Pieci aktīvās direktorijas pārvaldības sāpju punkti

Autors: Louise Ward
Radīšanas Datums: 5 Februāris 2021
Atjaunināšanas Datums: 1 Jūlijs 2024
Anonim
Active Directory Best Practices That Frustrate Pentesters
Video: Active Directory Best Practices That Frustrate Pentesters

Saturs


Avots: Tmcphotos / Dreamstime.com

Izņemšana:

Uzziniet piecas galvenās AD jomas, kurām var būt nepieciešama trešo personu programmatūras iejaukšanās.

Iespējams, ka jūsu uzņēmumam pat kritiskāka par jūsu visvērtīgāko lietojumprogrammu vai visaizsargātāko intelektuālo īpašumu ir jūsu Active Directory (AD) vide. Active Directory ir galvenā jūsu tīkla, sistēmu, lietotāju un lietojumprogrammu drošībai. Tas regulē piekļuves kontroli visiem objektiem un resursiem jūsu skaitļošanas infrastruktūrā un par ievērojamām izmaksām gan cilvēkresursiem, gan aparatūras resursiem, kas nepieciešami tās pārvaldīšanai. Pateicoties trešo pušu programmatūras pārdevējiem, jūs varat arī pievienot Linux, UNIX un Mac OS X sistēmas AD pārvaldīto resursu repertuāram.

Pārvaldīt AD vairāk nekā dažiem desmitiem lietotāju un grupu ir ļoti sāpīgi. Un Microsofts pamata saskarne un organizācija nepalīdz mazināt šīs sāpes. Active Directory nav vājš rīks, taču ir daži tā aspekti, kas administratoriem ļauj meklēt trešo personu rīkus. Šajā darbā tiek apskatīti AD galvenie administratīvie trūkumi.


1. Darbs ar ligzdotajām grupām

Ticiet vai nē, patiesībā ir labākā prakse, kas saistīta ar ligzdotu AD grupu izveidi un izmantošanu. Tomēr šo labāko praksi vajadzētu mazināt ar iebūvētiem AD ierobežojumiem, lai administratoriem nebūtu atļauts paplašināt ligzdotās grupas vairāk nekā vienā līmenī. Turklāt ierobežojums novērst vairāk nekā vienu ligzdotu grupu no katras esošās grupas novērstu turpmāku mājturības un administratīvo problēmu rašanos.

Vairāku grupu līmeņu ligzdošana un vairāku grupu atļaušana grupās rada sarežģītas mantošanas problēmas, apiet drošību un sagrauj organizatoriskos pasākumus, kuru novēršanai tika paredzēta grupas vadība. Periodiskas AD revīzijas ļaus administratoriem un arhitektiem pārvērtēt AD organizāciju un labot ligzdotu grupu izplešanos.

Sistēmas administratoriem gadiem ilgi ir bijis kredo “Pārvaldīt grupas, nevis indivīdus”, taču grupas pārvaldīšana neizbēgami noved pie ligzdotām grupām un slikti pārvaldītām atļaujām. (Uzziniet par Softerra Adaxes lomu balstītu drošību šeit.)


2. Pārslēgšanās uz RBAC no ACL

Šķiet, ka pāreja no uz lietotāju orientēta piekļuves kontroles saraksta (ACL) AD pārvaldības stila uz uz uzņēmējdarbību vairāk balstītu piekļuves kontroles (RBAC) metodi, šķiet, ka tas būtu viegls uzdevums. Ne tik ar AD. Pārvaldīt ACL ir grūti, taču pāriet uz RBAC arī nav pastaiga parkā. ACL problēma ir tāda, ka AD nav centrālās vietas, lai pārvaldītu atļaujas, tāpēc administrēšana ir sarežģīta un dārga. RBAC mēģina mazināt atļaujas un piekļuves kļūdas, apstrādājot piekļuves atļaujas nevis pēc individuāla, bet gan pēc lomas, bet tas joprojām ir nepietiekams centralizētas atļauju pārvaldības trūkuma dēļ. Bet tas ir tikpat sāpīgi kā pāriešana uz RBAC, tas ir daudz labāk, nekā manuāli pārvaldīt atļaujas katram lietotājam, izmantojot ACL.

ACL neizdodas mērogojamība un veikla vadāmība, jo to darbības joma ir pārāk plaša. Lomas, alternatīvi, ir precīzākas, jo administratori piešķir atļaujas, pamatojoties uz lietotāja lomām. Piemēram, ja jauns lietotājs ziņu aģentūrā ir redaktors, tad viņai ir redaktora loma, kā noteikts AD. Administrators ievieto šo lietotāju redaktoru grupā, kas viņai piešķir visas atļaujas un piekļuvi, kas nepieciešama redaktoriem, nepievienojot lietotāju vairākām citām grupām, lai iegūtu līdzvērtīgu piekļuvi.

