¿Cómo evitar nueve errores comunes de Active Directory?

 

IDG

 

Graves daños se pueden lograr por aquellos con privilegios elevados que tienen malas intenciones, pero a veces las vulnerabilidades se introducen por los administradores de TI en la gestión de Active Directory (AD). A continuación se presentan 10 errores comunes:

 

1. Manejan cuentas con credenciales elevadas: Organizaciones más inteligentes de seguridad evitan este error dando a los usuarios privilegios elevados la administración de un dominio que permite utilizar una cuenta normal para iniciar sesión en su máquina y unauna cuenta de .adm, para el acceso elevado.

 

La razón de la separación es evitar las brechas de seguridad tales como un ataque de phishing mientras está conectado a la cuenta con credenciales elevadas.

 

2. Desactivación de protecciones de objetos: ¿Alguna vez ha estado trabajando en algo, pulsa la tecla de borrar y se da cuenta del gran error que estaba a punto de hacer, si no fuera por la confirmación que le pregunta si estaba seguro que quería eliminar? Esto es generalmente seguido por el movimiento del puntero del ratón al botón cancelar. Una mejor opción sería la de no desactivar la protección de objetos.

 

Encuentre: ¿Sabe cómo asegurar su equipo Windows XP sin soporte?

 

3. No saber hacerle frente a cuentas obsoletas: ¿Alguna vez ha visto a un Active Directory con significativamente más cuentas de usuario que los usuarios reales en la organización? Esto es a menudo un signo revelador de una organización sin una buena política para hacer frente a las cuentas obsoletas.

 

Cuentas habilitadas que no se están utilizando de forma activa son una de las mayores amenazas a la seguridad en cualquier organización. Desarrollar un plan para desactivar y en última instancia eliminar cuentas obsoletas.

 

4. Darle prácticamente todos los materiales al encriptador :Un error que muchas organizaciones hacen cuando se trata de misión crítica scripting es tener todos los datos en un solo scripter que es el único que puede hacer que todo funcione.

 

Usted necesita asegurarse de que al menos dos personas comprendan, tengan acceso al espacio y puedan crear y modificar las secuencias de comandos que se ejecutan en su entorno, esto evita que el punto único de fallo en caso de que la persona que creó el guión abandone la organización.

 

Obtenga más información: ¿Cómo identificar habilidades blandas en profesionales de TI?

 

5. Poner usuarios en los administradores de dominio: En caso de duda, delegar derechos. A pesar del nivel de flexibilidad ofrecido por la delegación en Active Directory, han pasado 14 años desde que la gente de Windows NT todavía agregan usuarios a los administradores de dominio en lugar de hacer delegación adecuada. Ignorando el concepto de mínimo privilegio es un problema de seguridad importante.

 

6. Pobre diseño de Active Directory: Una vez una organización que estructuró su diseño de Active Directory basado en el alfabeto, en él habían 26 unidades organizativas de nivel superior, uno para cada letra. Debajo de cada nivel superior OU fueron OU funcional como ventas, marketing, desarrollo, etc, cada replicado 26 veces.

 

La gestión de aprovisionamiento y de aprovisionamiento de cuentas de usuario, la gestión de políticas de grupo y permisos era una pesadilla, porque habían accesos directos que fueron tomados y la mayoría de los usuarios tenían demasiados derechos.

 

7. Denegar bajo ninguna circunstancia la prórroga del esquema: Cualquier buen administrador de Active Directory le dirá que la ampliación del esquema en su AD no es una decisión que debe ser tomada a la ligera.

 

Esto no quiere decir que nunca hay un buen momento para extender el esquema. Sopesar los pros y los contras de hacer frente a sus problemas críticos de negocio con una solución que se extiende frente a uno que no lo hace y si la mejor decisión es extender el esquema, hágalo con precaución.

 

También: El negocio digital, una tarea más de TI

 

8. Pobres planes de copia de seguridad / recuperación: Si alguien elimina 10.000 objetos de directorio de hoy, ¿se pueden recuperar con rapidez? Si un canal automatizado de HR modifica incorrectamente el número de teléfono que aparece en miles de usuarios, ¿cómo se recobrará?

 

Las opciones de planificación y recuperación de pruebas son una necesidad para todas las organizaciones que se recuperan rápidamente de los errores. Encontrar la manera de recuperarse después de un error de alimentación o usuario automatizado pone todo en problemas y puede impactar en los tiempo de inactividad.

 

9. Cuentas Administrativas compartidas: En una ocasión una organización no logró una auditoría porque habián demasiados usuarios perteneciendo al grupo de administradores de dominio. Para resolver este problema, la empresa eliminó a todos los usuarios administradores de dominio y agregar de nuevo solo dos cuentas, pero el problema era que todos los que solía tener cuentas de administrador de dominio recibieron la información de la cuenta de inicio de sesión para los dos nuevos administradores de dominio.

 

Esta empresa no llegó a disminuir el número de personas con privilegios elevados, pero, retiró una capa de seguridad y quitó responsabilidad al permitir a los usuarios compartir cuentas privilegiadas. En otras palabras, no hay responsabilidad cuando numerosas personas comparten credenciales para una cuenta.

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *