Перейти до змісту

Active Directory Integration

1. Призначення

Інтеграція з Active Directory / LDAP використовується для синхронізації доменних об'єктів у GTB Central Console та подальшого застосування DLP-політик до конкретних об'єктів інфраструктури.

Після налаштування LDAP у Central Console можна застосовувати політики до:

  • Domain Controllers;
  • Organizational Units;
  • Groups;
  • Computers;
  • Users;
  • Non-domain Computers.

Інтеграція з Active Directory дозволяє створювати точніші правила та винятки для різних підрозділів, груп, комп'ютерів або користувачів.

2. Передумови

Перед налаштуванням підготуйте такі дані:

Параметр Опис
LDAP Server Address IP address або FQDN Domain Controller
Port 389 для LDAP або 636 для LDAPS
Service Account Обліковий запис для доступу до Active Directory
Password Пароль service account
Base DN або Domain\Username Дані для доступу до AD
Base DN Filter Опційний фільтр для обмеження синхронізації
Encryption Увімкнути, якщо використовується LDAPS

Примітка

Для GTB Central Console достатньо read-only LDAP access.

3. Рекомендації перед налаштуванням

Перед початком виконайте перевірку:

  • переконайтесь, що Central Console має network connectivity до Domain Controller;
  • перевірте DNS resolution для Domain Controller FQDN;
  • перевірте firewall rules між Central Console і Domain Controller;
  • для LDAP переконайтесь, що доступний port 389;
  • для LDAPS переконайтесь, що доступний port 636;
  • підготуйте service account з read-only доступом;
  • визначте, чи потрібно синхронізувати весь домен або тільки окрему OU.

4. Налаштування LDAP Server

4.1 Вхід у Central Console

Виконайте такі дії:

  1. Відкрийте GTB Central Console у browser.

  2. Увійдіть під користувачем з адміністративними правами.

  3. Перейдіть у розділ:

    System Setup > LDAP Integration

4.2 Додавання LDAP Server

Виконайте такі дії:

  1. Натисніть:

    Add LDAP Server

  2. Виберіть:

    Add under Windows Active Directory

  3. Відкриється форма додавання LDAP Server.

4.3 Заповнення параметрів LDAP Server

Заповніть поля:

Поле Що вказати
Display Name Назва LDAP-підключення
LDAP Server Address IP address або FQDN Active Directory server
Port 389 для LDAP або 636 для LDAPS
Domain\Username або Base DN Credentials або Base DN для доступу до AD
Password Пароль вказаного облікового запису
Base DN Filter Фільтр для синхронізації конкретних AD objects
Encryption Увімкніть, якщо використовується LDAPS

Приклад Base DN Filter:

OU=Users,DC=example,DC=local

Приклад service account у форматі domain\username:

EXAMPLE\gtb_ldap

4.4 Збереження конфігурації

Після заповнення параметрів виконайте такі дії:

  1. Перевірте введені значення.

  2. Натисніть:

    Save

  3. Дочекайтесь завершення синхронізації.

Після натискання Save Central Console має отримати relevant Active Directory objects.

5. Перевірка синхронізації

Після збереження LDAP Server перевірте, що в Central Console доступні такі об'єкти:

  • Domain Controllers;
  • Organizational Units;
  • Groups;
  • Computers;
  • Users.

Для перевірки виконайте:

  1. Перейдіть у розділ DLP-налаштувань, де потрібно застосовувати політики.

  2. Натисніть:

    Add

  3. Перевірте, що доступні LDAP-рівні та AD objects.

Примітка

LDAP-рівні можуть відображатися тільки після натискання Add у відповідному розділі GTB DLP interface.

6. Policy Application Hierarchy

GTB DLP застосовує політики за визначеною ієрархією.

Порядок рівнів:

  1. Global Settings / Default Policy
  2. Domain Controllers
  3. Organizational Units
  4. Groups
  5. Computers
  6. Users
  7. Non-domain Computers

Політики нижчого рівня мають пріоритет над політиками вищого рівня.

7. Приклад пріоритету політик

Якщо комп'ютер входить до AD Group і для цієї Group задана політика, але для цього ж комп'ютера окремо задана політика на рівні Computers, то політика на рівні Computers матиме пріоритет.

Приклад:

Рівень Політика Результат
Groups Log USB copy Застосовується, якщо немає нижчого рівня
Computers Block USB copy Має пріоритет над Group
Users Інші user-level settings Можуть мати пріоритет для user-specific settings

Якщо для PC не налаштовано специфічних параметрів, застосовуються налаштування рівня Global Settings / Default Policy.

8. Застосування політики до AD object

Політики можуть налаштовуватись у різних розділах GTB DLP, зокрема:

  • Network DLP;
  • Discovery;
  • Endpoint & Device Control;
  • App Control.

8.1 Додавання AD object у policy scope

Виконайте такі дії:

  1. Перейдіть у потрібний розділ GTB DLP Setup.

Наприклад:

   GTB DLP Setup > Endpoint Protector

  1. Відкрийте потрібний модуль або вкладку.

