Sadržaj
- 1. Suočavanje s ugniježđenim skupinama
- 2. Prijelaz na RBAC s ACL-a
- 3. Upravljanje računalima
- Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
- 4. Rukovanje blokadama korisničkih računa
- 5. Povišenje dozvole i puzanje
Izvor: Tmcphotos / Dreamstime.com
Oduzeti:
Naučite pet ključnih područja AD-a za koje bi mogla biti potrebna softverska intervencija treće strane.
Za vaše poduzeće je možda još kritičnije od vaše najcjenjenije prijave ili od vašeg zaštićenog intelektualnog vlasništva okruženje Active Directory (AD). Active Directory je središnji za sigurnost vaše mreže, sustava, korisnika i aplikacija. Upravlja kontrolom pristupa za sve objekte i resurse u vašoj računalnoj infrastrukturi i uz znatne troškove, kako ljudskih tako i hardverskih resursa potrebnih za upravljanje. A zahvaljujući dobavljačima softvera treće strane, možete dodati i Linux, UNIX i Mac OS X sustave u AD-ov repertoar upravljanih resursa.Upravljanje AD-om za više od nekoliko desetaka korisnika i grupa postaje vrlo bolno. A Microsofts osnovno sučelje i organizacija ne pomažu u ublažavanju te boli. Active Directory nije slab alat, ali postoje njegovi aspekti zbog kojih administratori traže alate treće strane. Ovaj rad istražuje glavne administrativne nedostatke AD-a.
1. Suočavanje s ugniježđenim skupinama
Vjerovali ili ne, zapravo postoje najbolje prakse povezane s stvaranjem i korištenjem ugniježđenih AD grupa. Međutim, te bi najbolje prakse trebale biti ublažene ugrađenim AD ograničenjima, tako da administratori ne smiju proširiti ugniježđene grupe na više od jedne razine. Uz to, ograničenje sprječavanja više od jedne ugniježđene grupe po postojećoj skupini spriječilo bi pojavu budućih problema sa upravljanjem i administracijom.
Gniježđenje više razina grupa i omogućavanje više grupa unutar grupa stvara složene probleme s nasljeđivanjem, zaobilazi sigurnost i uništava organizacijske mjere koje je upravljanje grupama osmišljeno da spriječe. Periodične revizije AD omogućit će administratorima i arhitektima da preispitaju organizaciju AD-a i ispravljaju ugniježđeno širenje grupe.
Sistemski administratori godinama su im u mozgu padali kredo „Upravljanje grupama, a ne pojedinci“, ali upravljanje grupama neminovno dovodi do ugniježđenih grupa i slabo upravljanih dozvola. (Ovdje saznajte više o sigurnosti koja se temelji na ulozi Softerra Adaxes.)
2. Prijelaz na RBAC s ACL-a
Prelazak s korisničkog usmjerenog popisa pristupa pristupa (ACL-ova) AD načina upravljanja na više korporativni način upravljanja pristupom temeljen na ulogama (RBAC) čini se da bi to bio lak zadatak. Nije tako s AD-om. Teško je upravljati ACL-ovima, ali ni prelazak na RBAC nije šetnja parkom. Problem s ACL-ovima je to što ne postoji središnja lokacija u AD-u za upravljanje dozvolama, što administraciju čini izazovnom i skupom. RBAC pokušava ublažiti dopuštenja i nedostatke u pristupu rješavajući pristupna odobrenja po ulozi, a ne pojedinačno, ali i dalje nedostaje zbog nedostatka centraliziranog upravljanja dozvolama. No, koliko god bilo premještanje na RBAC, puno je bolje od ručnog upravljanja dozvolama za korisnike po ACL-u.
ACL-ovi ne uspijevaju skalabilnost i agilnu upravljivost, jer su oni preširoki u području. Uloge su, alternativno, preciznije jer administratori daju dopuštenja na temelju uloga korisnika. Na primjer, ako je novi korisnik novinske agencije urednik, ona ima ulogu uređivača kako je definirano u AD-u. Administrator smješta tog korisnika u grupu urednika koja joj daje sva dopuštenja i pristup koji uređivači zahtijevaju bez dodavanja korisnika u više drugih grupa radi stjecanja jednakog pristupa.
