aspx Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para información y registro de Futuros Webcast de éste y otros temas diríjase a: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: Descubra los mejores vídeos para TI gratis y a un solo clic: Descubra los mejores vídeos para TI gratis y a un solo clic: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en:


Descargar ppt "RBAC Y HERRAMIENTAS EN EXCHANGE 2010. ROLE BASED ACCESS CONTROL."

Presentaciones similares


Anuncios Google