จุดปวดห้าอันดับแรกของการจัดการไดเรกทอรีที่ใช้งานอยู่

ผู้เขียน: Louise Ward
วันที่สร้าง: 5 กุมภาพันธ์ 2021
วันที่อัปเดต: 1 กรกฎาคม 2024
Anonim
Pancytopenia
วิดีโอ: Pancytopenia

เนื้อหา


ที่มา: Tmcphotos / Dreamstime.com

Takeaway:

เรียนรู้ห้าประเด็นสำคัญของโฆษณาที่อาจต้องมีการแทรกแซงจากบุคคลที่สาม

อาจมีความสำคัญต่อองค์กรของคุณมากกว่าแอปพลิเคชั่นที่มีค่าที่สุดของคุณหรือทรัพย์สินทางปัญญาที่ได้รับการป้องกันมากที่สุดคือสภาพแวดล้อม Active Directory (AD) ของคุณ Active Directory เป็นศูนย์กลางของเครือข่ายระบบผู้ใช้และความปลอดภัยของแอปพลิเคชัน ควบคุมการควบคุมการเข้าถึงสำหรับวัตถุและทรัพยากรทั้งหมดภายในโครงสร้างพื้นฐานการคำนวณของคุณและมีค่าใช้จ่ายจำนวนมากทั้งในคนและในทรัพยากรฮาร์ดแวร์ที่จำเป็นในการจัดการ และต้องขอบคุณผู้จำหน่ายซอฟต์แวร์บุคคลที่สามคุณยังสามารถเพิ่มระบบ Linux, UNIX และ Mac OS X ให้กับทรัพยากรที่มีการจัดการของโฆษณา

การจัดการโฆษณาสำหรับผู้ใช้และกลุ่มเพียงไม่กี่โหลนั้นเจ็บปวดมาก และอินเทอร์เฟซพื้นฐานและองค์กรของ Microsoft ก็ไม่ได้ช่วยบรรเทาความเจ็บปวดนั้น Active Directory ไม่ใช่เครื่องมือที่อ่อนแอ แต่มีแง่มุมที่ทำให้ผู้ดูแลระบบค้นหาเครื่องมือบุคคลที่สาม งานชิ้นนี้สำรวจข้อบกพร่องของผู้ดูแลระบบโฆษณาระดับสูง

1. การจัดการกับกลุ่มซ้อน

เชื่อหรือไม่ว่ามีวิธีปฏิบัติที่ดีที่สุดเกี่ยวข้องกับการสร้างและใช้กลุ่มโฆษณาที่ซ้อนกัน อย่างไรก็ตามแนวปฏิบัติที่ดีที่สุดเหล่านั้นควรได้รับการควบคุมโดยข้อ จำกัด ของโฆษณาในตัวดังนั้นผู้ดูแลระบบจึงไม่ได้รับอนุญาตให้ขยายกลุ่มที่ซ้อนกันเป็นมากกว่าหนึ่งระดับ นอกจากนี้ข้อ จำกัด ในการป้องกันกลุ่มที่ซ้อนกันมากกว่าหนึ่งกลุ่มต่อกลุ่มที่มีอยู่จะป้องกันปัญหาการดูแลทำความสะอาดในอนาคตและปัญหาด้านการดูแลระบบที่เกิดขึ้น


การซ้อนหลายระดับกลุ่มและอนุญาตให้หลายกลุ่มภายในกลุ่มสร้างปัญหาการสืบทอดที่ซับซ้อนข้ามการรักษาความปลอดภัยและซากปรักหักพังมาตรการขององค์กรที่การจัดการกลุ่มถูกออกแบบมาเพื่อป้องกัน การตรวจสอบโฆษณาเป็นระยะจะช่วยให้ผู้ดูแลระบบและสถาปนิกประเมินองค์กรโฆษณาอีกครั้งและแก้ไขการขยายกลุ่มที่ซ้อนกัน

ผู้ดูแลระบบมีเครดิต“ จัดการกลุ่มไม่ใช่บุคคล” เข้าสู่สมองของพวกเขาเป็นเวลาหลายปี แต่การจัดการกลุ่มนำไปสู่กลุ่มที่อยู่ติดกันและสิทธิ์ที่ได้รับการจัดการไม่ดีอย่างหลีกเลี่ยงไม่ได้ (เรียนรู้เกี่ยวกับการรักษาความปลอดภัยตามบทบาทของ Softerra Adaxes ที่นี่)

