Tartalom
- 1. Beágyazott csoportok kezelése
- 2. Váltás az RBAC-re az ACL-ekből
- 3. A számítógépek kezelése
- Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
- 4. A felhasználói fiókok zárolásának kezelése
- 5. Engedély magasság és engedély kúszás
Forrás: Tmcphotos / Dreamstime.com
Elvitel:
Ismerje meg az AD öt kulcsterületét, amelyekre harmadik fél szoftvereinek beavatkozását lehet szükség.
Valószínűleg még kritikusabb a vállalkozása számára, mint a legértékesebb alkalmazás vagy a leginkább védett szellemi tulajdon az Active Directory (AD) környezet. Az Active Directory központi szerepet játszik a hálózat, a rendszer, a felhasználók és az alkalmazások biztonságában. Ez szabályozza az összes objektum és erőforrás hozzáférés-ellenőrzését a számítógépes infrastruktúrán belül, és jelentős költségekkel jár mind az emberi, mind a hardver erőforrások számára annak kezeléséhez. És a harmadik féltől származó szoftvergyártóknak köszönhetően Linux, UNIX és Mac OS X rendszereket is hozzáadhat az AD kezelt erőforrásainak repertoárjához.Csak néhány tucat felhasználó és csoport esetében az AD kezelése nagyon fájdalmas lesz. És a Microsofts alapvető felülete és szervezete nem segíti enyhíteni ezt a fájdalmat. Az Active Directory nem gyenge eszköz, de vannak olyan szempontjai, amelyek miatt az adminisztrátorok harmadik féltől származó eszközöket kereshetnek. Ez a cikk az AD-k legfontosabb adminisztratív hiányosságait vizsgálja.
1. Beágyazott csoportok kezelése
Hidd el vagy ne, valójában vannak beágyazott AD-csoportok létrehozásának és használatának bevált gyakorlatai. Ezeket a bevált gyakorlatokat azonban beépített AD korlátozásokkal kell enyhíteni, hogy az adminisztrátorok ne engedjék, hogy a beágyazott csoportokat egynél több szintre terjesszék. Ezenkívül egy létező csoportonként egynél több beágyazott csoport megakadályozására vonatkozó korlátozás megakadályozná a jövőbeli takarítási és adminisztratív problémák felmerülését.
Több csoportszint beágyazása és több csoport engedélyezése csoportokon belül összetett öröklési problémákat okoz, megkerüli a biztonságot és tönkreteszi azokat a szervezeti intézkedéseket, amelyek megakadályozására a csoportvezetés célja volt. Az időszakos AD-ellenőrzések lehetővé teszik az adminisztrátoroknak és az építészeknek, hogy újraértékeljék az AD-szervezetet és javítsák a beágyazott csoportosodást.
A rendszergazdák számára a „Csoportok kezelése, nem az egyének” hitelek évek óta belemerülnek agyukba, ám a csoportkezelés elkerülhetetlenül beágyazott csoportokhoz és rosszul kezelt engedélyekhez vezet. (Tudjon meg többet a Softerra Adaxes szerepkör-alapú biztonságáról itt.)
2. Váltás az RBAC-re az ACL-ekből
A felhasználóközpontú hozzáférés-vezérlési listák (ACL) AD kezelési stílusától a szerep-alapú hozzáférés-vezérlés (RBAC) vállalati szintű módszerére való áttérés úgy tűnik, hogy könnyű feladat lenne. AD-val nem így van. Az ACL-ek kezelése nehéz, de az RBAC-ra váltás nem jár a parkban sem. Az ACL-ekkel kapcsolatos probléma az, hogy az AD-ben nincs központi hely az engedélyek kezelésére, ami az adminisztrációt kihívásokkal és költségekké teszi. Az RBAC megkísérel enyhíteni az engedélyeket és a hozzáférési hibákat azáltal, hogy a hozzáférési engedélyeket nem szerepkör, hanem egyénként kezeli, de ez még mindig hiányzik a központosított engedélykezelés hiánya miatt. Ugyanolyan fájdalmas, mint az RBAC-ra való költözés, sokkal jobb, mint az engedélyek kézi kezelése felhasználónként az ACL-ekkel.
Az ACL-k nem képesek méretezhetőségre és agilis kezelhetőségre, mert túlságosan széles körűek. A szerepek alternatívaként pontosabbak is, mivel az adminisztrátorok a felhasználói szerepek alapján engedélyeket adnak ki. Például, ha egy hírügynökség új felhasználója szerkesztő, akkor az AD-ben meghatározott szerkesztő szerepe van. Az adminisztrátor a felhasználót a Szerkesztők csoportjába helyezi, amely megadja neki minden olyan engedélyt és hozzáférést, amelyre a szerkesztőknek szüksége van, anélkül, hogy a felhasználót több más csoporthoz adná, hogy egyenértékű hozzáférést szerezzenek.
