Obsah
- 1. Rokovania s vnorenými skupinami
- 2. Prepnutie na RBAC z ACL
- 3. Správa počítačov
- Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
- 4. Zaobchádzanie s blokovaním používateľských účtov
- 5. Zvýšenie a zvýšenie rýchlosti povolenia
Zdroj: Tmcphotos / Dreamstime.com
Zobrať:
Naučte sa päť kľúčových oblastí AD, ktoré môžu vyžadovať softvérový zásah tretích strán.
Vaše podnikanie môže byť ešte kritickejšie ako vaša najhodnotnejšia aplikácia alebo vaše najchránenejšie duševné vlastníctvo v prostredí služby Active Directory (AD). Active Directory je ústredným prvkom zabezpečenia vašej siete, systému, používateľov a aplikácií. Riadi riadenie prístupu pre všetky objekty a zdroje v rámci vašej výpočtovej infraštruktúry a so značnými nákladmi na ľudské aj hardvérové zdroje potrebné na jeho správu. A vďaka predajcom softvéru tretích strán môžete do repertoáru spravovaných prostriedkov spoločnosti AD pridať systémy Linux, UNIX a Mac OS X.Správa reklám pre viac ako niekoľko desiatok používateľov a skupín sa stáva veľmi bolestivou. A základné rozhranie a organizácia spoločnosti Microsofts nepomáha zmierniť túto bolesť. Služba Active Directory nie je slabým nástrojom, ale existujú určité aspekty, ktoré ponechávajú správcom vyhľadávanie nástrojov tretích strán. Táto časť skúma AD najčastejšie administratívne nedostatky.
1. Rokovania s vnorenými skupinami
Verte tomu alebo nie, s vytváraním a používaním vnorených skupín AD sú skutočne spojené osvedčené postupy. Tieto osvedčené postupy by sa však mali zmierňovať so zabudovanými obmedzeniami AD, aby správcovia nemali povolené rozširovať vnorené skupiny na viac ako jednu úroveň. Obmedzenie, ktoré zabráni viac ako jednej vnorenej skupine na existujúcu skupinu, by navyše zabránilo vzniku budúcich problémov v domácnosti a administratívnych problémov.
Vnorenie viacerých úrovní skupín a umožnenie viacerých skupín v rámci skupín vytvára zložité dedičské problémy, obchádza bezpečnosť a ruší organizačné opatrenia, ktorým bolo vedenie skupiny určené, aby sa zabránilo. Pravidelné audity AD umožnia administrátorom a architektom prehodnotiť organizáciu AD a opraviť rozmiestnenie vnorených skupín.
Systémoví administrátori už roky vkladajú do mozgu krédo „Spravovať skupiny, nie jednotlivcov“, ale správa skupín nevyhnutne vedie k vnoreným skupinám a zle spravovaným povoleniam. (Viac informácií o zabezpečení na základe rolí Softerra Adaxes.)
2. Prepnutie na RBAC z ACL
Prechod od užívateľských prístupových zoznamov riadenia prístupu (ACL) k štýlu riadenia AD na podnikovejšiu metódu riadenia prístupu na základe rolí (RBAC) sa javí ako ľahká úloha. S AD to tak nie je. Spravovanie zoznamov prístupových práv je náročné, ale prechod na RBAC nie je ani prechádzka v parku. Problém s ACL je v tom, že v AD neexistuje centrálne umiestnenie na správu povolení, čo spôsobuje, že správa je náročná a nákladná. RBAC sa pokúša zmierniť povolenia a zlyhania prístupu skôr spracovaním prístupových povolení podľa rolí ako podľa jednotlivcov, stále však zaostáva kvôli nedostatku centralizovanej správy povolení. Ale ako bolestivé je prechod na RBAC, je to oveľa lepšie ako manuálne spravovať povolenia na základe jednotlivých používateľov pomocou zoznamov prístupových práv.
Zoznamy ACL zlyhávajú v škálovateľnosti a agilnej správe, pretože majú príliš široký rozsah. Roly sú alternatívne presnejšie, pretože správcovia udeľujú povolenia na základe rolí používateľov. Napríklad, ak je nový používateľ v tlačovej agentúre editor, má úlohu editora definovanú v AD. Správca umiestni daného používateľa do skupiny editorov, ktorá jej udeľuje všetky povolenia a prístup, ktorý redaktori potrebujú, bez toho, aby ho pridali do viacerých ďalších skupín, aby získal rovnocenný prístup.