2. เปลี่ยนเป็น RBAC จาก ACL

การสลับออกจากรายการควบคุมการเข้าถึงผู้ใช้เป็นศูนย์กลาง (ACLs) รูปแบบการจัดการโฆษณาเป็นวิธีการขององค์กรที่ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) มากขึ้นดูเหมือนว่าจะเป็นงานง่าย ไม่เช่นนั้นกับโฆษณา การจัดการ ACL เป็นเรื่องยาก แต่การสลับไปใช้ RBAC ก็ไม่สามารถเดินในสวนได้เช่นกัน ปัญหาของ ACL คือไม่มีตำแหน่งกลางใน AD เพื่อจัดการการอนุญาตซึ่งทำให้การจัดการมีความท้าทายและมีราคาแพง RBAC พยายามที่จะลดการอนุญาตและความล้มเหลวในการเข้าถึงโดยการจัดการการอนุญาตการเข้าถึงตามบทบาทแทนที่จะเป็นรายบุคคล แต่ก็ยังสั้นเนื่องจากการขาดการจัดการสิทธิ์แบบรวมศูนย์ แต่มันก็เจ็บปวดกว่าการย้ายไปใช้ RBAC มันดีกว่าการจัดการสิทธิ์ด้วยตนเองบนพื้นฐานต่อผู้ใช้ด้วย ACL


ACLs ล้มเหลวในการขยายขีดความสามารถและความสามารถในการจัดการที่คล่องตัวเนื่องจากขอบเขตกว้างเกินไป บทบาทหรือมีความแม่นยำมากขึ้นเนื่องจากผู้ดูแลระบบให้สิทธิ์ตามบทบาทของผู้ใช้ ตัวอย่างเช่นหากผู้ใช้ใหม่ที่สำนักข่าวเป็นบรรณาธิการเธอก็มีบทบาทของ Editor ตามที่กำหนดไว้ในโฆษณา ผู้ดูแลระบบกำหนดให้ผู้ใช้ในกลุ่ม Editors ซึ่งให้สิทธิ์และการเข้าถึงทั้งหมดที่ Editors ต้องการโดยไม่ต้องเพิ่มผู้ใช้ในกลุ่มอื่น ๆ เพื่อรับสิทธิ์การเข้าถึงที่เท่าเทียมกัน

RBAC กำหนดสิทธิ์และข้อ จำกัด ตามบทบาทหรือหน้าที่ของงานแทนที่จะกำหนดผู้ใช้ให้กับหลาย ๆ กลุ่มที่อาจมีการอนุญาตที่กว้างขึ้น บทบาทของ RBAC นั้นเฉพาะเจาะจงมากและไม่ต้องการการซ้อนหรือความซับซ้อนของ ACL อื่น ๆ เพื่อให้ได้ผลลัพธ์ที่ดีขึ้นสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้นและแพลตฟอร์มความปลอดภัยที่จัดการได้ง่ายขึ้น

3. การจัดการคอมพิวเตอร์

การจัดการคอมพิวเตอร์เครื่องใหม่การจัดการคอมพิวเตอร์ที่ถูกตัดการเชื่อมต่อจากโดเมนและพยายามทำทุกอย่างด้วยบัญชีคอมพิวเตอร์ทำให้ผู้ดูแลระบบต้องการมุ่งหน้าไปที่บาร์ Martini ที่ใกล้ที่สุด - สำหรับอาหารเช้า

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

เหตุผลเบื้องหลังการยืนยันที่น่าทึ่งคือมี 11 คำที่คุณไม่ต้องการอ่านบนหน้าจอในฐานะผู้ดูแลระบบ Windows:“ ความสัมพันธ์ที่ไว้วางใจระหว่างเวิร์กสเตชันนี้กับโดเมนหลักล้มเหลว” คำเหล่านี้หมายความว่าคุณกำลังจะ ใช้ความพยายามหลายครั้งและอาจใช้เวลาหลายชั่วโมงในการเชื่อมต่อเวิร์กสเตชันนี้เข้ากับโดเมน เป็นเรื่องน่าเสียดายที่การแก้ไขมาตรฐานของ Microsoft ไม่ทำงาน การแก้ไขมาตรฐานประกอบด้วยการรีเซ็ตวัตถุบัญชีของคอมพิวเตอร์ใน Active Directory รีบูตเวิร์กสเตชันและข้ามนิ้วมือเดียว การแก้ไขการจัดเรียงอื่น ๆ มักจะมีประสิทธิภาพเท่ากับมาตรฐานทำให้ผู้ดูแลระบบ reimage ระบบที่ถูกตัดการเชื่อมต่อเพื่อเชื่อมต่อกับโดเมนอีกครั้ง

