Contenu
- 1. Traiter avec les groupes imbriqués
- 2. Passage d’ACL à RBAC
- 3. Gestion des ordinateurs
- Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
- 4. Gestion des verrouillages de compte d'utilisateur
- 5. Altitude de permission et fluage de permission
Source: Tmcphotos / Dreamstime.com
À emporter:
Découvrez cinq domaines clés de l’AD qui peuvent nécessiter l’intervention de logiciels tiers.
Il est fort probable que votre environnement Active Directory (AD) soit encore plus critique pour votre entreprise que votre application la plus précieuse ou votre propriété intellectuelle la plus protégée. Active Directory est au cœur de la sécurité de votre réseau, de votre système, de vos utilisateurs et de vos applications. Il régit le contrôle d'accès pour tous les objets et ressources de votre infrastructure informatique et à un coût considérable en ressources humaines et matérielles nécessaires à sa gestion. Et grâce aux éditeurs de logiciels tiers, vous pouvez également ajouter des systèmes Linux, UNIX et Mac OS X au répertoire de ressources gérées d'AD.La gestion de la publicité pour plus de quelques dizaines d'utilisateurs et de groupes devient très pénible. Et l'interface et l'organisation de base de Microsofts ne sont d'aucune aide pour soulager cette douleur. Active Directory n'est pas un outil faible, mais certains de ses aspects laissent les administrateurs rechercher des outils tiers. Cet article explore les principales lacunes administratives des AD.
1. Traiter avec les groupes imbriqués
Croyez-le ou non, il existe en fait de meilleures pratiques associées à la création et à l'utilisation de groupes AD imbriqués. Toutefois, ces meilleures pratiques doivent être tempérées par les restrictions AD intégrées, de sorte que les administrateurs ne soient pas autorisés à étendre les groupes imbriqués à plus d’un niveau. De plus, une restriction visant à empêcher plus d'un groupe imbriqué par groupe existant empêcherait de futurs problèmes de gestion et d'administration.
L'imbrication de plusieurs niveaux de groupe et le fait d'autoriser plusieurs groupes au sein de groupes crée des problèmes complexes d'héritage, contourne la sécurité et ruine les mesures organisationnelles que la gestion de groupe était conçue pour empêcher. Des audits AD périodiques permettront aux administrateurs et aux architectes de réévaluer l’organisation AD et de corriger l’étalement des groupes imbriqués.
Les administrateurs système ont depuis des années le credo «Gérer les groupes, pas les individus», mais la gestion des groupes mène inévitablement à des groupes imbriqués et à des autorisations mal gérées. (En savoir plus sur la sécurité basée sur les rôles de Softerra Adaxes ici.)
2. Passage d’ACL à RBAC
Passer du style de gestion des listes de contrôle d'accès (ACL) centré sur l'utilisateur à la méthode plus entreprise de contrôle d'accès basé sur les rôles (RBAC) semble être une tâche facile. Pas si avec AD. La gestion des ACL est difficile, mais le passage à RBAC n’est pas non plus une marche dans le parc. Le problème des ACL est qu’il n’ya pas d’emplacement central dans AD pour gérer les autorisations, ce qui rend l’administration difficile et coûteuse. Le RBAC tente d'atténuer les autorisations et les échecs d'accès en gérant les autorisations d'accès par rôle plutôt que par utilisateur, mais cette solution est insuffisante en raison de l'absence de gestion centralisée des autorisations. Cependant, aussi pénible que de passer à RBAC est, il est beaucoup mieux que de gérer manuellement les autorisations par utilisateur avec des ACL.
Les listes de contrôle d'accès échouent à l'évolutivité et à la souplesse de gestion, car leur portée est trop large. Les rôles sont également plus précis, car les administrateurs accordent des autorisations en fonction des rôles d'utilisateur. Par exemple, si un nouvel utilisateur dans une agence de presse est un éditeur, elle a alors le rôle d’éditeur tel que défini dans AD. Un administrateur place cet utilisateur dans le groupe d'éditeurs qui lui octroie toutes les autorisations et tous les accès nécessaires aux éditeurs sans l'ajouter à plusieurs autres groupes pour obtenir un accès équivalent.
