Grupy zabezpieczeń w usłudze Active Directory (AD) łączą użytkowników, komputery i inne grupy, dzięki czemu administratorzy mogą nimi jednocześnie zarządzać. Uprawnienia dostępu do różnych zasobów w domenie mogą być przydzielane poprzez grupy zabezpieczeń. Są one również wykorzystywane do przypisywania praw użytkownikom poprzez ustawienia zasad grupy. To sprawia, że są one podatne na ataki intruzów, którzy próbują zagrozić istotnym informacjom firmy. Poniżej przedstawiono pięć najlepszych rozwiązań w zakresie grup zabezpieczeń usługi Active Directory, które pomogą zapewnić bezpieczne środowisko AD.
Uczynienie jednej grupy AD członkiem innej jest nazywane zagnieżdżaniem. Strategia zagnieżdżania grup AGDLP i AGUDLP firmy Microsoft wyznacza grupy globalne jako grupy kont zawierające konta użytkowników oraz grupy lokalne domeny jako grupy zasobów służące do przypisywania uprawnień do zasobów. Grupy uniwersalne mogą być używane do nadawania uprawnień w domenach w środowiskach wielodomenowych. Strategia ta ustanawia kontrolę dostępu opartą na rolach i upraszcza zarządzanie dostępem, ponieważ użytkownicy i ich uprawnienia są obsługiwane oddzielnie.
AGDLP — Konta, grupy globalne, grupy lokalne domeny, uprawnienia AGUDLP — Konta, grupy globalne, grupy uniwersalne, grupy lokalne domeny, uprawnieniaUżywanie standardowych konwencji nazewnictwa w całej domenie jest kluczowe dla administracji sieci. Nazwy grup zabezpieczeń powinny jasno określać cel każdej grupy i związane z nią uprawnienia. Przykładem może być nazwa DL-Marketing-R. Ta precyzyjna nazwa opisuje zakres grupy (DL-domena lokalna/G-globalna/U-uniwersalna), rolę jej członków oraz uprawnienia przypisane do grupy (R-odczyt/C-zmiana).
W usłudze AD administratorzy muszą śledzić użytkowników i ich uprawnienia. Pomimo, że grupy zabezpieczeń ułatwiają przypisywanie uprawnień do wielu obiektów jednocześnie, uprawnienia te muszą być ograniczone do niezbędnego minimum. Poza administratorami, użytkownicy zazwyczaj nie potrzebują uprawnień „Pełna kontrola” do zasobu. Należy zachować ostrożność podczas przypisywania uprawnień do grup zabezpieczeń, aby zapewnić, że członkowie mają wystarczającą swobodę, aby wykonać przydzielone im zadania.
Przy zarządzaniu grupami zabezpieczeń ważne jest, aby użytkownik nie był częścią zbyt wielu grup. Podczas logowania składany jest bilet sesji użytkownika, zawierający jego identyfikator SID, a także identyfikatory SID wszystkich grup zabezpieczeń, do których należy użytkownik. Gdy użytkownik jest członkiem zbyt wielu grup (ponad 1015), może to prowadzić do przeładowania tokena, gdzie jego token Kerberos staje się zbyt duży dla systemu Windows, powodując niepowodzenie uwierzytelniania. W dużych środowiskach IT zaleca się trzymanie się kontroli dostępu opartej na rolach i ograniczenie członkostwa w grupach poszczególnych użytkowników.
Zawsze zwracaj uwagę na podejrzane działania, stale monitorując swoje grupy zabezpieczeń w usłudze AD. Domyślne grupy zabezpieczeń, których prawa i przywileje są na tyle szerokie, że mogą wpływać na zmiany w domenie, a nawet w całym lesie, takie jak grupy administratora domeny i administratora przedsiębiorstwa, wymagają bliższej analizy. Każda nieautoryzowana zmiana członkostwa w tych grupach uprzywilejowanych może oznaczać, że bezpieczeństwo sieci jest zagrożone.
Korzystanie z natywnych narzędzi do śledzenia zmian w grupach zabezpieczeń usługi AD może być bardzo pracochłonne. Aby wykonać to zadanie kilkoma kliknięciami, wypróbuj program ADAudit Plus – audytor oparty na analizie zachowania użytkownika. Program ADAudit Plus aktualizuje w czasie rzeczywistym wszystkie zmiany dokonywane w grupach usługi AD, w tym zmiany typu, zakresu i członkostwa, odciążając w ten sposób administratorów.
Pobierz bezpłatną, 30-dniową wersję próbną