Sisältö
- 1. Kauppa sisäkkäisten ryhmien kanssa
- 2. Vaihtaminen RBAC: iin ACL: istä
- 3. Tietokoneiden hallinta
- Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
- 4. Käyttäjätilien lukitusten käsittely
- 5. Lupakorkeus ja luopuminen
Lähde: Tmcphotos / Dreamstime.com
Ottaa mukaan:
Opi viisi AD-osa-aluetta, jotka saattavat vaatia kolmannen osapuolen ohjelmistotoimenpiteitä.
Aivan mahdollisesti jopa kriittisempi yrityksellesi kuin arvokkain sovelluksesi tai suojatuin immateriaalioikeutesi on Active Directory (AD) -ympäristösi. Active Directory on keskeinen verkko-, järjestelmä-, käyttäjä- ja sovellusturvallisuutesi kannalta. Se hallitsee kaikkien tietojenkäsittelyinfrastruktuurin objektien ja resurssien pääsynhallintaa, ja sen hallitsemiseksi tarvittavat huomattavat kustannukset sekä henkilö- että laitteistoresursseissa. Kolmannen osapuolen ohjelmistotoimittajien ansiosta voit myös lisätä Linux-, UNIX- ja Mac OS X -järjestelmiä AD: n hallittujen resurssien ohjelmistoon.AD: n hallinnasta yli muutamalle tusinalle käyttäjälle ja ryhmälle tulee erittäin tuskallista. Ja Microsoftsin perusliittymä ja organisaatio eivät ole apua lievittää kipua. Active Directory ei ole heikko työkalu, mutta eräät sen näkökohdat jättävät järjestelmänvalvojat etsimään kolmansien osapuolien työkaluja. Tässä kappaleessa tutkitaan AD: n tärkeimpiä hallinnollisia puutteita.
1. Kauppa sisäkkäisten ryhmien kanssa
Usko tai älä, sisäkkäisten AD-ryhmien luomiseen ja käyttöön liittyy todella parhaita käytäntöjä. Näitä parhaita käytäntöjä tulisi kuitenkin lieventää sisäänrakennetuilla AD-rajoituksilla, jotta järjestelmänvalvojat eivät saa laajentaa sisäkkäisiä ryhmiä useampaan kuin yhteen tasoon. Lisäksi rajoitus estää useampi kuin yksi sisäkkäinen ryhmä olemassa olevaa ryhmää kohti estää tulevien taloudenhoito- ja hallintoongelmien syntymisen.
Useiden ryhmätasojen pesiminen ja useiden ryhmien salliminen ryhmissä luo monimutkaisia perintöongelmia, ohittaa turvallisuuden ja pilaa organisatoriset toimenpiteet, joita ryhmänhallinta on suunniteltu estämään. Määräaikaiset AD-auditoinnit antavat järjestelmänvalvojille ja arkkitehdille mahdollisuuden arvioida AD-organisaation uudelleen ja korjata sisäkkäisen ryhmän leviämisen.
Järjestelmänvalvojilla on ollut ”Hallitse ryhmiä, ei yksilöitä” -henkilö aivoihinsa vuosien ajan, mutta ryhmänhallinta johtaa väistämättä sisäkkäisiin ryhmiin ja huonosti hallittuihin oikeuksiin. (Lisätietoja Softerra Adaxes -roolipohjaisesta tietoturvasta täällä.)
2. Vaihtaminen RBAC: iin ACL: istä
Vaihtaminen käyttäjäkeskeisistä käyttöoikeusluetteloista (ACL) AD-hallintatyylistä roolipohjaisen pääsynhallinnan (RBAC) yritysläheisemmälle menetelmälle näyttää siltä, että se olisi helppo tehtävä. Ei niin AD: n kanssa. ACL: ien hallinta on vaikeaa, mutta RBAC: lle siirtyminen ei myöskään ole kävely puistossa. ACL: ien ongelmana on, että AD: llä ei ole keskitettyä sijaintia oikeuksien hallitsemiseksi, mikä tekee hallinnosta haastavan ja kallista. RBAC yrittää lieventää käyttöoikeuksia ja käyttövirheitä käsittelemällä käyttöoikeuksia roolien eikä yksittäisten henkilöiden toimesta, mutta se on silti puutteellinen keskitetyn käyttöoikeuksien hallinnan puutteen vuoksi. Mutta niin tuskallinen kuin siirtyminen RBAC: ään on, se on paljon parempaa kuin käyttöoikeuksien manuaalinen hallinta käyttäjäkohtaisesti ACL: ien avulla.
ACL: t epäonnistuvat skaalautuvuudesta ja ketterästä hallittavuudesta, koska ne ovat liian laajoja. Roolit ovat vaihtoehtoisesti tarkempia, koska järjestelmänvalvojat myöntävät käyttöoikeuksia käyttäjäroolien perusteella. Esimerkiksi, jos uutistoimiston uusi käyttäjä on toimittaja, hänellä on toimittajan rooli AD: ssä määritellyn mukaisesti. Järjestelmänvalvoja sijoittaa kyseisen käyttäjän Editors-ryhmään, joka myöntää hänelle kaikki toimittajan vaatimat luvat ja käyttöoikeudet lisäämättä käyttäjää useisiin muihin ryhmiin saadakseen vastaavan pääsyn.
