Active-Directory-(AD-)Administratoren obliegen zahlreiche unterschiedliche Aufgaben; dazu zählt auch die Absicherung der Active-Directory-Daten. Die Konfiguration der richtigen AD-Sperrrichtlinie ist essenziell, da so der Sicherheitsstatus des gesamten Unternehmens gestärkt wird. Bedrohungen wie Brute-Force-Angriffe werden im Rahmen gehalten. Die Sicherung der AD-Daten kann man durchaus als eine der schwierigsten Aufgaben überhaupt betrachten, da Identifizierung und Beseitigung sämtlicher möglicher Sicherheitslücken dazu zählen. Wenn lediglich native Tools oder PowerShell zur Verfügung stehen, nehmen die Herausforderungen bei solchen Aufgaben noch weiter zu.
Bezüglich AD-Benutzerkonten könnten sich gesperrte Benutzer und inaktive Benutzerkonten hier als potentielle Datensicherheitslücke erweisen. Denn diese stellen für Personen mit Schädigungsabsicht keine Hürde dar. Zur Aufdeckung verdächtiger Aktivitäten sollte die Häufigkeit einer Kontosperrung stets im Auge behalten werden.
Besonders in mittelgroßen bis großen Unternehmen geschehen AD-Kontosperrungen meist aus den folgenden Gründen:
Aus all diesen Gründen verbraucht die Verwaltung der AD-Kontensperrungen einen großen Teil der Adminzeit. ManageEngine ADManager Plus erleichtert Ihnen diese Arbeit durch die Isolierung inaktiver Benutzerkonten in Ihrem AD. Das Produkt arbeitet mit mehreren vordefinierten Berichten, mithilfe derer Sie tiefgreifende Einblicke in die Status- und Anmeldedaten der Benutzerkonten erhalten. Die Berichte umfassen unter anderem:
Mit diesen Berichten können Sie ganz leicht sämtliche AD-Inventarobjekte auf die Einhaltung aufsichtrechtlicher Audit-Vorgaben hin überprüfen.
- Jacinto Godinho. Administrator, Qualitätssicherung und IT-Sicherheit.
Al-Ahli Bank of Kuwait.
Probieren Sie sämtliche ADManager-Plus-Berichte mit einem kostenlosen Download der Probeversion aus, die Ihnen Vollzugriff auf sämtliche Berichte und Managementfunktionen unseres webbasierten Management- und Reporting-Tool für Active Directory bietet.
Der AD-Bericht zu gesperrten Benutzern zeigt Details zu allen AD-Benutzerkonten an, die gesperrt wurden, da die maximal zulässige Anzahl ungültiger Anmeldungen überschritten wurde, wie in der Domänensperrungsrichtlinie festgelegt. Dieser Bericht enthält Daten wie Uhrzeit der Sperrung, Anzahl falscher Passworteingaben und mehr zu Remote- und konventionellen Benutzeranmeldungen. Der Bericht zu gesperrten Benutzern wird durch Abfrage des Benutzerattributs lockoutTime sowie Prüfung der Kontosperrungsrichtlinie der Domäne erzeugt. Diese Daten liefern Angaben zur Aussperrungsdauer, also zum Zeitraum, über den das Konto bis zur automatischen Wiederfreigabe oder manuellen Freigabe durch den Administrator gesperrt bleibt.
Mit dem Bericht können Sie erkennen, ob die Sperrungen einfach auf Fehler von Mitarbeitern zurückzuführen waren oder ob in der Umgebung böswillige Anmeldeversuche aufgetreten sind. Dieser Bericht unterstützt Sie außerdem bei der Einhaltung der Compliance-Anforderungen SOX und HIPAA hinsichtlich der Überwachung gesperrter Benutzerkonten.
Der Bericht zu inaktiven Benutzern zeigt eine Liste mit Active-Directory-Nutzern, die sich eine bestimmte Zeit lang (N Tage) nicht angemeldet haben. Der Bericht zu inaktiven Benutzern beruht auf dem Benutzerattribut lastlogon. Zur präzisen Datenermittlung wird die letzte Anmeldungszeit von sämtlichen konfigurierten Domänencontrollern abgerufen. Dieser Bericht unterstützt AD-Administratoren bei der Handhabung von Nutzerkonten, die schon eine gewisse Zeit ungenutzt in Active Directory vegetieren. Active-Directory-Administratoren können Berichte zu inaktiven AD-Benutzern zum Isolieren/Identifizieren inaktiver Benutzer im Active Directory Ihres Unternehmens einsetzen. Solche Konten können als Vorsichtsmaßnahme deaktiviert oder gleich gelöscht werden. Dies dient als zusätzliche Sicherheitsmaßnahme, die nicht autorisierten Zugriff sowie jeglichen möglichen Missbrauch Ihrer vertraulichen Unternehmensdaten über diese Hintertür ausschließt. Zusätzlich können Sie den Bericht zu deaktivierten Active-Directory-Benutzern auch verwenden, um sämtliche deaktivierten Nutzerkonten im Auge zu behalten.
Der Bericht zu deaktivierten Benutzern liefert eine Liste sämtlicher Active-Directory-Benutzerkonten, die vom AD-Administrator deaktiviert wurden. Zum Erkennen deaktivierter Nutzer der Domäne wird das Attribut userAccountControl verwendet. Solche deaktivierten Konten können per unkompliziertem CSV-Dateiimport gesammelt zu einer separaten OE verschoben werden. Falls einige der deaktivierten Benutzer aktiviert oder gelöscht werden müssen, können Sie dies stapelweise tun und dabei mögliche Sicherheitsprobleme vermeiden. Admins können Benutzerkonten direkt aus der Berichtskonsole heraus aktivieren oder löschen.
Aber ADManager Plus stellt nicht nur Berichte für Sie zusammen. Die Lösung hilft Ihnen auch bei der Verwaltung von AD-Objekten, da Sie direkt aus der Konsole heraus Aktionen durchführen können. Berichte zu Sicherheitsgruppen, Datei- und Ordnerberechtigungen, kürzlich geänderten Benutzern, Computern, GPO, OEs, betriebssystembasierte Berichte, eingebettete Berichte, Berichte zu Anmeldungszeiten und dergleichen lassen sich vorplanen und an ausgewählte/zuvor festgelegte E-Mail-Adressen versenden. Berichte, die zur Einhaltung von Compliance-Audits zwingend für Unternehmen vorgeschrieben sind, werden im Abschnitt SOX Compliance aufgeführt. Sicherheits und Passwortrichtlinien basierte AD-Berichte, welche die regelmäßige Analyse richtlinienrelevanter Daten unterstützen, werden ebenfalls in einem separaten Bereich behandelt.
ManageEngine ADManager Plus ist mit Microsoft Windows Exchange Server kompatibel und integriert die AD-Verwaltung mit Lösungen für Active-Directory-Berichte. Erzeugte Active-Directory-Berichte lassen sich in unterschiedlichen Dateiformaten wie CSV, CSVDE, PDF, XLS oder HTML exportieren und natürlich auch ausdrucken. Eine voll funktionsfähige Testversion dieser Management- und Reporting-Anwendung für Active Directory finden Sie hier: Kostenlose Testversion von ADManager Plus herunterladen.