Kontrola a zníženie počtu kont v vysoko privilegovaných administratívnych skupinách

Prečo vezmite do úvahy toto

Členstvo v administratívnych skupinách vysokej úrovne, ako sú napríklad správcovia podniku, správcovia schémy, správcovia domén, operátory kont a ďalšie, majú rozsiahle práva na úrovni počítača, domény alebo doménovej kapacity. Ide o bezpečnostné a pracovné riziko.

Pozrite si informácie o probléme od zákazníckeho inžiniera

Osvedčené & z kontextu

Súčasťou služby Active Directory je množstvo správcovských skupín na vysokej úrovni vrátane podnikových správcov, správcov schém, správcov domén a správcov SYSTÉMUTICK atď.

Členovia niektorých z týchto privilegovaných skupín môžu vykonávať zmeny v doménovej štruktúre v službe Active Directory, riadiť prístup k všetkým radičom domén, DNS (Domain Name System) a iným serverom v doméne a upraviť schému, ktorá riadi štruktúru a obsah celého adresára. Správcovia si môžu poskytnúť celkový podiel objektov a upraviť povolenia na prístup v závislosti od skupín s právami správcu, ktorých sú členmi.

Kontá v týchto skupinách by mali byť v organizácii najbezpečnnejšie. Treba vykonať ďalšie bezpečnostné opatrenia, aby sa zabezpečilo, že nie sú zneužité alebo zneužité. Monitorovanie a auditovanie členstva v týchto skupinách by sa malo vykonať. Používanie vlastných skupín s delegovanými oprávneniami môže byť bezpečnejšie, ak je to možné.

Spoločnosť Microsoft odporúča obmedziť členstvo v týchto skupinách na prázdne (iba dočasné členstvo) alebo niekoľko správcov, ktorí sú zodpovední za celkový stav služby Active Directory. Iní správcovia by mali prostredníctvom implementácie modelu delegovania a prijímať konkrétne povolenia na úpravu len podmnožiny adresárových služieb alebo údajov v rámci jednotlivých domén.

Navrhované akcie

Skontrolovať členstvo v nasledujúcich skupinách:

  • Podnikoví správcovia
  • Správcovia schém
  • Domain Admins
  • Operátory konta (ak sú k dispozícii)
  • Operátory servera (ak sú k dispozícii)
  • Operátory tlače (ak sú k dispozícii)
  • Správcovia s funkciami IT
  • DNSAdmins

Uistite sa, že všetci členovia skupiny majú pravé dôvody na mať kontá v týchto skupinách.

Zvážte vytvorenie vlastných skupín s delegovanými povoleniami a vytvorenie kont správcu v týchto skupinách. Prípadne zapnite len dočasné členstvo, kde je potrebné explicitne pridať kontá k určitej skupine a potom ich znovu degradovať.

Ďalšie informácie

Zabezpečenie správcovských skupín a kont služby Active Directory

https://technet.microsoft.com/library/cc700835.aspx

Vytvorenie postupov bezpečného spravovania služieb

https://technet.microsoft.com/library/cc773283(v=ws.10).aspx

Implementácia Least-Privilege modelov na správu

https://docs.microsoft.com/windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

Stiahnite si osvedčené postupy zabezpečenia služby Active Directory nahttps://download.microsoft.com/download/D/1/8/D1866CDE-9824-40F4-836A-4C8C233693F1/Best%20Practices%20for%20Securing%20Active%20Directory.docx

Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.