פרטי נוהל

  • תאריך תחולה: ינואר 2017.
  • תאריך עדכון: 01.01.2017.
  • מהדורה 1.

תוכן הנוהל

  1. מטרות

תשתית Active Directory במכון ויצמן נועדה לאפשר לכלל היחידות הארגוניות גישה לשירותי ה-IT המרכזיים תוך שמירה על שירותיות, שרידות גבוהה, שירותי תשתית מרכזיים, הפצת שירותים ושמירה על רמת אבטחה גבוהה על בסיס סטנדרטים מובילים באקדמיה ובגופי מסחר, ומתוך שמירה על חופש ניהול של המשאבים המקומי ביחידות.

  1. מטרת הנוהל להגדיר תהליכים, שיטות ומסגרת ניהול לכלל הפעולות המבוצעות בתשתית ה-Active Directory על-ידי ו/או עבור מתאמי המחשוב.
  2. בנוסף, מטרת מסמך זה לעגן ״אמנת שירות״ בין מתאמי המחשוב וענף תשתיות מחשוב באגף טכנולוגיות מידע בנושא תהליכי ניהול האובייקטים בעץ הארגוני, לרבות הקמה וניהול של חשבונות משתמשים, מידור הרשאות, ניהול חשבונות מערכת וטיפול באובייקטי מחשבים.
  3. הנוהל מגדיר תחומי אחריות והאצלת סמכויות לניהול ותפעול תשתית זו.
  1. מונחים והגדרות

AD (קיצור ל-Active Directory): חבילת שירותים המאפשרת ניהול מרכזי של רשת מחשבים ארגונית, מאגר כלל חשבונות המשתמש והמחשבים בארגון, ניהול הרשאות, מידור, והחלת מדיניות אבטחת מידע. חבילת השירותים מבוססת על מוצר מדף מבית חברת מיקרוסופט.

חשבונות משתמשים: אובייקט המייצג אדם באופן חד-ערכי.

חשבונות מערכת/משתמשים אפליקטיביים: אובייקט מסוג משתמש המשמש להפעלה של שירותי מערכת בשרתים, על-מנת לאפשר לאלו גישה למשאבי רשת. חשבונות מסוג זה משמשים מערכות בלבד, סיסמתם ידועה אך ורק למנהל המערכת וחל איסור מוחלט לעשות בהם שימוש על-ידי משתמשים.

קבוצות אבטחה: קבוצות המאגדות חשבונות משתמשים ו/או חשבונות מערכת ו/או אובייקטי מחשבים, בעלי צרכים, הרשאות או רמת מידור דומה – במטרה לאפשר הרשאות גישה למשאבים בצורה מרוכזת.

קבוצות הפצה: קבוצות המכילות אובייקטי משתמשים שמטרתן לאפשר לכלל חבריהן משלוח דואר אלקטרוני בצורה מרוכזת.

משתמשי ניסוי ומשתמשים זמניים: חשבונות משתמשים ו/או חשבונות מערכת הנוצרים ידנית במטרה לאפשר למפעילי ומפתחי מערכות לעבוד בסביבות שאינן סביבות ייצור.

אובייקטי מחשבים: אובייקטים המייצגים מחשבים ו/או שרתים.

GPO (קיצור ל-Group Policy): אובייקט המייצג אוסף הגדרות מערכת הקובעות ניראות ופונקציונאליות של משתמשים, מחשבים ושרתים.

מתאמי מחשוב: עובד/קבוצת עובדים האמונים על תשתיות המחשוב ביחידתם.

