Позволяет ли среда Windows Live ранжировать доступ к файлам и папкам для разных групп пользователей
Обновлено: 03.07.2024
Инструменты PAM помогают организациям предоставлять безопасный привилегированный доступ к критически важным ресурсам и соблюдать нормативные требования, управляя и отслеживая привилегированные учетные записи и доступ. Инструменты PAM предлагают функции, которые позволяют лидерам в области безопасности и управления рисками: • Для всех случаев использования: o Обнаруживать привилегированные учетные записи в системах, устройствах и приложениях для последующего управления. o Автоматически рандомизируйте, управляйте и сохраняйте пароли и другие учетные данные для учетных записей администраторов, служб и приложений. o Контролировать доступ к привилегированным учетным записям, включая общие учетные записи и учетные записи «firecall» (экстренный доступ). o Изоляция, мониторинг, запись и аудит сеансов привилегированного доступа, команд и действий.
Продукты в категории "Решения для управления привилегированным доступом"
Узнайте, какие поставщики высоко оценены в поддержке и развертывании
Инфографика поставщиков с высоким рейтингом поможет вам быстро увидеть, какие поставщики на этом рынке высоко оценены коллегами по двум ключевым параметрам: обслуживание и поддержка и интеграция и развертывание.
- количество оценок, от большего к меньшему
- количество оценок, от низкого к высокому
- средний рейтинг, от высокого к низкому
- средний рейтинг, от низкого до высокого
Выбор клиентов 2021
< /p>
< /p>
"Простой и легкий в использовании для отдельных лиц или групп."
Секретный сервер — простой, удобный и безопасный способ хранения личной или частной информации, а также возможность доступа, ограничения или обновления в любое время и в любом месте. Интерфейс Secret Server очень прост в использовании. Он настроен на работу аналогично другим облачным хранилищам, где информация может храниться в папках, а доступ к ней может быть ограничен определенными пользователями или группами. Наша команда размещает несколько папок для наших корпоративных приложений. Это позволяет нам делиться нашими учетными записями администратора между собой. Дополнительным преимуществом включения большего количества информации, чем только имя пользователя и пароль, является огромный плюс, поскольку мы можем включать закрытые/секретные ключи, ключи API или другую соответствующую информацию, такую как URL-адрес порталов входа. Мы также интегрируем двухфакторную аутентификацию, чтобы добавить еще один уровень безопасности нашей информации. Secret Server — лучший сервис для нас!
"Лучший инструмент для управления паролями"
Этот продукт используется для хранения и управления паролями и именами пользователей для различных приложений в масштабах всей компании. Я использовал этот инструмент для управления именем пользователя и паролем для сетевых устройств, которые используются в нашей компании по всему миру. Инструмент реализован другой командой, и моя команда является пользователем, который ежедневно использует этот инструмент для управления паролями устройств.
< бр />
< бр />
"Надежная и интеллектуальная система управления привилегированным доступом"
Iraje — это великолепный менеджер привилегированного доступа, который гарантирует, что только соответствующие люди будут иметь доступ к нашим привилегированным учетным записям и идентификаторам. Он также управляет нашими паролями привилегированного доступа и другими учетными данными для нас, давая нам истинное спокойствие. Подотчетности и предотвращению мошенничества помогают архивы сеансов и видеозаписи каждого взаимодействия с привилегированным пользователем. Мне это нравится, потому что он поддерживает единый репозиторий всех доступов и действий администратора для простого аудита и отличного соответствия. Я перешел на него, потому что из-за моего последнего инструмента наш Бизнес понес значительные финансовые потери и репутационный ущерб. Iraje спас нас от всех этих потерь, предоставив надежного менеджера привилегированного доступа, а также индивидуальную ответственность, и эта система также предоставляет контрольный журнал, чтобы продемонстрировать, что правила и нормы соблюдаются.
Выбор клиентов 2021
"Простота настройки и обслуживания"
Очень важно защитить доступ к нашему серверу, и этот инструмент обеспечивает наилучший способ сделать это, поскольку он поддерживает авторизацию на основе OTP, поскольку я работаю над проектом, в котором ARCON в основном используется для развертывания. В результате ARCON упрощает процесс развертывания. Кроме того, когда нам нужны журналы для проверки ошибок в наших службах, ARCON — лучший инструмент для получения этих файлов журналов. С технической точки зрения, я бы сказал, что он полностью удовлетворяет наши потребности. Развертывание на самом деле довольно простое, им легко управлять и устранять неполадки. При необходимости базу можно восстановить за считанные минуты. Доступны некоторые фантастические функции, которые делают его достойным дополнением к любому бизнесу. ARCON обеспечивает высокий уровень безопасности, что было для нас главной заботой.
Выбор клиентов 2021
"Простота, масштабируемость и безопасность"
ManageEngine Password Manager Pro повысил эффективность нашей компании. Мы эффективно добиваемся наилучших результатов, управляя всеми зашифрованными паролями и объединяя все наши пароли в одном месте, что в дальнейшем позволит нам отслеживать все пароли в масштабах всей компании
"Лучшее программное обеспечение для управления удаленным рабочим столом, которое я нашел"
RDM — впечатляющее программное обеспечение. В этом есть тонна глубины, но легко начать работу без каких-либо предварительных знаний. Интерфейс удобный, настраиваемый и может быть простым или сложным по вашему желанию. Бесплатная версия по-прежнему невероятно мощная и подойдет большинству пользователей, но платная версия добавляет еще больше функциональности. Тот факт, что Devolutions прислушивается к своим клиентам и действительно привлекает их, также является огромным плюсом; многие мысли клиентов, которые вы видите, написанные на форумах, в обзорах или отзывах, взвешиваются, учитываются, и многие в конечном итоге каким-то образом воплощаются в продукте. Количество надстроек, возможность подключения к разным сеансам, интеграция документации с вашими системами приводит к более продуктивной рабочей среде. Вы можете использовать RDM в качестве платформы для автоматизации, и Devolutions поможет вам «управлять хаосом».
Выбор клиентов 2021
"Сеанс группы пользователей удаленной поддержки 4 августа"
Мы использовали продукт удаленной поддержки в течение нескольких лет, но когда из-за пандемии вступили в силу ограничения, он стал бесценным инструментом для нашей службы поддержки. Живой чат был отличным вариантом вместо традиционной телефонной очереди, к которой мы не можем получить доступ из дома. Очень хотелось бы увидеть сеанс, посвященный взаимодействию с устройствами Apple, так как это база пользователей, которая растет в нашей среде.
Выбор клиентов 2021
< /p>
< /p>
"Отличный стабильный способ интеграции Linux с Active Directory"
Использовал это в качестве администратора Linux на моей прежней работе (в университете), чтобы интегрировать мои серверы Linux в нашу среду AD. Наш ИТ-директор хотел, чтобы сотрудники, преподаватели и студенты имели единый вход в систему, чтобы уменьшить количество паролей, которые люди должны помнить. Установка довольно проста и не могу сказать, что у меня никогда не было ни одной проблемы с ней. На самом деле, если вы интегрируете это с Windows Active Directory, ваши системные администраторы Windows будут выполнять гораздо больше работы, чем вы. Довольно простой продукт.
