Innehåll
- 1. Hantering av kapslade grupper
- 2. Växla till RBAC från ACL: er
- 3. Hantera datorer
- Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
- 4. Hantera låsningar för användarkonto
- 5. Tillståndshöjning och tillståndskrypning
Källa: Tmcphotos / Dreamstime.com
Hämtmat:
Lär dig fem viktiga AD-områden som kan kräva programvarupåverkan från tredje part.
Kanske ännu viktigare för ditt företag än din mest värderade applikation eller din mest skyddade immateriella egendom är din Active Directory (AD) -miljö. Active Directory är centralt för ditt nätverk, system, användare och applikationssäkerhet. Den reglerar åtkomstkontroll för alla objekt och resurser inom din datorinfrastruktur och till betydande kostnader för både mänskliga och hårdvaruressurser som krävs för att hantera den. Och tack vare tredjepartsleverantörer av programvara kan du också lägga till Linux-, UNIX- och Mac OS X-system till AD: s repertoar av hanterade resurser.Att hantera AD för mer än bara några dussin användare och grupper blir mycket smärtsamt. Och Microsofts grundläggande gränssnitt och organisation är ingen hjälp för att lindra den smärtan. Active Directory är inte ett svagt verktyg, men det finns aspekter av det som lämnar administratörer som söker efter verktyg från tredje part. Den här delen undersöker AD: s administrativa brister.
1. Hantering av kapslade grupper
Tro det eller inte, det finns faktiskt bästa metoder för att skapa och använda kapslade AD-grupper. Dessa bästa metoder bör emellertid mildras av inbyggda AD-begränsningar, så att administratörer inte får utöka kapslade grupper till mer än en enda nivå. Dessutom skulle en begränsning för att förhindra mer än en kapslad grupp per befintlig grupp förhindra framtida hushållning och administrativa problem från att uppstå.
Att bo i flera gruppnivåer och tillåta flera grupper inom grupper skapar komplexa arvsproblem, kringgår säkerheten och förstör organisatoriska åtgärder som gruppledningen var utformad för att förhindra. Periodiska AD-granskningar gör det möjligt för administratörer och arkitekter att ompröva AD-organisationen och korrigera kapslad gruppspridning.
Systemadministratörer har haft "Hantera grupper, inte individer" -kredo som bankades in i hjärnan i flera år, men grupphantering leder oundvikligen till kapslade grupper och dåligt hanterade behörigheter. (Lär dig mer om Softerra Adaxes rollbaserad säkerhet här.)
2. Växla till RBAC från ACL: er
Att byta från en användarcentrerad åtkomstkontrolllistor (ACL: er) AD-hanteringsstil till den mer företagsmetoden för rollbaserad åtkomstkontroll (RBAC) verkar som om det skulle vara en enkel uppgift. Inte så med AD. Att hantera ACL är svårt, men att byta till RBAC är heller ingen promenad i parken. Problemet med ACL: er är att det inte finns någon central plats i AD för att hantera behörigheter, vilket gör administrationen utmanande och dyr. RBAC försöker minska behörigheter och åtkomstfel genom att hantera åtkomstbehörigheter per roll snarare än individuellt, men det saknar fortfarande på grund av bristen på centraliserad behörighetshantering. Men lika smärtsamt som att flytta till RBAC är det mycket bättre än att manuellt hantera behörigheter per användare med ACL: er.
ACL: er misslyckas med skalbarhet och smidig hanterbarhet eftersom de är för breda. Roller är alternativt mer exakta eftersom administratörer ger behörigheter baserade på användarroller. Till exempel, om en ny användare på ett nyhetsbyrå är en redaktör, har hon rollen som redaktör enligt definitionen i AD. En administratör placerar den användaren i Editors Group som ger henne alla behörigheter och åtkomst som Editors kräver utan att lägga till användaren i flera andra grupper för att få motsvarande åtkomst.
RBAC definierar behörigheter och begränsningar baserat på roll eller jobbfunktion snarare än att tilldela en användare till flera grupper som kan ha bredare behörigheter. RBAC-roller är mycket specifika och kräver inte häckning eller andra ACL-komplexiteter för att uppnå bättre resultat, en säkrare miljö och en lättare hanterad säkerhetsplattform.
3. Hantera datorer
Att hantera nya datorer, hantera datorer som har kopplats från domänen och försöka göra något med datorkonton gör att administratörer vill gå till närmaste Martini-bar - till frukost.
Inga buggar, ingen stress - din steg-för-steg-guide för att skapa livsförändrad programvara utan att förstöra ditt liv
Du kan inte förbättra dina programmeringsfärdigheter när ingen bryr sig om mjukvarukvalitet.
Anledningen bakom en sådan dramatisk påstående är att det finns 11 ord som du aldrig vill läsa på en skärm som Windows-administratör: "Förtroendeförhållandet mellan denna arbetsstation och den primära domänen misslyckades." Dessa ord betyder att du är på väg att spendera flera försök och eventuellt flera timmar om att återansluta denna riktiga arbetsstation till domänen. Det är olyckligt att Microsoft-fixen inte fungerar. Standardfixen består av att återställa datorns kontoobjekt i Active Directory, starta om arbetsstationen och korsa fingrarna. Andra återställningsåtgärder är ofta lika effektiva som de vanliga, vilket gör att administratörer kan återanvända det frånkopplade systemet för att återansluta det till domänen.
4. Hantera låsningar för användarkonto
Det finns ingen självbetjäningslösning för kontoutlockningar, även om flera tredjepartsleverantörer av programvara har löst problemet. Antingen användare måste vänta en tid innan de försöker igen eller att kontakta en administratör för att återställa det låsta kontot. Att återställa ett låst konto är inte en stress för en administratör, även om det kan vara frustrerande för en användare.
En av AD: s brister är att kontoutlockningar kan komma från andra källor än en användare som anger ett felaktigt lösenord, men AD ger inte administratören några tips om det ursprunget.
5. Tillståndshöjning och tillståndskrypning
Det finns en potential för privilegierade användare att ytterligare höja sina privilegier genom att lägga sig till andra grupper. Priviligerade användare är de som har vissa förhöjda privilegier, men som har precis tillräckligt med behörighet att lägga till sig själva i ytterligare grupper, vilket ger dem ytterligare behörigheter i Active Directory. Denna säkerhetsfel tillåter en intern angripare att lägga till privilegier på stegvis sätt tills omfattande kontroll över en domän finns, inklusive möjligheten att låsa ut andra administratörer. (Eliminera resurskrävande manuella procedurer i Active Directory Identity Management. Lär dig hur här.)
Tillståndskrypning är ett villkor som inträffar när administratörer inte tar bort användare från en viss behörighetsgrupp när en användares jobb ändras eller när en användare lämnar företaget. Tillståndskrypning kan ge användare tillgång till företagstillgångar som användaren inte längre har behov av. Tillståndshöjning och tillstånd kryper båda skapar allvarliga säkerhetsproblem. Det finns olika tredjepartsapplikationer som kan utföra revisioner för att upptäcka och förhindra dessa villkor.
Från små företag till globala företag hanterar Active Directory användarautentisering, tillgång till resurser och datorhantering. Det är en av de mest värdefulla nätverksinfrastrukturen i företag idag. Ett lika kraftfullt verktyg som Active Directory är, det har många brister. Lyckligtvis har programvaruleverantörer som inte är Microsoft utvidgat Active Directory: s funktioner, löst sin dåligt utformade hanteringsgränssnittsdesign, konsoliderat dess funktionalitet och masserat några av dess mer bländande brister.
Detta innehåll kommer till dig av vår partner Adaxes.