  1. תחולה
    1. הנוהל מתייחס לתשתית Active Directory בסביבות ייצור בלבד.
    2. כל חריגה מנוהל זה כפופה לאישור מראש בכתב מענף תשתיות מחשוב.
  1. שיטה
    1. מבנה Active Directory
      1. לכל יחידה ארגונית במכון הוקצתה תיקיה ייעודית (OU – Organization Unit). תחת כל תיקיה הוגדרו מספר תתי-תיקיות נוספות:
        1. קבוצות
        2. מחשבים ניידים
        3. מחשבים מבוססי MacOS
        4. טלפונים ניידים (סמארטפונים)
        5. מחשבי לוח (Tablet)
        6. תחנות עבודה
    2. תיקיות אלה אינן כוללות אובייקטי משתמשים.
    3. למתאם המחשוב תואצל סמכות לניהול התיקייה הארגונית הרלוונטית והאובייקטים המצויים בה, וזאת תוך שמירה על כללי עבודה תקינים.
    4. לרשות מתאמי המחשוב יועמדו כלל הכלים הניהוליים הקיימים ב-Active Directory.
    5. מתאם מחשוב הנדרש לעיין בקבצי החיווי בתשתית יוכל לעשות זאת בתיאום עם ענף תשתיות מחשוב.
  1. שרתים
    1. ב-Active Directory קיימת תיקיה ייעודית (OU) לשרתים. למחלקות המעוניינות לנהל את השרתים שלהן באופן עצמאי, יוקמו תת-תיקיות (OU) מתחת לתיקיה זו, בהתאם לבקשה של המחלקה.
    2. על כל שרת המוקם ב-AD יותקנו סוכני SCOM (קיצור ל-System Center Operation Manager)
      ו-SCCM (קיצור ל-System Center Configuration Manager), אנטי-וירוס וסוכן ניטור, וזאת לצורך בקרה ותחזוקה שוטפת.
  1. ניהול חשבונות משתמשים
    1. הקמת חשבונות משתמשים:
      1. חשבונות משתמשים יוקמו על ידי ענף תשתיות מחשוב, בתיאום עם אגף משאבי אנוש, באמצעות תשתית IDM (קיצור ל-Identity Management) בלבד. מערכת ה-IDM מעדכנת את ה-Active Directory המרכזי ביחס למשתמשים חדשים ו/או גריעת משתמשים. חל איסור להקים חשבונות משתמשים ישירות במערכת ה-Active Directory.
      2. הקמת המשתמשים תיעשה בהתאם לנוהל הקמת משתמשים.
      3. חשבון המשתמש המוקצה לעובד הינו אישי, ועל כן חל איסור מוחלט לשתף חשבון משתמש בין מספר אנשים.
    2. חסימת משתמשים:
      1. חסימת משתמשים תבוצע במערכת ה-IDM, על פי צורכי המכון ובהתאם לתהליכי משאבי אנוש.
      2. חסימת משתמשים אשר בוצעה עקב פעילות חשודה ו/או מתוקף שיקולי אבטחת מידע תשוחרר אך ורק על ידי תחום אבטחת מידע.
  1. ניהול חשבונות מערכת/משתמשים אפליקטיביים
    1. הקמת חשבונות מערכת:
      1. חשבונות מערכת יוקמו על ידי ענף תשתיות מחשוב לבקשת מתאמי המחשוב.
      2. עובדי ענף תשתיות מחשוב יקימו את המשתמש בתיקיה (OU) המתאימה.
      3. נציג ענף תשתיות מחשוב יזין את פרטי מנהל המערכת, פרטי מתאם המחשוב, שם המערכת, ומטרת המשתמש – בשדות תיאור האובייקט.
      4. כלל הפעילות בהקמת משתמש אפליקטיבי תתועד במערכת ה-Service Desk.
  1. הסרת חשבונות מערכת
    1. מדי חציון תבוצע סקירת חשבונות מערכת אשר אינם פעילים. רשימת המשתמשים תועבר בכתב למנהלי המערכות ולמתאם המחשוב הרלוונטי.
    2. באחריות מנהלי המערכת ומתאמי המחשוב לעדכן תוך 30 יום אם החשבונות הלא פעילים נדרשים או לא.
    3. עם קבלת האישור בכתב ממנהלי המערכות ומתאם המחשוב היחידתי, יועברו חשבונות המערכת הרלוונטיים לסטטוס "מבוטלים".
    4. חשבונות מערכת המצויים בסטטוס "מבוטלים" למעלה משלושה חודשים יוסרו מהמערכת לאלתר.
  1. איפוס סיסמאות חשבונות מערכת

סיסמה לחשבון מערכת/משתמש אפליקטיבי תאופס על ידי ענף תשתיות מחשוב, וזאת לאחר קבלת בקשה רשמית ממנהל המערכת.

  1. חסימת חשבונות מערכת

חסימת חשבונות מערכת הינה אירוע חריג ותבוצע בתיאום עם מנהל המערכת בלבד.

חסימת חשבונות מערכת עקב פעילות חשודה ו/או מתוקף שיקולי אבטחת מידע תבוצע ביידוע מנהל המערכת. חשבונות אלה ישוחררו אך ורק על ידי מחלקת אבטחת מידע.

  1. הרשאות אדמיניסטרציה/הרשאות גבוהות

חשבונות מערכת נדרשים לעיתים להרשאות גבוהות. בקשה להרשאות יש להעביר בכתב לענף תשתיות מחשוב.

ענף תשתיות מחשוב יפעל לקבלת אישור תחום אבטחת מידע להרשאות אלה, ו/או להתאמת הרשאות ייעודיות לצרכי המערכת.

