Inhoud
- 1. Omgaan met geneste groepen
- 2. Overschakelen naar RBAC van ACL's
- 3. Computers beheren
- Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
- 4. Omgaan met vergrendelingen van gebruikersaccounts
- 5. Toestemmingshoogte en toestemmingskruip
Bron: Tmcphotos / Dreamstime.com
Afhaal:
Leer vijf belangrijke AD-gebieden waarvoor mogelijk software-interventie van derden nodig is.
Mogelijk zelfs nog kritischer voor uw onderneming dan uw meest gewaardeerde applicatie of uw meest beschermde intellectuele eigendom is uw Active Directory (AD) -omgeving. Active Directory staat centraal in uw netwerk-, systeem-, gebruikers- en applicatiebeveiliging. Het regelt toegangscontrole voor alle objecten en bronnen binnen uw computerinfrastructuur en tegen aanzienlijke kosten in zowel menselijke als hardwarebronnen die nodig zijn om het te beheren. En dankzij softwareleveranciers van derden kunt u ook Linux-, UNIX- en Mac OS X-systemen toevoegen aan het repertoire van beheerde bronnen van AD.AD beheren voor meer dan slechts enkele tientallen gebruikers en groepen wordt erg pijnlijk. En de basisinterface en -organisatie van Microsoft helpt niet om die pijn te verlichten. Active Directory is geen zwak hulpmiddel, maar er zijn aspecten waardoor beheerders op zoek kunnen gaan naar hulpmiddelen van derden. Dit stuk onderzoekt AD's belangrijkste administratieve tekortkomingen.
1. Omgaan met geneste groepen
Geloof het of niet, er zijn eigenlijk best practices voor het maken en gebruiken van geneste AD-groepen. Die best practices moeten echter worden getemperd door ingebouwde AD-beperkingen, zodat beheerders geen geneste groepen mogen uitbreiden naar meer dan één niveau. Bovendien zou een beperking om meer dan één geneste groep per bestaande groep te voorkomen, toekomstige huishoudelijke en administratieve problemen voorkomen.
Het nestelen van meerdere groepsniveaus en het toestaan van meerdere groepen binnen groepen creëert complexe overervingsproblemen, omzeilt de beveiliging en vernietigt organisatorische maatregelen die groepsbeheer is ontworpen om te voorkomen. Met periodieke AD-audits kunnen beheerders en architecten de AD-organisatie opnieuw beoordelen en de geneste groepsuitbreiding corrigeren.
Systeembeheerders hebben het credo “Groepen beheren, niet individuen” jarenlang in hun hersenen geslagen, maar groepsbeheer leidt onvermijdelijk tot geneste groepen en slecht beheerde machtigingen. (Lees hier meer over Softerra Adaxes op rollen gebaseerde beveiliging.)
2. Overschakelen naar RBAC van ACL's
Overschakelen van een gebruikersgerichte AD-stijl voor toegangsbeheerlijsten (ACL's) naar de meer ondernemingsmethode van op rollen gebaseerde toegangscontrole (RBAC) lijkt een gemakkelijke taak. Niet zo met AD. Het beheren van ACL's is moeilijk, maar overschakelen naar RBAC is ook geen wandeling in het park. Het probleem met ACL's is dat er geen centrale locatie in AD is om machtigingen te beheren, wat beheer uitdagend en duur maakt. RBAC probeert machtigingen en toegangsfouten te verminderen door toegangsrechten per rol af te handelen in plaats van per individu, maar het schiet nog steeds tekort vanwege het gebrek aan gecentraliseerd machtigingenbeheer. Maar hoe pijnlijk het ook is om naar RBAC te gaan, het is veel beter dan het handmatig beheren van machtigingen per gebruiker met ACL's.
ACL's missen schaalbaarheid en behendige beheerbaarheid omdat ze te breed van opzet zijn. Als alternatief zijn rollen preciezer omdat beheerders machtigingen verlenen op basis van gebruikersrollen. Als een nieuwe gebruiker bij een persbureau bijvoorbeeld een editor is, heeft deze de rol van Editor zoals gedefinieerd in AD. Een beheerder plaatst die gebruiker in de groep Editors die haar alle machtigingen en toegang verleent die Editors nodig hebben zonder de gebruiker toe te voegen aan meerdere andere groepen om gelijkwaardige toegang te krijgen.
