98 % bezpečnostních hrozeb začíná v Active Directory.
Active Directory má doslova klíče od vašeho království. Pokud nejsou nastaveny správné zásady zabezpečení a uživatelům udělujete nadměrná oprávnění, necháváte se vystavit potenciálním bezpečnostním hrozbám.
V rámci služby Active Directory existuje řada bezpečnostních protokolů, z nichž si můžete vybrat a zavést politiku nejmenších privilegií, kdy přístup ke správě udělujete pouze těm, kteří jej skutečně potřebují.
V tomto blogu si projdeme, co přesně jsou skupiny zabezpečení ve službě Active Directory, jaký je rozdíl mezi distribučními skupinami a skupinami zabezpečení, k čemu lze skupiny zabezpečení použít a jak přesně je vytvořit.
Co jsou skupiny Active Directory?
Active Directory je obecně program, který třídí uživatele do různých skupin. Jedná se o centralizovanou platformu, kterou většina podniků používá ke správě počítačových účtů a k udělování přístupu k citlivým datům.
Skupina Active Directory je skupina uživatelů, kterým byl přidělen přístup k určitým prostředkům. Tento druh přístupu lze skupinám přidělit dvěma způsoby: prostřednictvím globálního jedinečného identifikátoru (GUID) nebo bezpečnostního identifikátoru (SID).
SID se většinou používá, když chce být přístup přidělen konkrétním uživatelům, zatímco GUID se používá při seskupování uživatelů, kteří všichni potřebují přístup ke stejným prostředkům.
Skupiny mohou být vytvořeny na základě jednotlivých uživatelů, kteří všichni potřebují přístup k určitým prostředkům, nebo mohou být vytvořeny na základě globálních skupin (například oddělení) nebo členů určité domény.
Dva typy skupin služby Active Directory
Skupiny služby Active Directory se dělí na dvě kategorie – bezpečnostní skupiny služby Active Directory a distribuční skupiny služby Active Directory.
Skutečný typ skupiny závisí na požadované funkci skupiny. Distribuční skupiny jsou jednodušší v tom smyslu, že se použijí, pokud jsou požadována pouze jednosměrná oznámení z centrálního řadiče. Skupiny zabezpečení jsou složitější a používají se v případě, že chcete uživatelům umožnit přístup k datům a jejich modifikaci.
Týmy zabezpečení musí věnovat mnohem větší pozornost skupinám zabezpečení, aby zajistily, že se oprávnění nevymknou kontrole a že budou zmírněna rizika pro zabezpečení dat.
Proč byste měli používat skupiny zabezpečení služby Active Directory?
Skupiny zabezpečení mají zásadní význam, pokud jde o zachování vhodných přístupových práv k nejcitlivějším datům. Možnost seskupovat uživatele do hrnců a přiřazovat jim úrovně oprávnění je neuvěřitelně užitečná pro udržování politiky nejmenších privilegií.
Skupiny zabezpečení služby Active Directory můžete například použít k přiřazení oprávnění vysoké úrovně členům představenstva, aby mohli svým kolegům předkládat finanční informace a klíčové ukazatele výkonnosti. Skupiny zabezpečení můžete také použít k přiřazení oprávnění nižší úrovně novým členům.
Skupiny zabezpečení služby Active Directory lze také upravovat prostřednictvím portálu AD, kde lze uživatele přesouvat nebo zcela odebrat.
Jak vytvořit skupinu zabezpečení ve službě Active Directory
Následující kroky platí pro systém Windows 10 a pro systém Windows Server 2016. Upozorňujeme, že k tomu, abyste mohli sami vytvářet nové skupiny, budete muset být členem skupiny Domain Administrators nebo mít již uplatněná správná oprávnění.
- Otevřete konzolu Active Directory Users and Computers.
- Zvolte kontejner, do kterého chcete uložit svou skupinu („Users“, například).
- Klikněte na „Action“ – „New“ – „Group“
- Pojmenujte svou skupinu pomocí textového pole Group name a zadejte popis.
- V závislosti na infrastruktuře vaší doménové struktury Active Directory zvolte správný rozsah skupiny:
- Klikněte na „Security“ jako typ skupiny a kliknutím na „Ok“ vytvořte skupinu zabezpečení.
Jak zlepšit zabezpečení skupin zabezpečení služby Active Directory
Mnoho podniků se musí ve svém prostředí vypořádat s připojováním, odpojováním a stěhováním. Jak uživatelé mění role, opouštějí firmu nebo nastupují do nové role, jejich požadovaná oprávnění se liší.
Naneštěstí mnoho podniků nekomunikuje dostatečně efektivně s týmy IT a zabezpečení, aby zajistily vhodnou údržbu oprávnění a členů skupin zabezpečení. V nejhorším případě to může potenciálně vést k tomu, že se vnitřní hrozby dostanou k vašim nejcitlivějším datům.
Platforma Lepide Data Security Platform vám poskytne možnost okamžitě vygenerovat seznam uživatelů, kteří byli považováni za držitele „nadměrných oprávnění“, nebo generovat upozornění v reálném čase při změně oprávnění, abyste mohli podniknout potřebné kroky k zachování politiky nejmenších privilegií.
Chcete-li vidět řešení v akci, naplánujte si ještě dnes ukázku s jedním z našich inženýrů.