Оцените MAKVES в действии! Заполните форму, и мы свяжемся с вами для согласования времени и формата демонстрации
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности
Как навести порядок в службах каталогов с Makves
25 июля, 2024
Службы каталогов хранят все учётные записи пользователей, компьютеров и серверов, объекты групповых политик и другую важную информацию. Со временем база данных служб каталогов может стать перегруженной и фрагментированной. Это происходит из-за того, что сотрудники приходят и уходят, меняют должности, оборудование и программное обеспечение обновляются, а также вносятся другие изменения. Регулярный аудит служб каталогов делает работу компании более эффективной и безопасной.
В этой статье заместитель руководителя отдела технической поддержки Николай Слесарев расскажем о том, как навести порядок в службах каталогов Active Directory, ALD Pro и других.
Николай Слесарев
Заместитель руководителя отдела внедрения и технической поддержки
Какие бывают службы каталогов?
Отечественные компании уже давно привыкли находить замену зарубежным решениям вендоров, которые покинули российский рынок. Есть альтернативы операционным системам, офисным пакетам и облачным сервисам, но есть один продукт, который является основой практически любой корпоративной информационной инфраструктуры — Active Directory (AD). Перед отечественными компаниями встала задача большой важности — найти альтернативу Active Directory и научиться ей пользоваться для эффективного управления учетными записями.
Active Directory — это служба каталогов, которая хранит, организует и предоставляет доступ к информации в каталоге операционной системы компьютера. В разработке программного обеспечения каталог представляет собой карту между именами и значениями. Это позволяет искать именованные значения, подобно словарю. Чаще всего используется для представления персонала, материальных или сетевых ресурсов.
Active Directory — это только один пример службы каталогов, которая поддерживает протокол быстрого доступа к каталогам LDAP (Lightweight Directory Access Protocol). Также есть и другие варианты: служба каталогов Red Hat, OpenLDAP и отечественный альтернативы, разработанные РусБИТех-Астра: ALD и ALD Pro.
OpenLDAP — это реализация протокола LDAP, которая распространяется под собственной свободной лицензией OpenLDAP Public License.
FreeIPA — (Free Identity, Policy and Audit, система управления учетными записями и аутентификацией) разрабатывалась изначально как альтернатива AD, но не повторяет его в деталях. Общего с AD — LDAP и Kerberos, но внутреннее техническое устройство другое. Свободное П О.
ALD Pro — это набор сетевых служб сервера Astra Linux для организации централизованного управления ИТ-инфраструктурой, разработанный отечественной компанией РусБИТех-Астра. В основе ALD Pro лежит open-source решение FreeIPA. Управление компонентами системы и клиентами в ALD Pro реализовано через веб-интерфейс.
Преимущества упорядоченной службы каталогов
Наведение порядка в службе каталогов дает следующие преимущества:
Производительность — база данных служб каталогов регулярно обновляется на всех контроллерах домена. Если она переполнена, это может замедлить процессы аутентификации пользователей, поиска данных и загрузки политик. Регулярная очистка базы данных позволяет всем этим процессам работать быстрее и эффективнее.
Безопасность — злоумышленники могут получить доступ к учётным записям бывших сотрудников, которые остались в системе. Удаление неиспользуемых учётных записей снижает этот риск.
Соответствие требованиям — такие законы как 152-ФЗ требуют строгого контроля над учетными записями пользователей. Регулярная очистка служб каталогов помогает соответствовать этим требованиям.
ИТ-операции — перегруженная база данных усложняет работу администраторов. Очистка служб каталогов упрощает управление и освобождает время для более важных задач.
Бизнес-гибкость — при слияниях и поглощениях часто нужно объединить разные базы данных служб каталогов. Чистая и организованная база данных упрощает эту задачу и помогает быстрее внедрять новые приложения и обновлять рабочие процессы.
Как навести порядок в службах каталогов
Следующие методы помогут вам привести в порядок службы каталогов:
Регулярно определяйте устаревшие, отключенные и неактивные учетные записи пользователей. Злоумышленники ищут неиспользуемые учетные записи пользователей служб каталогов, которые можно скомпрометировать для получения доступа к конфиденциальным данным. Некоторые продукты для управления службами каталогов не только выявляют рискованные учетные записи, но и предоставляют настраиваемые рабочие процессы, которые могут автоматически перемещать их в «карантин» для последующей проверки перед удалением.
