Активний каталог вперше з’явився в Microsoft Windows Server 2000, і з кожним новим оновленням його функціонал розширювався. На жаль, із збільшенням функціональних особливостей потрібно і більше часу на те, щоб розібратися, які функції доступні. І, як наслідок, ускладнюється робота мережі.
Друзі сайту: можливо вам потрібна швидка та надійна доставка из шэньчжэня за доступними цінами! Саме доставка товарів, електроніки із Китая дозволить вам неабияк заощадити.
«AD є хребтом багатьох IT-інфраструктур, тому навіть незначні помилки можуть сприяти утворенню проломів або вимушених простоїв системи, не кажучи вже про активність шкідливих програм», — вважає Майкл Фімін, виконавчий директор Netwrix Corp., консультаційної компанії з міста Ірвайн, (штат Каліфорнія). AD — це служба каталогів, що здійснює моніторинг та контроль користувачів або робочих станцій. Використовуються різні протоколи — для отримання дозволу користувачами і управління політикою безпеки. Протокол LDAP, розподілена система DNS і версія Kerberos компанії Microsoft — мережевий протокол аутентифікації для перевірки даних, названий по імені міфічного пса Цербера, який охороняє вхід у підземне царство.
Весь процес нагадує організаційну схему компанії, де старший персонал має більше повноважень і можливостей доступу. AD також управляє додатковими пристроями, такими як принтери, і дозволяє програмному забезпеченню встановлювати оновлення в мережі. Служба каталогів AD досить клопітна. Для установки, настройки та усунення неполадок потрібне постійне спостереження з боку команди підтримки.
«Наявність постійної підтримки — внутрішньої чи відданої на аутсорсинг — вкрай необхідно перш, ніж AD стане повністю інтегрованою системою компанії, — вважає Боб Пікарді, виконавчий директор Incorporated, компанії з міста Андовер (штат Массачусетс) — постачальника технічної підтримки і рішень по частині технології« великі дані ». «Для пошуку незвичайної активності, зламаних акаунтів потрібно як експертна оцінка стратегії захисту від кіберзагроз, так і Active Directory», — вважає Айден Тендлер, виконавчий директор і співзасновник Fortscale, провайдера спеціалізованих рішень в галузі охорони, призначених для пошуку інсайдерських погроз і перевірки користувачів.
Створення програм для AD з метою автоматизації спеціального процесу моніторингу вимагає часу, тому більшість компаній набуває готові до використання програми.
«Існує ряд інструментів сторонніх розробників для автоматизації та розширення адміністраторських функцій, такі як Adaxes (менеджмент ідентифікації), ADManager і Automate (управління групами) — інструменти, якими користуються експерти. Останні, приміром, розробляє NetIQ (глобальна компанія, що створює програмне забезпечення для оцінки ризиків і виконання складних завдань).
Плинність кадрів в IT-департаментах і розділена відповідальність за функціонування служби каталогів AD можуть бути вкрай небажані. «З плином часу в компаніях змінюється персонал, відповідальний за роботу AD, — як результат, їх служба каталогів AD залишається не такою« чистою »і безпечною, якої могла б бути, — говорить експерт з Visual Click. — Неправильний вибір паролів / налаштувань і присутність невикористовуваних акаунтів, які все ще залишаються активними, — такі ситуації пов’язані з ризиком ». Хакери можуть без особливих складнощів скористатися цими уразливими.
Експерти сходяться на думці, що шахраям досить непросто отримати доступ до AD, якщо правильні настройки. Однак керуючі компаній безсилі перед недалекоглядністю користувачів, які навмисно або ж через недогляд розголошують логіни і паролі.
«Якщо користувачі недостатньо пильні, і їх можуть обдурити шахраї за допомогою фішингу (спосіб отримання ідентифікуючої інформації за допомогою імейл та інших засобів), тоді вже й не так важливо, яка використовується система — AD або інша», — говорить співзасновник Visual Click.
«Користувачі, судячи з усього, більше знайомі з погрозами з інтернету, ніж з ризиками для Active Directory, — пояснює співробітник Netwrix. — Адміністратори зі злочинними намірами, колишні співробітники, контрактники, а також людський фактор — все це теж істотні загрози».
У таких умовах без належних заходів безпеки просто не обійтися. «Я прихильник мультифакторній аутентифікації, — говорить Пікарді. — Прості способи зберігання паролів або логінів не є адекватним захистом конфіденційної інформації. Свої рішення в цій галузі пропонують Google і RSA, багато інших компаній створюють біометричні засоби захисту і системи смарт-карт».