Выбор клиентов 2021
"Отличная защита конечных точек"
Система управления привилегиями конечных точек BeyondTrust позволила нашей организации смягчить атаки, удалив чрезмерные привилегии в Windows и Mac без ущерба для производительности конечных пользователей.
Выбор клиентов 2021
"Полный инструмент PAM для управления учетными данными и сертификатами с полными возможностями аудита"
Наш общий опыт работы с сенхасегурой до сих пор был вполне удовлетворительным. С помощью платформы PAM мы смогли надлежащим образом управлять всеми подключенными устройствами в нашей сетевой инфраструктуре, от конечных точек и коммутаторов до брандмауэров и серверов. Использование инструмента достаточно интуитивно понятное и простое, и у нас никогда не было жалоб от пользователей на его удобство использования. Можно легко получить доказательства всех выполненных действий (включая генерацию видео и журналы действий).Детализация привилегий, предлагаемых этим инструментом, является одной из лучших, которые мы когда-либо видели, и адаптируется к ряду сценариев и вариантов использования в организации.
"Лучшее решение PAM"
решение очень способно к привилегированному контролю доступа, действительно лидирующее решение на рынке по сравнению с другими поставщиками выглядит очень сильным
Выбор клиентов 2021
"Один продукт для поддержки нескольких операционных систем"
Мы очень довольны тем, что BeyondTrust предоставляет удаленную поддержку для устройств Windows и macOS. Возможность поддерживать все типы клиентов с одной панели управления, а также возможность группировать компьютеры в группы безопасности, чтобы технический персонал мог получить доступ только к определенным, идеально подходила для нашей организации.
Выбор клиентов 2021
"Возможности/функции за такую цену превосходны."
Мы развернули Password Safe в прошлом году, так как руководство нашей компании требовало, чтобы мы начали использовать PAM, поэтому наши учетные записи домена не были привилегированными, и нам уже давно пора было это сделать. Мы рассмотрели несколько вариантов, таких как Thycotic и CyberArk, и возможности, включенные в цену, привели нас к выбору BeyondTrust из-за первоначальных затрат и текущих расходов на поддержку. В целом это был приятный опыт, и я бы порекомендовал этот продукт другу, особенно если бюджет является основным фактором при принятии решения.
"Простой инструмент безопасности для управления приложениями"
Это простой инструмент безопасности для управления приложениями. Продукт является хорошим способом контроля установки приложений. Он прост в использовании и освоении. Это позволяет нам снизить риск несанкционированной установки или вредоносного программного обеспечения. Очень важно иметь защитные устройства для предотвращения кибератак. У него есть возможности создания отчетов, и наш поставщик очень хочет помочь и научить нас.
"Система проста, поддержка очень хороша, полностью соответствует моему удовлетворению"
Продукт прост в использовании. Производитель очень помог с настройкой. Наши поставщики услуг также могут легко получить доступ к нашим машинам Linux. Поддержка очень хорошая. Он быстро дает решения для особых требований. Другим производителям следует обратить на это внимание.
"Усовершенствованная унифицированная программная платформа для борьбы с инсайдерскими угрозами и утечкой данных"
Очень сложная служба PAM от Symantec для защиты общедоступных, финансовых и частных данных от киберугроз и взломов. Он может работать с аналогичными функциями независимо от того, являются ли ресурсы локальной, облачной или гибридной архитектурой, и может разделять доступ с помощью модели доступа с нулевым доверием и Treat Analytics, которая использует машинное обучение, что очень важно при нынешнем спросе на дату. и приложения.
"One Identity бьет из парка!"
OI-SG упростила управление привилегированными учетными записями. Благодаря функции «все в одном» и отсутствию необходимости в дополнительных ресурсах устройства OI-SG очень просто создали среду, необходимую для размера информационная безопасность, но легко масштабируется для управления более крупными организациями.
"Отличное решение PAM для нескольких арендаторов!"
Самое быстрое в развертывании решение, обеспечивающее гибкую разработку для наших пользовательских запросов. Хорошая поддержка и обслуживание, совместимость с соглашением об уровне обслуживания хорошая
"Надежное решение для управления секретами"
HashiCorp Vault действительно лучший в своем классе.Используя другие инструменты управления секретами, HashiCorp действительно упростила использование Vault в функции кросс-совместимости в многооблачной или гибридной среде. Многие сборы решают одну проблему, такую как шифрование пакетов данных, но не помогают с совместимостью между приложениями. Это так легко интегрировать во всю настройку, что у вас не будет никаких секретов. И это также дает нам стандартизированный процесс, который делает среду более безопасной.
"Обновление было довольно простым и правильно организованным"
Securelink действительно заслуживает доверия и надежен, когда речь идет об обслуживании и доставке. До сих пор мой опыт работы с Securelink замечателен. У них есть опытная команда для решения моих проблем.
Часто задаваемые вопросы
Инструменты PAM контролируют привилегированный доступ для машин (систем или приложений) для внутреннего или межмашинного взаимодействия, а также для людей, которые администрируют или настраивают системы и приложения. Вот некоторые примеры основных возможностей/функций:
Обнаружение привилегированных учетных записей в нескольких системах, инфраструктурах и приложениях.
Управление учетными данными для привилегированных учетных записей.
Установление сеанса, управление, мониторинг и запись для интерактивного привилегированного доступа.
Контролируемое повышение прав команд для Unix/Linux и Windows.
Управление секретами для приложений, служб и устройств.
Правильное развертывание инструмента PAM требует двух основных вещей: четкого понимания того, где находятся привилегированные учетные записи (с планом их защиты), и изменения организационного процесса, чтобы максимально повысить эффективность управления привилегированным доступом.
Одним из главных факторов использования PAM является защита бизнеса за счет уменьшения поверхности атаки. Чтобы достичь целей PAM, организации должны сосредоточиться на следующих методах:
Отслеживайте и защищайте каждый привилегированный аккаунт.
Управление и контроль доступа.
Записывайте и проверяйте привилегированные действия.
Введите в действие привилегированные задачи.
Существует три отдельные категории инструментов, которые выделяют различные решения PAM. Эти категории включают управление привилегированными учетными записями и сеансами (PASM), повышение привилегий и управление делегированием (PEDM) и управление секретами.
PASM: Пароли и другие учетные данные для привилегированных учетных записей активно управляются, например изменяются через определенные промежутки времени или при возникновении определенных событий. Решения PASM также могут управлять (ротировать) учетными данными для учетных записей служб.
PEDM: определенные привилегии предоставляются в управляемой системе агентами хоста вошедшим в систему пользователям. Инструменты PEDM обеспечивают командное управление (фильтрацию) на основе хоста и повышение привилегий для серверов, а также могут предлагать функции для мониторинга целостности файлов.
Управление секретами. Управление секретами часто используется в гибких средах, таких как IaaS (инфраструктура как услуга), PaaS (платформа как услуга) или платформах управления контейнерами. Хотя он управляет учетными данными, такими как пароли, и хранит их с помощью API и пакетов разработки программного обеспечения (SDK), он также может обеспечивать управление паролями между приложениями (AAPM).