RBAC definira dopuštenja i ograničenja na temelju uloge ili funkcije posla, umjesto da korisnika dodijeli više grupa koje mogu imati šire dozvole. Uloge RBAC-a vrlo su specifične i ne zahtijevaju gniježđenje ili druge ACL složenosti radi postizanja boljih rezultata, sigurnijeg okruženja i lakše upravljane sigurnosne platforme.
3. Upravljanje računalima
Upravljanje novim računalima, upravljanje računalima koja su isključena iz domene i pokušavanje bilo čega s računalnim računima čine da se administratori žele uputiti u najbliži Martini bar - na doručak.
Bez grešaka, bez stresa - Vaš korak po korak vodič za stvaranje softvera koji mijenja život bez uništavanja života
Ne možete poboljšati svoje programiranje kad nikoga nije briga za kvalitetu softvera.
Razlog za tako dramatičnu tvrdnju je da postoji 11 riječi koje nikad ne želite čitati na ekranu kao Windows administrator: "Veza povjerenja između ove radne stanice i primarne domene nije uspjela." Ove riječi znače da ćete uskoro potrošiti više pokušaja i možda više sati povezujući ovu putnu radnu stanicu s domenom. Žao nam je što standardni Microsoftov popravak ne funkcionira. Standardni ispravak sastoji se od resetiranja računa računa računala u Active Directory, ponovnog pokretanja radne stanice i prelaska prstiju. Ostali lijekovi za ponovno pripajanje često su jednako učinkoviti kao i standardni koji uzrokuju da administratori ponovo dodaju nepovezan sustav kako bi ga ponovno povezali s domenom.
4. Rukovanje blokadama korisničkih računa
Nema popravka samoposluživanja za blokiranje računa, iako je nekoliko proizvođača nezavisnog softvera riješilo problem. Korisnici moraju pričekati vremenski period prije ponovnog pokušaja ili se obratiti administratoru za resetiranje zaključanog računa. Poništavanje zaključanog računa nije stres za administratora, mada to može biti frustrirajuće za korisnika.
Jedan od nedostataka AD-a je to što zaključavanja računa mogu poticati iz izvora osim korisnika koji unosi pogrešnu lozinku, ali AD ne daje administratoru nikakve savjete o tom podrijetlu.
5. Povišenje dozvole i puzanje
Privilegirani korisnici mogu dodatno povisiti svoje privilegije dodavanjem sebe drugim skupinama. Povlašteni korisnici su oni koji imaju neke povišene privilegije, ali koji imaju samo dovoljno ovlasti da se dodaju u dodatne grupe, što im daje dodatne privilegije u Active Directoryu. Ovaj sigurnosni propust omogućuje internom napadaču da postupno dodaje povlastice sve dok ne postoji opsežna kontrola nad domenom, uključujući mogućnost zaključavanja drugih administratora. (Uklonite ručne postupke koji troše resurse u Active Directory Management Identity Management. Saznajte kako ovdje.)
Puzanje dozvole je uvjet koji se događa kada administratori ne uspiju ukloniti korisnike iz određene privilegirane skupine kad se promijeni korisnički posao ili kad korisnik napusti tvrtku. Puzanje dopuštenja omogućava korisnicima pristup korporativnim imovinama za kojima korisnik više nema potrebe. Povišenje dozvole i puzanje dozvole stvaraju ozbiljne sigurnosne probleme. Postoje različite aplikacije treće strane koje mogu obavljati revizije kako bi otkrile i spriječile ove uvjete.
Od malih poduzeća do globalnih poduzeća, Active Directory upravlja autentifikacijom korisnika, pristup resursima i računalnim upravljanjem. To je jedan od najcjenjenijih dijelova mrežne infrastrukture u današnjem poslovanju. Snažan alat kao što je Active Directory, ima mnogo nedostataka. Srećom, dobavljači softvera koji nisu Microsoftovi proširili su značajke aktivnog imenika, riješili njegov loše osmišljen dizajn sučelja za upravljanje, konsolidirali njegovu funkcionalnost i masirali neke njegove veće neprimjerenosti.
Ovaj sadržaj donio vam je naš partner, Adaxes.
