Poważne zagrożenia mogą zostać zainicjowane przez użytkowników posiadających odpowiednie uprawnienia, a jednocześnie kierujących się złymi intencjami. Ale często zagrożenia nieświadomie tworzą administratorzy zarządzający Active Directory (AD). Niżej prezentujemy najczęściej popełniane błędy w zarządzaniu systemem AD.

Konta z podwyższonymi uprawnieniami

Bardzo czesto można spotkać się z sytuacją, gdy konta wykorzystywane do standardowej pracy codziennej, stanowią jednocześnie konta o podwyższonych uprawnieniach. Większość organizacji zapobiega takim błędom poprzez przydzielenie określonemu użytkownikowi konta o podwyższonych uprawnieniach – przykładowo administratora domeny – a jednoczesnie normalnego konta do logowania się w trybie pracy codziennej. Powodem separacji jest zapobieganie problemom bezpieczeństwa związanym przykładowo z atakiem phishing, podczas logowania się do konta z podwyższonymi uprawnieniami.

Pomimo zwiększenia poziomu elastyczności delegowania uprawnień w Active Directory, część administratorów od czasu Windows NT - czyli 14 lat - wciąż dodaje użytkowników do zbyt uprzywilejowanych grup, zamiast wykonać odpowiednią delegację. Ignorowanie koncepcji przydziału możliwie najniższych uprawnień jest głównym problemem bezpieczeństwa.

Ochrona obiektów

Administratorzy często spotykają się z sytuacją, gdy użytkownik podczas pracy nad ważnym dokumentem, wcisnął klawisz Delete i usunął plik, a następnie prosił o odzyskanie dokumentu. Idealną opcją w takim przypadku będzie włączenie ochrony obiektów przed przypadkowym usunięciem.

Nieodpowiednie zarządzanie nieużywanymi kontami

Sytuacja, gdy ilość istniejących kont użytkowników w Active Directory jest znacznie większa niż ich rzeczywista liczba, dotyczy większości firm i organizacji. Aktywne konta AD, które nie są aktualnie wykorzystywane to jedno z największych zagrożeń bezpieczeństwa. Koniecznością jest realizacja planu wyłączania i stopniowego usuwania nieużywanych kont użytkowników.

Pozostawienie wszystkich ważnych skryptów w głowie jednego programisty

Błędem wielu organizacji w przypadku zarządzania ważnymi skryptami jest pozostawianie tej wiedzy w głowie jednego programisty. W dobrze zorganizowanej firmie przynajmniej dwóch pracowników powinno rozumieć, posiadać dostęp, tworzyć i modyfikować dowolny skrypt uruchamiany w firmowym środowisku. Zapobiegnie to problemom w sytuacji, gdy z pracy odchodzi jedyna osoba, która tworzyła i zarządzała określonym zestawem autorskich skryptów. W takich wypadkach pomocna może być też dobrze zweryfikowana dokumentacja skryptów i warto dbać by była ona tworzona na bieżąco.

Złe założenia architektury wdrożenia Active Directory

Istnieją firmy, w których struktura Active Directory jest oparta na alfabecie. Przykładowo istnieje 26 głównych poziomów jednostek organizacyjnych OU, każda dla danej litery alfabetu. W ramach każdej jednostki organizacyjnej istnieją funkcyjne OU takie jak Sprzedaż, Marketing, Rozwój, itp, każda replikowana 26 razy. Zarządzanie taką strukturą jest dość skomplikowane, a w rezultacie powoduje to często przydzielanie na wyrost zbyt wysokich uprawnień pracownikom.