Рецензенты Peer Insights делятся своим опытом и рассказывают, какие советы они могли бы дать другим потенциальным клиентам. Ниже приведены некоторые из основных рекомендаций:
Перечислите основные требования к PAM для всех бизнес-подразделений и заручитесь поддержкой руководства.
Выберите инструмент PAM, сбалансировав необходимое сочетание вариантов использования и проведения POC.
Обучать навыкам PAM до внедрения инструмента.
Модернизируйте существующий стек ИТ и используйте опыт профессиональных служб для развертывания инструмента.
Бывают случаи, когда людям нужен доступ к информации, например к документам или слайдам на сетевом диске, но у них нет соответствующего уровня доступа для чтения или изменения элемента. Это может произойти в самый неподходящий момент, и им потребуется связаться с системным администратором, чтобы предоставить им соответствующий уровень привилегий. Конечно, они в конечном итоге спрашивают, почему они не могут просто получить общий доступ к информации в папке, чтобы они могли сортировать элементы и находить то, что им нужно.
Ответ может быть примерно таким: «Извините, но вам нужно отправить заявку в службу поддержки с соответствующей информацией, которая будет проверена, прежде чем мы сможем предоставить вам соответствующий доступ». Это приводит к еще большему разочарованию, когда человек может сказать что-то вроде: «Есть ли более быстрый способ сделать это? Мне просто нужен доступ к одной папке, вот и все». И что теперь?
Как бы болезненно это ни звучало (а иногда и неудобно), существуют причины, по которым контроль доступа вступает в игру в подобных сценариях.
Контроль доступа и сертификация CISSP
Управление доступом – это ключевое понятие кибербезопасности, поэтому, естественно, его рассматривают на сертификационном экзамене CISSP.Домен 5 CISSP охватывает управление идентификацией и доступом, а цель 5.4 в этом домене — «Внедрение и управление механизмами авторизации». Существует шесть основных типов моделей контроля доступа, которые должны понимать все владельцы CISSP:
- Обязательный контроль доступа (MAC)
- Управление дискреционным доступом (DAC)
- Управление доступом на основе ролей (RBAC)
- Контроль доступа на основе правил
- Контроль доступа на основе атрибутов (ABAC)
- Управление доступом с учетом рисков
В этой статье мы дадим определение управлению доступом, рассмотрим шесть моделей управления доступом, опишем методы логического управления доступом и объясним различные типы физического управления доступом.
Контроль доступа и модель контроля доступа
Контроль доступа идентифицирует человека, выполняющего определенную работу, идентифицирует его, просматривая его удостоверение личности, а затем выдает этому человеку только ключ от двери или компьютера, к которому ему нужен доступ, и ничего более. В мире информационной безопасности можно было бы рассматривать это как предоставление индивидуальному разрешению на вход в сеть через имя пользователя и пароль, предоставление им доступа к файлам, компьютерам или другому оборудованию или программному обеспечению, которое требуется человеку, и обеспечение того, чтобы они имели правильный уровень. разрешения (т. е. только для чтения) для выполнения своей работы. Итак, как же предоставить надлежащий уровень разрешений человеку, чтобы он мог выполнять свои обязанности? Именно здесь на сцену выходят модели управления доступом.
Как отмечалось выше, экзамен CISSP выделяет шесть разновидностей контроля доступа.
1. Обязательный контроль доступа (MAC)
Модель Mandatory Access Control (MAC) позволяет только владельцу и хранителю управлять средствами управления доступом. Это означает, что конечный пользователь не может контролировать какие-либо настройки, которые предоставляют какие-либо привилегии кому-либо. С MAC связаны две модели безопасности: Biba и Bell-LaPadula. Модель Биба ориентирована на целостность информации, тогда как модель Белла-ЛаПадулы ориентирована на конфиденциальность информации. Biba — это установка, в которой пользователь с более низким уровнем допуска может читать информацию более высокого уровня (называемую «чтением вверх»), а пользователь с высоким уровнем допуска может писать для более низких уровней допуска (называется «записывать»). Модель Biba обычно используется в компаниях, где сотрудники более низкого уровня могут читать информацию более высокого уровня, а руководители могут писать, чтобы информировать сотрудников более низкого уровня.
Bell-LaPadula, с другой стороны, – это установка, в которой пользователь более высокого уровня (например, "Совершенно секретно") может писать только на этом уровне и не ниже (это называется "запись вверх"), но также может читать на более низкие уровни (называемые «чтением вниз»). Bell-LaPadula был разработан для правительственных и / или военных целей, где, если у кого-то нет правильного уровня допуска и ему не нужно знать определенную информацию, они не имеют никакого отношения к этой информации. Когда-то MAC был связан с системой нумерации, которая присваивала номер уровня файлам и номера уровня сотрудникам. Эта система сделала так, что если файл (например, myfile.ppt) имеет уровень 400, другой файл (например, yourfile.docx) имеет уровень 600, а сотрудник имеет уровень 500, сотрудник не сможет получить доступ к «вашему файлу». .docx» из-за более высокого уровня (600), связанного с файлом. MAC — это наивысший уровень контроля доступа, который существует и используется в военных и/или правительственных учреждениях с использованием классификаций «Секретно», «Секретно» и «Несекретно» вместо ранее упомянутой системы нумерации.
2. Дискреционный контроль доступа (DAC)
Модель дискреционного управления доступом (DAC) является моделью с наименьшими ограничениями по сравнению с наиболее строгой моделью MAC. DAC позволяет человеку полностью контролировать любые объекты, которыми они владеют, а также программы, связанные с этими объектами. Это дает DAC два основных недостатка. Во-первых, это дает конечному пользователю полный контроль над установкой параметров уровня безопасности для других пользователей, что может привести к тому, что у пользователей будут более высокие привилегии, чем они должны. Во-вторых, что еще хуже, разрешения, которые есть у конечного пользователя, наследуются в других выполняемых им программах.
Это означает, что конечный пользователь может запустить вредоносное ПО, не подозревая об этом, и вредоносное ПО может воспользоваться преимуществами потенциально высокого уровня привилегий, которыми обладает конечный пользователь.
3. Управление доступом на основе ролей (RBAC)
Модель управления доступом на основе ролей (RBAC) обеспечивает управление доступом в зависимости от должности, которую человек занимает в организации. Таким образом, вместо того, чтобы назначать Джону разрешения в качестве менеджера безопасности, должность менеджера безопасности уже имеет назначенные ему разрешения. По сути, Джону просто нужен доступ к профилю менеджера по безопасности. RBAC упрощает жизнь системному администратору организации.
Большая проблема с этой моделью управления доступом заключается в том, что если Джону требуется доступ к другим файлам, должен быть другой способ сделать это, поскольку роли связаны только с должностью; в противном случае менеджеры по безопасности из других организаций могут получить доступ к файлам, для которых они не авторизованы.
4. Контроль доступа на основе правил
Управление доступом на основе правил, также с аббревиатурой RBAC или RB-RBAC. Управление доступом на основе правил будет динамически назначать роли пользователям на основе критериев, определенных хранителем или системным администратором. Например, если кому-то разрешен доступ к файлам только в определенные часы дня, предпочтительным инструментом будет контроль доступа на основе правил.
