28.11.2023

Autor: Daniel Kamiński

Kategorie: Aktualności, Artykuł

Active Directory, będące scentralizowanym systemem w wielu organizacjach, odgrywa kluczową rolę w nadawaniu dostępów i uwierzytelnianiu użytkowników dla większości aplikacji i urządzeń. Na rynku obecny jest od dawna, przez co nie raz był już atakowany przez „złośliwych użytkowników, którzy próbowali włamać się do niezabezpieczonych środowisk. Kluczowjest zatem zapewnienie, aby środowisko przygotowane przez administratorów IT było odporne na wszelkiego rodzaju ataku. 

 

Ręczne zarządzanie środowiskiem nie należy do łatwych zadań. Należy posiadać szeroką wiedzę z zakresu administracji środowiskiem IT, aby przy pomocy skryptów Powershellowych lub innych rozwiązań do zarządzania Active Directory wyciągnąć wszystkie niezbędne dane na temat tego, jaki użytkownik i do jakich urządzeń posiada dostęp. Powstają pytania dotyczące ostatnich zmian haseł użytkowników, ich przynależności do grup AD czy dostępu do udziałów sieciowych. Weryfikacja tych danych, nawet dla pojedynczego konta, może być skomplikowana, a dla setek czy tysięcy użytkowników staje się znaczącym wyzwaniem. Ponadto, istotna jest również kwestia nie tylko weryfikowania takich uprawnień dla wskazanych kont, ale również ich modyfikacja. W przypadku zmiany działu przez użytkownika, zmiany stanowiska, odejścia z organizacji lub dołączenia do niej konieczne jest nadanie odpowiednich uprawnień, aby mógł on bezproblemowo pracować. 

Identity Risk Assessment

Warto zatem zaopatrzyć się w rozwiązanie, które pozwoli na szybkie weryfikowanie, jak dokładnie wygląda nasza domena. Pomocnym narzędziem będzie zatem aplikacja ADManager Plus. Jest to rozwiązanie, które posiada około 200 wbudowanych raportów dotyczących Active Directory, gdzie bez problemu zweryfikujemy oraz zmodyfikujemy w czasie rzeczywistym wszystkie uprawnienia użytkowników. 

 

Dodatkowo od niedawna pojawiła się również w aplikacji dodatkowa funkcja, pod nazwą „Identity Risk Assessment, która na podstawie naszego środowiska automatycznie weryfikuje najbardziej kluczowe miejsca, do których należy zajrzeć, aby poprawić jakość bezpieczeństwa w organizacji. 

 

Screen systemu - ADManager Plus 1

Zakładka Identity Risk Assessment podzielona jest na cztery główne kategorie: 

  • Użytkownicy,
  • Komputer,
  • Grupy,
  • GPO.

 

Każda z powyższych kategorii posiada przygotowane raporty, które oznaczone są również stopniem krytyczności dla naszej organizacji poprzez wartości Low, Medium, High, Critical. Im wyższy stopień zagrożenia posiadamy w poszczególnych kategoriach, tym wyższy wskaźnik procentowy uzyskamy dla całej domeny.

 

Raporty, które możemy przy pomocy tej zakładki zweryfikować to: 

  • Privileged users
    • Inactive Users
    • Disabled Users
    • Users with Unchanged Passwords
    • Users Never Logged On
    • Users with Password Not Required Enabled
    • Users whose Password never expires
    • Members of Privileged Groups
  • Non Privileged users

    • Inactive Users

    •  Disabled Users

    • Users with Unchanged Passwords

    • Users Never Logged On

    • Users with Password Not Required Enabled

    • Users whose Password never expires

  • Computer
    • Disabled Computers

    • Inactive Computers

    • Computers Trusted with Unconstrained Delegation

    • Computers Running Obsolete OS Versions

    • Bitlocker Disabled Computers

  • Group
    • Empty Groups
    • Privileged Groups
    • Single-membered Groups
    • Large Groups
    • Large Privileged Groups

Dodatkowo, po wejściu w dowolny raport, mamy możliwość dokładnego przeanalizowania jego opisu, sposobu wpływu na nasze środowisko oraz poznania dobrych praktyk. Pozwala to na zrozumienie, jakie działania należy podjąć, aby wyeliminować dany problem. 

 

Screen systemu - ADManager Plus 2

 

Innymi słowy, jeśli organizacja posiada zbędne konta użytkowników, które od dłuższego czasu nie są używane, są wyłączone, ale nadal posiadają uprawnienia, warto wykorzystać automatyzację w ADManagerze Plus. Można wtedy cyklicznie resetować hasła dla takich użytkowników, odbierać im uprawnienia, przenieść do kontenera nieaktywnych kont, a po pewnym czasie usunąć. Podobnie, jeżeli posiadamy w AD grupy, które nie zawierają żadnych użytkowników, GPO, lub komputerów działających na niewspieranych już wersjach systemu, warto zweryfikować przyczyny ich obecności w organizacji i rozważyć ich usunięcie, aby uniknąć potencjalnych ataków osób trzecich. 

 

Jeżeli jesteś zainteresowany podniesieniem bezpieczeństwa swojej organizacji zapraszamy do skorzystania z bezpłatnych testów rozwiązania ADManager Plus. 

 

28.11.2023

Autor: Daniel Kamiński

Kategorie: Aktualności Artykuł

Daniel Kamiński

Daniel Kamiński

ME Product Engineer

Pasjonat informatyki, dzięki czemu stale rozszerza swoją wiedzę w tym zakresie. Śledzi coraz to nowsze informacje na temat nowych technologii. W MWTSolutions odpowiedzialny za wdrażanie oprogramowania od ManageEngine z zakresu AD, bezpieczeństwa oraz monitoringu. W wolynch chwilach spędza czas na udoskonalaniu umiejętności związanych z IT, które następnie wykorzystuje wraz z produktami ManageEngine do wzbogacenia rozwiązania końcowego do klienta.

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: