I primi cinque punti critici della gestione di Active Directory

Contenuto

• 1. Trattare con gruppi nidificati
• 2. Passaggio a RBAC da ACL
• 3. Gestione dei computer
• Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita
• 4. Gestione dei blocchi degli account utente
• 5. Elevazione delle autorizzazioni e scorrimento delle autorizzazioni

Fonte: Tmcphotos / Dreamstime.com

Porta via:

Scopri cinque aree chiave di AD che potrebbero richiedere l'intervento di software di terze parti.

Probabilmente anche più critico per la tua azienda rispetto all'applicazione più apprezzata o alla proprietà intellettuale più protetta è l'ambiente Active Directory (AD). Active Directory è fondamentale per la sicurezza della rete, del sistema, dell'utente e dell'applicazione. Regola il controllo degli accessi per tutti gli oggetti e le risorse all'interno della tua infrastruttura informatica ea costi considerevoli sia nelle risorse umane che hardware necessarie per gestirlo. E grazie a fornitori di software di terze parti, puoi anche aggiungere sistemi Linux, UNIX e Mac OS X al repertorio di risorse gestite di AD.

Gestire l'AD per più di poche decine di utenti e gruppi diventa molto doloroso. E l'interfaccia e l'organizzazione di base di Microsoft non sono d'aiuto per alleviare quel dolore. Active Directory non è uno strumento debole, ma ci sono aspetti che lasciano gli amministratori alla ricerca di strumenti di terze parti. Questo pezzo esplora le principali carenze amministrative degli AD.

1. Trattare con gruppi nidificati

Che ci crediate o no, in realtà ci sono le migliori pratiche associate alla creazione e all'utilizzo di gruppi di annunci nidificati. Tuttavia, tali best practice dovrebbero essere temperate da restrizioni AD integrate, in modo che gli amministratori non possano estendere i gruppi nidificati a più di un singolo livello. Inoltre, una limitazione per prevenire più di un gruppo nidificato per gruppo esistente impedirebbe l'insorgere di futuri problemi di pulizia e amministrativi.

Nidificare più livelli di gruppo e consentire più gruppi all'interno di gruppi crea complessi problemi di ereditarietà, elude la sicurezza e rovina le misure organizzative che la gestione dei gruppi è stata progettata per prevenire. Gli audit periodici di AD permetteranno agli amministratori e agli architetti di rivalutare l'organizzazione di AD e correggere l'espansione dei gruppi nidificati.

Gli amministratori di sistema hanno avuto il credo "Gestire i gruppi, non le persone" per anni nel loro cervello, ma la gestione dei gruppi porta inevitabilmente a gruppi nidificati e autorizzazioni mal gestite. (Ulteriori informazioni su Softerra Adaxes sicurezza basata sui ruoli qui.)

2. Passaggio a RBAC da ACL

Passare da uno stile di gestione degli elenchi di controllo degli accessi (ACL) incentrato sull'utente al metodo più aziendale di controllo degli accessi basato sui ruoli (RBAC) sembra che sarebbe un compito facile. Non così con l'AD. Gestire gli ACL è difficile, ma passare al RBAC non è nemmeno una passeggiata nel parco. Il problema con gli ACL è che non esiste una posizione centrale in AD per gestire le autorizzazioni, il che rende l'amministrazione impegnativa e costosa. RBAC tenta di mitigare le autorizzazioni e gli errori di accesso gestendo le autorizzazioni di accesso per ruolo anziché per singolo individuo, ma è ancora insufficiente a causa della mancanza di una gestione centralizzata delle autorizzazioni. Ma, per quanto doloroso sia il passaggio a RBAC, è molto meglio che gestire manualmente le autorizzazioni per utente con ACL.

Gli ACL non riescono a scalabilità e gestibilità agile perché hanno una portata troppo ampia. I ruoli, in alternativa, sono più precisi perché gli amministratori concedono le autorizzazioni in base ai ruoli degli utenti. Ad esempio, se un nuovo utente di un'agenzia di stampa è un editor, ha il ruolo di Editor come definito in AD. Un amministratore inserisce l'utente nel gruppo di editor che le concede tutte le autorizzazioni e l'accesso richiesti dagli editor senza aggiungere l'utente a più altri gruppi per ottenere un accesso equivalente.

RBAC definisce autorizzazioni e restrizioni in base al ruolo o alla funzione del lavoro anziché assegnare un utente a più gruppi che potrebbero disporre di autorizzazioni più ampie. I ruoli RBAC sono molto specifici e non richiedono nidificazione o altre complessità ACL per ottenere risultati migliori, un ambiente più sicuro e una piattaforma di sicurezza più facile da gestire.

3. Gestione dei computer

Gestire nuovi computer, gestire i computer che si sono disconnessi dal dominio e provare a fare qualsiasi cosa con gli account dei computer fa sì che gli amministratori vogliano andare al bar Martini più vicino - per colazione.

Nessun bug, nessuno stress: la tua guida passo passo alla creazione di software che ti cambia la vita senza distruggere la tua vita

Non puoi migliorare le tue capacità di programmazione quando a nessuno importa della qualità del software.

Il motivo dietro un'affermazione così drammatica è che ci sono 11 parole che non vorresti mai leggere su uno schermo come amministratore di Windows: "La relazione di fiducia tra questa workstation e il dominio primario non è riuscita." Queste parole indicano che stai per spendere più tentativi e possibilmente più ore ricollegando questa workstation ribelle al dominio. È un peccato che la correzione standard di Microsoft non funzioni. La correzione standard consiste nel ripristinare l'oggetto account del computer in Active Directory, riavviare la workstation e incrociare le dita. Altri rimedi di riattacco sono spesso altrettanto efficaci di quelli standard, facendo sì che gli amministratori reinventino il sistema disconnesso per riconnetterlo al dominio.

4. Gestione dei blocchi degli account utente

Non esiste una correzione self-service per i blocchi degli account, sebbene diversi fornitori di software di terze parti abbiano risolto il problema. Gli utenti devono attendere un periodo di tempo prima di riprovare o contattare un amministratore per ripristinare l'account bloccato. La reimpostazione di un account bloccato non è un punto di stress per un amministratore, sebbene possa rivelarsi frustrante per un utente.

Una delle carenze di AD è che i blocchi degli account possono provenire da fonti diverse da un utente che immette una password errata, ma AD non fornisce all'amministratore alcun suggerimento su tale origine.

5. Elevazione delle autorizzazioni e scorrimento delle autorizzazioni

Esiste il potenziale per gli utenti privilegiati di elevare ulteriormente i loro privilegi aggiungendosi ad altri gruppi. Gli utenti con privilegi sono quelli che dispongono di alcuni privilegi elevati, ma che dispongono dell'autorizzazione sufficiente per aggiungersi ad altri gruppi, il che garantisce loro ulteriori privilegi in Active Directory. Questo difetto di sicurezza consente a un utente malintenzionato interno di aggiungere privilegi in modo graduale fino a quando non esiste un controllo approfondito su un dominio, inclusa la possibilità di bloccare altri amministratori. (Elimina le procedure manuali che consumano risorse in Active Directory Identity Management. Scopri come qui.)

Il creep di autorizzazione è una condizione che si verifica quando gli amministratori non riescono a rimuovere gli utenti da un particolare gruppo di privilegi quando il lavoro di un utente cambia o quando un utente lascia l'azienda. Il creep di autorizzazione può consentire agli utenti l'accesso a risorse aziendali per le quali l'utente non ha più bisogno. L'elevazione delle autorizzazioni e la riduzione delle autorizzazioni creano entrambi seri problemi di sicurezza. Esistono varie applicazioni di terze parti che possono eseguire audit per rilevare e prevenire queste condizioni.

Dalle piccole aziende alle aziende globali, Active Directory gestisce l'autenticazione degli utenti, l'accesso alle risorse e la gestione dei computer. Oggi è una delle infrastrutture di rete più apprezzate negli affari. Uno strumento tanto potente quanto Active Directory, ha molte carenze. Fortunatamente, i fornitori di software non Microsoft hanno esteso le funzionalità di Active Directory, risolto il design dell'interfaccia di gestione mal concepito, consolidato la sua funzionalità e massaggiato alcune delle sue evidenti inadeguatezze.

Questo contenuto è offerto dal nostro partner Adaxes.