  2. Натисніть:

    Add

  3. Виберіть потрібний рівень:

  4. Domain Controllers;

  5. Organizational Units;
  6. Groups;
  7. Computers;
  8. Users;

  9. Non-domain Computers.

  10. Виберіть потрібний AD object.

  11. Налаштуйте політики для вибраного object.

  12. Натисніть:

    Save

  13. Натисніть:

    Deploy

Важливо

Після зміни DLP settings потрібно виконати Deploy, інакше зміни можуть не застосуватись до endpoint-ів.

9. Base DN Filter

Base DN Filter використовується для обмеження синхронізації AD objects.

Використовуйте Base DN Filter, якщо потрібно:

  • синхронізувати тільки одну OU;
  • зменшити кількість об'єктів у Central Console;
  • прискорити синхронізацію;
  • обмежити PoC тільки тестовою групою;
  • не завантажувати весь домен.

Приклад:

OU=Workstations,DC=example,DC=local

Ще один приклад:

OU=DLP-Test,OU=Users,DC=example,DC=local

Рекомендація

Для PoC краще створити окрему OU або AD Group і синхронізувати тільки потрібні тестові об'єкти. Менше шуму — менше сюрпризів.

10. LDAPS

Для захищеного LDAP-з'єднання використовуйте LDAPS.

10.1 Параметри LDAPS

Параметр Значення
Port 636
Encryption Enabled
LDAP Server Address FQDN або IP Domain Controller
Certificate trust Central Console має довіряти certificate chain

10.2 Налаштування LDAPS

Виконайте такі дії:

  1. Перейдіть у:

    System Setup > LDAP Integration

  2. Натисніть:

    Add LDAP Server

  3. Виберіть Windows Active Directory.

  4. Вкажіть LDAP Server Address.

  5. У полі Port вкажіть:

    636

  6. Увімкніть:

    Encryption

  7. Вкажіть credentials.

  8. Натисніть:

    Save

  9. Дочекайтесь синхронізації.

11. Microsoft Entra ID / Azure AD

GTB також може синхронізувати Microsoft Entra ID / Azure Active Directory objects.

11.1 Загальна логіка

Для інтеграції з Microsoft Entra ID потрібно:

  1. Створити application в Azure portal.
  2. Отримати Application Client ID.
  3. Створити Client Secret.
  4. Додати необхідні API permissions.
  5. Додати LDAP Server у Central Console.
  6. Вибрати Azure Active Directory.
  7. Вказати Client ID і Client Secret.
  8. Зберегти конфігурацію.
  9. Виконати Synchronize LDAP.

11.2 Додавання Azure AD LDAP Server у Central Console

Виконайте такі дії:

  1. У Central Console перейдіть у:

    System Setup > LDAP Integration

  2. Натисніть:

    Add LDAP Server

  3. У вікні Add LDAP Server вкажіть Display Name.

  4. У секції Azure Active Directory натисніть:

    Add

  5. Вкажіть:

  6. Client ID;

  7. Client Secret.

  8. Натисніть:

    Save

  9. Якщо з'явиться popup window, увійдіть з Azure AD administrative account.

  10. Виберіть LDAP Server.

  11. Натисніть:

    Synchronize LDAP

  12. Дочекайтесь завершення синхронізації.

Після завершення синхронізації Azure AD objects мають бути доступні в Central Console.

12. Azure Secure LDAP для старої Central Console

Для старої Central Console можна використовувати Azure Secure LDAP.

Виконайте такі дії:

  1. Перейдіть у:

    Central Console > System Setup > LDAP Integration > Add LDAP Server

  2. Вкажіть Secure LDAP external IP addresses.

  3. У полі Port вкажіть:

    636

  4. Вкажіть Azure account для authentication.

  5. Увімкніть:

    Encryption

  6. Натисніть:

    Save

  7. Дочекайтесь завершення синхронізації.

Після синхронізації Azure domain objects мають бути доступні для використання в:

GTB DLP Setup > Endpoint Protector > Add an object

13. Обмеження User level settings

Якщо налаштування задаються на рівні Users, не всі параметри можуть бути налаштовані окремо для користувача.

Для User level не можна окремо задати:

  • Application Controls;
  • Local PC Discovery;
  • MS Outlook Discovery.

Для цих параметрів використовуйте:

  • Computer level;
  • Group level;
  • OU level;
  • інший релевантний рівень, до якого належить user.

Важливо

Через settings merge user може отримувати частину налаштувань з User level, а частину — з іншого рівня, до якого він належить.

14. DLP Groups

DLP Groups використовуються для створення custom groups, які можуть включати domain і non-domain objects.

14.1 Створення DLP Group

Виконайте такі дії:

  1. Перейдіть у:

    Asset Templates > DLP Groups

  2. Натисніть:

    Add Group

  3. Натисніть:

    Add an Object

  4. Виберіть domain або non-domain objects, які потрібно додати до DLP Group.