Az RBAC az engedélyeket és korlátozásokat a szerep vagy a feladat függvénye alapján határozza meg, ahelyett, hogy a felhasználót több csoporthoz rendeli, amelyeknek szélesebb engedélyek vannak. Az RBAC szerepek nagyon specifikusak, és nem igényelnek fészkelést vagy más ACL komplexitást a jobb eredmények, biztonságosabb környezet és könnyebben kezelhető biztonsági platform elérése érdekében.
3. A számítógépek kezelése
Új számítógépek kezelése, a tartománytól leválasztott számítógépek kezelése, és bármi megpróbálás a számítógépes fiókokkal, arra készteti az adminisztrátort, hogy elmenjen a legközelebbi Martini bárba - reggelire.
Nincsenek hibák, nincs stressz - Az Ön életét megváltoztató szoftverek készítésének lépésről lépésre történő leírása az élet megsemmisítése nélkül
Nem javíthatja a programozási képességeit, ha senki sem törődik a szoftver minőségével.
Ennek a drámai állításnak az oka, hogy 11 szó van, amelyeket soha nem akar elolvasni a képernyőn Windows rendszergazdaként: „A munkaállomás és az elsődleges domain közötti bizalmi kapcsolat meghiúsult.” Ezek a szavak azt jelentik, hogy töltsön el több kísérletet és esetleg több órát is, hogy újracsatlakoztassa ezt az irányú munkaállomást a domainhez. Sajnálatos, hogy a szokásos Microsoft javítás nem működik. A szokásos javítás a számítógép fiókobjektumának visszaállítását az Active Directory-ban, a munkaállomás újraindítását és az ujjak átlépését jelenti. Más visszaszerelési jogorvoslatok gyakran ugyanolyan hatékonyak, mint a szokásosak, így az adminisztrátorok újraképzelik a leválasztott rendszert annak újracsatlakoztatása érdekében a domainhez.
4. A felhasználói fiókok zárolásának kezelése
A fiókok letiltásához nincs önkiszolgáló javítás, bár számos harmadik féltől származó szoftvergyártó megoldotta a problémát. Vagy a felhasználóknak várniuk kell egy ideig, mielőtt újra megpróbálnák, vagy kapcsolatba kell lépni egy rendszergazdával a zárolt fiók visszaállításához. A zárolt fiók visszaállítása nem jelent stresszt a rendszergazda számára, bár a felhasználó számára bosszantónak bizonyulhat.
Az egyik AD hiányossága az, hogy a fiókok letiltása más forrásokból is származhat, nem a helytelen jelszót megadó felhasználótól, de az AD nem ad a rendszergazdának erre az eredetre vonatkozó tippeket.
5. Engedély magasság és engedély kúszás
Lehetőség van arra, hogy a kiváltságos felhasználók tovább növeljék privilégiumaikat, ha más csoportokba sorolják be magukat. Kiváltságos felhasználók azok, akiknek vannak magasabb szintű jogosultságai, de akiknek elegendő jogosultsága van ahhoz, hogy felvegyék magukat további csoportokba, ami további jogosultságokat biztosít számukra az Active Directory-ban. Ez a biztonsági hiba lehetővé teszi a belső támadó számára, hogy lépésről lépésre adjon jogosultságokat addig, amíg a tartomány feletti széles körű ellenőrzés meg nem valósul, beleértve a többi rendszergazda kizárásának lehetőségét. (Távolítsa el az erőforrás-igényű kézi eljárásokat az Active Directory azonosságkezelésben. Tanulja meg itt.)
Az engedély kúszása olyan állapot, amely akkor fordul elő, amikor a rendszergazdák nem tudják eltávolítani a felhasználókat egy adott jogosultsági csoportból, amikor a felhasználó feladata megváltozik, vagy amikor a felhasználó elhagyja a céget. Az engedélycsúszás lehetővé teszi a felhasználók számára a vállalati eszközök elérését, amelyekre a felhasználónak már nincs szüksége. Az engedélyek magassága és az engedély kúszása egyaránt komoly biztonsági aggályokat vet fel. Különböző harmadik fél által készített alkalmazások léteznek, amelyek ellenőrzéseket végezhetnek ezeknek a feltételeknek a felismerésére és megelőzésére.
A kisvállalatoktól a globális vállalkozásokig az Active Directory kezeli a felhasználói hitelesítést, az erőforrásokhoz való hozzáférést és a számítógépes kezelést. Ez a mai üzleti hálózat egyik legértékesebb hálózati infrastruktúrája. Akár olyan hatékony eszköz, mint az Active Directory, sok hiányossággal rendelkezik. Szerencsére a nem Microsoft szoftvergyártók kibővítették az Active Directory szolgáltatásait, megoldották a rosszul átgondolt kezelőfelület kialakítását, konszolidálták a funkcionalitást, és megmélyítették annak néhány feltűnő hiányosságát.
Ezt a tartalmat partnerünk, Adaxes hozta el neked.