RBAC definieert machtigingen en beperkingen op basis van rol of taakfunctie in plaats van een gebruiker toe te wijzen aan meerdere groepen die mogelijk bredere machtigingen hebben. RBAC-rollen zijn zeer specifiek en vereisen geen nesting of andere ACL-complexiteiten om betere resultaten, een veiligere omgeving en een eenvoudiger beheerd beveiligingsplatform te bereiken.
3. Computers beheren
Het beheren van nieuwe computers, het beheren van computers die zijn losgekoppeld van het domein en alles proberen te doen met computeraccounts, zorgt ervoor dat beheerders naar de dichtstbijzijnde Martini-bar willen gaan - voor het ontbijt.
Geen bugs, geen stress - Uw stapsgewijze handleiding voor het creëren van levensveranderende software zonder uw leven te vernietigen
U kunt uw programmeervaardigheden niet verbeteren als niemand om softwarekwaliteit geeft.
De reden achter zo'n dramatische bewering is dat er 11 woorden zijn die je nooit als Windows-beheerder op een scherm wilt lezen: "De vertrouwensrelatie tussen dit werkstation en het primaire domein is mislukt." Deze woorden betekenen dat je breng meerdere pogingen en mogelijk meerdere uren door om dit eigenzinnige werkstation opnieuw met het domein te verbinden. Het is jammer dat de standaard Microsoft-fix niet werkt. De standaardfix bestaat uit het resetten van het accountobject van de computer in Active Directory, het opnieuw opstarten van het werkstation en het kruisen van de vingers. Andere remedies voor herbevestiging zijn vaak net zo effectief als de standaard, waardoor beheerders het losgekoppelde systeem opnieuw imiteren om het opnieuw te verbinden met het domein.
4. Omgaan met vergrendelingen van gebruikersaccounts
Er is geen selfservice-oplossing voor accountvergrendelingen, hoewel verschillende softwareleveranciers het probleem hebben opgelost. Gebruikers moeten een tijdje wachten voordat ze het opnieuw proberen of contact opnemen met een beheerder om het vergrendelde account opnieuw in te stellen. Het resetten van een vergrendeld account is geen stresspunt voor een beheerder, hoewel het frustrerend kan zijn voor een gebruiker.
Een van de tekortkomingen van AD is dat accountvergrendelingen afkomstig kunnen zijn van andere bronnen dan een gebruiker die een onjuist wachtwoord invoert, maar AD geeft de beheerder geen hints over die oorsprong.
5. Toestemmingshoogte en toestemmingskruip
Er is een mogelijkheid voor bevoorrechte gebruikers om hun rechten verder te verhogen door zichzelf toe te voegen aan andere groepen. Bevoorrechte gebruikers zijn gebruikers die een aantal verhoogde rechten hebben, maar die net voldoende bevoegdheden hebben om zichzelf toe te voegen aan extra groepen, waardoor ze extra rechten krijgen in Active Directory. Door deze beveiligingsfout kan een interne aanvaller stapsgewijs rechten toevoegen tot uitgebreide controle over een domein bestaat, inclusief de mogelijkheid om andere beheerders te blokkeren. (Elimineer handmatige procedures die veel bronnen vergen in Active Directory Identity Management. Lees hier meer over.)
Kruipen van machtigingen is een aandoening die optreedt wanneer beheerders geen gebruikers uit een bepaalde privilegegroep verwijderen wanneer de taak van een gebruiker verandert of wanneer een gebruiker het bedrijf verlaat. Kruipen van machtigingen kan gebruikers toegang geven tot bedrijfsmiddelen waarvoor de gebruiker niet langer behoefte heeft. Machtigingsverhoging en toestemmingskruip zorgen beide voor ernstige beveiligingsproblemen. Er bestaan verschillende toepassingen van derden die audits kunnen uitvoeren om deze omstandigheden te detecteren en te voorkomen.
Van kleine bedrijven tot wereldwijde ondernemingen, Active Directory zorgt voor gebruikersauthenticatie, toegang tot bronnen en computerbeheer. Het is tegenwoordig een van de meest gewaardeerde stukken netwerkinfrastructuur in het bedrijfsleven. Een krachtig hulpmiddel als Active Directory is, het heeft veel tekortkomingen. Gelukkig hebben niet-Microsoft-softwareleveranciers de functies van Active Directory uitgebreid, het slecht doordachte ontwerp van de beheerinterface opgelost, de functionaliteit geconsolideerd en enkele van de meer opvallende tekortkomingen gemasseerd.
Deze inhoud wordt u aangeboden door onze partner, Adaxes.
