Przewodnik po zwiększeniu ochrony instalacji ADManager Plus

Dokument ten przedstawia kroki, które należy podjąć, aby poprawić bezpieczeństwo instance ADManager Plus dla określonych scenariuszy wymienionych poniżej.

• Zapobieganie edytowaniu folderu bin ADManager Plus przez użytkownika grupy Użytkowników uwierzytelnionych.
• Wyłączenie lub ograniczenie opcji Wyszukiwania pracowników znajdującej się na stronie logowania.
• Zmiana domyślnego hasła administratora ADManager Plus.
• Zwiększenie bezpieczeństwa logowania ADManager Plus.
• Wzmocnienie bezpieczeństwa.

Zapobieganie edytowaniu folderu bin ADManager Plus przez użytkownika grupy Użytkowników uwierzytelnionych

Domyślnie, ADManager Plus będzie zainstalowany w folderze C:\ProgramFiles\ManageEngine. Począwszy od wydania 7210, grupa Użytkownicy uwierzytelnieni nie będzie miała dostępu do katalogu instalacyjnego, a jedynie użytkownicy w grupach SYSTEM, Administratorzy, Administratorzy domen oraz konto użytkownika powiązane podczas instalacji będą mieli domyślny dostęp.

W wcześniejszych wersjach, nawet użytkownicy bez uprawnień administracyjnych, którzy byli częścią grupy Użytkownicy uwierzytelnieni, w kilku przypadkach otrzymywali pełne uprawnienia do dostępu do plików w katalogu instalacyjnym. Aby usunąć grupę Użytkownicy uwierzytelnieni z listy kontroli dostępu (ACL) w ADManager Plus, postępuj zgodnie z tymi instrukcjami.

Rozwiązanie

Istnieją dwa sposoby, aby rozwiązać ten problem. Możesz ręcznie zmodyfikować ustawienia uprawnień lub użyć pliku SecureDeployment.exe, który automatycznie zmodyfikuje ustawienia.

1. Użycie SecureDeployment.exe
2. Ręczna modyfikacja uprawnień
   • Gdy ADManager Plus jest zainstalowany w folderze innym niż Program Files
   • Gdy ADManager Plus jest zainstalowany w folderze C:\Program Files

1. Użycie SecureDeployment.exe

Plik SecureDeployment.exe w katalogu bin automatycznie:

• Zablokuje dostęp użytkowników w grupie Użytkownicy uwierzytelnieni do folderów instalacyjnych ADManager Plus.
• Przyzna pełne uprawnienia dla danego konta.
• Skonfiguruje dane uwierzytelniające konta log-on as, jeśli ADManager Plus jest używany jako usługa.

Plik SecureDeployment.exe zapewni, że środowisko wdrożeniowe jest zabezpieczone.

2. Ręczna modyfikacja uprawnień

a. Kroki do wykonania, jeśli ADManager Plus jest zainstalowany w folderze innym niż Program Files:

i. Jeśli ADManager Plus jest zainstalowany w systemie operacyjnym klienckim

ii. Jeśli ADManager Plus jest zainstalowany w systemie operacyjnym serwera

Domyślnie katalog C: systemu operacyjnego klienckiego ma użytkowników uwierzytelnionych z uprawnieniami do modyfikacji podfolderów. Jednak katalog C: w systemie operacyjnym serwera nie ma użytkowników uwierzytelnionych w ACL.

i) Jeśli ADManager Plus jest zainstalowany w systemie operacyjnym klienckim

Aby umożliwić użytkownikom z mniejszymi uprawnieniami uruchamianie lub zatrzymywanie ADManager Plus w systemie operacyjnym klienckim, wykonaj poniższe kroki:

1. Wyłącz dziedziczenie dla folderu, w którym zainstalowano ADManager Plus.
2. Usuń Użytkowników uwierzytelnionych z ACL.
3. Usuń uprawnienia Użytkowników uwierzytelnionych dla tych folderów z folderu instalacyjnego produktu: bin\licenses, lib\licenses, temp, webapps\adsm\temp
4. Przyznaj uprawnienia Do modyfikacji folderowi, w którym zainstalowano ADManager Plus, dla użytkowników odpowiedzialnych za uruchamianie produktu. Jeśli produkt jest zainstalowany jako usługa z kontem log-on as, upewnij się, że to konto ma uprawnienia do modyfikacji.

ii) Jeśli ADManager Plus jest zainstalowany w systemie operacyjnym serwera

1. Usuń uprawnienia Użytkowników uwierzytelnionych dla tych folderów z folderu instalacyjnego produktu: bin\licenses, lib\licenses, temp, webapps\adsm\temp
2. Przyznaj uprawnienia Do modyfikacji folderowi, w którym zainstalowano ADManager Plus, dla użytkowników, którzy mają odpowiedzialność za uruchamianie produktu. Jeśli produkt jest zainstalowany jako usługa z kontem log-on as, upewnij się, że to konto ma uprawnienia do modyfikacji.

b. Kroki do wykonania, jeśli ADManager Plus jest zainstalowany w folderze C:\Program Files

1. Usuń uprawnienia Użytkownicy uwierzytelnieni dla tych folderów z folderu instalacyjnego produktu: bin\licenses, lib\licenses, temp, webapps\adsm\temp
2. Przypisz uprawnienia Zmiana dla folderu, w którym zainstalowany jest ADManager Plus, użytkownikom, którzy mają obowiązek uruchomienia produktu. Jeśli produkt jest zainstalowany jako usługa z kontem log-on as, upewnij się, że to konto ma uprawnienia zmiany.

