Il 98% delle minacce alla sicurezza inizia con Active Directory.
Active Directory possiede letteralmente le chiavi del vostro regno. Se non si impostano i giusti principi di sicurezza e si danno permessi eccessivi ai propri utenti, ci si espone a potenziali minacce alla sicurezza.
In Active Directory, ci sono numerosi protocolli di sicurezza tra cui scegliere per implementare una politica di minimo privilegio in cui si concede l’accesso amministrativo solo a chi ne ha veramente bisogno.
In questo blog, vedremo esattamente cosa sono i gruppi di sicurezza in Active Directory, la differenza tra i gruppi di distribuzione e i gruppi di sicurezza, per cosa possono essere usati i gruppi di sicurezza ed esattamente come crearne uno.
Cosa sono i gruppi di Active Directory?
Active Directory, in generale, è un programma che ordina gli utenti in vari gruppi. Si tratta di una piattaforma centralizzata che la maggior parte delle aziende utilizza per gestire i propri account e per concedere l’accesso a dati sensibili.
Un gruppo Active Directory è un gruppo di utenti a cui è stato dato accesso a determinate risorse. Ci sono due modi per dare ai gruppi questo tipo di accesso: attraverso un Globally Unique Identifier (GUID) o un Security Identifier (SID).
I SID sono usati soprattutto quando si vuole dare accesso a utenti specifici, mentre i GUID sono usati quando si raggruppano utenti che hanno tutti bisogno di accedere alle stesse risorse.
I gruppi possono essere creati in base a singoli utenti che hanno tutti bisogno di accedere a certe risorse, o possono essere creati in base a gruppi globali (come il dipartimento), o ai membri di un certo dominio.
I due tipi di gruppi di Active Directory
I gruppi di Active Directory sono divisi in due categorizzazioni – Active Directory Security Groups e Active Directory Distribution Groups.
Il tipo effettivo di gruppo necessario dipenderà dalla funzione richiesta dal gruppo. I gruppi di distribuzione sono più semplici in quanto verrebbero utilizzati se sono richieste solo notifiche unidirezionali dal controller centrale. I gruppi di sicurezza sono più complessi e vengono applicati quando si vuole permettere agli utenti di accedere e modificare i dati.
I team di sicurezza devono prestare molta più attenzione ai gruppi di sicurezza per assicurarsi che i permessi non vadano fuori controllo e che i rischi per la sicurezza dei dati siano mitigati.
Perché dovresti usare i gruppi di sicurezza di Active Directory?
I gruppi di sicurezza sono vitali quando si tratta di mantenere diritti di accesso appropriati ai tuoi dati più sensibili. La capacità di raggruppare gli utenti in vasi per assegnare livelli di permessi è incredibilmente utile per mantenere una politica di minimo privilegio.
Per esempio, è possibile utilizzare i gruppi di sicurezza di Active Directory per assegnare permessi di alto livello ai membri del consiglio di amministrazione in modo che possano presentare informazioni finanziarie e KPI per i loro colleghi. Puoi anche usare i gruppi di sicurezza per assegnare permessi di livello inferiore ai nuovi membri.
I gruppi di sicurezza di Active Directory possono anche essere modificati tramite il portale AD, dove gli utenti possono essere spostati o rimossi completamente.
Come creare un gruppo di sicurezza in Active Directory
I seguenti passi si applicano a Windows 10 e a Windows Server 2016. Si prega di notare che è necessario essere un membro del gruppo degli amministratori di dominio, o avere le autorizzazioni corrette già applicate, per essere in grado di creare nuovi gruppi da soli.
- Aprire la console Active Directory Users and Computers.
- Seleziona il contenitore in cui vuoi memorizzare il tuo gruppo (“Utenti”, per esempio).
- Clicca “Azione” – “Nuovo” – “Gruppo”
- Nomina il tuo gruppo usando la casella di testo Nome gruppo e inserisci una descrizione.
- In base alla tua infrastruttura forestale di Active Directory, scegli il corretto ambito del gruppo: Globale o Universale.
- Clicca “Sicurezza” come tipo di gruppo e poi clicca su “Ok” per creare il tuo gruppo di sicurezza.
Come migliorare la sicurezza dei tuoi gruppi di sicurezza di Active Directory
Molte aziende hanno a che fare con chi entra, chi esce e chi si sposta nel loro ambiente. Quando gli utenti cambiano ruolo, lasciano l’azienda o iniziano un nuovo ruolo, le loro autorizzazioni richieste saranno diverse.
Purtroppo, molte imprese non comunicano in modo abbastanza efficace con i team IT e di sicurezza per garantire che le autorizzazioni e i membri dei gruppi di sicurezza siano mantenuti in modo appropriato. Nel peggiore dei casi, questo potrebbe potenzialmente portare le minacce interne a mettere le mani sui vostri dati più sensibili.
La Lepide Data Security Platform vi darà la possibilità di generare istantaneamente una lista di utenti che sono stati ritenuti in possesso di “permessi eccessivi”, o generare avvisi in tempo reale quando i permessi vengono modificati, in modo da poter prendere le misure necessarie per mantenere la vostra politica di minimo privilegio.
Per vedere la soluzione in azione, programmate una demo con uno dei nostri ingegneri oggi stesso.