Como as contas inativas prejudicam a segurança do Active Directory?

Contas inativas no Active Directory devem causar medo nos administradores de TI. Eles podem parecer inofensivos porque permanecem inativos, sem uso e inativos, mas são um convite aberto para qualquer pessoa que queira comprometer a segurança de uma organização.

Por que contas inativas são uma ameaça à segurança do AD

Contas inativas podem parecer dóceis, mas podem causar danos fatais a uma organização, principalmente quando não estão desativadas ou quando permanecem sem limite de expiração de senha. Intrusos externos que tentam invadir uma organização podem usar essas contas, pois suas atividades passarão despercebidas. Além disso, os funcionários que saem da organização podem usar indevidamente suas credenciais de login para acessar recursos de rede. O dano que pode ser causado à rede depende da habilidade dos invasores, de quanto tempo eles conseguem permanecer lá e de quantos privilégios essas contas comprometidas têm. E os invasores podem correr livremente se a organização não tiver um mecanismo de auditoria eficaz.

A criação de contas inativas

Contas inativas revelam muito sobre a comunicação ou a falta dela entre os departamentos de RH e TI. Quando novos funcionários ingressam na organização, o departamento de TI fornece-lhes novas contas de usuário. Mas quando saem da organização, essas contas não são cuidadas. Isso pode acontecer quando um funcionário recebe uma nova função ou quando um funcionário sai de licença prolongada. O mesmo pode acontecer com contas de computador. Além disso, para fins de teste e outros usos temporários, o departamento de TI pode criar uma conta de usuário e de computador que permanece < span lang="en-GB">abrir após o término de seu uso. É assim que as contas inativas são criadas no ambiente AD.

Por que você precisa de uma política de gerenciamento de contas inativas

Geralmente, as organizações não carecem de ferramentas que podem gerenciar contas inativas em seu Active Directory. O que muitas vezes lhes falta é uma política bem documentada em relação a esta área. Na maioria das vezes, o departamento de TI carece de informações sobre demissões e saídas de funcionários. Além disso, nenhuma instrução clara é dada a eles sobre a desativação ou exclusão de contas. Portanto, a primeira coisa a fazer é documentar uma política em consulta com o departamento de RH e a gestão de topo. A política deve abranger as seguintes situações:

• quando um funcionário sai da empresa
• quando há chance de um funcionário retornar
• quando um funcionário está em licença prolongada

Também são necessárias decisões sobre os seguintes assuntos:

• se as contas serão excluídas diretamente ou após desativá-las por algum tempo
• o tempo de espera antes de excluir a conta permanentemente
• monitoramento e auditoria de contas inativas
• uso de soluções profissionais de limpeza do Active Directory, como Lepide Active Directory Cleaner

Como gerenciar contas inativas do Active Directory

A remoção de contas inativas é essencial para a segurança do Active Directory. No entanto, é melhor manter essas contas desativadas por algum tempo antes de excluí-las. Quando os funcionários saem da organização ou demoram muito para sair, é recomendável desabilitar suas contas de usuário. Todas as contas desabilitadas podem ser movidas para uma única UO e vinculadas a ela por um GPO que restringe todos os acessos e privilégios. Certifique-se de que as contas sejam removidas de todas as associações de grupo. Após um determinado período, as contas de usuários dos funcionários que saíram da organização podem ser excluídas definitivamente. É uma boa prática manter o departamento de RH informado e atualizado com as atividades de exclusão. Outra sugestão importante é habilitar a Lixeira do Active Directory para que as contas (juntamente com todos os seus atributos) possam ser restauradas (até que sejam limpas da lixeira). Confira algumas práticas recomendadas para gerenciar contas inativas do AD.