İçerik
- 1. Yuvalanmış Gruplarla İlişkiler
- 2. ACL'lerden RBAC'a geçiş
- 3. Bilgisayarları Yönetme
- Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
- 4. Kullanıcı Hesabı Kilitlemelerinin Kullanılması
- 5. İzin Yükselmesi ve İzin Sürünmesi
Kaynak: Tmcphotos / Dreamstime.com
Paket servisi:
Üçüncü taraf yazılım müdahalesi gerektirebilecek beş temel AD alanı öğrenin.
İşletmeniz için en değerli uygulamanızdan ya da en korunan fikri mülkünüzden bile çok daha kritik olanı, Active Directory (AD) ortamınızdır. Active Directory, ağ, sistem, kullanıcı ve uygulama güvenliğinin merkezindedir. Bilgi işlem altyapınızdaki tüm nesneler ve kaynaklar için ve kontrolü yönetmek için gereken hem insan hem de donanım kaynaklarında önemli bir maliyetle erişim kontrolünü yönetir. Üçüncü taraf yazılım satıcıları sayesinde, AD’nin yönetilen kaynak repertuarına Linux, UNIX ve Mac OS X sistemleri de ekleyebilirsiniz.AD'yi birkaç düzineden fazla kullanıcı ve grup için yönetmek çok acı vericidir. Microsofts'un temel arayüzü ve organizasyonu bu acıyı hafifletmek için yardımcı olmaz. Active Directory zayıf bir araç değildir, ancak yöneticileri üçüncü taraf araçları aramaya bırakan bazı yönler vardır. Bu parça, AD’lerin üst düzey idari eksikliklerini araştırıyor.
1. Yuvalanmış Gruplarla İlişkiler
İster inanın ister inanmayın, aslında iç içe AD grupları oluşturma ve kullanma ile ilgili en iyi yöntemler vardır. Bununla birlikte, bu en iyi uygulamalar yerleşik AD kısıtlamaları ile sağlanmalıdır, böylece yöneticilerin yuvalanmış grupları tek bir düzeye kadar uzatmalarına izin verilmez. Ek olarak, mevcut grup başına birden fazla iç içe geçmiş grubun önlenmesine yönelik bir kısıtlama gelecekteki ev temizliği ve idari sorunların ortaya çıkmasını önleyecektir.
Birden fazla grup seviyesinin iç içe geçmesi ve gruplar içinde birden fazla gruba izin verilmesi karmaşık kalıtım problemleri yaratır, güvenliği atlar ve grup yönetiminin önlemek için tasarlandığı kurumsal önlemleri bozar. Periyodik AD denetimleri, yöneticilerin ve mimarların AD organizasyonunu yeniden değerlendirmelerini ve iç içe geçmiş grup dağılımını düzeltmelerini sağlar.
Sistem yöneticileri “bireyleri değil, grupları yönet” ehliyetlerini yıllarca beyinlerine döktüler, ancak grup yönetimi kaçınılmaz olarak iç içe geçmiş gruplara ve kötü yönetilen izinlere yol açtı. (Softerra Adaxes'in rol tabanlı güvenliğini buradan öğrenin.)
2. ACL'lerden RBAC'a geçiş
Kullanıcı merkezli bir erişim kontrol listelerinden (ACL'ler) AD yönetim tarzından, rol tabanlı erişim kontrolünün (RBAC) daha kurumsal yöntemine geçiş yapmak kolay bir iş gibi görünüyor. AD ile öyle değil. ACL'leri yönetmek zordur, ancak RBAC'a geçmek de parkta yürüyemez. ACL'lerin sorunu, AD'de izinleri yönetmek için merkezi bir konum bulunmaması ve bu da yönetimi zor ve pahalı kılmaktadır. RBAC, erişim izinlerini bireysel yerine rol alarak ele alarak izinleri ve erişim başarısızlıklarını azaltmaya çalışır, ancak merkezi izin yönetimi eksikliği nedeniyle hala yetersiz kalmaktadır. Ancak, RBAC’e geçiş yapmak ne kadar acı verici olursa olsun, ACL’lerde kullanıcı başına izinleri elle yönetmekten çok daha iyidir.
ACL'ler ölçeklenebilirlik ve çevik yönetilebilirlikten başarısızdır, çünkü kapsam açısından çok geniştirler. Alternatif olarak, roller daha hassastır, çünkü yöneticiler kullanıcı rollerine dayanarak izinler verir. Örneğin, bir haber ajansındaki yeni bir kullanıcı editör ise, AD'de tanımlandığı şekilde Editör rolüne sahiptir. Bir yönetici, eşdeğer erişim elde etmek için kullanıcıyı birden çok gruba eklemeden, Editörlerin istediği tüm izinlerini ve erişimini veren bu kullanıcıyı Editors Group'a yerleştirir.
