Зміст
- 1. Робота з вкладеними групами
- 2. Перехід на RBAC з ACL
- 3. Керування комп’ютерами
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- 4. Обробка блокування облікових записів користувачів
- 5. Підвищення дозволу та дозвіл повзучості
Джерело: Tmcphotos / Dreamstime.com
Винос:
Вивчіть п'ять ключових областей AD, які можуть потребувати стороннього програмного втручання.
Можливо, навіть більш критично важливим для вашого підприємства, ніж ваше найцінніше заявка або ваша найбільш захищена інтелектуальна власність - це ваше середовище Active Directory (AD). Active Directory є центральним для безпеки вашої мережі, системи, користувача та додатків. Він регулює контроль доступу до всіх об'єктів і ресурсів у вашій обчислювальній інфраструктурі та за значних витрат як людських, так і апаратних ресурсів, необхідних для управління ними. І завдяки стороннім постачальникам програмного забезпечення ви також можете додати системи Linux, UNIX та Mac OS X до репертуару керованих ресурсів AD.Управління AD для декількох десятків користувачів та груп стає дуже болісним. А базовий інтерфейс та організація Microsofts не допомагають зняти біль. Active Directory не є слабким інструментом, але є його аспекти, які залишають адміністраторів шукати сторонні інструменти. Цей твір досліджує основні недоліки адміністративної реклами.
1. Робота з вкладеними групами
Вірите чи ні, насправді є найкращі практики, пов’язані зі створенням та використанням вкладених груп AD. Однак ці найкращі практики повинні бути загартовані вбудованими обмеженнями AD, щоб адміністраторам заборонено розширювати вкладені групи більш ніж на один рівень. Крім того, обмеження щодо запобігання більш ніж одній вкладеній групі на існуючу групу запобігло б виникненню завтрашньої господарської діяльності та адміністративних проблем.
Внесення декількох рівнів у групу та дозволення декількох груп у межах груп створює складні проблеми успадкування, обходить безпеку та руйнує організаційні заходи, для яких управління групою було розроблено для запобігання. Періодичний аудит AD дозволить адміністраторам та архітекторам переосмислити організацію AD та виправити вкладені розповсюдження групи.
Системні адміністратори протягом багатьох років забивали в їхній мозок кредо «Керувати групами, а не особами», але управління групами неминуче призводить до вкладення груп та погано керованих дозволів. (Дізнайтеся про захист на основі ролей Softerra Adaxes тут.)
2. Перехід на RBAC з ACL
Перехід від орієнтованого на користувача списків управління доступом (ACL) стиль управління AD до більш корпоративного методу управління доступом на основі ролей (RBAC) здається, що це було б легким завданням. Не так з AD. Керувати ACL складно, але перехід на RBAC теж не прогулянка по парку. Проблема ACL полягає в тому, що в AD немає центрального місця для управління дозволами, що робить адміністрування складним та дорогим. RBAC намагається пом’якшити дозволи та збої доступу шляхом обробки дозволів на доступ не ролі, а окремо, але це все ще не вистачає через відсутність централізованого управління дозволами. Але настільки ж болісно, як перехід на RBAC, це набагато краще, ніж керування дозволами вручну за допомогою користувача ACL.
ACL відмовляються від масштабованості та гнучкої керованості, оскільки вони занадто широкі за обсягом. Ролі, навпаки, більш точні, оскільки адміністратори надають дозволи на основі ролей користувача. Наприклад, якщо новий користувач у інформаційному агентстві є редактором, вона має роль редактора, як визначено в AD. Адміністратор розміщує цього користувача в групі редакторів, яка надає їй усі дозволи та доступ, необхідний редакторам, не додаючи користувача до кількох інших груп, щоб отримати еквівалентний доступ.
RBAC визначає дозволи та обмеження на основі функції ролі чи роботи, а не привласнення користувача до кількох груп, які можуть мати більш широкі дозволи. Ролі RBAC дуже специфічні і не потребують вкладення або інших складних можливостей ACL для досягнення кращих результатів, більш безпечного середовища та більш легко керованої платформи безпеки.
3. Керування комп’ютерами
Управління новими комп’ютерами, керування комп'ютерами, які відключилися від домену, та намагання зробити що-небудь із комп’ютерними обліковими записами, змушує адміністраторів захотіти до найближчого бару Мартіні - на сніданок.
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
Причиною такого драматичного твердження є те, що є 11 слів, які ви ніколи не хочете читати на екрані як адміністратор Windows: "Довірчі відносини між цією робочою станцією та основним доменом не вдалися". Ці слова означають, що ви збираєтеся витратити кілька спроб і, можливо, кілька годин, підключивши цю дорогу робочу станцію до домену. Прикро, що стандартне виправлення Microsoft не працює. Стандартне виправлення складається з скидання об'єкта облікового запису комп'ютера в Active Directory, перезавантаження робочої станції та перетину пальців. Інші засоби правового спорядження часто настільки ж ефективні, як і стандартні, і змушують адміністраторів повторно зображувати відключену систему, щоб знову підключити її до домену.
4. Обробка блокування облікових записів користувачів
У них немає виправлень самообслуговування для блокування облікових записів, хоча декілька сторонніх постачальників програмного забезпечення вирішили цю проблему. Користувачам доводиться чекати певний проміжок часу перед повторною спробою або звернутися до адміністратора, щоб скинути заблокований обліковий запис. Скидання заблокованого облікового запису не є проблемою для адміністратора, хоча це може виявити засмучення для користувача.
Одним з недоліків AD є те, що блокування облікових записів може походити з інших джерел, ніж користувач, який вводить неправильний пароль, але AD не дає адміністратору жодних підказок щодо цього походження.
5. Підвищення дозволу та дозвіл повзучості
Пільгові користувачі можуть додатково підвищити свої привілеї, додавши себе до інших груп. Привілейовані користувачі - це ті, хто має деякі підвищені привілеї, але у них достатньо повноважень, щоб додати себе до додаткових груп, що надає їм додаткові привілеї в Active Directory. Цей недолік безпеки дозволяє внутрішньому зловмиснику поетапно додавати привілеї, поки не існує широкого контролю над доменом, включаючи можливість блокування інших адміністраторів. (Усуньте ручні процедури, що споживають ресурси в Active Directory Identity Management. Дізнайтеся, як тут.)
Повзання дозволів - це умова, яка виникає, коли адміністратори не зможуть видалити користувачів із певної групи привілеїв, коли змінюється робота користувача або коли користувач залишає компанію. Повзання дозволів може надати користувачам доступ до корпоративних активів, у яких користувач більше не потребує. Підвищення дозволу та дозвіл повзуть, і вони створюють серйозні проблеми з безпекою. Існують різні додатки сторонніх розробників, які можуть проводити аудити з метою виявлення та запобігання цих умов.
Від невеликих компаній до глобальних підприємств Active Directory обробляє автентифікацію користувачів, доступ до ресурсів та управління комп’ютером. Це одна з найбільш цінних частин мережевої інфраструктури в бізнесі сьогодні. Настільки потужний інструмент, як Active Directory, він має багато недоліків. На щастя, постачальники програмного забезпечення, що не належить Microsoft, розширили можливості Active Directory, вирішили його погано продуманий дизайн інтерфейсу управління, закріпили його функціональність та зафіксували деякі більш яскраві недоліки.
Цей вміст приносить вам наш партнер, Adaxes.