4. การจัดการการล็อคบัญชีผู้ใช้

ไม่มีการแก้ไขด้วยตนเองสำหรับล็อคบัญชีแม้ว่าผู้จำหน่ายซอฟต์แวร์บุคคลที่สามหลายรายได้แก้ปัญหาแล้ว ผู้ใช้ต้องรอช่วงเวลาก่อนลองอีกครั้งหรือติดต่อผู้ดูแลระบบเพื่อรีเซ็ตบัญชีที่ถูกล็อค การรีเซ็ตบัญชีที่ถูกล็อคนั้นไม่ได้เป็นปัญหาสำหรับผู้ดูแลระบบแม้ว่าจะสามารถพิสูจน์ได้ว่าน่าผิดหวังสำหรับผู้ใช้

หนึ่งในข้อบกพร่องของโฆษณาคือการล็อคบัญชีสามารถสร้างจากแหล่งอื่นนอกเหนือจากผู้ใช้ที่ป้อนรหัสผ่านไม่ถูกต้อง แต่โฆษณาไม่ได้ให้คำแนะนำแก่ผู้ดูแลระบบเกี่ยวกับที่มานั้น

5. การยกระดับสิทธิ์และการอนุญาตคืบ

มีความเป็นไปได้ที่ผู้ใช้ที่มีสิทธิพิเศษจะสามารถยกระดับสิทธิ์ของตนได้โดยการเพิ่มตัวเองไปยังกลุ่มอื่น ผู้ใช้ที่มีสิทธิ์คือผู้ที่มีสิทธิ์ยกระดับ แต่ผู้ที่มีสิทธิ์เพียงพอที่จะเพิ่มตนเองในกลุ่มเพิ่มเติมซึ่งให้สิทธิ์เพิ่มเติมแก่พวกเขาใน Active Directory ข้อบกพร่องด้านความปลอดภัยนี้อนุญาตให้ผู้โจมตีภายในสามารถเพิ่มสิทธิพิเศษในลักษณะเป็นขั้นตอนจนกว่าจะมีการควบคุมโดเมนอย่างครอบคลุมรวมถึงความสามารถในการล็อคผู้ดูแลระบบรายอื่น (กำจัดขั้นตอนที่ต้องใช้ทรัพยากรสิ้นเปลืองใน Active Directory Identity Management เรียนรู้วิธีที่นี่)

การคืบคลานการอนุญาตเป็นเงื่อนไขที่เกิดขึ้นเมื่อผู้ดูแลระบบไม่สามารถลบผู้ใช้ออกจากกลุ่มสิทธิ์เฉพาะเมื่อการเปลี่ยนแปลงงานของผู้ใช้หรือเมื่อผู้ใช้ออกจาก บริษัท คืบคลานได้รับอนุญาตสามารถอนุญาตให้ผู้ใช้เข้าถึงสินทรัพย์ขององค์กรที่ผู้ใช้ไม่ต้องการอีกต่อไป การยกระดับสิทธิ์และคืบคลานได้รับอนุญาตทั้งสองสร้างความกังวลด้านความปลอดภัยที่ร้ายแรง มีแอพพลิเคชั่นของบุคคลที่สามมากมายที่สามารถทำการตรวจสอบเพื่อตรวจจับและป้องกันเงื่อนไขเหล่านี้

จาก บริษัท ขนาดเล็กไปจนถึงองค์กรระดับโลก Active Directory จัดการการตรวจสอบผู้ใช้การเข้าถึงทรัพยากรและการจัดการคอมพิวเตอร์ มันเป็นหนึ่งในชิ้นส่วนโครงสร้างพื้นฐานเครือข่ายที่มีค่าที่สุดในธุรกิจในปัจจุบัน เครื่องมือที่ทรงพลังเช่นเดียวกับ Active Directory คือมีข้อบกพร่องมากมาย โชคดีที่ผู้จำหน่ายซอฟต์แวร์ที่ไม่ใช่ของ Microsoft ได้ขยายคุณสมบัติของ Active Directory แก้ไขการออกแบบอินเตอร์เฟสการจัดการที่ไม่ดีรวมการทำงานของมันและรวมความบกพร่องที่เห็นได้ชัดบางอย่างเข้าด้วยกัน

Adaxes ซึ่งเป็นพันธมิตรของเรานำเสนอเนื้อหานี้ให้คุณ