  1. מדיניות סיסמאות לחשבונות מערכת
    1. סיסמאות חשבונות משתמשים יוגדרו בהתאם למדיניות הסיסמאות הארגונית.
    2. מדיניות סיסמאות חשבונות מערכת תהיה כדלקמן:
      1. סיסמת חשבונות מערכת תהיה בת 16 תווים ותורכב משילוב אותיות, ספרות וסימנים מיוחדים.
      2. הסיסמה תהיה אקראית ולא תכיל ביטויים קריאים.
      3. הסיסמה תועבר למנהל המערכת באופן מאובטח.
      4. משיקולי זמינות ותפעול, יוגדרו חשבונות מערכת כך שסיסמתם תהיה נטולת תפוגה.
      5. חשבונות מערכת יינעלו אוטומטית לאחר 10 ניסיונות גישה כושלים.
      6. חשבונות מערכת שננעלו ישוחררו אך ורק על ידי תחום אבטחת מידע.
      7. תחום אבטחת מידע יפעל תקופתית לתזכר משתמשים בדבר שימוש בטוח בסיסמאות.
  1. האצלת סמכות ניהול

במסגרת הרצון המשותף לייעל את השירות הניתן למשתמשים, נדרשים מתאמי המחשוב היחידתיים בהרשאות לניהול האובייקטים שתחת אחריותם. לצורך כך יואצלו סמכויות הניהול על התיקיות באחריותם (OUs) למתאם המחשוב היחידתי. להלן ההרשאות אשר יינתנו למתאם המחשוב היחידתי:

  1. צירוף חשבונות משתמשים וחשבונות מערכת לקבוצות באחריותו.
  2. .ניהול והחלה של GPO, וזאת ללא היכולת לערער על מדיניות ההחלה ברמת הארגון (Domain). שינויים ב-GPO ברמת הארגון יחולו בכפוף לנוהל שינויים.
  3. הבקשות ליצירת GPOs יתועדו באמצעות מערכת ה-Service Desk.
  1. ניהול שינויים
    1. תשתית ה-Active Directory רגישה ומחויבת בזמינות גבוהה. כל שינוי מהותי בהגדרות התשתית יבוצע על כן בהתאם לנוהל ניהול שינויים/שינויים דחופים של ענף תשתיות מחשוב. ניהול שינויים בתשתית זו מחייב תיאום מול מתאמי המחשוב בכלל היחידות, גם אם השינוי אינו אמור להשפיע על אופן עבודתם.
    2. שינויים העשויים להשפיע על עבודת המשתמשים יבוצעו בתום שעות הפעילות ובתיאום מראש עם כלל הגורמים שיש להם זיקה למערכת.
  1. ניהול עדכונים וטלאי אבטחת מידע

יבוצע בהתאם למדיניות אבטחת מידע.

  1. ניטור וחיווי
    1. תשתית ה-Active Directory מהווה אבן יסוד בניהול יעיל, תקני ומאובטח של הרשאות ברמת המחשבים בארגון. כתשתית מרכזית יש חשיבות רבה לניטור ה-Active Directory. יש להפעיל חיווי על הפעולות הבאות (לכל הפחות):
      1. יצירת חשבונות משתמשים שלא על ידי מי שהוגדר לכך.
      2. נעילת חשבונות משתמשים.
      3. נעילת מספר חשבונות משתמשים בזמן קצר.
      4. צירוף משתמשים לקבוצות הרשאה.
      5. מחיקת משתמשים.
      6. אירועים של כניסה/התחברות לשרתי התשתית.
  1. גיבוי ושרידות

גיבוי תשתית Active Directory יתבצע בהתאם לנוהל הגיבוי הנוכחי.

  1. מוסכמה למתן שמות
    1. מוסכמה למתן שמות מהווה אבן יסוד בניהול אפקטיבי של תשתית Active Directory, תוך שמירה על סדר, עקביות, פשטות, שקיפות ונוחות בניהול.
    2. מוסכמה למתן שמות מתייחסת לכלל האובייקטים בתשתית, לרבות תיקיות (OUs), חשבונות משתמשים, חשבונות מערכת, תחנות עבודה, שרתים, קבוצות ואובייקטי GPO.
    3. שמות האובייקטים בתשתית יוקצו בהתאם לארכיטקטורת Active Directory של המכון.
    4. תחנת עבודה תתווסף לדומיין באמצעות מערכת אוטומטית, אשר מבצעת בפועל את הכנסת התחנה, קביעת שם המחשב על פי מוסכמת המכון, והכנסת המשתמש של התחנה לקבוצת Local Admins. את הכלי ניתן למצוא בכתובת https://gname.weizmann.ac.il/Domain.