98 % av säkerhetshoten börjar med Active Directory.
Active Directory har bokstavligen nycklarna till ditt rike. Om de rätta säkerhetsprinciperna inte är etablerade och du ger dina användare alltför stora behörigheter, utsätter du dig själv för potentiella säkerhetshot.
I Active Directory finns det många säkerhetsprotokoll att välja mellan för att implementera en policy för minsta möjliga privilegier där du bara ger administrativ åtkomst till dem som verkligen behöver det.
I den här bloggen kommer vi att gå igenom exakt vad säkerhetsgrupper i Active Directory är, skillnaden mellan distributionsgrupper och säkerhetsgrupper, vad säkerhetsgrupper kan användas till och exakt hur man skapar en.
Vad är Active Directory-grupper?
Active Directory är generellt sett ett program som sorterar användare i olika grupper. Det är en centraliserad plattform som de flesta företag använder för att hantera sina datorkonton och för att ge tillgång till känsliga data.
En Active Directory-grupp är en grupp användare som har fått tillgång till vissa resurser. Det finns två sätt att ge grupper denna typ av åtkomst; genom en Globally Unique Identifier (GUID) eller en Security Identifier (SID).
SID:er används oftast när åtkomst vill ges till specifika användare, medan GUID:er används när man grupperar ihop användare som alla behöver åtkomst till samma resurser.
Grupper kan skapas baserat på enskilda användare som alla behöver tillgång till vissa resurser, eller så kan de skapas baserat på globala grupper (t.ex. avdelningar) eller medlemmar i en viss domän.
De två typerna av Active Directory-grupper
Active Directory-grupper delas in i två kategorier – Active Directory Security Groups och Active Directory Distribution Groups.
Den faktiska typen av grupp som du behöver beror på vilken funktion som krävs av gruppen. Distributionsgrupper är enklare i det avseendet att de skulle användas om endast envägsnotifieringar krävs från den centrala kontrollenheten. Säkerhetsgrupper är mer komplexa och används när du vill ge användare möjlighet att få tillgång till och ändra data.
Säkerhetsteam måste ägna mycket mer uppmärksamhet åt säkerhetsgrupper för att se till att behörigheter inte blir okontrollerbara och att riskerna för datasäkerheten minskas.
Varför ska du använda Active Directory-säkerhetsgrupper?
Säkerhetsgrupper är viktiga när det gäller att upprätthålla lämpliga åtkomsträttigheter till dina mest känsliga data. Möjligheten att gruppera användare i potter för att tilldela behörighetsnivåer är otroligt användbar för att upprätthålla en policy för minsta möjliga privilegier.
Till exempel kan du använda Active Directory-säkerhetsgrupper för att tilldela styrelseledamöter behörigheter på hög nivå så att de kan skicka in finansiell information och KPI:er till sina kollegor. Du kan också använda säkerhetsgrupper för att tilldela nya medlemmar behörigheter på lägre nivå.
Säkerhetsgrupper i Active Directory kan också ändras via AD-portalen, där användare kan flyttas runt eller tas bort helt och hållet.
Hur man skapar en säkerhetsgrupp i Active Directory
Följande steg gäller för Windows 10 och för Windows Server 2016. Observera att du måste vara medlem i gruppen Domänadministratörer eller redan ha rätt behörigheter för att själv kunna skapa nya grupper.
- Öppna konsolen Active Directory Users and Computers.
- Välj den behållare där du vill lagra din grupp (”Users”, till exempel).
- Klicka på ”Action” – ”New” – ”Group”
- Nämn din grupp med hjälp av textrutan Group name (Gruppnamn) och ange en beskrivning.
- Avhängigt av din Active Directory-skogsinfrastruktur väljer du rätt Group scope (Gruppområde): Global eller Universal.
- Klicka på ”Security” som grupptyp och klicka sedan på ”Ok” för att skapa din säkerhetsgrupp.
Hur du förbättrar säkerheten för dina Active Directory-säkerhetsgrupper
Många företag måste hantera personer som ansluter sig till, lämnar och flyttar inom sin miljö. När användare byter roll, lämnar företaget eller börjar en ny roll kommer deras nödvändiga behörigheter att vara annorlunda.
Tyvärr är det många företag som inte kommunicerar tillräckligt effektivt med IT- och säkerhetsteamen för att se till att behörigheter och medlemmar i säkerhetsgrupper upprätthålls på lämpligt sätt. I värsta fall kan detta potentiellt leda till att insiderhot får tag på dina mest känsliga data.
Lepide Data Security Platform ger dig möjlighet att omedelbart generera en lista över användare som anses ha ”överdrivna behörigheter”, eller generera varningar i realtid när behörigheter ändras, så att du kan vidta de åtgärder som krävs för att upprätthålla din policy om minsta möjliga behörighet.
Om du vill se lösningen i praktiken kan du boka in en demo med en av våra ingenjörer redan idag.