Obsah
- 1. Jednání s vnořenými skupinami
- 2. Přepnutí na RBAC z ACL
- 3. Správa počítačů
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- 4. Zpracování blokování uživatelských účtů
- 5. Zvýšení povolení a zvýšení povolení
Zdroj: Tmcphotos / Dreamstime.com
Odnést:
Naučte se pět klíčových oblastí AD, které mohou vyžadovat softwarový zásah třetích stran.
Vaše podnikání může být dokonce ještě kritičtější než vaše nejcennější aplikace nebo vaše nejvíce chráněné duševní vlastnictví je vaše prostředí Active Directory (AD). Služba Active Directory je ústředním bodem zabezpečení vaší sítě, systému, uživatelů a aplikací. Řídí řízení přístupu ke všem objektům a zdrojům ve vaší počítačové infrastruktuře a se značnými náklady na lidské i hardwarové zdroje potřebné k jeho správě. A díky prodejcům softwaru třetích stran můžete do repertoáru spravovaných zdrojů AD také přidat systémy Linux, UNIX a Mac OS X.Správa reklam pro více než několik desítek uživatelů a skupin je velmi bolestivá. A základní rozhraní a organizace Microsofts nepomáhá zmírnit bolest. Služba Active Directory není slabým nástrojem, ale existují určité aspekty, které ponechávají správcům vyhledávání nástrojů třetích stran. Tento kus zkoumá ADS hlavní administrativní nedostatky.
1. Jednání s vnořenými skupinami
Věřte tomu nebo ne, ve skutečnosti jsou s vytvářením a používáním vnořených reklamních skupin spojeny osvědčené postupy. Tyto osvědčené postupy by však měly být zmírněny zabudovanými omezeními AD, aby správci nemohli rozšířit vnořené skupiny na více než jednu úroveň. Kromě toho by omezení, které by zabránilo více než jedné vnořené skupině na existující skupinu, zabránilo budoucímu úklidu a administrativním problémům.
Vnořování více skupin skupin a umožnění více skupin ve skupinách vytváří složité problémy s dědičností, obchází zabezpečení a ruší organizační opatření, kterým bylo zabráněno vedení skupiny. Pravidelné audity AD umožní správcům a architektům přehodnotit organizaci AD a opravit rozložení vnořených skupin.
Správci systému nechali roky vlézt do mozku krédo „Spravovat skupiny, nikoli jednotlivce“, ale správa skupin nevyhnutelně vede k vnořeným skupinám a špatně spravovaným oprávněním. (Další informace o zabezpečení založené na roli Softerra Adaxes zde.)
2. Přepnutí na RBAC z ACL
Přechod od uživatelských přístupových seznamů řízení přístupu (ACL) ke stylu správy AD na podnikovou metodu řízení přístupu založenou na rolích (RBAC) se zdá, jako by to byl snadný úkol. Ne tak s AD. Správa seznamů ACL je obtížná, ale přechod na RBAC není ani procházkou v parku. Problém s ACL je v tom, že v AD neexistuje centrální umístění pro správu oprávnění, což činí správu náročnou a nákladnou. RBAC se pokouší zmírnit oprávnění a selhání přístupu zpracováním přístupových oprávnění spíše podle rolí než podle jednotlivců, ale stále chybí kvůli nedostatku centralizované správy oprávnění. Ale stejně bolestivé, jako je přechod na RBAC, je mnohem lepší než ruční správa oprávnění na základě jednotlivých uživatelů pomocí ACL.
ACL selhávají v škálovatelnosti a agilní správě, protože jsou příliš široké. Role jsou alternativně přesnější, protože správci udělují oprávnění na základě uživatelských rolí. Pokud je například nový uživatel ve zpravodajské agentuře editor, má roli editora definovanou v AD. Správce umístí daného uživatele do skupiny Editors, která jí uděluje všechna oprávnění a přístup, který Editors vyžadují, aniž by přidala uživatele do více jiných skupin, aby získal rovnocenný přístup.