RBAC määrittelee käyttöoikeudet ja rajoitukset roolin tai tehtävätoiminnon perusteella sen sijaan, että määrittäisi käyttäjän useisiin ryhmiin, joilla voi olla laajemmat oikeudet. RBAC-roolit ovat hyvin spesifisiä eivätkä vaadi pesittämistä tai muita ACL-komplekseja parempien tulosten, turvallisemman ympäristön ja helpommin hallittavan suojausalustan saavuttamiseksi.
3. Tietokoneiden hallinta
Uusien tietokoneiden hallinta, verkkotunnuksesta irrotettujen tietokoneiden hallinta ja yrittäminen tehdä mitään tietokonetileillä saa järjestelmänvalvojat haluamaan suuntaa lähimpään Martini-baariin - aamiaista varten.
Ei vikoja, ei stressiä - vaiheittaiset ohjeet elämää muuttavien ohjelmistojen luomiseen tuhoamatta elämääsi
Et voi parantaa ohjelmointitaitojasi, kun kukaan ei välitä ohjelmiston laadusta.
Syynä tällaiseen dramaattiseen väitteeseen on, että on 11 sanaa, joita et koskaan halua lukea näytöltä Windows-järjestelmänvalvojana: “Tämän työaseman ja ensisijaisen verkkotunnuksen välinen luottamussuhde epäonnistui.” Nämä sanat tarkoittavat, että olet valmis viettää useita yrityksiä ja mahdollisesti useita tunteja yhdistämällä tämä itsepäinen työasema verkkotunnukseen. On valitettavaa, että tavallinen Microsoft-korjaus ei toimi. Vakiokorjaus koostuu tietokoneen tiliobjektin nollaamisesta Active Directoryssa, työaseman uudelleenkäynnistämisestä ja sormen ylittämisestä. Muut uudelleen kiinnittämiskeinot ovat usein yhtä tehokkaita kuin tavalliset, aiheuttaen järjestelmänvalvojille kuvan uudelleen irrotetun järjestelmän uudelleen kytkeäkseen sen verkkotunnukseen.
4. Käyttäjätilien lukitusten käsittely
Tilien sulkemisille ei ole itsepalvelun korjausta, vaikka useat ulkopuoliset ohjelmistotoimittajat ovatkin ratkaisseet ongelman. Joko käyttäjän on odotettava tietyn ajanjakson ennen uudelleenyritystä tai otettava yhteyttä järjestelmänvalvojaan lukitun tilin nollaamiseksi. Lukitun tilin palauttaminen ei ole järjestelmänvalvojalle stressiä, vaikka se voi osoittautua turhauttavaksi käyttäjälle.
Yksi AD: n puutteista on, että tilien sulkemiset voivat olla peräisin muista lähteistä kuin väärän salasanan syöttäneestä käyttäjästä, mutta AD ei anna järjestelmänvalvojalle vinkkejä kyseiseen alkuperään.
5. Lupakorkeus ja luopuminen
Etuoikeutetuilla käyttäjillä on mahdollisuus nostaa etuoikeuksiaan lisäämällä itsensä muihin ryhmiin. Etuoikeutettuja käyttäjiä ovat ne, joilla on joitain korotettuja oikeuksia, mutta joilla on juuri tarpeeksi valtuuksia lisätä itsensä lisäryhmiin, mikä antaa heille lisäoikeuksia Active Directory -sovelluksessa. Tämän tietoturvavirheen ansiosta sisäinen hyökkääjä voi lisätä käyttöoikeuksia vaiheittain, kunnes verkkotunnusta on valvottu laajasti, mukaan lukien kyky lukita muita järjestelmänvalvojia. (Poista resursseja kuluttavat manuaaliset toimenpiteet Active Directory -identiteetinhallinnassa. Opi täältä.)
Lupahudotus on tila, joka syntyy, kun järjestelmänvalvojat eivät poista käyttäjiä tietystä käyttöoikeusryhmästä, kun käyttäjän työpaikka muuttuu tai kun käyttäjä poistuu yrityksestä. Lupahudotus voi antaa käyttäjille pääsyn yrityksen omaisuuteen, jota käyttäjällä ei enää tarvitse. Luvan korotus ja luvan hiipiminen aiheuttavat vakavia turvallisuusongelmia. On olemassa useita kolmansien osapuolien sovelluksia, jotka voivat suorittaa auditointeja näiden olosuhteiden havaitsemiseksi ja estämiseksi.
Pienistä yrityksistä globaaleihin yrityksiin Active Directory käsittelee käyttäjän todennusta, resurssien käyttöä ja tietokoneen hallintaa. Se on yksi liiketoiminnan arvokkaimmista palasista liiketoiminnassa. Niin tehokas työkalu kuin Active Directory on, sillä on monia puutteita. Onneksi muut kuin Microsoftin ohjelmistotoimittajat ovat laajentaneet Active Directoryn ominaisuuksia, ratkaisseet sen huonosti suunnitellun hallintarajapinnan suunnittelun, vakiinnuttaneet toiminnallisuutensa ja hieronnut joitain sen silmiinpistävimmistä puutteista.
Kumppanimme Adaxes on tuonut tämän sisällön sinulle.
