Active Directory, będące scentralizowanym systemem w wielu organizacjach, odgrywa kluczową rolę w nadawaniu dostępów i uwierzytelnianiu użytkowników dla większości aplikacji i urządzeń. Na rynku obecny jest od dawna, przez co nie raz był już atakowany przez „złośliwych użytkowników”, którzy próbowali włamać się do niezabezpieczonych środowisk. Kluczowe jest zatem zapewnienie, aby środowisko przygotowane przez administratorów IT było odporne na wszelkiego rodzaju ataku.
Ręczne zarządzanie środowiskiem nie należy do łatwych zadań. Należy posiadać szeroką wiedzę z zakresu administracji środowiskiem IT, aby przy pomocy skryptów Powershell’owych lub innych rozwiązań do zarządzania Active Directory wyciągnąć wszystkie niezbędne dane na temat tego, jaki użytkownik i do jakich urządzeń posiada dostęp. Powstają pytania dotyczące ostatnich zmian haseł użytkowników, ich przynależności do grup AD czy dostępu do udziałów sieciowych. Weryfikacja tych danych, nawet dla pojedynczego konta, może być skomplikowana, a dla setek czy tysięcy użytkowników staje się znaczącym wyzwaniem. Ponadto, istotna jest również kwestia nie tylko weryfikowania takich uprawnień dla wskazanych kont, ale również ich modyfikacja. W przypadku zmiany działu przez użytkownika, zmiany stanowiska, odejścia z organizacji lub dołączenia do niej konieczne jest nadanie odpowiednich uprawnień, aby mógł on bezproblemowo pracować.
Identity Risk Assessment
Warto zatem zaopatrzyć się w rozwiązanie, które pozwoli na szybkie weryfikowanie, jak dokładnie wygląda nasza domena. Pomocnym narzędziem będzie zatem aplikacja ADManager Plus. Jest to rozwiązanie, które posiada około 200 wbudowanych raportów dotyczących Active Directory, gdzie bez problemu zweryfikujemy oraz zmodyfikujemy w czasie rzeczywistym wszystkie uprawnienia użytkowników.
Dodatkowo od niedawna pojawiła się również w aplikacji dodatkowa funkcja, pod nazwą „Identity Risk Assessment”, która na podstawie naszego środowiska automatycznie weryfikuje najbardziej kluczowe miejsca, do których należy zajrzeć, aby poprawić jakość bezpieczeństwa w organizacji.
Zakładka Identity Risk Assessment podzielona jest na cztery główne kategorie:
- Użytkownicy,
- Komputer,
- Grupy,
- GPO.
Każda z powyższych kategorii posiada przygotowane raporty, które oznaczone są również stopniem krytyczności dla naszej organizacji poprzez wartości Low, Medium, High, Critical. Im wyższy stopień zagrożenia posiadamy w poszczególnych kategoriach, tym wyższy wskaźnik procentowy uzyskamy dla całej domeny.
Raporty, które możemy przy pomocy tej zakładki zweryfikować to:
- Privileged users
- Inactive Users
- Disabled Users
- Users with Unchanged Passwords
- Users Never Logged On
- Users with Password Not Required Enabled
- Users whose Password never expires
- Members of Privileged Groups
Non Privileged users
Inactive Users
Disabled Users
Users with Unchanged Passwords
Users Never Logged On
Users with Password Not Required Enabled
Users whose Password never expires
- Computer
Disabled Computers
Inactive Computers
Computers Trusted with Unconstrained Delegation
Computers Running Obsolete OS Versions
Bitlocker Disabled Computers
- Group
- Empty Groups
- Privileged Groups
- Single-membered Groups
- Large Groups
- Large Privileged Groups
Dodatkowo, po wejściu w dowolny raport, mamy możliwość dokładnego przeanalizowania jego opisu, sposobu wpływu na nasze środowisko oraz poznania dobrych praktyk. Pozwala to na zrozumienie, jakie działania należy podjąć, aby wyeliminować dany problem.
Innymi słowy, jeśli organizacja posiada zbędne konta użytkowników, które od dłuższego czasu nie są używane, są wyłączone, ale nadal posiadają uprawnienia, warto wykorzystać automatyzację w ADManagerze Plus. Można wtedy cyklicznie resetować hasła dla takich użytkowników, odbierać im uprawnienia, przenieść do kontenera nieaktywnych kont, a po pewnym czasie usunąć. Podobnie, jeżeli posiadamy w AD grupy, które nie zawierają żadnych użytkowników, GPO, lub komputerów działających na niewspieranych już wersjach systemu, warto zweryfikować przyczyny ich obecności w organizacji i rozważyć ich usunięcie, aby uniknąć potencjalnych ataków osób trzecich.
Jeżeli jesteś zainteresowany podniesieniem bezpieczeństwa swojej organizacji zapraszamy do skorzystania z bezpłatnych testów rozwiązania ADManager Plus.
28.11.2023
Autor: Daniel Kamiński
Kategorie: Aktualności Artykuł
Daniel Kamiński
ME Product Engineer