Pięć najlepszych punktów kontrolnych w usłudze Active Directory

Autor: Louise Ward
Data Utworzenia: 5 Luty 2021
Data Aktualizacji: 1 Lipiec 2024
Anonim
Pięć najlepszych punktów kontrolnych w usłudze Active Directory - Technologia
Pięć najlepszych punktów kontrolnych w usłudze Active Directory - Technologia

Zawartość


Źródło: Tmcphotos / Dreamstime.com

Na wynos:

Poznaj pięć kluczowych obszarów AD, które mogą wymagać interwencji ze strony innych firm.

Być może nawet bardziej krytycznym dla twojego przedsiębiorstwa niż twoja najcenniejsza aplikacja lub twoja najlepiej chroniona własność intelektualna jest środowisko Active Directory (AD). Active Directory ma kluczowe znaczenie dla bezpieczeństwa twojej sieci, systemu, użytkownika i aplikacji. Reguluje kontrolę dostępu do wszystkich obiektów i zasobów w ramach infrastruktury komputerowej i wymaga znacznych kosztów zarówno w zakresie zasobów ludzkich, jak i sprzętowych niezbędnych do zarządzania nią. A dzięki zewnętrznym dostawcom oprogramowania możesz również dodawać systemy Linux, UNIX i Mac OS X do repertuaru zarządzanych zasobów AD.

Zarządzanie AD dla więcej niż kilkudziesięciu użytkowników i grup staje się bardzo bolesne. Podstawowy interfejs i organizacja Microsofts nie pomaga w łagodzeniu tego bólu. Usługa Active Directory nie jest słabym narzędziem, ale istnieją pewne aspekty, które powodują, że administratorzy szukają narzędzi innych firm. W tym artykule omówiono najważniejsze niedociągnięcia administracyjne związane z reklamami.


1. Radzenie sobie z grupami zagnieżdżonymi

Wierzcie lub nie, ale tak naprawdę istnieją najlepsze praktyki związane z tworzeniem i używaniem zagnieżdżonych grup AD. Jednak te najlepsze praktyki powinny być łagodzone przez wbudowane ograniczenia AD, aby administratorzy nie mogli rozszerzać grup zagnieżdżonych na więcej niż jeden poziom. Ponadto ograniczenie mające na celu zapobieganie powstawaniu więcej niż jednej grupy zagnieżdżonej na istniejącą grupę zapobiegłoby powstaniu w przyszłości problemów związanych z utrzymaniem porządku i administracją.

Zagnieżdżanie wielu poziomów grup i zezwalanie na wiele grup w grupach stwarza złożone problemy z dziedziczeniem, omija zabezpieczenia i niszczy środki organizacyjne, których zapobiegano zarządzaniu grupami. Okresowe audyty AD pozwolą administratorom i architektom ponownie ocenić organizację AD i skorygować rozrastanie się grup zagnieżdżonych.

Administratorzy systemu od lat wbijają sobie w mózg credo „Zarządzaj grupami, a nie osobami”, ale zarządzanie grupami nieuchronnie prowadzi do grup zagnieżdżonych i źle zarządzanych uprawnień. (Dowiedz się więcej o zabezpieczeniach opartych na rolach Softerra Adaxes.)


2. Przejście na RBAC z list ACL

Przejście od stylu zarządzania AD listami zorientowanymi na użytkownika (ACL) do bardziej korporacyjnej metody kontroli dostępu opartej na rolach (RBAC) wydaje się łatwym zadaniem. Nie z AD. Zarządzanie listami ACL jest trudne, ale przejście na RBAC również nie jest łatwe. Problem z listami ACL polega na tym, że w AD nie ma centralnej lokalizacji do zarządzania uprawnieniami, co sprawia, że ​​administracja jest trudna i kosztowna. RBAC próbuje złagodzić uprawnienia i awarie dostępu, obsługując uprawnienia dostępu według roli, a nie pojedynczo, ale nadal nie spełnia swoich wymagań ze względu na brak scentralizowanego zarządzania uprawnieniami. Jednak przejście na RBAC jest tak bolesne, że znacznie lepsze niż ręczne zarządzanie uprawnieniami dla poszczególnych użytkowników za pomocą list ACL.

Listy ACL zawodzą w skalowalności i zwinnym zarządzaniu, ponieważ mają zbyt szeroki zakres. Role są też bardziej precyzyjne, ponieważ administratorzy przyznają uprawnienia na podstawie ról użytkowników. Na przykład, jeśli nowy użytkownik w agencji prasowej jest redaktorem, wówczas pełni rolę edytora zdefiniowaną w AD. Administrator umieszcza tego użytkownika w grupie redaktorów, która przyznaje jej wszystkie uprawnienia i dostęp wymagany przez redaktorów, bez dodawania użytkownika do wielu innych grup w celu uzyskania równoważnego dostępu.

