Las amenazas de seguridad de fuentes externas deben ser una preocupación constante para cualquier organización. Sin embargo, la mayoría de las organizaciones ni siquiera se dan cuenta de que las amenazas de seguridad más dañinas de hoy provienen de las organizaciones. Es hora de que la industria de TI se ocupe de la seguridad al identificar las fallas comunes en la administración de Active Directory (AD) y tomar las medidas pertinentes para cubrir las brechas de seguridad.
Estos son los cinco errores principales en la administración de AD que son demasiado costosos para ignorarlos, junto con la solución de ADManager Plus para cada uno de ellos.
Una forma de mantener los permisos lo más simple posible es otorgar permisos de control total a cada usuario. Sin embargo, hacerlo sería una receta para el desastre. Cualquier usuario que reciba más permisos de los que necesita, como permisos para ver, modificar o eliminar archivos confidenciales, puede provocar la pérdida de datos, violaciones, modificaciones incorrectas y mucho más. En lugar de proporcionar permisos completos a cada usuario, una buena práctica recomendada es emplear el principio de privilegios mínimos: solo conceda la cantidad mínima de privilegios que cada usuario necesita para completar su trabajo. Para reducir aún más los riesgos, los administradores deben revisar los permisos de los usuarios y grupos antes de otorgarles nuevos permisos. Además, otorgar permisos a los usuarios de forma temporal es una excelente manera de garantizar que los permisos no se utilicen en un momento posterior.
ADManager Plus puede ayudarlo a asignar permisos granulares a usuarios y grupos por un período de tiempo específico. También puede ver qué permisos se conceden a cada usuario y grupo, y modificarlos en consecuencia usando informes preconfigurados.
Cuando los usuarios se agregan a los grupos en AD, pueden agregarse indirectamente a los grupos de seguridad de nivel superior debido a las membresías de grupos anidados. En general, las membresías de grupo se asignan en el momento del aprovisionamiento del usuario y solo se modifican en ocasiones limitadas, como una promoción o una transferencia a un departamento o ubicación diferente. Sin embargo, antes de reasignar membresías, se recomienda que ejecute un informe, identifique las membresías grupales de cada usuario y revoque los permisos inapropiados. Las plantillas basadas en roles serán útiles cuando desee asignar usuarios a grupos según su designación o equipo.
ADManager Plus proporciona informes detallados sobre grupos, mostrando claramente a qué grupos anidados pertenece cada usuario, grupo, contacto y equipo.
Cuando un empleado deja una organización, su cuenta debe ser despojada de sus privilegios, luego desaprovisionada. Si esto no se hace, la cuenta de ese ex empleado quedará obsoleta. Los expertos maliciosos podrían aprovechar las cuentas obsoletas para acceder a los recursos de su organización. Además, las licencias de software son costosas, por lo que los administradores deben liberar licencias de cuentas no utilizadas y reasignarlas a usuarios activos. Debe identificar periódicamente las cuentas de usuario inactivas y aplicar una política de desaprovisionamiento para mantener limpio su AD.
ADManager Plus le permite identificar automáticamente ilas cuentas obsoletas, despojarlas de sus membresías grupales, revocar todos sus permisos, eliminar las licencias de Office 365 y eliminarlas o deshabilitarlas. Aprenda cómo ADManager Plus simplifica el desaprovisionamiento con su política de eliminar y deshabilitar.
La delegación puede complicarse al utilizar el asistente de control de delegación integrado. Cuando a los usuarios se les otorgan permisos para realizar ciertas acciones en AD, como crear usuarios o restablecer sus contraseñas, la aplicación de las restricciones necesarias se vuelve esencial para que esos permisos no sean utilizados por los usuarios.
Con ADManager Plus, puede delegar de forma segura los permisos a la mesa de ayuda sin elevar realmente sus permisos en AD. ADManager Plus también tiene informes de auditoría de la mesa de ayuda para rastrear las acciones de los técnicos de la mesa de ayuda. Aprenda más.
El aprovisionamiento de usuarios es a menudo un proceso largo y manual. La incorporación no puede funcionar sin problemas si se agregan nuevos usuarios a los grupos incorrectos, se les asignan licencias incorrectas o si sus carpetas de inicio o la ruta del perfil están mal configuradas. De manera similar, las modificaciones de los usuarios basadas en eventos como los cambios en su ubicación, función o designación significan que los administradores tienen que dedicar tiempo y esfuerzo a volver a examinar los permisos existentes del usuario para realizar los cambios necesarios, lo que deja mucho margen de error.
ADManager Plus ofrece plantillas personalizables basadas en reglas que tienen valores precargados según el departamento, la ubicación o la designación, lo que hace que la administración de cuentas de usuario sea muy fácil para los administradores de TI.