Идентифицируйте дублирующиеся учетные записи пользователей. Пользователи могут получить несколько учетных записей при смене ролей в организации, особенно если у вас несколько доменов служб каталогов. Очистка таких учетных записей уменьшает риски, связанные с избыточным предоставлением прав.
Убедитесь, что атрибуты учетных записей пользователей полные и точные. Очистка служб каталогов заключается не только в удалении объектов. Важно также убедиться, что объекты правильно заполнены всей необходимой информацией для надлежащего управления учетными записями. Обязательно проводите очистку метаданных.
Идентифицируйте учетные записи с истекшими паролями. Определяйте учетные записи служб каталогов с истекшими паролями, так как они могут указывать на то, что учетная запись редко используется или неактивна.
Находите пустые, дублирующие и циклически вложенные группы. Выявляйте и удаляйте пустые или дублирующиеся группы служб каталогов, которые не выполняют никаких функций. DCAP решения помогают выявлять и устранять циклически вложенные группы, которые ухудшают производительность служб каталогов.
Проверяйте группы безопасности с большим количеством участников. Некоторые группы безопасности предназначены для большого числа участников, но в основном группы должны быть небольшие. Убедитесь, что каждая группа включает только тех пользователей, которым нужен доступ к ресурсам, предоставляемым группой.
Очистите почтовые группы. Списки рассылки и почтовые группы со временем разрастаются сверх меры, так как владельцы не обновляют их. DCAP системы умеют идентифицировать эти группы и помогают в их очистке.
Назначайте владельцев групп. Каждая группа должна иметь владельца, который обязан регулярно подтверждать необходимость существования группы и правильность ее разрешений и состава.
Как помогает DCAP в работе со службами каталогов?
Традиционные методы наведения порядка в службах каталогов, имеют множество недостатков. Работа со службой каталогов в ручном режиме требует значительных усилий и времени со стороны ИТ-специалистов, что создает зависимость от конкретных сотрудников. Если этот сотрудник уволится, все знания и навыки будут утрачены, а ошибки, вызванные человеческим фактором, могут привести к несоответствиям и потерям данных.
Скрипты, такие как PowerShell, требуют высокой квалификации для написания и поддержки, и у них есть свои ограничения, такие как невозможность создания понятных и детализированных отчетов и сложности в получении оперативной информации об изменениях в системе. Решение Makves DCAP автоматизирует множество процессов, позволяет легко анализировать данные служб каталогов и файловых систем, поддерживает создание детализированных отчетов и предоставляет инструменты для автоматического обнаружения и удаления нежелательных объектов.
Преимущества Makves DCAP для автоматизации аудита служб каталогов
Makves DCAP поддерживает широкий спектр ИТ-систем, включая службы каталогов Active Directory, ALD Pro, Samba, FreeIPA и операционные системы Ред О С, Astra Linux, BaseALT и другие.
Особое внимание в Makves DCAP уделено удобству работы с событиями. На данный момент это единственное DCAP решение, которое умеет подробно интерпретировать данные логов ALD Pro, предоставляя офицеру безопасности подробную и структурированную информацию о том, кто совершил действия, их типе и месте.
Интерфейс вкладки «События»
Makves DCAP выполняет комплексный аудит, фиксируя изменения сетевого доступа и предоставляя подробные данные о действиях пользователей. Предустановленные правила выявления инцидентов и матрица доступа помогают контролировать права пользователей. Аудит подключений и исправление рисков в интерфейсе системы облегчают управление учетными записями. DCAP также выявляет аномалии и предоставляет рекомендации по устранению уязвимостей, таких как неактивные учетные записи и слабые пароли.
Интерфейс вкладки «Рекомендации»
Использование DCAP освобождает ИТ-специалистов от рутины и позволяет им сосредоточиться на более стратегических задачах, упрощая администрирование и снижая нагрузку на ИТ-отдел, что сокращает время, необходимое на управление и поддержку служб каталогов, и улучшает гибкость бизнеса.