Дополнительные «правила» контроля доступа на основе правил, требующие реализации, могут потребоваться «запрограммировать» в сети хранителем или системным администратором в виде кода вместо «установки флажка».
5. Контроль доступа на основе атрибутов (ABAC)
Модель управления доступом на основе атрибутов (ABAC) часто называют более детализированной формой управления доступом на основе ролей, поскольку для получения доступа требуется несколько элементов. Эти атрибуты связаны с субъектом, объектом, действием и средой. Например, торговый представитель (субъект) может попытаться получить доступ к записи клиента (объекту), чтобы обновить информацию (действие) из своего офиса в рабочее время (среда).
Этот подход позволяет более точно настроить элементы управления доступом по сравнению с ролевым подходом. Например, мы можем запретить доступ на основе среды (например, времени суток) или действия (например, удаления записей). Недостатком является то, что может быть сложнее настроить и запустить эти элементы управления.
6. Управление доступом на основе рисков
Управление доступом на основе рисков — это модель динамического контроля доступа, которая определяет доступ на основе уровня оцененного риска, связанного с транзакцией. Одним из часто используемых примеров является определение профиля риска пользователя, выполняющего вход в систему. Если устройство, с которого выполняется вход, не распознано, это может повысить риск и потребовать дополнительной проверки подлинности. Если происходит действие, которое считается сопряженным с высоким риском, например попытка обновить банковскую информацию, это может вызвать дополнительные запросы, основанные на риске.
Одно из недавних исследований показало, что элементы управления на основе рисков менее раздражают пользователей, чем некоторые другие формы аутентификации. Например, двухфакторная аутентификация оказалась «значительно более громоздкой в использовании и значительно более излишне сложной по сравнению с условиями [проверенной аутентификации на основе рисков]».
Теперь давайте рассмотрим, как логически реализованы эти элементы управления.
Логические методы контроля доступа
Логический контроль доступа осуществляется с помощью списков управления доступом (ACL), групповых политик, паролей и ограничений учетных записей.
Списки управления доступом (ACL) — это разрешения, прикрепленные к объекту, такому как файл электронной таблицы, которые система будет проверять, чтобы разрешить или запретить управление этим объектом. Эти разрешения варьируются от полного контроля до «только для чтения» и «доступ запрещен». Когда дело доходит до различных операционных систем (например, Windows, Linux, Mac OS X), записи в ACL называются «запись управления доступом» или ACE и настраиваются с помощью четырех частей информации: идентификатора безопасности (SID ), маску доступа, флаг операций, которые можно выполнять над объектом, и другой набор флагов для определения унаследованных разрешений объекта. Итак, как видно, ACL обеспечивают детальное управление доступом к объектам. Однако они могут стать громоздкими, если изменения происходят часто и требуется управлять многими объектами.
Групповые политики являются частью среды Windows и позволяют централизованно управлять контролем доступа к сети компьютеров, используя службы каталогов Microsoft, называемые Active Directory. Это избавляет от необходимости ходить к каждому компьютеру и настраивать контроль доступа. Эти параметры хранятся в объектах групповой политики (GPO), что позволяет системному администратору удобно настраивать параметры. Несмотря на удобство, решительный хакер может обойти эти групповые политики и сделать жизнь системного администратора или хранителя невыносимой.
Пароли — это «наиболее распространенный логический элемент управления доступом… иногда называемый логическим токеном» (Ciampa, 2009). Однако, как говорится, они должны быть устойчивыми к взлому, чтобы обеспечить необходимый уровень контроля доступа. Если кто-то делает пароль легко угадываемым или использует слово из словаря, он может подвергнуться атакам грубой силы, атакам по словарю или другим атакам с использованием радужных таблиц. Имея это в виду, эксперты сходятся во мнении, что чем длиннее пароль, тем сложнее его взломать, при условии, что пользователь помнит его и использует при его создании множество различных символов и символов, не являющихся клавишными. Использование этой концепции также затрудняет взлом пароля хакером с использованием радужных таблиц.Наличие двухфакторной аутентификации (например, смарт-карты с паролем) может сделать вещи более безопасными, особенно с учетом прогресса технологий, когда взлом паролей занимает всего несколько секунд.
Регулярная установка исправлений, удаление или отключение ненужных учетных записей, защита паролем BIOS, обеспечение загрузки компьютера только с жесткого диска и запирание двери с компьютером за ней помогут защитить пароли.
Конечно, если не записывать пароль, это тоже поможет.
Ограничения учетной записи — это последний логический метод управления доступом в списке. Ciampa отмечает: «Двумя наиболее распространенными ограничениями для учетной записи являются ограничения по времени суток и срок действия учетной записи» (Ciampa, 2009). Ограничения по времени суток могут гарантировать, что пользователь будет иметь доступ к определенным записям только в определенные часы. Это позволит администраторам обновлять записи ночью без вмешательства других пользователей. Срок действия учетной записи необходим для того, чтобы неиспользуемые учетные записи больше не были доступны, чтобы хакеры не могли использовать их для какой-либо «грязной работы».
Типы контроля физического доступа
Физический контроль доступа использует физические барьеры, которые могут помочь предотвратить доступ неавторизованных пользователей к системам. Это также позволяет авторизованным пользователям получать доступ к системам с учетом физической безопасности. Этот тип контроля включает в себя обеспечение безопасности компьютера путем блокировки двери, через которую осуществляется доступ в систему, использование бумажного журнала доступа, осуществление видеонаблюдения с помощью замкнутого телевидения и, в экстремальных ситуациях, наличие «ловушек для людей».
Защита компьютера заключается в отключении оборудования, чтобы, если кто-то получит доступ, он не смог повредить компьютер из-за отключенных USB-портов, приводов CD или DVD или даже защищенного паролем BIOS. Опять же, это просто снижает риск загрузки вредоносного кода в систему и возможного его распространения на другие части сети.
Дверная безопасность может быть очень простой или может использовать электронные устройства, такие как врезные замки с ключом на двери, кодовые замки или физические жетоны. Замок с засовом с ключом такой же, как и для домашнего замка. Кодовый замок разрешает доступ только в том случае, если известен код для отпирания двери. Физические жетоны, как правило, состоят из идентификационного значка, который можно либо провести для доступа, либо вместо этого они могут содержать радиочастотную идентификационную метку (RFID), содержащую информацию, идентифицирующую человека, которому требуется доступ к двери.
Журналы доступа на бумаге распространены во многих местах для обеспечения физической безопасности. Это позволяет компании регистрировать человека, указав имя, компанию, номер телефона, время входа и время выхода. Он также может задокументировать сотрудника, который сопровождал человека во время его пребывания там. Бумажные журналы доступа, правильно заполненные, дополнят видеонаблюдение.
Видеонаблюдение по замкнутому телевидению позволяет записывать людей, проходящих через контрольно-пропускной пункт. Этот тип защиты дверей позволяет наблюдать за людьми, проходящими через контрольно-пропускной пункт, а также дату и время, что может быть полезно при попытке поймать плохих парней. Видеонаблюдение также можно использовать в ловушках для людей.
