RBAC Y HERRAMIENTAS EN EXCHANGE 2010

ROLE BASED ACCESS CONTROL

Exchange 2003

A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: Exchange Full Administrator Exchange Administrator Exchange View Only Administrator

Exchange 2007

En Exchange 2007 los roles de administración se incrementaron a los siguientes: Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Public Folder Administrators Exchange Server Administrators

Objetivos

La implementación actual está limitada La administración es compleja Los permisos se fijan en función de los

objetos, no de las tareas. Es necesario dar permisos excesivos para

determinadas operaciones. Auditar la delegación de permisos es

complicado No hay opción a la auto administración

(Self-Service Management)

Exchange Server 2010 Access Control

Nuevas funcionalidades Roles administrativos basados en tareas Roles personalizados Ámbito de role Permisos forzados en toda la

organización Control de acceso a nivel de tarea Opciones de auditoría y reporting

Componentes

Management Roles Management Role Assignments Role Groups Role Assignment Policies Management Role Scopes

Modelo Básico

Role Assignment

User, USG,Policy“Who”

Scope “Where”

Role“What”

Objetos de RBAC en Directorio Activo

Management Roles

Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Built-In Management Roles Custom Management Roles Unscoped Top Level Management Roles

Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar

Management Role Scopes

Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el “scope” pueden ser modificados por el usuario/grupo asignado al role

Existen tres tipos de scope: Implícito – herdado del objeto padre Explícito - Se especifica al assignar el

management role Exclusivo – Para limitar el acceso a ciertos

objetos

Management Role Scopes

SCOPE IMPLICITO RecipientReadScope RecipientWriteScope ConfigReadScope ConfigWriteScope

SCOPE EXPLICITO predefined relative scopes custom scopes

Role Groups

Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los “management roles”

Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo

Role Assignment Policies Son objetos utilizados para enlazar un role con un

buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario.

Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo.

Durante la instalación se facilita y asigna una política llamada “Default Policy”. Ésta se aplicará sobre todos los buzones durante su creación.

Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.

Management Role Assignments

Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy

Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments

Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito)

Management Role Delegation

Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos.

La propiedad RoleAssignmentDelegationType property determina el comportamiento: Regular – no existe la delegación Delegating – los asignados pueden delegar el role

hacia otros DelegatingOrgWide – los asignados pueden

modificar el role y su asignación

Authorization Model

El objetivo de RBAC es: Forzar el control de acceso de forma

consistente Prevenir que se pueda ignorar este control

RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS

El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos

RBAC/Management Tool Interaction

RBAC y Active Directory

RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange.

RBAC CMDLETS Get-ManagementRole New-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope

RBAC CMDLETS (CONTINUED)

Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment

RBAC CMDLETS (CONTINUED)

Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy

Understanding Role Based Access Controlhttp://technet.microsoft.com/en-us/library/dd298183.aspx

DEMO

HERRAMIENTAS EXCHANGE 2010

Herramientas en versiones anteriores

Funcionalidades Exchange 2003

Exchange System Manager Active Directory Users and Computers

Exchange 2007 Windows PowerShell Exchange Management Shell Exchange Management Console

Objetivos Control de acceso

Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración.

Acceso a las herramientas administrativas No tenemos forma de controlar la instalación

de las herramientas y el intento de ejecución Auditing

La auditoría sobre las acciones realizadas es limitada

Self-Management

Remote PowerShell Las herramientas de Exchange 2007 se

ejecutaban sobre Local PowerShell En Exchange 2010 se ejecutan sobre Remote

PowerShell Esto es así gracias a Windows PowerShell v2.0

y Windows Remote Management (WinRM) v2.0

WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan)

Fan-In Configuration Los clientes que ejecutan las herramientas de Exchange

conectan a un servidor Exchange remotamente. Esto es así incluso cuando se están ejecutando desde el

propio servidor. Se fuerza a utilizar puntos de conexión centralizados.

Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell

Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores

Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope

DEMO

Exchange Control Panel (ECP)

ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios.

ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor.

Outlook Web App options page

Los usuarios pueden administrar su propia configración. Páginas/Opciones de “Self-Management”:

Account – Puede modificar información personal Organize Email – acceso a Reglas, Respuestas

Automáticas (OOF) y Delivery Reports Groups – Los usuarios pueden ver a qué grupos

pertenecen y agregarse a otros grupos. Settings – Utilizado para administrar opciones de

correo, calendario, etc, Phone – Muestra los teléfonos sincronizados y la

configuración de los mensajes de texto Block or Allow – Para configurar listas de destinatarios

seguros o bloqueados

Administration page En función del roles asignado dispondremos de cietas opciones

de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opciones dispnibles son: Mailboxes – Se pueden hacer cambios en la configuración de

los buzones. Groups – Podremos adminitrar las listas de distribución de la

organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips.

External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización.

Administrator Roles – Podemos ver los roles de administración y modificar sus miembros.

User Roles – Permite asignar roles a una determinada política Reporting – Podemos obtener la información de seguimiento

de los correos

¿Qué es Toolbox? Las herramientas que compnen toolbox se dividen en dos

categorías principales: Herramientas Microsoft Management Console (MMC)

3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas independientes como el Best Practices

Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado.

Las herramientas aparecen agrupadas de la siguiente forma: Configuration Management Tools Performance Tools Security Tools

DEMO

Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España

http://blogs.technet.com/esexblog/

Más acciones desde TechNet

Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_an

t.aspx

Para información y registro de Futuros Webcast de éste y otros temas diríjase a: http://www.microsoft.com/spain/technet/jornadas/default.mspx

Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: http://www.microsoft.es/technet/boletines/default.mspx

Descubra los mejores vídeos para TI gratis y a un solo clic: http://www.microsoft.es/technet/itsshowtime/default.aspx

Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.es/technet/recursos/cd/default.mspx