Обеспечение безопасности административных групп безопасности Active Directory

Опубликовано: 2 Марта, 2023
Обеспечение безопасности административных групп безопасности Active Directory

Когда дело доходит до безопасности Active Directory, вы не хотите идти на компромисс. На самом деле, многие организации покупают продукты для обеспечения безопасности, чтобы проверить наличие лазеек в Active Directory. Хотя компании покупают эти продукты для обеспечения безопасности, конечно, неправда, что все продукты предназначены для проверки всех компонентов безопасности Active Directory. Некоторые продукты могут включать 100 проверок, которые необходимо выполнить как часть проверки работоспособности безопасности среды Active Directory. В некоторых продуктах может отсутствовать простой элемент проверки работоспособности, который необходимо выполнить. Например, продукт мог забыть проверить, защищены ли административные группы безопасности Active Directory. Вот где эта статья пригодится. В рамках этой статьи мы предоставляем сценарий PowerShell, который можно использовать для проверки членов административных групп безопасности и отчета о состоянии в файле CSV.

Что такое административные группы безопасности?

В Active Directory группы безопасности с наивысшими привилегиями называются административными группами безопасности. Чтобы назвать некоторых, это администраторы домена, администраторы предприятия, операторы резервного копирования и операторы сервера, а также административные группы безопасности. Административные группы безопасности определяют административную границу. Например, администраторы домена могут управлять всеми объектами домена Active Directory, тогда как администраторы предприятия могут управлять всей инфраструктурой Active Directory, включая обновление схемы леса Active Directory.

Какие проверки выполнять в составе административных групп безопасности?

Когда дело доходит до проверки работоспособности административных групп безопасности, вы можете проверить следующие элементы:

  • Административные группы безопасности не должны содержать более 20 участников в каждой. Например, содержание 20 членов в группе безопасности администраторов предприятия не имеет смысла, поскольку члены групп безопасности администраторов предприятия являются самой привилегированной группой безопасности в лесу Active Directory. Любой, кто является членом группы безопасности администраторов предприятия, имеет право контролировать все аспекты среды леса Active Directory. Точно так же группа безопасности «Администраторы домена» не должна содержать слишком много участников.
  • Во-вторых, административные группы безопасности должны содержать только авторизованных пользователей или пользователей из определенного организационного подразделения.

Хотя легко проверить количество членов в каждой административной группе безопасности, проверка того, что члены состоят только из указанного организационного подразделения, требует небольшой работы.

Как проверить?

Один из способов проверки — войти на контроллер домена в домене Active Directory, открыть оснастку «Пользователи и компьютеры Active Directory», а затем проверить каждую административную группу безопасности, чтобы убедиться, что она соответствует стандартам, выделенным в предыдущем разделе. Если у вас есть много административных групп безопасности, которые нужно проверить, это может занять значительное время. Это может занять больше времени, если вам нужно убедиться, что все административные группы безопасности содержат членов из авторизованного списка.

Использование PowerShell

Чтобы проверить одну административную группу безопасности, вы можете запустить приведенную ниже команду PowerShell. Команда предоставляет список участников, добавленных в группу безопасности, и количество участников, добавленных в группу безопасности:

SecGroup ="Администраторы домена" $GroupMem = Get-ADGroupMember -Identity "$ItemName" $GroupMem $TotNowCount = $GroupMem.Count $TotNowCount

Как вы можете видеть в приведенной выше команде PowerShell, она предоставляет список участников, а также количество для группы безопасности «Администраторы домена». Если вы хотите проверить наличие нескольких групп безопасности, вы можете использовать крошечный скрипт PowerShell ниже. Вы должны указать группы безопасности для проверки в файле C:TempGroups.DPC. Обратите внимание, что сценарий может извлекать членов группы и считать их только из домена Active Directory, к которому присоединен текущий компьютер.

$ReportFile = "C:TempGroupReport.CSV" Remove-Item $ReportFile -ErrorAction SilentlyContinue $STR = "GroupName, TotMembers, Member" Add-Content $ReportFile $STR $GrpMem="C:TempGroups.DPC " Foreach ($ItemName в Get-Content "$GrpMem") { $TotMems = Get-ADGroupMember -Identity "$ItemName" $TotNowCount = $TotMems.Count $FinalVal=$ItemName+","+$TotNowCount+","+$ Дополнительный контент TotMems "$ReportFile" $FinalVal }

После завершения выполнения сценария PowerShell вы можете увидеть отчет в разделе «C:TempGroupReport.CSV», который содержит имя административной группы безопасности, общее количество членов в группе и имя каждого члена, как показано. на скриншоте ниже:

Как видите, выходной скрипт сообщил о двух группах безопасности: администраторах домена и операторах сервера. Обе группы безопасности содержат более 20 членов, каждая из которых содержит 34 и 20 членов соответственно. Выходные данные также включают имя члена, включенного в каждую группу безопасности. Однако сценарий не выполняет проверку принадлежности участников к авторизованному списку.

Как убедиться, что группы безопасности содержат только авторизованных участников

Чтобы административные группы безопасности содержали только авторизованных участников, вам потребуется еще один сценарий PowerShell. В рамках сценария PowerShell вы создадите CSV-файл, содержащий список авторизованных членов для каждой группы безопасности, а затем сверитесь со списком, полученным с помощью приведенного выше сценария. Автоматическую проверку членов группы можно легко выполнить с помощью инструмента проверки групп административной безопасности, разработанного Ossisto365.com. Инструмент поддерживает проверку административных групп безопасности во всех доменах в лесу Active Directory, поддерживает проверку состояния работоспособности каждой группы безопасности, а также поддерживает выполнение проверки на основе указанного вами расписания, как показано на снимке экрана ниже. Используемые нами команды PowerShell были получены из средства проверки групп административной безопасности.

Обеспечьте безопасность своих административных групп безопасности

В рамках этой статьи мы объяснили, почему необходимо выполнять проверки безопасности для административных групп безопасности. Любой, кто является частью административных групп безопасности, может легко добавлять других участников, но вы, как уполномоченное лицо, должны выполнять проверку работоспособности административных групп безопасности, чтобы гарантировать, что только авторизованные пользователи входят в эти группы. Мы предоставили сценарий PowerShell, который можно использовать для сбора участников в каждой группе безопасности. Однако, чтобы убедиться, что группы содержат только авторизованных участников, вы можете использовать средство проверки групп администратора.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023