RBAC definē atļaujas un ierobežojumus, pamatojoties uz lomu vai darba funkciju, nevis piešķirot lietotāju vairākām grupām, kurām varētu būt plašākas atļaujas. RBAC lomas ir ļoti specifiskas un neprasa ligzdošanu vai citas ACL sarežģītības, lai sasniegtu labākus rezultātus, drošāku vidi un vieglāk pārvaldāmu drošības platformu.

3. Datoru pārvaldīšana

Pārvaldot jaunus datorus, pārvaldot datorus, kuri ir atvienoti no domēna, un mēģinot kaut ko darīt ar datoru kontiem, administratori liek doties uz tuvāko Martini bāru - brokastīs.

Bez kļūdām, bez stresa - jūsu soli pa solim, kā izveidot programmatūru, kas maina dzīvi, neiznīcinot savu dzīvi

Jūs nevarat uzlabot savas programmēšanas prasmes, kad nevienam nerūp programmatūras kvalitāte.

Iemesls šādam dramatiskam apgalvojumam ir tas, ka ir 11 vārdi, kurus nekad kā Windows administrators nekad nevēlaties lasīt ekrānā: “Uzticības attiecības starp šo darbstaciju un galveno domēnu neizdevās.” Šie vārdi nozīmē, ka jūs gatavojaties pavadīt vairākus mēģinājumus un, iespējams, vairākas stundas, no jauna savienojot šo savdabīgo darbstaciju ar domēnu. Žēl, ka standarta Microsoft labojums nedarbojas. Standarta labojums sastāv no datora konta objekta atiestatīšanas Active Directory, darbstacijas atkārtotas palaišanas un viena pirksta šķērsošanas. Citi atjaunošanas novēršanas līdzekļi bieži ir tikpat efektīvi kā standarta, liekot administratoriem atkārtoti attēlot atvienoto sistēmu, lai to atkal savienotu ar domēnu.

4. Darbības ar lietotāja konta bloķēšanu

Kontu bloķēšanai nav noteikts pašapkalpošanās pakalpojums, lai gan problēmu ir atrisinājuši vairāki trešo pušu programmatūras pārdevēji. Lietotājiem pirms atkārtota mēģinājuma jāgaida noteikts laika posms vai jāsazinās ar administratoru, lai atiestatītu bloķēto kontu. Bloķēta konta atiestatīšana nav administratora satraukums, kaut arī lietotājam tas var izrādīties satraucošs.

Viens no AD trūkumiem ir tāds, ka konta lokauts var būt cēlies no citiem avotiem, nevis no tā, ka lietotājs ir ievadījis nepareizu paroli, taču AD nedod administratoram nekādu padomu par šo izcelsmi.

5. Atļaujas paaugstinājums un atļaujas šļūde

Priviliģētiem lietotājiem ir iespējas vēl vairāk paaugstināt savas privilēģijas, pievienojot sevi citām grupām. Priviliģētie lietotāji ir tie, kuriem ir dažas paaugstinātas privilēģijas, bet kuriem ir tieši tik daudz pilnvaru, lai pievienotu sevi papildu grupām, kas viņiem piešķir papildu privilēģijas Active Directory. Šī drošības kļūda ļauj iekšējam uzbrucējam pakāpeniski pievienot privilēģijas, līdz pastāv plaša domēna kontrole, ieskaitot iespēju bloķēt citus administratorus. (Likvidējiet resursus patērējošās manuālās procedūras Active Directory identitātes pārvaldībā. Uzziniet, kā šeit.)

Atļaujas šļūde ir stāvoklis, kas rodas, ja administratori neizņem lietotājus no noteiktas privilēģiju grupas, kad mainās lietotāja darbs vai kad lietotājs atstāj uzņēmumu. Atļaujas šļūde var ļaut lietotājiem piekļūt korporatīvajiem aktīviem, kuri lietotājam vairs nav nepieciešami. Gan atļauju paaugstināšana, gan atļauju šļūde rada nopietnas drošības problēmas. Pastāv dažādas trešo personu lietojumprogrammas, kas var veikt auditus, lai šos apstākļus atklātu un novērstu.

Sākot ar maziem uzņēmumiem līdz globāliem uzņēmumiem, Active Directory apstrādā lietotāju autentifikāciju, piekļuvi resursiem un datora pārvaldību. Tas šodien ir viens no visvērtīgākajiem tīkla infrastruktūras elementiem uzņēmējdarbībā. Tikpat spēcīgs rīks kā Active Directory, tam ir daudz trūkumu. Par laimi programmatūras pārdevēji, kas nav Microsoft, ir paplašinājuši Active Directory funkcijas, atrisinājuši vāji iecerēto pārvaldības saskarnes dizainu, konsolidējuši tās funkcionalitāti un masējuši dažas no tās acīmredzamākajām nepilnībām.

Šo saturu jums piedāvā mūsu partneris Adaxes.