Ловушки выводят безопасность дверей на новый уровень. Этот тип безопасности можно увидеть в военных и правительственных учреждениях при входе в зоны с очень высоким уровнем безопасности. Человек предъявляет свое удостоверение личности дежурному по безопасности, и дежурный разрешает человеку войти в первую дверь в комнату. Только в том случае, если удостоверение личности человека действительно, ему будет разрешено пройти через комнату и пройти через вторую дверь; если нет, то ловушка! Они могут выйти из комнаты, только вернувшись через первую дверь, в которую вошли.
Заключение
На сертификационном экзамене CISSP рассматриваются шесть моделей управления доступом, а также различные логические методы управления доступом и несколько типов физического контроля доступа. Ни одна модель или метод контроля доступа не совершенны; однако, если кто-то делает что-то для сдерживания злоумышленника, он может считать это успехом в практике информационной безопасности.
Онлайн-справка Tableau
Tableau Online и Tableau Server предоставляют среду для удобной открытой публикации и совместного анализа визуализаций, созданных в Tableau Desktop или веб-разработке. С такой гибкостью возникает проблема обеспечения того, чтобы правильный контент был легко найден для людей, которые полагаются на него в своей работе. Точно так же убедитесь, что доступ, который вы разрешаете, не создает кошмаров для производительности или управления сайтом.
Чтобы решить эти проблемы, многие администраторы настраивают свои сайты Tableau для так называемого управляемого самообслуживания. Это просто способ сказать, что на сайте предусмотрены области открытого сотрудничества и веб-редактирования, наряду с областями, в которых доступ к данным и отчетам более контролируем.Как администратор сайта, вы устанавливаете правила, помогающие пользователям понять, куда обращаться для нужной им работы.
Чтобы начать работу с управляемым самообслуживанием, в следующих разделах обсуждается, как вы, как администратор сайта, можете достичь следующих целей:
- Создавайте проекты на сервере Tableau или на сайте Tableau Online в соответствии с тем, как люди работают с контентом.
- Например, некоторые проекты открыты для совместной работы. другие видны только авторизованным издателям.
Примечание. Информация, представленная здесь, адаптирована и упрощена из практики существующих мастеров Tableau Zen и клиентов, которые поделились своим опытом. Ссылки на их выступления доступны внизу этой страницы.
Создайте команду проекта и примите стратегию разрешений
Хотя изменение структуры проекта на вашем сайте после того, как ваши пользователи публикуют на нем, не является невозможным, это сложно и может быть пугающим. Поэтому, прежде чем принимать какие-либо долгосрочные решения или предпринимать решительные действия на своем сайте Tableau, мы рекомендуем вам привлечь пользователей из различных сегментов вашего населения Tableau, чтобы создать команду проекта из людей, которые по-разному используют контент Tableau.
Ваша стратегия разрешений поможет масштабировать вашу среду по мере добавления новых пользователей Tableau. Убедитесь, что он включает две важные практики: управление разрешениями только для групп и установка разрешений только на уровне проекта. Установка разрешений на уровне отдельных пользователей и отдельных ресурсов контента быстро становится неуправляемой. Если вам нужно отклониться от этой практики, убедитесь, что вы задокументировали и сообщили о своей стратегии другим администраторам и руководителям проектов.
Важно! Прежде чем продолжить, мы настоятельно рекомендуем ознакомиться с разрешениями Tableau.
Шаги по координации проектов и групп
Чтобы получить проекты и разрешения (контент) для совместной работы с группами (людьми) в управляемой среде самообслуживания, обычно необходимо выполнить следующие действия:
- 1. Планируйте свои разрешения: находите общие темы в том типе доступа, который нужен пользователям. Это помогает определить проекты и группы.
- 2. Удалите разрешения, которые могут вызвать двусмысленность.
- 3. Создавайте группы
- 4. Назначьте разрешения группам.
- 5. Создавайте проекты и настраивайте разрешения
- 6. Блокировка разрешений в каждом проекте
Если вы решите следовать описанным здесь рекомендациям, вы можете автоматизировать работу с группами и проектами.
1. Планируйте свои разрешения
Прежде чем создавать группы и назначать разрешения, создайте список людей, которым нужен доступ к контенту, и распределите их по группам в соответствии с тем, что они хотят делать.
Например, тому, кто публикует или перемещает источник данных в сертифицированный контентный проект, потребуется другой уровень доступа, чем тому, кто использует только опубликованные отчеты. (Мы используем термин «сертифицированный» в значении «надежный» — это источники данных или отчеты, которым ваше сообщество Tableau может доверять как источник достоверной информации для вашей организации.)
Имейте в виду, что вы можете установить разные разрешения для каждого проекта. Таким образом, человек, занимающийся управлением данными в отделе эксплуатации, может не получить эквивалентного доступа к контенту по маркетингу.
Это упражнение, выполняемое вне среды Tableau, может оказаться самой сложной частью настройки сайта.
Используйте закрытую модель разрешений для управляемого контента
Общие модели для установки разрешений: открытые или закрытые. В открытой модели пользователи получают высокий уровень доступа, а вы явно отказываете в возможностях. Эта модель может работать, когда ваша организация очень мала и у всех одинаковый уровень ответственности.
В закрытой модели пользователи получают только тот доступ, который им необходим для выполнения их работы. Это та модель, за которую ратуют профессионалы в области безопасности, и примеры в этой статье попытаются продемонстрировать это.
2. Удалите разрешения, которые могут вызвать двусмысленность
На каждом сайте есть проект по умолчанию и группа "Все пользователи". Любой пользователь, добавленный на сайт, автоматически становится членом группы «Все пользователи». Проект по умолчанию работает как шаблон для новых проектов на сайте и не может быть удален, но вы можете изменить разрешения. Создание групп и установка базовых разрешений здесь поможет вам точно знать и управлять тем, кто получает какой уровень доступа для каждого нового проекта.
В контексте управляемого самообслуживания установка базовых разрешений означает удаление разрешений из группы "Все пользователи", чтобы разрешения включались только для групп, которые вы создаете и которыми управляете.
- Выберите вкладку "Контент", чтобы открыть проекты верхнего уровня на сайте.
- В меню «Действие» проекта по умолчанию ( … ) выберите «Разрешения» .
- Рядом с названием группы «Все пользователи» выберите … , а затем нажмите «Изменить» .
- Для вкладок "Проект", "Книги" и "Источники данных" используйте раскрывающийся список шаблонов и выберите "Нет".
- Нажмите "Сохранить", чтобы применить изменения.
3. Создавайте группы
Вы создаете группы в соответствии с тем, что людям нужно делать с набором контента. В этом случае «набор содержимого» относится к рабочим книгам и источникам данных в проекте.
При создании групп используйте описательные имена, которые имеют смысл для вашей организации. Например, один из возможных наборов групп может быть следующим:
- Руководители проекта. Вы также можете думать о них как об администраторах уровня проекта. Пользователи, которые могут выполнять все доступные функции над источниками данных, за исключением, возможно, установки разрешений для них. Люди в этой группе могут быть администраторами сайта или пользователями, чья работа заключается в утверждении или сертификации моделей данных или отчетов. Чтобы предоставить возможности администратора на уровне проекта, вы можете назначить параметр «Руководитель проекта» пользователям с соответствующими ролями сайта. Дополнительную информацию см. в разделе Разрешения.
