3 maneiras de separar as funções administrativas para melhorar a segurança e o controle de alterações
Você está usando contas de administrador de domínio para gerenciar o Active Directory (AD) ou oferecer suporte a dispositivos de usuário final? Aqui estão algumas dicas e práticas recomendadas para ajudar a melhorar a segurança e o controle de alterações.
É um cenário comum. Um novo funcionário ingressa no departamento de TI e a primeira tarefa é fornecer acesso a ele, geralmente na forma de uma conta com privilégios de administrador de domínio. Sempre achei um tanto curioso que as organizações muitas vezes confiem a estranhos as chaves do seu reino. E se essa pessoa for incompetente, causando uma interrupção ou perda de dados críticos? Embora possa parecer uma situação improvável, atribuir permanentemente aos funcionários acesso altamente privilegiado aos servidores deve ser cuidadosamente considerado.
Se os riscos de segurança não forem suficientemente elevados, a capacidade da equipa de TI de efetuar alterações ao nível do sistema nos servidores sem a supervisão de um processo de controlo de alterações também deverá ser uma preocupação. É suficiente confiar que os funcionários seguem os procedimentos para realizar alterações nos sistemas de TI? E quanto à conformidade regulatória e ao fornecimento de confiança aos clientes em seus sistemas de TI?
A Lepide Data Security Platform pode ser usada para monitorar alterações no Windows Server, mas impedir alterações não autorizadas, protegendo adequadamente o acesso, também deve ser uma prioridade. Continue lendo para aprender três maneiras fáceis de começar a melhorar a segurança e o controle de alterações em sua organização.
Isolar funções de servidor e aplicativos
A queda do custo das tecnologias de virtualização ao longo dos últimos anos proporcionou às organizações de todos os tamanhos a capacidade de isolar aplicações e serviços empresariais. Por exemplo, sempre foi uma prática recomendada evitar a instalação de aplicativos ou funções de servidor adicionais em controladores de domínio. A razão é que, para obter acesso de administrador local a um controlador de domínio, é necessário que você tenha privilégios de administrador de domínio.
A instalação de SQL, aplicativos de linha de negócios e outras funções de servidor que exigem administração regular em máquinas virtuais dedicadas facilita a proteção de ativos, minimizando o uso de contas de administrador de domínio e outras contas que possuem privilégios além do necessário para um dada tarefa.
Delegar privilégios administrativos
O Microsoft Active Directory (AD) sempre teve a capacidade de delegar privilégios a grupos de usuários e, nas versões mais recentes do Windows Server, o acesso baseado em funções e outros mecanismos de autenticação melhoraram os controles disponíveis.
O Assistente de delegação de controle em usuários e computadores do Active Directory permite que a TI atribua a grupos a capacidade de executar operações específicas em objetos AD, como redefinir senhas de usuários e modificar e criar objetos de política de grupo. Em outras palavras, você não precisa ser administrador de domínio para criar uma conta de usuário no Active Directory!
Elaborar uma estratégia para oferecer suporte aos dispositivos do usuário final
Sempre configure os PCs para que as contas de administrador de domínio não sejam usadas para fins de suporte. Considere um PC padrão associado ao domínio do Windows 7. Para fazer uma conexão de área de trabalho remota com ele, você precisa usar uma conta com privilégios de administrador local, que são herdados automaticamente pelos administradores de domínio, ou uma que seja membro do grupo Usuários de Área de Trabalho Remota. Em minha postagem anterior no blog, Falha na proteção de dispositivos de usuário final deixa servidores e dados em risco, descrevi alguns dos motivos pelos quais contas de administrador de domínio não devem ser usadas para administrar dispositivos de usuário final, incluindo o risco aumentado de que as credenciais de administrador de domínio pode ser comprometido em PCs que não estejam devidamente protegidos.