RBAC definuje oprávnění a omezení na základě role nebo funkce úlohy namísto přiřazení uživatele k více skupinám, které by mohly mít širší oprávnění. Role RBAC jsou velmi specifické a nevyžadují vnoření ani jiné složitosti ACL k dosažení lepších výsledků, bezpečnějšího prostředí a snadněji spravované bezpečnostní platformy.
3. Správa počítačů
Správa nových počítačů, správa počítačů, které se odpojily od domény, a pokusit se dělat cokoli s účty počítačů způsobuje, že se správci chtějí vydat k nejbližší Martini baru - k snídani.
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Důvodem tak dramatického tvrzení je, že existuje 11 slov, která si nikdy nechcete přečíst na obrazovce jako správce Windows: „Vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou selhal.“ Tato slova znamenají, že se chystáte strávit více pokusů a možná i několik hodin opětovným připojením této nepředvídané pracovní stanice k doméně. Je nešťastné, že standardní oprava společnosti Microsoft nefunguje. Standardní oprava spočívá v resetování objektu účtu počítače ve službě Active Directory, restartu pracovní stanice a křížení prstů. Další nápravná opatření týkající se opětovného připojení jsou často stejně účinná jako standardní opatření, což administrátorům způsobuje reimage odpojeného systému, aby jej mohl znovu připojit k doméně.
4. Zpracování blokování uživatelských účtů
Neexistuje žádná samoobslužná oprava blokování účtů, přestože problém vyřešilo několik dodavatelů softwaru třetích stran. Před opakováním pokusu musí uživatelé buď nějakou dobu počkat, nebo kontaktovat administrátora, aby resetovali zamčený účet. Obnovení uzamčeného účtu není pro administrátora stresem, i když může být pro uživatele frustrující.
Jednou z nedostatků služby AD je to, že uzamčení účtu může pocházet z jiných zdrojů, než je uživatel zadávající nesprávné heslo, ale společnost AD neposkytuje správci žádné náznaky ohledně tohoto původu.
5. Zvýšení povolení a zvýšení povolení
Je možné, že privilegovaní uživatelé budou dále zvyšovat svá oprávnění přidáním sebe do jiných skupin. Privilegovaní uživatelé jsou ti, kteří mají některá zvýšená oprávnění, ale mají dostatečné oprávnění k tomu, aby se přidali do dalších skupin, což jim poskytuje další oprávnění ve službě Active Directory. Tato chyba zabezpečení umožňuje internímu útočníkovi přidávat oprávnění postupně, dokud neexistuje rozsáhlá kontrola nad doménou, včetně možnosti uzamčení dalších správců. (Odstraňte manuální postupy náročné na zdroje v rámci správy identit služby Active Directory. Další informace naleznete zde.)
Plíživé povolení je stav, ke kterému dochází, když administrátoři nedokážou odebrat uživatele z konkrétní skupiny oprávnění, když se změní jeho pracovní pozice nebo když uživatel opustí společnost. Plíživé povolení může uživatelům umožnit přístup k podnikovým prostředkům, které uživatel již nepotřebuje. Zvýšení oprávnění a dotvarování povolení způsobují vážné bezpečnostní obavy. Existují různé aplikace třetích stran, které mohou provádět audity za účelem zjištění a zabránění těmto podmínkám.
Od malých společností po globální podniky Active Directory zpracovává ověřování uživatelů, přístup k prostředkům a správu počítače. Je to jedna z nejcennějších částí síťové infrastruktury v podnikání dnes. Jak silný nástroj jako Active Directory je, má mnoho nedostatků. Naštěstí prodejci softwaru, kteří nepocházejí od společnosti Microsoft, rozšířili funkce služby Active Directory, vyřešili její špatně koncipovaný design rozhraní pro správu, konsolidovali svou funkčnost a masírovali některé ze svých do očí bijících nedostatků.
Tento obsah vám přináší náš partner, Adaxes.
