Contenido
- 1. Tratar con grupos anidados
- 2. Cambio a RBAC desde ACL
- 3. Administrar computadoras
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- 4. Manejo de bloqueos de cuentas de usuario
- 5. Elevación de permisos y arrastre de permisos
Fuente: Tmcphotos / Dreamstime.com
Para llevar:
Aprenda cinco áreas clave de AD que pueden requerir la intervención de software de terceros.
Posiblemente incluso más crítico para su empresa que su aplicación más valiosa o su propiedad intelectual más protegida es su entorno de Active Directory (AD). Active Directory es fundamental para la seguridad de su red, sistema, usuario y aplicación. Gobierna el control de acceso para todos los objetos y recursos dentro de su infraestructura informática y a un costo considerable en recursos humanos y de hardware necesarios para administrarlo. Y gracias a los proveedores de software de terceros, también puede agregar sistemas Linux, UNIX y Mac OS X al repertorio de recursos administrados de AD.Administrar AD para más de unas pocas docenas de usuarios y grupos se vuelve muy doloroso. Y la interfaz básica y la organización de Microsofts no ayudan a aliviar ese dolor. Active Directory no es una herramienta débil, pero hay aspectos que dejan a los administradores buscando herramientas de terceros. Esta pieza explora las principales deficiencias administrativas de AD.
1. Tratar con grupos anidados
Lo creas o no, en realidad hay mejores prácticas asociadas con la creación y el uso de grupos AD anidados. Sin embargo, esas mejores prácticas deben atenuarse mediante restricciones AD incorporadas, de modo que los administradores no puedan extender grupos anidados a más de un nivel. Además, una restricción para evitar más de un grupo anidado por grupo existente evitaría que surjan problemas administrativos y de limpieza futuros.
Anidar múltiples niveles de grupo y permitir múltiples grupos dentro de los grupos crea complejos problemas de herencia, evita la seguridad y arruina las medidas organizativas que la administración del grupo fue diseñada para evitar. Las auditorías periódicas de AD permitirán a los administradores y arquitectos reevaluar la organización de AD y corregir la expansión grupal anidada.
Los administradores del sistema han tenido el credo de "Administrar grupos, no individuos" en sus cerebros durante años, pero la administración de grupos inevitablemente conduce a grupos anidados y permisos mal administrados. (Obtenga información sobre la seguridad basada en roles de Softerra Adaxes aquí).
2. Cambio a RBAC desde ACL
Cambiar de un estilo de administración de AD de listas de control de acceso centrado en el usuario (ACL) al método más empresarial de control de acceso basado en roles (RBAC) parece que sería una tarea fácil. No es así con AD. Administrar ACL es difícil, pero cambiar a RBAC tampoco es un paseo por el parque. El problema con las ACL es que no hay una ubicación central en AD para administrar los permisos, lo que hace que la administración sea desafiante y costosa. RBAC intenta mitigar los permisos y las fallas de acceso manejando los permisos de acceso por rol en lugar de por individuo, pero aún se queda corto debido a la falta de administración de permisos centralizada. Pero, a pesar de lo doloroso que es pasar a RBAC, es mucho mejor que administrar manualmente los permisos por usuario con ACL.
Las ACL fallan en la escalabilidad y la capacidad de administración ágil porque tienen un alcance demasiado amplio. Los roles, alternativamente, son más precisos porque los administradores otorgan permisos basados en roles de usuario. Por ejemplo, si un nuevo usuario en una agencia de noticias es un editor, entonces ella tiene el rol de Editor como se define en AD. Un administrador coloca a ese usuario en el Grupo de Editores que le otorga todos los permisos y el acceso que los Editores requieren sin agregar al usuario a varios otros grupos para obtener un acceso equivalente.
RBAC define permisos y restricciones en función del rol o la función de trabajo en lugar de asignar un usuario a varios grupos que podrían tener permisos más amplios. Los roles de RBAC son muy específicos y no requieren anidamiento u otras complejidades de ACL para lograr mejores resultados, un entorno más seguro y una plataforma de seguridad más fácil de administrar.
3. Administrar computadoras
Administrar nuevas computadoras, administrar computadoras que se han desconectado del dominio e intentar hacer algo con las cuentas de las computadoras hace que los administradores quieran ir al bar Martini más cercano, para el desayuno.
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
La razón detrás de una afirmación tan dramática es que hay 11 palabras que nunca querrás leer en una pantalla como administrador de Windows: "La relación de confianza entre esta estación de trabajo y el dominio primario falló". Estas palabras significan que estás a punto de Pasar múltiples intentos y posiblemente varias horas reconectando esta estación de trabajo caprichosa al dominio. Es lamentable que la solución estándar de Microsoft no funcione. La solución estándar consiste en restablecer el objeto de la cuenta de la computadora en Active Directory, reiniciar la estación de trabajo y cruzar los dedos. Otros remedios de reinstalación suelen ser tan efectivos como el estándar, lo que hace que los administradores vuelvan a crear una imagen del sistema desconectado para volver a conectarlo al dominio.
4. Manejo de bloqueos de cuentas de usuario
No hay una solución de autoservicio para los bloqueos de cuentas, aunque varios proveedores de software de terceros han resuelto el problema. Los usuarios tienen que esperar un período de tiempo antes de volver a intentarlo o ponerse en contacto con un administrador para restablecer la cuenta bloqueada. Restablecer una cuenta bloqueada no es un punto de estrés para un administrador, aunque puede resultar frustrante para un usuario.
Una de las deficiencias de AD es que los bloqueos de cuentas pueden originarse en fuentes que no sean un usuario que ingresa una contraseña incorrecta, pero AD no le da al administrador ninguna pista sobre ese origen.
5. Elevación de permisos y arrastre de permisos
Existe la posibilidad de que los usuarios privilegiados eleven aún más sus privilegios agregándose a otros grupos. Los usuarios privilegiados son aquellos que tienen algunos privilegios elevados, pero que tienen la autoridad suficiente para agregarse a grupos adicionales, lo que les otorga privilegios adicionales en Active Directory. Esta falla de seguridad permite que un atacante interno agregue privilegios de manera gradual hasta que exista un control extenso sobre un dominio, incluida la capacidad de bloquear a otros administradores. (Elimine los procedimientos manuales que consumen recursos en Active Directory Identity Management. Obtenga información aquí).
El arrastre de permisos es una condición que ocurre cuando los administradores no eliminan a los usuarios de un grupo de privilegios particular cuando el trabajo de un usuario cambia o cuando un usuario abandona la empresa. El arrastre de permisos puede permitir a los usuarios acceder a activos corporativos para los cuales el usuario ya no los necesita. La elevación de permisos y el desplazamiento de permisos crean serios problemas de seguridad. Existen varias aplicaciones de terceros que pueden realizar auditorías para detectar y prevenir estas condiciones.
Desde pequeñas empresas hasta empresas globales, Active Directory maneja la autenticación de usuarios, el acceso a recursos y la administración de computadoras. Es una de las piezas de infraestructura de red más valoradas en los negocios de hoy. Una herramienta tan poderosa como Active Directory es, tiene muchas deficiencias. Afortunadamente, los proveedores de software que no son de Microsoft ampliaron las características de Active Directory, resolvieron su diseño de interfaz de administración mal concebido, consolidaron su funcionalidad y resolvieron algunas de sus deficiencias más evidentes.
Nuestro socio Adaxes le ofrece este contenido.
