1.1.1        Características de Herramienta de Administración e implementación de Seguridad para el Active Directory

 

Se requiere la compra de licencias de un Software que simplifique, asegure y automatice la administración de Active Directory para nuestra infraestructura Microsoft.

1.       OBJETIVO:

Adquirir una herramienta de software que permita a los Administradores de Active Directory y personal de Help Desk de la institución administrar de forma simple, automática y segura a los usuarios de nuestra infraestructura Microsoft.

Es indispensable adquirir este tipo de herramientas para automatizar, estandarizar, controlar y administrar las políticas a nivel de grupos y usuarios específicos, así como para realizar la correcta planeación, control e implementación de permisos de los diferentes grupos de usuarios del Active Directory, corazón de toda infraestructura.

La institución requiere que la herramienta soporte los usuarios de la infraestructura de la institución, que funcionen todos los servidores existentes de Active Directory y que un número ilimitado de usuarios puedan usarla concurrentemente con los permisos respectivos.

El software debe contar como mínimo las características que se enumeran a continuación, todo requerimiento es obligatorio:

Generalidades del Software

 

a) Requerimientos de instalación:      

1.       La herramienta debe proveer la facilidad de fábrica para que después de instalarla el personal de la institución pueda implementar “roles de permisos y políticas” creados por ellos y asignar dichos roles a usuarios, grupos de usuarios de cualquier OU de cualquier dominio que forme parte del forest de Active Directory de la institución. 

2.       La misma debe contar con un mecanismo simple y expedito de instalación que no requiera  instalar agentes o componentes distintos a los provistos por la plataforma Microsoft.  Debe de utilizar los mecanismos propios provistos por el Active Directory.

 

3.       Esta debe proveer una interfase Web, de forma tal que el administrador del Active Directory pueda definir permisos específicos a los administradores regionales o Help Desk de la institución, de manera que estos puedan tener atributos restringidos de administrador en su OU.

4.       No debe por el solo hecho de ser instalada afectar al Active Directory.

b) Funcionalidades Mínimas Requeridas:

  1. La herramienta ofertada deberá proveer los controles de acceso flexible y específico. 
  2. La herramienta ofertada debe proveer a la vez que, se puedan definir políticas basadas en reglas aseguren que todas y cada una de las acciones administrativas realizadas sobre el Active Directory sean consistentes con las normas de seguridad de la institución.  Que se puedan definir roles que faciliten la auditoria, las asignaciones de permisos de acceso a usuarios y la administración global del Active Directory en forma integral, todo desde una sola consola de administración integrada con las herramientas nativas de Microsoft.
  3. La herramienta ofertada debe proveer una solución completa para satisfacer una amplia gama de necesidades de administración y aprovisionamiento del Active Directory de la institución, incluyendo la centralización de las normas, características y atributos de cada OU,  roles,  esquemas de seguridad,  etc. y la descentralización de la ejecución de las labores administrativas cotidianas que permitan una gestión  eficiente para así responder a las necesidades cambiantes de negocios de la institución en forma eficaz y rápida.
  4. La herramienta debe proveer una administración controlada con auditoria centralizada, estricta aplicación de reglas y delegación extendida.
  5. La  herramienta ofertada debe ser basada en roles, para simplificar la administración de derechos delegados mientras se mejora la seguridad y la auditoria.
  6. La herramienta deberá proveer roles predefinidos y deberá ofrecer la flexibilidad de que los administradores del Active Directory puedan crear los roles que consideren necesarios sin necesidad de la intervención de terceros.
  7. La herramienta debe proveer mecanismos para implementar en forma simple de los más altos niveles de seguridad a usuarios o grupos de usuarios de cualquier OU,  dominio o child domain del Active Directory de acuerdo a los estándares de TI y recomendaciones de la auditoria. 
  8. La herramienta debe permitir la fácil implementación de “reglas” o similares a cualquier OU, grupo de usuarios o usuario especifico.  Estas reglas se deben poder definir en forma simple sobre cualquier atributo o conjunto de atributos de cualquier objeto de cualquier OU del Active Directory con condicionales que permitan lograr la estandarización en la institución. 
  9. Las reglas deben de tener la capacidad de poder incorporar scripts en VBscript o algún lenguaje similar de Microsoft que permita manejar condiciones y ejecuciones complejas requeridas por la institución.
  10. Las reglas deben de ejecutarse tanto para usuarios u objetos nuevos (proceso de creación) como para los usuarios u objetos existentes en cualquier OU existente. En caso que los datos existentes no estén acorde a una regla,  la herramienta debe de lograr un resultado en los valores de los atributos que cumpla la regla asignada a un OU,  aún si este proceso implica cambios masivos en los atributos de los objetos del active directory.

Esto es indispensable para la institución para lograr la consistencia de la información, estandarización en los accesos a información sensible, garantizar que los atributos críticos contengan información valida y que la delegación de la administración no genere entropía e inconsistencias en la administración del Active Directory.

  1. La herramienta debe proveer mecanismos para controlar a  los administradores del Active Directory,  limitando que OU´s, child domains y que atributos pueden administrar en cada caso, ni más ni menos.   Con este requerimiento se busca centralizar la administración y descentralizar la ejecución de los cambios con los controles requeridos por la institución.
  2. La herramienta debe poder calcular el conjunto resultante de políticas (RSOP) y derechos  para un usuario o computadora de la red.  Esto es requerido para saber el derecho resultante de un usuario que pertenece a varios grupos y al que se le han asignado diversos derechos en diferentes ocasiones  y determinar a ciencia cierta si  puede o no tener acceso a información sensible o a derechos administrativos varios.  Fundamental para control de la seguridad.
  3. La herramienta debe permitir a los administradores de Active Directory ver los permisos sobre cada objeto del Active Directory y los cambios efectuados a estos para cada usuario o grupo de usuarios.
  4. La herramienta debe proveer una administración de Active Directory y Exchange 2000-2003 integrada en lo referente al Active Directory con reglas de negocio, roles administrativos, y una interfase web de auto servicio para el usuario final (a ser utilizada en casos controlados por los administradores) que permita una administración de eficiente y  automatizada de las cuentas, buzones de correo y creación de áreas compartidas, así como de grupos.
  5. La herramienta debe proveer un mecanismo de vistas basadas en los criterios de negocios de la institución para los OU´s administrados de forma tal que los administradores puedan manejar los objetos del directorio de una manera independiente y distinta a la estructura subyacente de Active Directory,  mediante la agrupación de objetos que transcienden OU´s y dominios.  Esto con el fin que los administradores puedan ver y diseñar una estructura administrativa del Active Directory que resulte más adecuada para la administración de los procesos de negocios de la institución.
  6. La herramienta deberá proveer a los miembros del grupo Help Desk acceso a funciones administrativas del Active Directory,  permitir a los usuarios y propietarios de datos del negocio actualizar datos seleccionados mediante la interfase Web fácil de usar,  y controlada por roles,  que le de acceso a los objetos del active directory autorizados y que los restringa de cambiar los objetos a los cuales no tienen permiso de administrar. 

De esta forma  la institución desea mantener el control completo en la administración de cada área del active directory y reducir los  costos operativos mediante la utilización de una interfase Web.

  1. La herramienta debe proveer de plantillas que se puedan copiar, respaldar, modificar y enviar  para mantener políticas institucionales (GPO´s)  a través de dominios para un mismo Active Directory.
  2. La herramienta deberá monitorear fácilmente “quien, que, donde, y cuando” de los cambio a los directorios mediante reportes.