Pravidelná kontrola a odstránenie neaktívnych používateľských kont v službe Active Directory

Prečo vezmite do úvahy toto

Viac ako 10 percent používateľských kont v službe Active Directory bolo zistených ako neaktívne (zastarané) na základe poslednej zmeny hesla alebo poslednej časovej pečiatky prihlásenia používateľa. Zastarané používateľské kontá v službe Active Directory predstavuje významné bezpečnostné riziko, pretože ich mohol použiť útočník alebo bývalého zamestnanca. Tieto neaktívne kontá tiež zaberajú znova rozpoznateľný databázový priestor.

Pozrite si informácie o probléme od zákazníckeho inžiniera

Osvedčené & z kontextu

Active Directory obsahuje konto pre každého používateľa. Postupom času používatelia opustia organizáciu a tieto používateľské kontá sa zo služby Active Directory nemusia odstrániť. Zastarané používateľské kontá sú výrazným problémom so zabezpečením, pretože bývalé zamestnanci a externí útokníci môžu použiť tieto kontá na útok v organizácii. Zastarané kontá zauína aj miesto v databáze adresárov, ktoré sa môžu znova vytvoriť.

Používateľské kontá majú atribút s názvom PasswordLastSet, ktorý zaznamenáva, keď používateľ naposledy zmenil svoje heslo. Keďže PasswordLastSet je replikovaný atribút, je potrebné dotazovať iba jeden radič domény v každej doméne.

Windows Server 2003 zaviedol nový atribút s názvom lastLogonTimeStamp, ktorý pomáha identifikovať potenciálne zastarané kontá. Tento atribút sa aktivuje v doméne na serveri Windows Server 2003, Windows Server 2008, Windows Server 2008R2, Windows Server 2012 alebo Windows Server 2012R2. Na rozdiel od atribútu lastLogon, ktorý bol k dispozícii od systém Windows NT 4.0, sa lastLogonTimeStamp replikuje pri každej jeho aktualizovaní. Dotazovanie tohto atribútu je pohodlnejšie, pretože dotaz v každej doméne musí byť len jeden radič domény.

Ak chcete vyhľadať kontá, spustite skript, ktorý dotazuje aktívne používateľské kontá v službe Active Directory. V module služby Active Directory pre Windows PowerShell sa Search-ADAccount – AccountInactive – UsersOnly príkaz vráti všetky neaktívne používateľské kontá. Pomocou prepínača -DateTime alebo -TimeSpan zúžte dátum posledného prihlásenia počítača.

Poznámka: Lastlogontimestamp sa replikuje vždy, keď sa niekto prihlási. Pozrite si téme Atribúty konta AD – LastLogon, LastLogonTimeStamp a LastLogonDate, at https://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx .

Pri riešení zastaraných používateľských kont sa často stáva implementácia efektívnych procesov deprovisioningu. Je však možné, že používatelia nebudú môcť pracovať, a preto sa dlhší čas nebudú môcť prihlásiť. Je tiež možné, že kontá služieb sa dlhší čas nebudú prihlasovať. Nepociťujúce by ste mali zahrnúť viacero kontrol a zabezpečiť ochranu, aby ste zabránili zakázaniu alebo odstráneniu kont, ktoré sa stále používajú.

Navrhované akcie

Mali by ste vykonávať pravidelné kontroly, aby ste hľadali všetky používateľské kontá, ktoré si počas posledných šiestich mesiacov nezmenili heslá, a potom tieto kontá zakázať a odstrániť zo služby Active Directory.

Spustite skript v každej doméne, ktorá dotazuje Active Directory pre používateľské kontá, ktorých vek hesla je viac ako určitý čas. V module služby Active Directory pre Windows PowerShell spustite nasledujúci skript a zadajte zoznam používateľských kont, v ktorých sa heslo počas posledných šiestich mesiacov nezmenilo.

$d = [DátumAČas]::Today.AddDays(-180)

Get-ADUser -Filter '(PasswordLastSet -lt $d) - alebo (LastLogonTimestamp -lt $d)' -Vlastnosti PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp"; E={[dátumačas]::FromFileTime($ _ . LastLogonTimestamp)}}

Po identifikovaní zastaraných kont sa odporúča zakázať tieto používateľské kontá, čakať niekoľko týždňov a potom odstrániť kontá, ak neboli nahlásené žiadne problémy.

Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.