RBAC, kullanıcıyı daha geniş izinlere sahip olabilecek birden fazla gruba atamak yerine, rol veya iş işlevine dayanan izinleri ve kısıtlamaları tanımlar. RBAC rolleri çok özeldir ve daha iyi sonuçlar, daha güvenli bir ortam ve daha kolay yönetilen bir güvenlik platformu elde etmek için yuvalanma veya diğer ACL karmaşıklıklarına gerek duymaz.
3. Bilgisayarları Yönetme
Yeni bilgisayarları yönetmek, etki alanıyla bağlantısı kesilen bilgisayarları yönetmek ve bilgisayar hesaplarıyla herhangi bir şey yapmaya çalışmak, yöneticilerin kahvaltı için en yakın Martini barına gitmelerini istemektedir.
Hata Yok, Stres Yok - Hayatınızı Yok Etmeden Hayat Değiştiren Yazılım Yaratma Adım Adım Kılavuzunuz
Hiç kimse yazılım kalitesiyle ilgilenmediğinde programlama becerilerinizi geliştiremezsiniz.
Böylesine çarpıcı bir iddianın ardındaki neden, Windows Yönetici olarak ekranda okumak istemediğiniz 11 kelimenin bulunmamasıdır: “Bu iş istasyonu ile birincil etki alanı arasındaki güven ilişkisi başarısız oldu.” bu doğru iş istasyonunu etki alanına yeniden bağlamak için birden fazla deneme ve muhtemelen birden fazla saat harcayın. Standart Microsoft düzeltmesinin işe yaramaması ne yazık ki. Standart düzeltme, bilgisayarın hesap nesnesini Active Directory'de sıfırlamak, iş istasyonunu yeniden başlatmak ve parmaklarını geçmekten ibarettir. Diğer yeniden bağlama ilaçları genellikle standart kadar etkilidir ve bu da yöneticilerin bağlantısız sistemi yeniden etki alanına tekrar bağlamak için yeniden kurmalarına neden olur.
4. Kullanıcı Hesabı Kilitlemelerinin Kullanılması
Birkaç üçüncü taraf yazılım satıcısı sorunu çözmesine rağmen, hesap kilitlemeleri için self-servis düzeltmesi yoktur. Kullanıcıların tekrar denemeden önce bir süre beklemesi veya kilitli hesabı sıfırlamak için bir yöneticiyle iletişim kurması gerekir. Kilitli bir hesabı sıfırlamak, bir kullanıcı için sinir bozucu olmasına rağmen, yönetici için bir stres noktası değildir.
AD’nin eksikliklerinden biri, hesap kilitlemelerinin bir kullanıcının yanlış şifre girmesi dışındaki kaynaklardan gelebileceği, ancak AD yöneticisine bu kökene ilişkin herhangi bir ipucu vermediği.
5. İzin Yükselmesi ve İzin Sürünmesi
Ayrıcalıklı kullanıcıların, kendilerini diğer gruplara ekleyerek ayrıcalıklarını daha da yükseltebilecekleri bir potansiyel var. Ayrıcalıklı kullanıcılar, bazı yüksek ayrıcalıklara sahip olan, ancak kendilerini ek gruplara eklemeye yetecek yetkiye sahip olan ve bu kullanıcılara Active Directory'de ek ayrıcalıklar sağlayan kullanıcılar. Bu güvenlik açığı, bir iç saldırganın, diğer yöneticileri kilitleme yeteneği de dahil olmak üzere bir etki alanı üzerinde kapsamlı bir kontrol mevcut olana kadar adım adım ayrıcalıklar eklemesini sağlar. (Active Directory Kimlik Yönetimi'ndeki kaynak tüketen manuel prosedürleri kaldırın. Burada nasıl olduğunu öğrenin.)
İzin kayması, yöneticiler, bir kullanıcının işi değiştiğinde veya bir kullanıcı şirketten ayrıldığında kullanıcıları belirli bir ayrıcalık grubundan kaldıramadığında ortaya çıkan bir durumdur. İzin kayması, kullanıcının artık ihtiyacı olmayan kurumsal varlıklara erişmesine izin verebilir. İzin yükseltme ve izin sürünmesi hem ciddi güvenlik kaygıları yaratır. Bu koşulları tespit etmek ve önlemek için denetimlerde bulunabilecek çeşitli üçüncü taraf uygulamaları mevcuttur.
Küçük şirketlerden küresel şirketlere kadar Active Directory, kullanıcı kimlik doğrulamasını, kaynaklara erişimi ve bilgisayar yönetimini yönetir. Bugün iş dünyasında en değerli ağ altyapısı parçalarından biridir. Active Directory kadar güçlü bir araç olduğu gibi, birçok eksiklikleri de var. Neyse ki, Microsoft'a ait olmayan yazılım satıcıları Active Directory'nin özelliklerini genişletti, kötü tasarlanmış yönetim arayüz tasarımını çözdü, işlevselliğini pekiştirdi ve daha göze batan yetersizliklerinden bazılarına masaj yaptı.
Bu içerik size ortağımız Adaxes tarafından sunulmaktadır.