- Аналитики/издатели. Эта группа предназначена для пользователей, которые могут публиковать рабочие книги в рабочих и других открытых проектах, использовать веб-редактирование в некоторых проектах и подключаться к источникам данных, сертифицированным распорядителями данных. Эта группа не может устанавливать разрешения на контент или перемещать его между проектами.
- Бизнес-пользователи. В эту группу, скорее всего, войдут люди, которые не используют Tableau Desktop, но используют данные для ответов на вопросы и принятия бизнес-решений. Они могут просматривать книги и взаимодействовать с ними только в определенных проектах и не могут ничего публиковать, редактировать, сохранять или удалять.
- Администраторы. В зависимости от размера вашего развертывания управление администраторами сайта или сервера как группой поможет вам отслеживать, кто имеет этот уровень доступа.
Примечание. Пользователи с ролью администратора сервера или администратора сайта-создателя сайта имеют доступ ко всему на сайте, независимо от групп, в которые вы их добавляете.
Если у вас есть несколько ролей Tableau для каждого отдела, создание соответствующих групп вручную может быть трудоемким. Альтернативы см. в разделе Автоматизация работы с группами и проектами далее в этой статье.
4. Назначение разрешений группам
После создания групп вы можете назначить разрешения одним из следующих способов:
- В проекте по умолчанию примените к каждой группе базовый набор разрешений, который будет более или менее одинаковым для всех проектов. Затем вы можете внести небольшие коррективы в конкретные проекты.
Или - Поддерживайте чистоту проекта по умолчанию и применяйте разрешения только к создаваемым вами проектам.
Дополнительную информацию см. в разделе Разрешения.
Для используемого нами примера целесообразнее установить шаблоны разрешений в проекте по умолчанию. Вы захотите явно запретить некоторые возможности по всем направлениям, а затем разрешить их только в нескольких проектах, где вы хотите разрешить более открытый доступ.
Создать правила разрешений
- Не закрывая проект по умолчанию, в меню "Действия" (. ) выберите "Разрешения" .
- Создайте правило разрешений для каждой группы следующим образом:
- Нажмите + Добавить правило группы/пользователя и начните вводить текст для поиска группы или пользователя.
- Для каждой вкладки выберите существующий шаблон из раскрывающегося списка или создайте собственное правило, щелкнув возможности.
- Шаблоны – это предопределенные наборы возможностей, упрощающие настройку.
- Один щелчок устанавливает для возможности значение Разрешено , два щелчка — Запрещено , а третий щелчок отменяет выбор ( Не указано ).
Помните, что возможность предоставляется пользователю только в том случае, если ему это явно разрешено. Если оставить возможность как неуказанную, она будет отклонена. Дополнительные сведения см. в разделе Разрешения.
Пример
Для групп, определенных выше, вот один из способов установки разрешений по умолчанию.
Установите для веб-редактирования и полной загрузки данных значение Не указано *
* Предполагается, что вы хотите разрешить веб-редактирование и загрузку данных только для избранных проектов. Вы можете разрешить эти возможности для определенных проектов или книг.
5. Создание проектов и настройка разрешений
После того как проект по умолчанию настроен с помощью вашего пользовательского шаблона разрешений, вы можете создавать проекты, которые разрешают указанные вами варианты использования контента. Для каждого проекта вы можете соответствующим образом настроить разрешения по умолчанию.
Пример структуры проекта
Одним из способов структурирования проектов может быть отражение следующих вариантов использования:
Рабочие книги совместно используются для открытой совместной работы на сервере
Любой сотрудник отдела может публиковать материалы в открытом совместном проекте, пока их контент находится в разработке. Коллеги могут сотрудничать, используя веб-редактирование на сервере. Кто-то называет это песочницей, кто-то — постановкой и так далее. В этом проекте вы можете разрешить веб-редактирование, сохранение, загрузку и т. д.
Здесь вы хотите не только обеспечить совместную работу, но и дать возможность людям, у которых нет Tableau Desktop, вносить свой вклад и оставлять отзывы.
Общие отчеты, которые нельзя редактировать
Это может быть проект, в котором люди, создающие рабочие книги и источники данных (аналитики и распорядители данных), могут публиковать материалы, когда хотят сделать контент доступным для просмотра бизнес-пользователям, с уверенностью, что их работа не может быть «заимствована» или изменена. .
Для проекта такого типа вы должны запретить все возможности, позволяющие редактировать или получать данные с сервера для повторного использования. Вы бы разрешили просмотр.
Проверенные источники данных для подключения аналитиков
Здесь распорядители данных публикуют источники данных, которые соответствуют всем вашим требованиям к данным и становятся «источником правды» для вашей организации. Руководители этого проекта могут сертифицировать эти источники данных, чтобы они занимали более высокое место в результатах поиска и были включены в рекомендуемые источники данных.
Вы бы разрешили авторизованным аналитикам (то есть группе издателей, описанной ранее) подключать свои книги к источникам данных в этом проекте, но не загружать или редактировать их. Вы бы запретили возможность просмотра группы бизнес-пользователей для этого проекта, поэтому эти пользователи даже не увидят этот проект.
Неактивное содержимое
Еще одна возможность – отделить рабочие книги и источники данных, которые, как показывают административные представления сайта, не использовались в течение определенного периода времени. Вы можете установить ограничение по времени для владельцев контента, прежде чем их контент будет удален с сервера.
Делаете ли вы это или удаляете напрямую из рабочих проектов, решать вашей организации. В активной среде не бойтесь намеренно удалять неиспользуемый контент.
Источник шаблонов книг
Это проект, из которого люди могут загружать, но не публиковать или сохранять в нем авторизованные издатели или руководители проектов, которые делают доступными шаблоны книг. Шаблоны со встроенными одобренными вашей организацией шрифтами, цветами, изображениями и даже подключениями к данным могут сэкономить авторам много времени и обеспечить согласованность ваших отчетов.
Помогайте руководителям проектов управлять контентом, а пользователям — находить его
Разработайте масштабируемую схему именования проектов, подходящую для вашей организации.
Например, базовая структура может быть такой: - ; например, Эксплуатация — Производство.
Используйте поле Описание проекта.
Описание, которое вы вводите при создании проекта, появляется при наведении указателя мыши на миниатюру проекта, а также на странице сведений о проекте.
![]()
6. Блокировка разрешений в каждом проекте
После уточнения возможностей для каждой группы в проекте можно заблокировать разрешения проекта либо для самого проекта, либо для всех проектов в иерархии. Сделайте то же самое и в проекте по умолчанию.
Чтобы настроить разрешения контента:
- Вы должны войти на сайт как администратор, владелец проекта или руководитель проекта.
- Открытие диалогового окна разрешений для проекта
- Нажмите ссылку "Изменить права доступа к контенту" в левом верхнем углу и выберите нужный параметр в диалоговом окне "Разрешения контента".
Блокировка разрешений не позволяет издателям устанавливать разрешения явным образом в рамках процесса публикации в Tableau Desktop. Вместо этого контент наследует разрешения, установленные для проекта, в котором он опубликован, и только администраторы и руководители проектов могут устанавливать разрешения.
Дополнительную информацию см. в разделе Разрешения.
