Kontrola a zníženie počtu kont v vysoko privilegovaných administratívnych skupinách
Poznámka
Výhody hodnotenia stavu IT a hodnotenia na požiadanie si môžete vychutnať so zmluvou Premier, a to zakúpením aplikácie TOM Ako predplatného služby. Ďalšie informácie vám poskytne zástupca spoločnosti Microsoft.
Prečo vezmite do úvahy toto
Členstvo v administratívnych skupinách vysokej úrovne, ako sú napríklad správcovia podniku, správcovia schémy, správcovia domén, operátory kont a ďalšie, majú rozsiahle práva na úrovni počítača, domény alebo doménovej kapacity. Ide o bezpečnostné a pracovné riziko.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
Súčasťou služby Active Directory je množstvo správcovských skupín na vysokej úrovni vrátane podnikových správcov, správcov schém, správcov domén a správcov SYSTÉMUTICK atď.
Členovia niektorých z týchto privilegovaných skupín môžu vykonávať zmeny v doménovej štruktúre v službe Active Directory, riadiť prístup k všetkým radičom domén, DNS (Domain Name System) a iným serverom v doméne a upraviť schému, ktorá riadi štruktúru a obsah celého adresára. Správcovia si môžu poskytnúť celkový podiel objektov a upraviť povolenia na prístup v závislosti od skupín s právami správcu, ktorých sú členmi.
Kontá v týchto skupinách by mali byť v organizácii najbezpečnnejšie. Treba vykonať ďalšie bezpečnostné opatrenia, aby sa zabezpečilo, že nie sú zneužité alebo zneužité. Monitorovanie a auditovanie členstva v týchto skupinách by sa malo vykonať. Používanie vlastných skupín s delegovanými oprávneniami môže byť bezpečnejšie, ak je to možné.
Spoločnosť Microsoft odporúča obmedziť členstvo v týchto skupinách na prázdne (iba dočasné členstvo) alebo niekoľko správcov, ktorí sú zodpovední za celkový stav služby Active Directory. Ostatní správcovia by mali prostredníctvom implementácie modelu delegovania a prijímať konkrétne povolenia na úpravu len podmnožiny adresárových služieb alebo údajov v rámci jednotlivých domén.
Navrhované akcie
Skontrolovať členstvo v nasledujúcich skupinách:
- Podnikoví správcovia
- Správcovia schém
- Domain Admins
- Operátory konta (ak sú k dispozícii)
- Operátory servera (ak sú k dispozícii)
- Operátory tlače (ak sú k dispozícii)
- Správcovia s funkciami IT
- DNSAdmins
Uistite sa, že všetci členovia skupiny majú pravé dôvody na mať kontá v týchto skupinách.
Zvážte vytvorenie vlastných skupín s delegovanými povoleniami a vytvorenie kont správcu v týchto skupinách. Prípadne zapnite len dočasné členstvo, kde je potrebné explicitne pridať kontá k určitej skupine a potom ich znovu degradovať.
Ďalšie informácie
Zabezpečenie správcovských skupín a kont služby Active Directory
https://technet.microsoft.com/library/cc700835.aspx
Vytvorenie postupov bezpečného spravovania služieb
https://technet.microsoft.com/library/cc773283(v=ws.10).aspx
Implementácia Least-Privilege modelov správy
Stiahnite si osvedčené postupy zabezpečenia služby Active Directory nahttps://download.microsoft.com/download/D/1/8/D1866CDE-9824-40F4-836A-4C8C233693F1/Best%20Practices%20for%20Securing%20Active%20Directory.docx
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.