Content
- 1. Tractar amb grups imbricats
- 2. Canvia a RBAC des de ACLs
- 3. Gestió d’ordinadors
- Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
- 4. Maneig dels bloqueigs del compte d’usuari
- 5. Elevació de permisos i desplaçament de permisos
Font: Tmcphotos / Dreamstime.com
Emportar:
Obteniu informació sobre cinc àrees clau d’AD que poden requerir la intervenció de programari de tercers.
És el vostre entorn Active Directory (AD), que és molt més crític per a la vostra empresa que l’aplicació més valorada o la propietat intel·lectual més protegida. Active Directory és fonamental per a la seguretat de la vostra xarxa, sistema, usuaris i aplicacions. Regeix el control d’accés per a tots els objectes i recursos de la infraestructura informàtica i a un cost considerable tant en recursos humans com en maquinari necessaris per gestionar-lo. I gràcies als venedors de programari de tercers, també podeu afegir sistemes Linux, UNIX i Mac OS X al repertori de recursos gestionats d’AD.Administrar AD per a més que algunes desenes d'usuaris i grups és molt dolorós. I la interfície i organització bàsiques de Microsoft no serveixen per alleujar el dolor. Active Directory no és una eina feble, però hi ha aspectes que permet als administradors buscar eines de tercers. Aquesta obra explora les deficiències administratives més importants de les AD.
1. Tractar amb grups imbricats
S’ho cregui o no, hi ha realment bones pràctiques associades a la creació i l’ús de grups d’AD inserits. Tanmateix, aquestes bones pràctiques s’han de temperar mitjançant restriccions d’AD integrades, de manera que els administradors no tinguin permès estendre grups imbricats a més d’un nivell. A més, una restricció per evitar més d'un grup imbricat per grup existent impediria que es plantegessin problemes de neteja i administracions futures.
Nidificar diversos nivells de grups i permetre diversos grups dins de grups crea problemes d'herència complexos, deixa de banda les mesures organitzatives i de seguretat que arruïna la gestió del grup. Les auditories periòdiques d’AD permetran que els administradors i els arquitectes puguin tornar a avaluar l’organització d’AD i corregir l’exploració de grups imbricats.
Els administradors del sistema han tingut el credo "Gestionar grups, no individus" durant anys en el cervell, però la gestió de grups condueix inevitablement a grups imbricats i permisos mal gestionats. (Obteniu informació sobre la seguretat basada en funcions de Softerra Adaxas aquí.)
2. Canvia a RBAC des de ACLs
Desviar-se d’un estil de gestió d’AD d’unes llistes de control d’accés centrat en l’usuari (ACL) al mètode més empresarial de control d’accés basat en papers (RBAC) sembla que seria una tasca fàcil. No és així amb l’AD. És difícil gestionar ACL, però canviar a RBAC tampoc és passejar pel parc. El problema dels ACL és que no hi ha cap ubicació central a AD per gestionar permisos, cosa que fa que l’administració sigui difícil i costosa. RBAC intenta mitigar els permisos i les fallades d’accés mitjançant la gestió dels permisos d’accés per funció més que no pas per part individual, però encara no queda per la manca de gestió centralitzada de permisos. Però, tan dolent com és passar a RBAC, és molt millor que gestionar manualment els permisos de manera individual per usuari amb ACL.
Els ACL fracassen l’escalabilitat i la manejabilitat àgil perquè són d’abast massa ampli. Els rols, alternativament, són més precisos, perquè els administradors concedeixen permisos en funció dels rols d’usuari. Per exemple, si un nou usuari d'una agència de notícies és un editor, ella té el paper d'Editor tal com es defineix a AD. Un administrador col·loca aquest usuari al grup d’Editors que li atorga tots els permisos i accés que els editors requereixen sense afegir l’usuari a diversos altres grups per obtenir accés equivalent.