RBAC definuje oprávnenia a obmedzenia skôr na základe roly alebo funkcie úlohy, než priraďuje používateľa viacerým skupinám, ktoré by mohli mať širšie oprávnenia. Roly RBAC sú veľmi špecifické a nevyžadujú hniezdenie alebo iné zložitosti ACL, aby sa dosiahli lepšie výsledky, bezpečnejšie prostredie a ľahšie spravovaná bezpečnostná platforma.
3. Správa počítačov
Spravovanie nových počítačov, správa počítačov, ktoré sa odpojili od domény, a snaha urobiť čokoľvek s počítačovými účtami spôsobujú, že správcovia chcú ísť k najbližšiemu baru Martini - na raňajky.
Žiadne chyby, žiadny stres - Váš sprievodca krok za krokom k vytvoreniu softvéru na zmenu života bez zničenia vášho života
Svoje programovacie schopnosti si nemôžete vylepšiť, keď sa nikto nestará o kvalitu softvéru.
Dôvodom takéhoto dramatického tvrdenia je, že existuje 11 slov, ktoré si nikdy neželáte čítať na obrazovke ako správca systému Windows: „Vzťah dôvery medzi touto pracovnou stanicou a primárnou doménou zlyhal.“ Tieto slová znamenajú, že sa chystáte stráviť viac pokusov a možno aj niekoľko hodín opätovným pripojením tejto vzdialenej pracovnej stanice k doméne. Je nešťastné, že štandardná oprava spoločnosti Microsoft nefunguje. Štandardná oprava spočíva v resetovaní objektu účtu počítača v službe Active Directory, reštarte pracovnej stanice a prejdení prstov. Iné opravné prostriedky k opätovnému pripojeniu sú často rovnako účinné ako štandardné, čo spôsobuje, že správcovia znova odpojia odpojený systém, aby ho mohli znova pripojiť k doméne.
4. Zaobchádzanie s blokovaním používateľských účtov
Neexistuje žiadna samoobslužná oprava blokovania účtov, hoci problém vyriešili viacerí dodávatelia softvéru tretích strán. Pred opakovaním pokusu musia používatelia buď počkať určitý čas, alebo sa musia obrátiť na správcu, aby resetovali zablokovaný účet. Obnovenie uzamknutého účtu nie je pre správcu stresom, hoci môže byť pre používateľa frustrujúce.
Jednou z nedostatkov služby AD je, že blokovanie účtov môže pochádzať z iných zdrojov, ako je používateľ, ktorý zadal nesprávne heslo, ale spoločnosť AD neposkytuje správcovi žiadne náznaky týkajúce sa tohto pôvodu.
5. Zvýšenie a zvýšenie rýchlosti povolenia
Je možné, že privilegovaní používatelia budú ďalej zvyšovať svoje oprávnenia pridávaním sa do iných skupín. Privilegovanými používateľmi sú tí, ktorí majú určité zvýšené privilégiá, ale majú dostatočné oprávnenie na pridanie sa do ďalších skupín, čo im poskytuje ďalšie privilégiá v službe Active Directory. Táto bezpečnostná chyba umožňuje internému útočníkovi postupne pridávať privilégiá, kým neexistuje rozsiahla kontrola nad doménou vrátane schopnosti uzamknúť ostatných správcov. (Eliminujte manuálne postupy náročné na zdroje v rámci správy totožnosti služby Active Directory. Viac informácií nájdete tu.)
Dotazovanie povolení je stav, ktorý nastane, keď správcovia nedokážu odstrániť používateľov z určitej skupiny privilégií, keď sa zmení úloha používateľa alebo keď užívateľ opustí spoločnosť. Dotazovanie povolení umožňuje používateľom prístup k firemným aktívam, ktoré už používateľ nepotrebuje. Zvýšenie povolení a dotiahnutie povolenia spôsobujú vážne bezpečnostné obavy. Existujú rôzne aplikácie tretích strán, ktoré môžu vykonávať audity s cieľom zistiť a zabrániť týmto podmienkam.
Od malých spoločností po globálne podniky sa Active Directory stará o autentifikáciu používateľov, prístup k zdrojom a správu počítača. Je to jedna z najcennejších častí sieťovej infraštruktúry v dnešnom podnikaní. Rovnako výkonný nástroj ako Active Directory má veľa nedostatkov. Našťastie predajcovia softvéru, ktorí nepochádzajú od spoločnosti Microsoft, rozšírili funkcie služby Active Directory, vyriešili jej zle koncipovaný dizajn rozhrania pre správu, skonsolidovali svoju funkčnosť a zhromaždili niektoré zo svojich do očí bijúcich nedostatkov.
Tento obsah vám prináša náš partner, spoločnosť Adaxes.
