Active Directory (AD) 可帮助 IT 管理员分层存储组织的资源,包括用户、组以及计算机和打印机等设备,这有助于管理员集中创建基于帐户和组的规则,并通过创建不合规的自动日志来强制执行和确保合规性。
不时清理AD是保持其安全和清洁的典型特征,由于组织是动态实体,因此定期扫描已离职或更改职责的员工的帐户以消除目录中的多余足迹非常重要,这些帐户构成了安全风险,因为黑客可能会利用它们渗透到网络中。
通过定期清理 AD 可以避免这种情况和类似情况,这包括查看访问权限、帐户和组以撤消访问权限、禁用旧的或不活跃的帐户和组,以及监视相对较新的帐户的活动,删除非活动帐户可以节省维护它们所花费的时间,并减少查找活动帐户所需的时间,从而使目录有效运行。
AD 清理:定期分析账户
保持干净的AD的第一步是定期检查它,在开始审查之前,最好列出活动用户帐户。这将有助于将活动帐户映射到员工 ID,确保可以快速将帐户和组识别为非活动、未使用和重复帐户。这些易受攻击的帐户很容易成为威胁参与者的目标。
- 删除已禁用的帐户
- 删除不活跃、未使用和重复的帐户
- 监控新帐户的创建
- 对密码过期的帐户执行操作
- 管理组
删除已禁用的帐户
IT 管理员通常选择禁用临时休假或长假员工的用户帐户。在选择删除这些帐户之前,他们还会备份这些帐户中的凭据和数据。攻击者可能会使用这些禁用的帐户入侵网络并获取对关键资源的访问权限。因此,应定期检查和定期监控这些被禁用的帐户是否有任何活动,并在必要时将其删除。审计员或第三方供应商等用户需要一个临时帐户,该帐户将在以后删除。建立定期查看这些帐户的策略有助于管理和删除此类临时帐户。
删除不活跃、未使用和重复的帐户
尽管 IT 团队在员工离开组织时禁用和删除了员工的用户帐户,但不时查找未使用的帐户非常重要,最佳做法是先备份数据,某些帐户在未使用的情况下创建和放弃,但可以通过评估上次登录时间戳来检测这些帐户。通常,任何 90 天或更长时间未访问的帐户都被视为非活动帐户,但此持续时间可能因组织的策略而异。删除未使用和重复的帐户可以清除过时的数据并保护网络免受黑客攻击。
监控新帐户的创建
攻击者、恶意内部人员或恶意软件可以创建新帐户来访问网络,通过密切关注新帐户的创建,可以识别非法帐户。帐户创建者的姓名及其名称等信息有助于识别不合规的帐户。
对密码过期的帐户执行操作
登录凭据过期的帐户可能意味着用户已长时间处于非活动状态,此类帐户很容易出现安全风险,因为它们的活动经常被忽视。定期分析有助于检测和删除由于用户离开组织或角色更改而导致的非活动帐户。
管理组
在 AD 中创建组将简化管理,并帮助在委派、共享信息等方面管理类似的用户,这些组可能会不时变得不活动、空或过时。例如,这些组的一些用户可能会切换团队,但继续拥有不再合适的先前角色的权限。定期审核 AD 将有助于识别和清理此类组。
自动执行 AD 清理
未被注意和未托管的 AD 帐户可能会对网络安全造成威胁,定期维护和管理它们至关重要。编写代码来手动清理 AD 可能需要 IT 团队花费大量时间和精力,这在较小的组织中是可能的,但在拥有数千个用户帐户和组的大中型组织中可能会令人生畏且效率较低,自动化清理可以拯救这些组织。
- 在一定天数内未登录时查找未使用和不活动的帐户。
- 查找过期的 AD 帐户。
- 撤消权限,并删除未使用的帐户、用户和组。
- 创建和修改用户组。
- 在 AD 中创建和修改对象。
ADManager Plus 等工具可自动执行AD清理过程,包括检测和删除过时的帐户和组,以及取消不必要的访问权限,通过有效管理批量用户、委派 AD 管理任务和完成其他重要的支持任务,为帮助台团队节省了时间和精力。
