コンテンツ
- 1.ネストされたグループへの対処
- 2. ACLからRBACへの切り替え
- 3.コンピューターの管理
- バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
- 4.ユーザーアカウントロックアウトの処理
- 5.許可の昇格と許可のクリープ
出典:Tmcphotos / Dreamstime.com
取り除く:
サードパーティのソフトウェアの介入を必要とする可能性があるADの5つの重要な領域を学びます。
最も価値のあるアプリケーションや最も保護されている知的財産よりも企業にとって非常に重要なのは、Active Directory(AD)環境です。 Active Directoryは、ネットワーク、システム、ユーザー、およびアプリケーションのセキュリティの中核です。コンピューティングインフラストラクチャ内のすべてのオブジェクトとリソースのアクセス制御を管理し、管理に必要な人的リソースとハードウェアリソースの両方でかなりのコストをかけます。また、サードパーティのソフトウェアベンダーのおかげで、Linux、UNIX、およびMac OS XシステムをADの管理対象リソースのレパートリーに追加することもできます。数十を超えるユーザーおよびグループのADを管理することは非常に苦痛になります。また、Microsoftの基本的なインターフェイスと組織は、その痛みを和らげる助けにはなりません。 Active Directoryは脆弱なツールではありませんが、管理者がサードパーティのツールを探しているという側面があります。この記事では、ADの主な管理上の欠点について説明します。
1.ネストされたグループへの対処
信じられないかもしれませんが、実際にはネストされたADグループの作成と使用に関連するベストプラクティスがあります。ただし、これらのベストプラクティスは組み込みのAD制限によって緩和される必要があります。そのため、管理者はネストされたグループを複数のレベルに拡張することはできません。さらに、既存のグループごとに複数のネストされたグループを防止する制限により、将来のハウスキーピングおよび管理上の問題の発生が防止されます。
複数のグループレベルをネストし、グループ内で複数のグループを許可すると、複雑な継承の問題が発生し、セキュリティをバイパスし、グループ管理が防止するように設計された組織的手段を台無しにします。定期的なAD監査により、管理者とアーキテクトはAD組織を再評価し、ネストされたグループスプロールを修正できます。
システム管理者は「個人ではなくグループを管理する」という信念を長年にわたって頭に押し付けてきましたが、グループ管理は必然的にネストされたグループと不十分な管理権限につながります。 (Softerra Adaxesの役割ベースのセキュリティについては、こちらをご覧ください。)
2. ACLからRBACへの切り替え
ユーザー中心のアクセス制御リスト(ACL)AD管理スタイルから、よりエンタープライズベースのロールベースのアクセス制御(RBAC)への切り替えは、簡単な作業のように思えます。 ADではそうではありません。 ACLの管理は困難ですが、RBACへの切り替えも公園内を歩くことではありません。 ACLの問題は、アクセス許可を管理するための中央の場所がADにないため、管理が困難で費用がかかることです。 RBACは、個人ではなく役割ごとにアクセス許可を処理することにより、許可とアクセス障害を軽減しようとしますが、許可管理を集中管理できないため、依然として不十分です。ただし、RBACに移行するのは苦痛ですが、ACLを使用してユーザーごとにアクセス許可を手動で管理するよりもはるかに優れています。
ACLは、スコープが広すぎるため、スケーラビリティとアジャイル管理性に失敗します。あるいは、管理者はユーザーロールに基づいて権限を付与するため、ロールはより正確です。たとえば、報道機関の新しいユーザーが編集者である場合、ADで定義されている編集者の役割を持っています。管理者は、そのユーザーをエディターグループに配置します。エディターグループは、同等のアクセス権を得るためにユーザーを他の複数のグループに追加することなく、エディターが必要とするすべての権限とアクセスを許可します。
RBACは、より広範な権限を持つ可能性のある複数のグループにユーザーを割り当てるのではなく、役割または職務に基づいて権限と制限を定義します。 RBACの役割は非常に特殊であり、より良い結果、より安全な環境、より簡単に管理できるセキュリティプラットフォームを実現するために、ネストや他のACLの複雑さを必要としません。
3.コンピューターの管理
新しいコンピューターの管理、ドメインから切断されたコンピューターの管理、およびコンピューターアカウントで何でもしようとすると、管理者は朝食のために最も近いマティーニバーに行きたがります。
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
このような劇的なアサーションの背後にある理由は、Windows管理者として画面上で読みたくない11の単語があることです。「このワークステーションとプライマリドメイン間の信頼関係が失敗しました。」このわがままなワークステーションをドメインに再接続するために、複数の試行と場合によっては数時間を費やします。残念ながら、Microsoftの標準修正プログラムが機能しません。標準の修正プログラムは、Active Directoryでコンピューターのアカウントオブジェクトをリセットし、ワークステーションを再起動し、指を交差させることで構成されます。多くの場合、他の再アタッチメントレメディは標準のものと同じくらい効果的であるため、管理者は切断されたシステムのイメージを再作成してドメインに再接続します。
4.ユーザーアカウントロックアウトの処理
いくつかのサードパーティソフトウェアベンダーが問題を解決しましたが、アカウントロックアウトのセルフサービス修正はありません。ユーザーは、再試行する前に一定期間待機するか、管理者に連絡してロックされたアカウントをリセットする必要があります。ロックされたアカウントのリセットは、管理者にとってストレスの点ではありませんが、ユーザーにとってはイライラすることがあります。
ADの短所の1つは、ユーザーが間違ったパスワードを入力した以外のソースからアカウントロックアウトが発生する可能性があることですが、ADは管理者にその発生元に関するヒントを提供しません。
5.許可の昇格と許可のクリープ
特権ユーザーが他のグループに自分自身を追加することにより、特権をさらに高める可能性があります。特権ユーザーとは、ある程度の昇格された特権を持っているが、Active Directoryで追加の特権を付与する追加のグループに自分自身を追加するのに十分な権限を持つユーザーです。このセキュリティ上の欠陥により、内部の攻撃者は、他の管理者をロックアウトする機能など、ドメインに対する広範な制御が存在するまで、段階的に特権を追加できます。 (Active Directory Identity Managementでリソースを消費する手動の手順を排除します。方法については、こちらをご覧ください。)
権限クリープは、ユーザーの職務が変更されたとき、またはユーザーが退職したときに、管理者が特定の特権グループからユーザーを削除できなかったときに発生する状態です。許可クリープは、ユーザーがもはや必要としない企業資産へのアクセスをユーザーに許可します。許可の昇格と許可のクリープは、どちらも深刻なセキュリティ上の懸念を引き起こします。これらの状態を検出および防止するための監査を実行できるさまざまなサードパーティアプリケーションが存在します。
中小企業からグローバル企業まで、Active Directoryはユーザー認証、リソースへのアクセス、コンピューター管理を処理します。今日のビジネスで最も価値のあるネットワークインフラストラクチャの1つです。 Active Directoryと同様に強力なツールであるにもかかわらず、多くの欠点があります。幸いなことに、Microsoft以外のソフトウェアベンダーは、Active Directoryの機能を拡張し、管理インターフェイスの設計が不十分であるという問題を解決し、機能を統合し、さらに目立たない欠陥の一部をマッサージしました。
このコンテンツは、パートナーであるAdaxesによって提供されます。