RBAC définit les autorisations et les restrictions en fonction du rôle ou de la fonction de travail plutôt que d'affecter un utilisateur à plusieurs groupes pouvant disposer d'autorisations plus étendues. Les rôles RBAC sont très spécifiques et ne nécessitent pas d'imbrication ni d'autres complexités ACL pour obtenir de meilleurs résultats, un environnement plus sécurisé et une plateforme de sécurité plus facilement gérée.
3. Gestion des ordinateurs
La gestion de nouveaux ordinateurs, la gestion d’ordinateurs déconnectés du domaine et le fait de tenter quoi que ce soit avec des comptes d’ordinateur incitent les administrateurs à se diriger vers le bar Martini le plus proche - pour le petit-déjeuner.
Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire
Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.
La raison derrière une telle affirmation est qu'il y a 11 mots que vous ne voulez jamais lire sur un écran en tant qu'administrateur Windows: «La relation de confiance entre ce poste de travail et le domaine principal a échoué." Ces mots signifient que vous êtes sur le point de passez plusieurs tentatives et éventuellement plusieurs heures à reconnecter ce poste de travail indiscipliné au domaine. Il est regrettable que le correctif Microsoft standard ne fonctionne pas. Le correctif standard consiste à réinitialiser l’objet compte de l’ordinateur dans Active Directory, à redémarrer le poste de travail et à se croiser les doigts. Les autres solutions de reconnexion sont souvent tout aussi efficaces que les solutions standard, ce qui oblige les administrateurs à créer une nouvelle image du système déconnecté afin de le reconnecter au domaine.
4. Gestion des verrouillages de compte d'utilisateur
Il n’existe aucun correctif en libre-service pour le verrouillage de compte, bien que plusieurs fournisseurs de logiciels tiers aient résolu le problème. Les utilisateurs doivent attendre un certain temps avant de réessayer ou contacter un administrateur pour réinitialiser le compte verrouillé. Réinitialiser un compte verrouillé n’est pas une source de stress pour un administrateur, bien que cela puisse être frustrant pour un utilisateur.
L’une des faiblesses d’AD est que les verrouillages de compte peuvent provenir de sources autres que l’utilisateur qui a saisi un mot de passe incorrect, mais AD ne donne à l’administrateur aucune indication quant à cette origine.
5. Altitude de permission et fluage de permission
Les utilisateurs privilégiés peuvent potentiellement élever leurs privilèges en s'ajoutant à d'autres groupes. Les utilisateurs privilégiés sont ceux qui ont des privilèges élevés, mais qui ont juste assez de pouvoir pour s’ajouter eux-mêmes à des groupes supplémentaires, ce qui leur octroie des privilèges supplémentaires dans Active Directory. Cette faille de sécurité permet à un attaquant interne d’ajouter des privilèges pas à pas, jusqu’à l’existence d’un contrôle étendu sur un domaine, y compris la possibilité de verrouiller d’autres administrateurs. (Éliminez les procédures manuelles gourmandes en ressources dans la gestion des identités Active Directory. Découvrez comment.)
Le fluage des autorisations est une condition qui survient lorsque les administrateurs ne parviennent pas à supprimer les utilisateurs d'un groupe de privilèges particulier lorsque le travail d'un utilisateur est modifié ou lorsqu'un utilisateur quitte l'entreprise. Le fluage des autorisations peut permettre aux utilisateurs d'accéder aux actifs de l'entreprise dont ils n'ont plus besoin. L'élévation des autorisations et le glissement des autorisations créent de graves problèmes de sécurité. Il existe diverses applications tierces pouvant effectuer des audits pour détecter et prévenir ces conditions.
Des petites entreprises aux entreprises globales, Active Directory gère l'authentification des utilisateurs, l'accès aux ressources et la gestion de l'ordinateur. Il s'agit de l'un des éléments les plus précieux de l'infrastructure réseau dans les entreprises. Un outil aussi puissant que Active Directory est doté de nombreuses lacunes. Heureusement, les éditeurs de logiciels non-Microsoft ont étendu les fonctionnalités d’Active Directory, résolu le problème de la conception mal conçue de son interface de gestion, consolidé ses fonctionnalités et corrigé certaines de ses insuffisances les plus criantes.
Ce contenu vous est présenté par notre partenaire, Adaxes.