RBAC definiuje uprawnienia i ograniczenia na podstawie roli lub funkcji zadania, a nie przypisuje użytkownika do wielu grup, które mogą mieć szersze uprawnienia. Role RBAC są bardzo specyficzne i nie wymagają zagnieżdżania ani innych zawiłości ACL w celu uzyskania lepszych wyników, bezpieczniejszego środowiska i łatwiejszej do zarządzania platformy bezpieczeństwa.

3. Zarządzanie komputerami

Zarządzanie nowymi komputerami, zarządzanie komputerami odłączonymi od domeny i próba zrobienia czegokolwiek z kontami komputerów powoduje, że administratorzy chcą udać się do najbliższego baru Martini - na śniadanie.

Bez błędów, bez stresu - Twój przewodnik krok po kroku do tworzenia oprogramowania zmieniającego życie bez niszczenia życia

Nie możesz poprawić swoich umiejętności programistycznych, gdy nikt nie dba o jakość oprogramowania.

Powodem tak dramatycznego stwierdzenia jest to, że istnieje 11 słów, których nigdy nie chcesz czytać na ekranie jako administrator systemu Windows: „Relacja zaufania między tą stacją roboczą a domeną podstawową zawiodła”. Te słowa oznaczają, że masz zamiar spędzić wiele prób i być może wiele godzin, ponownie łącząc tę ​​krnąbrną stację roboczą z domeną. Szkoda, że ​​standardowa poprawka Microsoft nie działa. Standardowa poprawka polega na zresetowaniu obiektu konta komputera w usłudze Active Directory, ponownym uruchomieniu stacji roboczej i skrzyżowaniu palców. Inne sposoby ponownego przyłączenia są często tak samo skuteczne jak standardowe, co powoduje, że administratorzy odświeżają odłączony system w celu ponownego podłączenia go do domeny.

4. Obsługa blokady konta użytkownika

Nie ma samoobsługowej poprawki dotyczącej blokowania kont, chociaż kilku dostawców oprogramowania innych firm rozwiązało problem. Użytkownicy muszą poczekać pewien czas przed ponowną próbą lub skontaktować się z administratorem, aby zresetować zablokowane konto. Zresetowanie zablokowanego konta nie stanowi stresu dla administratora, chociaż może być frustrujące dla użytkownika.

Jedną z wad AD jest to, że blokady konta mogą pochodzić ze źródeł innych niż użytkownik wprowadzający nieprawidłowe hasło, ale AD nie daje administratorowi żadnych wskazówek co do tego pochodzenia.

5. Podniesienie uprawnień i pełzanie zezwoleń

Uprzywilejowani użytkownicy mogą zwiększyć swoje uprawnienia, dodając się do innych grup. Użytkownicy uprzywilejowani to ci, którzy mają pewne podwyższone uprawnienia, ale mają wystarczające uprawnienia, aby dodać się do dodatkowych grup, co daje im dodatkowe uprawnienia w Active Directory. Ta luka w zabezpieczeniach pozwala wewnętrznemu atakującemu na stopniowe dodawanie uprawnień, aż do uzyskania rozległej kontroli nad domeną, w tym możliwości blokowania innych administratorów. (Wyeliminuj zajmujące zasoby ręczne procedury w usłudze Active Directory Identity Management. Dowiedz się, jak tutaj.)

Pełzanie uprawnień to warunek, który występuje, gdy administratorzy nie usuwają użytkowników z określonej grupy uprawnień, gdy zmienia się zadanie użytkownika lub gdy użytkownik opuszcza firmę. Pełzanie uprawnień może umożliwić użytkownikom dostęp do zasobów korporacyjnych, których użytkownik nie potrzebuje. Zarówno podniesienie uprawnień, jak i pełzanie zezwoleń powodują poważne obawy dotyczące bezpieczeństwa. Istnieją różne aplikacje innych firm, które mogą przeprowadzać audyty w celu wykrycia i zapobiegania tym warunkom.

Od małych firm po globalne przedsiębiorstwa - Active Directory obsługuje uwierzytelnianie użytkowników, dostęp do zasobów i zarządzanie komputerem. Jest to obecnie jeden z najbardziej cenionych elementów infrastruktury sieciowej w biznesie. Tak potężne narzędzie, jak Active Directory, ma wiele wad. Na szczęście dostawcy oprogramowania firm innych niż Microsoft rozszerzyli funkcje usługi Active Directory, rozwiązali źle opracowany projekt interfejsu zarządzania, skonsolidowali jego funkcjonalność i masowali niektóre z bardziej rażących niedociągnięć.

Ta treść jest dostarczana przez naszego partnera, Adaxes.