Автоматизировать работу с группами и проектами
Создание нескольких групп и проектов и установка разрешений вручную может быть немного утомительной. Чтобы автоматизировать эти процессы, а также сделать их повторяемыми для будущих обновлений, вы можете выполнять эти задачи с помощью команд REST API (ссылка открывается в новом окне).
Команды tabcmd можно использовать для таких задач, как добавление или удаление отдельного проекта или группы и добавление пользователей, но не для установки разрешений.
Дальнейшие шаги
Помимо проектов, групп и разрешений, другие темы управления данными включают:
Обучение пользователей
Помогите всем вашим пользователям Tableau стать хорошими распорядителями данных. Самые успешные организации Tableau создают группы пользователей Tableau, проводят регулярные учебные занятия и т. д.
Общий подход к ориентированию пользователей на сайт см. в разделе Пользовательские порталы на основе панели управления.
Советы по публикации и сертификации данных см. в следующих разделах:
Оптимизировать обновление извлечения и действия по подписке
Если вы используете Tableau Server, создайте политики для графиков обновления извлечения и подписки, чтобы они не доминировали над ресурсами сайта. Презентации для клиентов TC от Wells Fargo и Sprint подробно рассматривают эту тему.Кроме того, см. темы в разделе Настройка производительности.
Если вы используете Tableau Online, ознакомьтесь со следующими разделами, чтобы узнать, как люди могут обновлять выдержки:
Мониторинг
Используйте административные представления, чтобы следить за производительностью сайта и использованием контента.
Узнайте, как Tableau и некоторые из наших клиентов справляются с управлением и самообслуживанием
Следующий список содержит ссылки на управление данными и презентации Центра передового опыта (COE), представленные на конференции Tableau за последние годы. Несмотря на то, что версии Tableau развивались, принципы остаются прежними. Вы можете просматривать плейлисты для других видео, связанных с COE, управляя Tableau в масштабе.
Active Directory — это инструмент Microsoft для создания сценариев, который управляет информацией о домене и взаимодействием пользователей с сетевыми службами. Он широко используется поставщиками управляемых услуг (MSP) для управления учетными данными сотрудников и разрешениями на доступ.
Сопутствующий товар
Быстро приступайте к работе с помощью RMM, предназначенного для небольших поставщиков услуг и ИТ-отделов.
Active Directory хранит информацию о пользователях в виде объектов, которые со временем могут накапливаться и устаревать. Хотя Active Directory использует шифрование, администраторы должны регулярно очищать учетные записи пользователей и объекты, чтобы обеспечить оптимальную производительность и безопасность сети.
Плохое управление и процедуры очистки могут сделать организации уязвимыми для кибератак и привести к дорогостоящим утечкам данных. В следующей статье мы рассмотрим передовые методы очистки Active Directory, а также то, как инструменты очистки AD, такие как SolarWinds® RMM и Automation Manager, могут автоматизировать этот процесс.
Что такое очистка метаданных в Active Directory?
Очистка метаданных — это важная процедура, которая удаляет устаревшие контроллеры домена и связанные объекты из вашей Active Directory. Когда сотрудники увольняются или меняют должности в организации, учетные записи компьютеров и пользователей устаревают. Неактивные и устаревшие учетные записи Active Directory не только загромождают дисковое пространство, что приводит к несогласованности данных, но и представляют серьезную угрозу безопасности сети. Хакеры с большей вероятностью воспользуются неиспользуемой или просроченной информацией об учетной записи, чтобы проникнуть в вашу систему.
Регулярная очистка метаданных в Active Directory имеет решающее значение для обеспечения эффективной работы среды Active Directory. Как правило, очистка метаданных включает в себя извлечение активности учетной записи Active Directory, поиск устаревших учетных записей контроллера домена и компьютера, а также удаление устаревших учетных записей и всех связанных объектов контроллера домена. Это также может включать удаление исторических данных и перенастройку конфигураций, которые могут повлиять на производительность.
Очистка AD может быть сложной и ресурсоемкой, если ИТ-администраторы вручную пишут сложные сценарии. К счастью, существует множество вариантов очистки систем Active Directory. ИТ-администраторы могут загрузить модули PowerShell, чтобы ускорить процесс. PowerShell позволяет пользователям с правами администратора с легкостью создавать мощные сценарии управления, очистки и автоматизации Active Directory. Automation Manager от SolarWinds MSP позволяет настраивать сложные автоматизированные задачи для быстрого масштабирования вашего бизнеса.
Однако по мере роста организаций и усложнения очистки Active Directory даже написание сценариев PowerShell может занимать слишком много времени. Для более крупных организаций и предприятий на рынке есть инструменты очистки AD с простым в использовании интерфейсом и предустановленными сценариями, которые могут ускорить и автоматизировать очистку.
Как часто и насколько тщательно вы отслеживаете учетные записи и действия Active Directory, в конечном итоге зависит от размера и потребностей вашей организации. Далее мы перечислим некоторые общие рекомендации по очистке Active Directory, которые должен знать каждый технический специалист MSP, независимо от его набора инструментов.
Рекомендации по очистке Active Directory
Важнейшей частью очистки Active Directory является отслеживание отключенных учетных записей пользователей и компьютеров и их удаление при необходимости. Когда сотрудники уходят в продолжительный отпуск или полностью покидают организацию, организации обычно отключают свою учетную запись через Active Directory. В зависимости от продолжительности отпуска администраторы могут сохранить свои учетные данные и информацию в течение определенного периода времени.
Очень важно, чтобы администраторы регулярно проверяли отключенные аккаунты. Даже когда учетная запись сотрудника больше не работает, хакеры все еще могут использовать их учетные данные, выманивать данные для входа, отправляя запросы в ИТ-отдел, и вызывать дорогостоящие нарушения безопасности. Помимо переполнения системы и увеличения рисков безопасности, отключенные учетные записи также могут вызвать проблемы с соблюдением нормативных требований, поскольку они будут отображаться в отчетах об аудите.
Администраторы должны указать льготный период для размещения сотрудников в длительном отпуске и установить точную дату, после которой отключенные учетные записи будут удалены из системы.Продолжительность льготного периода зависит от организации. Перед полным удалением учетной записи администраторы должны сделать резервную копию всей организационной информации для использования в будущем.
Иногда учетная запись остается в сети без отключения. Неактивные пользователи по умолчанию определяются как пользователи, которые не пытались получить доступ к данным в течение 90 или более дней. Но в зависимости от организации стандартный период простоя может быть короче или длиннее. Как и отключенные учетные записи, неактивные учетные записи могут представлять угрозу безопасности, и их часто упускают из виду при удалении учетной записи.
Найти и удалить отключенные и неактивные учетные записи можно с помощью сценариев и команд. Но написание сценариев через равные промежутки времени может быть утомительным и трудоемким процессом. Вместо этого обе задачи проще выполнить с помощью инструментов очистки AD.
Большинство программ очистки для Active Directory позволяют администраторам идентифицировать неактивные учетные записи, фильтруя дату последнего входа в систему или проверяя время, прошедшее с момента последней попытки пользователя получить доступ к информации. Поскольку технически неактивные учетные записи все еще могут использоваться, администраторам следует избегать их массового удаления. Вместо этого рекомендуется отложить их или переместить в отдельное организационное подразделение (OU), если администратор не уверен.
