Jak zapobiegać błędom w zarządzaniu Active Directory
- Kamil Folga,
- 20.10.2014, godz. 09:00
Zarządzanie uprawnieniami użytkowników w Windows, oznacza wiele wyzwań dla administratorów. Dotyczy to szczególnie utrzymania poprawnej ochrony informacji oraz bezpieczeństwa pracy użytkowników. A często zagrożenia stwarzają sami administratorzy Active Directory. Jakie są najczęściej popełniane przez nich błędy i jak można je wyeliminować.
Poważne zagrożenia mogą zostać zainicjowane przez użytkowników posiadających odpowiednie uprawnienia, a jednocześnie kierujących się złymi intencjami. Ale często zagrożenia nieświadomie tworzą administratorzy zarządzający Active Directory (AD). Niżej prezentujemy najczęściej popełniane błędy w zarządzaniu systemem AD.
Konta z podwyższonymi uprawnieniami
Bardzo czesto można spotkać się z sytuacją, gdy konta wykorzystywane do standardowej pracy codziennej, stanowią jednocześnie konta o podwyższonych uprawnieniach. Większość organizacji zapobiega takim błędom poprzez przydzielenie określonemu użytkownikowi konta o podwyższonych uprawnieniach – przykładowo administratora domeny – a jednoczesnie normalnego konta do logowania się w trybie pracy codziennej. Powodem separacji jest zapobieganie problemom bezpieczeństwa związanym przykładowo z atakiem phishing, podczas logowania się do konta z podwyższonymi uprawnieniami.
Pomimo zwiększenia poziomu elastyczności delegowania uprawnień w Active Directory, część administratorów od czasu Windows NT - czyli 14 lat - wciąż dodaje użytkowników do zbyt uprzywilejowanych grup, zamiast wykonać odpowiednią delegację. Ignorowanie koncepcji przydziału możliwie najniższych uprawnień jest głównym problemem bezpieczeństwa.
Ochrona obiektów
Administratorzy często spotykają się z sytuacją, gdy użytkownik podczas pracy nad ważnym dokumentem, wcisnął klawisz Delete i usunął plik, a następnie prosił o odzyskanie dokumentu. Idealną opcją w takim przypadku będzie włączenie ochrony obiektów przed przypadkowym usunięciem.
Nieodpowiednie zarządzanie nieużywanymi kontami
Sytuacja, gdy ilość istniejących kont użytkowników w Active Directory jest znacznie większa niż ich rzeczywista liczba, dotyczy większości firm i organizacji. Aktywne konta AD, które nie są aktualnie wykorzystywane to jedno z największych zagrożeń bezpieczeństwa. Koniecznością jest realizacja planu wyłączania i stopniowego usuwania nieużywanych kont użytkowników.
Pozostawienie wszystkich ważnych skryptów w głowie jednego programisty
Błędem wielu organizacji w przypadku zarządzania ważnymi skryptami jest pozostawianie tej wiedzy w głowie jednego programisty. W dobrze zorganizowanej firmie przynajmniej dwóch pracowników powinno rozumieć, posiadać dostęp, tworzyć i modyfikować dowolny skrypt uruchamiany w firmowym środowisku. Zapobiegnie to problemom w sytuacji, gdy z pracy odchodzi jedyna osoba, która tworzyła i zarządzała określonym zestawem autorskich skryptów. W takich wypadkach pomocna może być też dobrze zweryfikowana dokumentacja skryptów i warto dbać by była ona tworzona na bieżąco.
Złe założenia architektury wdrożenia Active Directory
Istnieją firmy, w których struktura Active Directory jest oparta na alfabecie. Przykładowo istnieje 26 głównych poziomów jednostek organizacyjnych OU, każda dla danej litery alfabetu. W ramach każdej jednostki organizacyjnej istnieją funkcyjne OU takie jak Sprzedaż, Marketing, Rozwój, itp, każda replikowana 26 razy. Zarządzanie taką strukturą jest dość skomplikowane, a w rezultacie powoduje to często przydzielanie na wyrost zbyt wysokich uprawnień pracownikom.