Dezaktywacja lub ograniczenie opcji Wyszukiwania pracowników

Wyszukiwanie pracowników w ADManager Plus może być używane przez użytkowników lub pracowników do wyszukiwania szczegółów dotyczących współpracowników i kontaktów w ich organizacji.

Opis: Wyszukiwanie pracowników to jedna z popularnych funkcji ADManager Plus i jest domyślnie włączona jako Wyszukiwanie w Katalogu Firmowym. Jednak aby sprostać specyficznym potrzebom twojej organizacji lub z przyczyn bezpieczeństwa, możesz chcieć wyświetlać tylko określone szczegóły użytkowników i kontaktów w wynikach wyszukiwania lub nawet wolisz nie mieć tej opcji wcale.

Rozwiązanie

W zależności od potrzeb, możesz łatwo:

1. Ograniczyć zakres Wyszukiwania pracowników tylko do określonych domen lub OUs.
2. Określić szczegóły użytkowników lub kontaktów, które mogą być wyświetlane w wynikach wyszukiwania.
3. Określić atrybuty lub szczegóły, na podstawie których użytkownicy lub kontakty mogą być lokalizowani.
4. Wyłączyć opcję Wyszukiwania pracowników.

Poniżej podano kroki:

1. Zaloguj się do ADManager Plus.
2. Kliknij zakładkę Admin.
3. Z opcji po lewej stronie kliknij Preferencje pracowników i wybierz Konfiguruj Wyszukiwanie w AD.
   • Dezaktywacja Wyszukiwania pracowników: Odznacz opcję 'Pokaż Wyszukiwanie pracowników na stronie logowania', aby całkowicie wyłączyć to wyszukiwanie i nie wyświetlać tej opcji na stronie logowania.
   • Ograniczenie zakresu Wyszukiwania pracowników: Wybierz domenę i odpowiadające jej OUs z tych wyświetlanych w polu Wybrane domeny, aby ograniczyć wyszukiwanie tylko do tej konkretnej domeny i jej OUs.
   • Ograniczenie zakresu tego wyszukiwania tylko do obiektów użytkowników i/lub kontaktów: Kliknij zakładki Użytkownicy i Kontakty i odznacz te, które nie mają być wyszukiwane przy użyciu tej opcji. Ponadto, w zakładkach Użytkownicy i Kontakty, w kolumnach dostępnych, w Wyświetlanych kolumnach, odznacz atrybuty lub szczegóły, które nie mają być wyświetlane w wynikach wyszukiwania.
   • Określenie atrybutów, na podstawie których można wyszukiwać użytkowników lub kontakty: W zakładkach Użytkownicy i Kontakty, w Kryteriach wyszukiwania, w Kolumnach dostępnych wybierz tylko pożądane atrybuty.
4. Kliknij Zapisz Ustawienia, aby zapisać swoje preferencje dotyczące Wyszukiwania pracowników.

Zmień domyślne hasło administratora ADManager Plus

Dlaczego powinieneś to zrobić?

Jeśli domyślne hasło administratora ADManager Plus nie zostanie zmienione, istnieje ryzyko, że każdy, kto zna domyślne hasło, może użyć go do zalogowania się do produktu i wprowadzenia złośliwych zmian w Twoim Active Directory (AD) lub wyświetlenia informacji o obiektach AD.

Co możesz zrobić, aby rozwiązać tę sytuację?

Zalecamy zmianę domyślnego hasła administratora, przynajmniej przed przejściem z etapu oceny do etapu wdrożenia, z powodów bezpieczeństwa. Możesz zmienić domyślne hasło w sekcji "Moje konto", którą znajdziesz w prawym górnym rogu konsoli internetowej produktu.

Kliknij tutaj, aby zapoznać się z krokami dotyczącymi zmiany domyślnego hasła administratora.

Dodatkowe zabezpieczenia dla logowania do ADManager Plus

ADManager Plus obsługuje karty inteligentne, uwierzytelnianie dwuskładnikowe (TFA), CAPTCHA itp. oraz pozwala na zablokowanie użytkowników w przypadku podania złych haseł, aby wzmocnić bezpieczeństwo procesu logowania użytkownika i zapobiec logowaniu nieautoryzowanych użytkowników. Kliknij poniższe linki, aby zapoznać się z krokami konfiguracji różnych opcji zabezpieczających proces logowania dla Twoich użytkowników.

• Włącz Captcha
• Skonfiguruj uwierzytelnianie oparte na karcie inteligentnej
• Wymuś uwierzytelnianie dwuskładnikowe (TFA)
• Włącz jednolite logowanie (SSO)
• Skonfiguruj ustawienia blokowania użytkowników

Wzmocnienie bezpieczeństwa

ADManager Plus oferuje szereg opcji zabezpieczeń i prywatności danych, aby poprawić doświadczenia w zakresie zarządzania i raportowania, zabezpieczyć dostęp do produktu, bezpiecznie usuwać dane i wiele więcej. Aby dowiedzieć się, jak skonfigurować ustawienia zabezpieczeń i prywatności w ADManager Plus, kliknij tutaj.