98% van de beveiligingsrisico’s begint bij Active Directory.
Active Directory heeft letterlijk de sleutels tot uw koninkrijk in handen. Als u niet de juiste beveiligingsprincipes hanteert en uw gebruikers te veel rechten geeft, stelt u zichzelf bloot aan potentiële beveiligingsrisico’s.
In Active Directory kunt u kiezen uit een groot aantal beveiligingsprotocollen om een beleid te implementeren met zo min mogelijk privileges, waarbij u alleen administratieve toegang verleent aan degenen die dat ook echt nodig hebben.
In deze blog gaan we in op wat beveiligingsgroepen in Active Directory precies zijn, wat het verschil is tussen distributiegroepen en beveiligingsgroepen, waarvoor beveiligingsgroepen gebruikt kunnen worden en hoe je er precies één aanmaakt.
Wat zijn Active Directory groepen?
Active Directory, in het algemeen, is een programma dat gebruikers sorteert in verschillende groepen. Het is een gecentraliseerd platform dat de meeste bedrijven gebruiken om hun computeraccounts te beheren en toegang te verlenen tot gevoelige gegevens.
Een Active Directory-groep is een groep gebruikers die toegang hebben gekregen tot bepaalde bronnen. Er zijn twee manieren om groepen toegang te verlenen: via een Globally Unique Identifier (GUID) of een Security Identifier (SID).
SID’s worden meestal gebruikt wanneer toegang moet worden verleend aan specifieke gebruikers, terwijl GUID’s worden gebruikt wanneer gebruikers worden gegroepeerd die allemaal toegang moeten hebben tot dezelfde bronnen.
Groepen kunnen worden gemaakt op basis van individuele gebruikers die allemaal toegang moeten hebben tot bepaalde bronnen, of ze kunnen worden gemaakt op basis van globale groepen (zoals afdeling), of leden van een bepaald domein.
De twee soorten Active Directory groepen
Active Directory groepen zijn onderverdeeld in twee categorisaties – Active Directory Beveiligingsgroepen en Active Directory Distributie Groepen.
Het type groep dat je nodig hebt hangt af van de vereiste functie van de groep. Distributie groepen zijn eenvoudiger in die zin dat ze worden gebruikt als er slechts eenrichtingsberichten nodig zijn van de centrale controller. Beveiligingsgroepen zijn complexer en worden toegepast wanneer u gebruikers toegang wilt geven tot gegevens en deze wilt wijzigen.
Beveiligingsteams moeten veel meer aandacht besteden aan beveiligingsgroepen om ervoor te zorgen dat de rechten niet uit de hand lopen en dat de risico’s voor de beveiliging van uw gegevens worden beperkt.
Waarom moet u Active Directory beveiligingsgroepen gebruiken?
Beveiligingsgroepen zijn van vitaal belang als het gaat om het handhaven van de juiste toegangsrechten tot uw meest gevoelige gegevens. De mogelijkheid om gebruikers in potjes te groeperen en niveaus van machtigingen toe te wijzen is ongelooflijk nuttig voor het handhaven van een beleid van de minste privileges.
U kunt bijvoorbeeld Active Directory-beveiligingsgroepen gebruiken om machtigingen op hoog niveau toe te wijzen aan leden van de raad van bestuur, zodat zij financiële informatie en KPI’s voor hun collega’s kunnen indienen. U kunt beveiligingsgroepen ook gebruiken om machtigingen op een lager niveau toe te wijzen aan nieuwkomers.
Beveiligingsgroepen in Active Directory kunnen ook worden gewijzigd via het AD-portaal, waar gebruikers kunnen worden verplaatst of volledig kunnen worden verwijderd.
Hoe maak je een beveiligingsgroep in Active Directory
De volgende stappen zijn van toepassing op Windows 10 en op Windows Server 2016. Houd er rekening mee dat je lid moet zijn van de groep Domeinbeheerders, of de juiste machtigingen al moet hebben toegepast, om zelf nieuwe groepen te kunnen maken.
- Open de Active Directory Gebruikers en Computers Console.
- Selecteer de container waarin je je groep wilt opslaan (“Users”, bijvoorbeeld).
- Klik op “Action” – “New” – “Group”
- Noem je groep met behulp van het tekstvak Group name en voer een beschrijving in.
- Afhankelijk van je Active Directory forest infrastructuur, kies je de juiste Group scope: Global of Universal.
- Klik op “Security” als groepstype en klik vervolgens op “Ok” om uw beveiligingsgroep aan te maken.
Hoe de beveiliging van uw Active Directory beveiligingsgroepen te verbeteren
Veel ondernemingen hebben te maken met toetreders, uittreders en verhuizers binnen hun omgeving. Wanneer gebruikers van rol veranderen, het bedrijf verlaten of een nieuwe rol beginnen, zullen hun vereiste machtigingen anders zijn.
Helaas communiceren veel bedrijven niet effectief genoeg met de IT- en beveiligingsteams om ervoor te zorgen dat de machtigingen en leden van beveiligingsgroepen op de juiste manier worden onderhouden. In het ergste geval kan dit ertoe leiden dat insider-bedreigingen uw gevoeligste gegevens in handen krijgen.
Het Lepide Data Security Platform biedt u de mogelijkheid om direct een lijst te genereren van gebruikers die geacht worden “buitensporige machtigingen” te hebben, of in realtime waarschuwingen te genereren wanneer machtigingen worden gewijzigd, zodat u de vereiste stappen kunt nemen om uw beleid van “least privilege” te handhaven.
Om de oplossing in actie te zien, kunt u vandaag nog een demo plannen met een van onze engineers.