Contente
- 1. Lidando com grupos aninhados
- 2. Mudando para RBAC de ACLs
- 3. Gerenciando computadores
- Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
- 4. Tratamento de bloqueios de conta de usuário
- 5. Elevação de permissão e fluência de permissão
Fonte: Tmcphotos / Dreamstime.com
Leve embora:
Aprenda cinco áreas principais do AD que podem exigir intervenção de software de terceiros.
Possivelmente ainda mais crítico para sua empresa do que seu aplicativo mais valioso ou sua propriedade intelectual mais protegida é o ambiente do Active Directory (AD). O Active Directory é fundamental para a segurança da sua rede, sistema, usuário e aplicativo. Ele controla o controle de acesso para todos os objetos e recursos em sua infraestrutura de computação e a um custo considerável em recursos humanos e de hardware necessários para gerenciá-lo. E graças a fornecedores de software de terceiros, você também pode adicionar sistemas Linux, UNIX e Mac OS X ao repertório de recursos gerenciados do AD.Gerenciar o AD para mais de algumas dezenas de usuários e grupos se torna muito doloroso. E a interface e organização básica da Microsofts não ajudam a aliviar essa dor. O Active Directory não é uma ferramenta fraca, mas há aspectos que deixam os administradores procurando ferramentas de terceiros. Esta peça explora as principais deficiências administrativas dos anúncios.
1. Lidando com grupos aninhados
Acredite ou não, na verdade existem práticas recomendadas associadas à criação e uso de grupos aninhados do AD. No entanto, essas práticas recomendadas devem ser atenuadas pelas restrições internas do AD, para que os administradores não tenham permissão para estender grupos aninhados para mais de um nível. Além disso, uma restrição para impedir que mais de um grupo aninhado por grupo existente impediria que futuros problemas de limpeza e administração surgissem.
Aninhar vários níveis de grupo e permitir vários grupos dentro de grupos cria problemas complexos de herança, ignora a segurança e destrói as medidas organizacionais que o gerenciamento de grupo foi projetado para impedir. As auditorias periódicas do AD permitirão que administradores e arquitetos reavaliem a organização do AD e corrijam a expansão do grupo aninhado.
Os administradores de sistema têm o credo "Gerenciar grupos, não indivíduos", embebido em seus cérebros há anos, mas o gerenciamento de grupos inevitavelmente leva a grupos aninhados e permissões mal gerenciadas. (Saiba mais sobre a segurança baseada em funções do Softerra Adaxes aqui.)
2. Mudando para RBAC de ACLs
Mudar de um estilo de gerenciamento AD de listas de controle de acesso centradas no usuário (ACLs) para o método mais corporativo de controle de acesso baseado em função (RBAC) parece ser uma tarefa fácil. Não é assim com o AD. Gerenciar ACLs é difícil, mas mudar para o RBAC também não é uma tarefa fácil. O problema com as ACLs é que não há um local central no AD para gerenciar permissões, o que torna a administração desafiadora e cara. O RBAC tenta mitigar permissões e falhas de acesso manipulando permissões de acesso por função e não por indivíduo, mas ainda fica aquém devido à falta de gerenciamento centralizado de permissões. Mas, por mais doloroso que seja a mudança para o RBAC, é muito melhor do que gerenciar manualmente as permissões por usuário com ACLs.
As ACLs falham na escalabilidade e no gerenciamento ágil porque são muito amplos no escopo. As funções, alternativamente, são mais precisas porque os administradores concedem permissões com base nas funções do usuário. Por exemplo, se um novo usuário em uma agência de notícias for um editor, ele terá o papel de Editor, conforme definido no AD. Um administrador coloca esse usuário no grupo de editores que concede a ela todas as permissões e acesso que os editores exigem sem adicionar o usuário a vários outros grupos para obter acesso equivalente.
O RBAC define permissões e restrições com base na função ou função do trabalho, em vez de atribuir um usuário a vários grupos que podem ter permissões mais amplas. As funções do RBAC são muito específicas e não requerem aninhamento ou outras complexidades da ACL para obter melhores resultados, um ambiente mais seguro e uma plataforma de segurança gerenciada com mais facilidade.
3. Gerenciando computadores
Gerenciar novos computadores, gerenciar computadores que foram desconectados do domínio e tentar fazer qualquer coisa com contas de computador faz com que os administradores desejem ir para a barra Martini mais próxima - para tomar café da manhã.
Sem erros, sem estresse - seu guia passo a passo para criar software que muda vidas sem destruir sua vida
Você não pode melhorar suas habilidades de programação quando ninguém se importa com a qualidade do software.
A razão por trás de uma afirmação tão dramática é que existem 11 palavras que você nunca deseja ler na tela como administrador do Windows: “A relação de confiança entre esta estação de trabalho e o domínio principal falhou.” Essas palavras significam que você está prestes a gaste várias tentativas e possivelmente várias horas reconectando esta estação de trabalho rebelde ao domínio. É lamentável que a correção padrão da Microsoft não funcione. A correção padrão consiste em redefinir o objeto de conta do computador no Active Directory, reiniciar a estação de trabalho e cruzar os dedos. Outros remédios de recolocação são geralmente tão eficazes quanto o padrão, fazendo com que os administradores reimagem o sistema desconectado para reconectá-lo ao domínio.
4. Tratamento de bloqueios de conta de usuário
Não há correção de autoatendimento para bloqueios de conta, embora vários fornecedores de software de terceiros tenham resolvido o problema. Os usuários precisam aguardar um período antes de tentar novamente ou entrar em contato com um administrador para redefinir a conta bloqueada. Redefinir uma conta bloqueada não é um ponto estressante para um administrador, embora possa ser frustrante para um usuário.
Uma das deficiências do AD é que os bloqueios de conta podem se originar de outras fontes que não um usuário digitando uma senha incorreta, mas o AD não fornece ao administrador nenhuma dica sobre essa origem.
5. Elevação de permissão e fluência de permissão
Existe um potencial para usuários privilegiados aumentarem ainda mais seus privilégios, adicionando-se a outros grupos. Usuários privilegiados são aqueles que possuem privilégios elevados, mas que possuem autoridade suficiente para se adicionar a grupos adicionais, o que lhes concede privilégios adicionais no Active Directory. Essa falha de segurança permite que um invasor interno adicione privilégios passo a passo até que exista um amplo controle sobre um domínio, incluindo a capacidade de bloquear outros administradores. (Elimine procedimentos manuais que consomem recursos no Gerenciamento de Identidade do Active Directory. Saiba como aqui.)
A subida de permissão é uma condição que ocorre quando os administradores não conseguem remover usuários de um grupo de privilégios específico quando o trabalho de um usuário é alterado ou quando um usuário sai da empresa. A subida de permissão pode permitir que os usuários acessem ativos corporativos dos quais o usuário não precisa mais. A elevação e a subida de permissão criam sérias preocupações de segurança. Existem vários aplicativos de terceiros que podem executar auditorias para detectar e impedir essas condições.
Desde pequenas empresas a empresas globais, o Active Directory lida com autenticação de usuários, acesso a recursos e gerenciamento de computadores. É uma das partes mais valorizadas da infraestrutura de rede nos negócios atualmente. Por mais poderosa que seja a ferramenta do Active Directory, ela tem muitas falhas. Felizmente, os fornecedores de software que não pertencem à Microsoft ampliaram os recursos do Active Directory, resolveram seu design de interface de gerenciamento mal concebido, consolidaram sua funcionalidade e massagearam algumas de suas inadequações mais flagrantes.
Este conteúdo é trazido a você por nosso parceiro, Adaxes.