  5. Натисніть:

    Save

14.2 Використання DLP Group

Після створення DLP Group виконайте:

  1. Перейдіть у:

    GTB DLP Setup > Endpoint Protector

  2. Натисніть:

    Add

  3. Виберіть створену DLP Group зі списку доступних objects.

  4. Налаштуйте потрібні DLP settings.

  5. Натисніть:

    Save

  6. Натисніть:

    Deploy

14.3 Пріоритет DLP Groups

DLP Groups розташовані між рівнями Groups і Computers у LDAP tree hierarchy.

Це означає:

  • settings з рівнів вище DLP Groups не мають пріоритету над DLP Group settings;
  • settings з рівнів нижче DLP Groups, наприклад Computers, мають пріоритет над DLP Group settings.

14.4 Об'єкт у кількох DLP Groups

Якщо один object, наприклад computer, входить у кілька DLP Groups, система застосовує settings merge.

Приклад:

DLP Group Copy Controls policy
DLP Group 1 Не налаштовано
DLP Group 2 Налаштовано

Результат:

Computer успадкує Copy Controls policy з DLP Group 2

Settings merge застосовується для:

  • Device Controls;
  • Printing DLP;
  • FileShare DLP;
  • Copy Controls.

Рекомендація

Не додавайте один і той самий object у багато DLP Groups без потреби. Це ускладнює troubleshooting і може створити неочікувану поведінку політик.

15. Перевірка policy enforcement

Після налаштування LDAP і призначення політик виконайте контрольний тест.

15.1 Підготовка тесту

  1. Створіть тестову AD Group або OU.

  2. Додайте тестовий computer або user.

  3. Переконайтесь, що об'єкт синхронізувався в Central Console.

  4. Призначте просту тестову політику.

Наприклад:

  • Log USB copy;
  • Log Clipboard;
  • Block test policy;
  • Notify user.

15.2 Виконання тесту

  1. На тестовому endpoint дочекайтесь отримання політик.

  2. Виконайте дію, яка має викликати policy event.

  3. Перейдіть у Central Console.

  4. Відкрийте:

    Security Events

  5. Перевірте, що event створений.

  6. Перевірте, що event містить правильний user, computer, action і Data/Rule.

16. Best Practices

Рекомендовано:

  • використовувати окремий service account для LDAP;
  • надавати service account тільки read-only доступ;
  • для PoC використовувати окрему OU або AD Group;
  • не застосовувати block policies одразу на весь домен;
  • перевіряти policy hierarchy перед rollout;
  • документувати, на якому рівні задана політика;
  • уникати дублювання object у кількох DLP Groups;
  • регулярно перевіряти LDAP synchronization;
  • після змін виконувати controlled policy enforcement test.

17. Troubleshooting

17.1 LDAP objects не з'являються

Перевірте:

  1. LDAP Server Address.
  2. Port 389 або 636.
  3. Service account credentials.
  4. Base DN або Base DN Filter.
  5. DNS resolution з Central Console.
  6. Firewall між Central Console і Domain Controller.
  7. Encryption setting.
  8. Certificate trust, якщо використовується LDAPS.

17.2 LDAPS не підключається

Перевірте:

  1. Чи відкритий port 636.
  2. Чи Domain Controller підтримує LDAPS.
  3. Чи certificate валідний.
  4. Чи Central Console довіряє certificate chain.
  5. Чи правильно вказаний FQDN або IP.
  6. Чи увімкнено Encryption.

17.3 Політика не застосовується

Перевірте:

  1. Чи object синхронізований з LDAP.
  2. Чи object вибраний у правильному policy level.
  3. Чи натиснуто Save.
  4. Чи натиснуто Deploy.
  5. Чи endpoint online.
  6. Чи agent отримав оновлені settings.
  7. Чи немає політики нижчого рівня, яка має пріоритет.

17.4 Політика застосовується неочікувано

Перевірте:

  1. Чи user або computer входить у кілька Groups.
  2. Чи object входить у DLP Group.
  3. Чи є policy на Computer level.
  4. Чи є policy на User level.
  5. Чи є settings merge.
  6. Чи немає старих settings, які ще не оновились на endpoint.

17.5 User level не дає очікуваного результату

Перевірте:

  1. Чи налаштування підтримуються на User level.
  2. Чи не належать ці settings до Application Controls.
  3. Чи не належать ці settings до Local PC Discovery.
  4. Чи не належать ці settings до MS Outlook Discovery.
  5. Чи краще застосувати політику на Computer, Group або OU level.

18. Контрольний список

  • LDAP Server Address підготовлено.
  • Port 389 або 636 перевірено.
  • Service account створено.
  • Service account має read-only доступ.
  • Base DN або Base DN Filter визначено.
  • LDAP Server додано в Central Console.
  • Конфігурацію збережено через Save.
  • AD objects синхронізовано.
  • OU / Groups / Computers / Users доступні в Central Console.
  • Policy hierarchy перевірено.
  • Тестовий AD object додано до policy scope.
  • Політику збережено.
  • Deploy виконано.
  • Endpoint отримав settings.
  • Security Event створився після тесту.
  • Результат policy enforcement перевірено.