Такое программное обеспечение, как SolarWinds RMM, например, содержит набор встроенных сценариев, которые позволяют пользователям напрямую сканировать отключенные и неактивные учетные записи через Active Directory. Automation Manager позволяет создавать процессы для всего без необходимости изучения сложных языков сценариев. Затем ИТ-администраторы могут реорганизовать учетные записи по имени или дате, а также выбирать и удалять отключенные или неактивные учетные записи по мере необходимости.
В Active Directory часто можно найти аккаунты, которые никогда не использовались. Как и отключенные или неактивные учетные записи, которые остаются в системе, заброшенные неиспользуемые учетные записи могут замедлить работу вашей системы Active Directory или сделать вашу организацию уязвимой для утечки данных.
При очистке метаданных Active Directory администраторы должны запускать сценарии для поиска неиспользуемых учетных записей или учетных записей без входа в систему. Некоторые неиспользуемые учетные записи будут системными или гостевыми учетными записями, которые вы можете оставить нетронутыми, но многие могут быть учетными записями, созданными дубликатами или просто забытыми пользователем.
Помимо отключенных и неактивных учетных записей, администраторы очистки должны искать учетные записи пользователей и пароли Active Directory, срок действия которых истек. Администраторы обычно устанавливают срок действия паролей и учетных записей по истечении определенного периода времени для защиты информации. Но срок действия учетных записей и паролей часто истекает без предупреждения администраторов, и поэтому их необходимо очистить.
Просроченные пароли и пользовательские логины часто указывают на то, что учетная запись неактивна в течение длительного периода времени. Но администраторы должны помнить, что учетные записи с истекшим сроком действия отличаются от неактивных учетных записей, и вполне возможно, что учетная запись все еще используется. При проверке паролей с истекшим сроком действия администраторы должны выполнять отдельные проверки, чтобы убедиться, что просроченные пароли или учетные записи не использовались перед удалением. Как и в случае с отключенными учетными записями, перед удалением администраторы должны сделать резервную копию любых данных организации.
В одной организации могут быть сотни или даже тысячи групп Active Directory. Помимо реорганизации и удаления устаревших учетных записей, очистка AD включает поиск, удаление или объединение неактивных или пустых групп.
Если в группе нет пользователей или активных пользователей, скорее всего, группа только загромождает вашу систему и может быть удалена. Администраторы должны помнить, что пустыми должны оставаться только группы Active Directory по умолчанию. Как и в случае с неактивными или отключенными учетными записями, администраторы должны убедиться, что группы не используются, прежде чем выбирать их для удаления.
Как и отдельные учетные записи, группы Active Directory можно найти вручную, написав отдельные сценарии для каждой команды. Кроме того, любое программное обеспечение для очистки AD будет поставляться с автоматическими сценариями, которые могут проверять наличие неактивных и пустых групп через заданные промежутки времени.
Иногда группы Active Directory могут содержать только одного пользователя. Подобно пустым или неактивным группам, однопользовательские группы, скорее всего, бесполезны и делают организацию уязвимой для внешних атак. Группы с одним пользователем поначалу могут быть невидимы, но администраторы могут изолировать их с помощью командного сценария, организующего группы по количеству человек, или с помощью программного обеспечения для очистки AD. Эти группы также следует удалить или объединить, чтобы сэкономить место и уменьшить уязвимости.
Очистка Active Directory включает в себя больше, чем простое удаление учетных записей. Поддержание систем Active Directory в чистоте часто требует от администраторов реорганизации отдельных учетных записей пользователей и групп Active Directory. Для многих компаний это означает массовое удаление, изменение и перенастройку учетных записей, чтобы сэкономить время и сохранить порядок.
При организации учетных записей пользователей администраторам придется массово импортировать и изменять учетные записи, менять несколько паролей или изменять отображаемые имена на нескольких компьютерах, чтобы системы Active Directory оставались чистыми и работали оптимально. При управлении учетными данными группы администраторам также придется удалять или изменять информацию о группе на нескольких компьютерах и массово удалять неактивные группы.
Иногда, когда администраторы не уверены, следует ли удалять выбранные учетные записи, они могут временно переместить учетные записи в новые подразделения для удобства наблюдения. Наконец, поскольку ИТ-среда большинства организаций распределена по разным компьютерам, администраторам может потребоваться запускать сценарии на нескольких компьютерах одновременно и выполнять массовые действия на разных компьютерах.
Управление массовыми учетными записями может оказаться особенно трудным, когда организации быстро масштабируются и писать скрипты вручную уже неэффективно. Использование различных атрибутов сотен учетных записей пользователей Active Directory может представлять собой серьезную проблему, даже если в организации есть необходимые ресурсы. SolarWinds RMM позволяет пользователям легко перемещать учетные записи и выполнять массовые действия на нескольких компьютерах — и все это с одной централизованной панели управления.
Чтобы уменьшить риски безопасности и предотвратить влияние устаревших учетных записей на производительность Active Directory, необходимо регулярно проводить очистку AD. Большинство задач, подпадающих под управление и очистку Active Directory, например удаление отключенных и неактивных учетных записей, удаление пустых и неактивных групп, а также поиск учетных записей и паролей с истекшим сроком действия, можно выполнить с помощью сценариев. Как упоминалось ранее, многие из этих задач можно выполнить, загрузив модуль PowerShell. Но даже при использовании модуля PowerShell для создания скриптов ИТ-администраторам следует по возможности автоматизировать воспроизводимые задачи очистки с помощью такого инструмента, как SolarWinds Automation Manager, чтобы сэкономить время.
Особенно по мере роста организаций количество активных пользователей (как внутренних, так и внешних) может увеличиваться с угрожающей скоростью. Количество учетных записей пользователей в Active Directory может быстро превысить то количество, которое административные работники могут разместить вручную. Если организация полагается на написание сценариев для выполнения рутинных задач, устаревшие объекты, скорее всего, будут быстро накапливаться. В крупных организациях и предприятиях ИТ-отделам придется полагаться на автоматизированное обслуживание Active Directory, чтобы каждый раз не писать собственные сценарии. Автоматизация процессов ускоряет процесс очистки, сводит к минимуму человеческие ошибки и помогает обеспечить соблюдение передовых методов.
ИТ-администраторы могут встраивать средства автоматизации непосредственно в свои сценарии очистки AD, но, опять же, это может оказаться затруднительным при массовой обработке учетных записей и объектов пользователей. Администраторам крупных организаций или организаций с развитой ИТ-средой следует подумать о приобретении программного обеспечения для очистки AD, которое предлагает готовые к выполнению сценарии.
SolarWinds RMM и Automation Manager позволяют организациям автоматизировать более 100 задач с помощью единого интерфейса. RMM может автоматизировать регистрацию, вводить массовые изменения в учетных записях и планировать запуск стандартных или настраиваемых сценариев через запланированные промежутки времени, встраивая очистку AD в ваш обычный рабочий процесс для повышения безопасности и эффективности.
Дополнительную информацию о групповой политике и Active Directory можно найти в соответствующих статьях нашего блога.
Читайте также:
