A biztonsági fenyegetések 98%-a az Active Directoryval kezdődik.
Az Active Directory szó szerint a királyság kulcsait rejti. Ha nem a megfelelő biztonsági elvek vannak beállítva, és túlzott jogosultságokat ad a felhasználóknak, akkor kiszolgáltatottá teszi magát a potenciális biztonsági fenyegetéseknek.
Az Active Directoryban számos biztonsági protokoll közül választhat a legkisebb kiváltságok politikájának megvalósításához, ahol csak azoknak ad rendszergazdai hozzáférést, akiknek valóban szükségük van rá.
Ebben a blogban végigvesszük, hogy pontosan mik azok a biztonsági csoportok az Active Directoryban, mi a különbség az elosztási csoportok és a biztonsági csoportok között, mire használhatók a biztonsági csoportok, és pontosan hogyan hozhatunk létre egyet.
Mi az Active Directory csoportok?
Az Active Directory általában egy olyan program, amely a felhasználókat különböző csoportokba sorolja. Ez egy központosított platform, amelyet a legtöbb vállalat a számítógépes fiókok kezelésére és az érzékeny adatokhoz való hozzáférés biztosítására használ.
Az Active Directory csoport olyan felhasználók csoportja, akik bizonyos erőforrásokhoz való hozzáférést kaptak. A csoportok kétféleképpen kaphatnak ilyen jellegű hozzáférést; egy globálisan egyedi azonosítón (GUID) vagy egy biztonsági azonosítón (SID) keresztül.
A SID-t többnyire akkor használják, ha konkrét felhasználóknak akarnak hozzáférést adni, míg a GUID-t akkor, ha olyan felhasználókat csoportosítanak, akiknek mindannyiuknak ugyanahhoz az erőforráshoz kell hozzáférniük.
A csoportok létrehozhatók egyedi felhasználók alapján, akiknek mindannyiuknak hozzáférésre van szükségük bizonyos erőforrásokhoz, vagy létrehozhatók globális csoportok (például osztály) vagy egy bizonyos tartomány tagjai alapján.
Az Active Directory-csoportok két típusa
Active Directory-csoportok két kategorizálásra oszthatók: Active Directory biztonsági csoportok és Active Directory elosztási csoportok.
A csoport kívánt funkciójától függ, hogy ténylegesen milyen típusú csoportra van szükség. A disztribúciós csoportok egyszerűbbek abban az esetben, ha csak egyirányú értesítésekre van szükség a központi vezérlőből. A biztonsági csoportok összetettebbek, és akkor alkalmazzuk őket, ha a felhasználók számára szeretnénk lehetővé tenni az adatokhoz való hozzáférést és azok módosítását.
A biztonsági csapatoknak sokkal nagyobb figyelmet kell fordítaniuk a biztonsági csoportokra annak érdekében, hogy a jogosultságok ne burjánozzanak el az ellenőrzés alól, és hogy az adatok biztonságát fenyegető kockázatok mérséklődjenek.
Miért érdemes Active Directory biztonsági csoportokat használni?
A biztonsági csoportok létfontosságúak, amikor a legérzékenyebb adatokhoz való megfelelő hozzáférési jogok fenntartásáról van szó. A felhasználók cserepekbe csoportosításának lehetősége a jogosultsági szintek hozzárendeléséhez hihetetlenül hasznos a legkisebb jogosultság politikájának fenntartásához.
Az Active Directory biztonsági csoportok segítségével például magas szintű jogosultságokat rendelhet az igazgatótanács tagjai számára, hogy pénzügyi információkat és KPI-ket nyújthassanak be kollégáiknak. A biztonsági csoportok segítségével alacsonyabb szintű jogosultságokat is kioszthat az újonnan csatlakozóknak.
Active Directory biztonsági csoportjai az AD portálon keresztül is módosíthatók, ahol a felhasználók áthelyezhetők vagy teljesen eltávolíthatók.
Hogyan hozzon létre biztonsági csoportot az Active Directoryban
A következő lépések a Windows 10 és a Windows Server 2016 rendszerekre vonatkoznak. Felhívjuk figyelmét, hogy ahhoz, hogy saját maga hozhasson létre új csoportokat, a Tartományi rendszergazdák csoport tagjának kell lennie, vagy már rendelkeznie kell a megfelelő jogosultságokkal.
- Nyissa meg az Active Directory felhasználók és számítógépek konzolt.
- Válassza ki azt a tárolót, amelyben a csoportját tárolni kívánja (“Felhasználók” például).
- Kattintson a “Művelet” – “Új” – “Csoport”
- Nevezze el a csoportját a Csoport neve szövegmező segítségével, és adjon meg egy leírást.
- Az Active Directory erdei infrastruktúrájától függően válassza ki a megfelelő csoport hatókörét: Globális vagy Univerzális.
- Kattintson a “Biztonság” csoporttípusra, majd kattintson az “Ok” gombra a biztonsági csoport létrehozásához.
Hogyan javíthatja az Active Directory biztonsági csoportjainak biztonságát
Néhány vállalatnak foglalkoznia kell a környezetében csatlakozókkal, távozókkal és költözőkkel. Ahogy a felhasználók szerepet váltanak, elhagyják a vállalatot, vagy új szerepet kezdenek, a szükséges jogosultságaik is eltérőek lesznek.
Sajnos sok vállalat nem kommunikál elég hatékonyan az IT- és biztonsági csapatokkal annak biztosítása érdekében, hogy a jogosultságok és a biztonsági csoportok tagjai megfelelően legyenek karbantartva. A legrosszabb esetben ez potenciálisan ahhoz vezethet, hogy a bennfentes fenyegetések ráteszik a kezüket a legérzékenyebb adatokra.
A Lepide Data Security Platform lehetővé teszi, hogy azonnal létrehozzon egy listát azokról a felhasználókról, akik “túlzott jogosultságokkal” rendelkeznek, vagy valós időben riasztásokat generáljon, amikor a jogosultságok megváltoznak, hogy megtehesse a szükséges lépéseket a legkisebb kiváltságok politikájának fenntartása érdekében.
Hogy megnézze a megoldást működés közben, még ma kérjen egy demót mérnökeink egyikétől.