RBAC defineix els permisos i les restriccions basats en el rol o la funció de treball en lloc d'assignar un usuari a diversos grups que podrien tenir permisos més amplis. Les funcions de RBAC són molt específiques i no requereixen nidificació ni altres complexitats ACL per obtenir millors resultats, un entorn més segur i una plataforma de seguretat més fàcilment gestionada.
3. Gestió d’ordinadors
Administrar equips nous, gestionar ordinadors que s’han desconnectat del domini i intentar fer qualsevol cosa amb els comptes d’ordinador fa que els administradors vulguin dirigir-se al bar Martini més proper, per esmorzar.
Sense errors, sense estrès: la vostra guia pas a pas per crear programes que canvien la vida sense destruir la vida
No podeu millorar les vostres habilitats de programació quan ningú es preocupa per la qualitat del programari.
La raó de la afirmació tan dramàtica és que hi ha 11 paraules que mai voldreu llegir en una pantalla com a administrador de Windows: "La relació de confiança entre aquesta estació de treball i el domini principal ha fallat". Aquestes paraules signifiquen que esteu a punt de passar diversos intents i, possiblement, diverses hores, tornar a connectar aquesta estació de treball del domini. És lamentable que la solució estàndard de Microsoft no funcioni. La correcció estàndard consisteix a restablir l’objecte del compte de l’ordinador a Active Directory, a reiniciar l’estació de treball i a creuar els dits d’un. Altres remeis de rejuntament sovint són tan eficaços com l'estàndard, fent que els administradors reimaginin el sistema desconnectat per tornar a connectar-lo al domini.
4. Maneig dels bloqueigs del compte d’usuari
No hi ha cap solució d’autoservei per a bloqueigs de compte, tot i que diversos proveïdors de programari de tercers han resolt el problema. Els usuaris han d’esperar un període de temps abans de provar de nou o bé contactar amb un administrador per restablir el compte bloquejat. Restablir un compte bloquejat no és un punt d’estrès per a un administrador, tot i que pot resultar frustrant per a un usuari.
Una de les mancances d’AD és que els bloquejos de comptes poden originar-se en fonts diferents d’un usuari que introdueixi una contrasenya incorrecta, però AD no proporciona a l’administrador cap suggeriment sobre aquest origen.
5. Elevació de permisos i desplaçament de permisos
Hi ha un potencial per a usuaris privilegiats que puguin augmentar els seus privilegis afegint-se a altres grups. Els usuaris amb privilegi són aquells que tenen privilegis elevats, però que tenen prou autoritat per afegir-se a grups addicionals, cosa que els concedeix privilegis addicionals a Active Directory. Aquest defecte de seguretat permet a un atacant intern afegir privilegis de manera pas a pas fins que existeixi un control extensiu sobre un domini, incloent la possibilitat de bloquejar altres administradors. (Elimineu els procediments manuals que consumeixen recursos en Active Directory Identity Management. Obteniu informació sobre aquí.)
El creep de permís és una condició que es produeix quan els administradors no poden eliminar els usuaris d'un grup de privilegis determinats quan canvia la feina d'un usuari o quan un usuari abandona l'empresa. El creep permís permet als usuaris accedir a actius corporatius dels quals l'usuari ja no els necessita. L'elevació dels permisos i el desplaçament dels permisos creen seriosos problemes de seguretat. Existeixen diverses aplicacions de tercers que poden realitzar auditories per detectar i prevenir aquestes condicions.
Des de petites empreses fins a empreses globals, Active Directory gestiona l’autenticació d’usuaris, l’accés als recursos i la gestió d’ordinadors. És una de les peces més valorades de la infraestructura de xarxa en l’actualitat. Una eina tan potent com és Active Directory, presenta moltes mancances. Afortunadament, els venedors de programari que no són de Microsoft han ampliat les funcions d’Active Directory, han resolt el seu disseny d’interfície de gestió mal concebut, han consolidat la seva funcionalitat i han massat algunes de les seves deficiències més fulgurants.
El nostre soci, Adax, el va aportar aquest contingut.
