DEBATT: Et felles Active Directory for alt øker sårbarheten for løsepengevirus

[Redaksjonen.]

DEBATT: Et felles Active Directory for alt øker sårbarheten for løsepengevirus

[Kahuna]

Eller kanskje man skal benytte de mulighetene som tross all finnes i AD først?

Som rolleseparering. Brukere og tjenester skal kun ha minimum av de rettighetene de trenger. Vanlige brukere skal kun få lov til å logge seg på sine arbeidsstasjoner, ikke på servere. Serveradmin-brukere skal på samme måte kun få logge seg på servere eller dedikerte adminmaskiner, ikke på vanlige arbeidsstasjoner. Del opp adminbrukerne i grupper om miljøet blir stort nok(fil, AD, nettverk, backup,mail, sertifikater). Lag egne klientadmin-brukere for de tilfellene hvor man trenger å gjøre noe på lokale maskiner(disse kan i likhet med vanlige brukere ikke logge seg på servere). Bruk brannmurer for å beskytte servere mot arbeidsstasjoner, eller beskytte arbeidsstasjoner mot hverandre. Oppdater alt, alltid. Ta backup, immutable backup vil beskytte mot løsepengevirus om det er riktig konfigurert. Hyr inn ekstern hjelp der det trengs, kjør inntrengingstester eller sikkerhetsrevisjoner.

[nightowl]

Jøss. Man skylder på AD når det egentlig er de IKT-ansvarlige som ikke har konfigurert domenekontrolleren (i det hele tatt?). Er en stund siden jeg satte opp en slik server sist (med Windows Server 2003), men jeg mener å huske at det fantes gruppepolicier for alt mellom himmel og jord ...

[DiskIT]

Jess, enig med artikkel. Musikk i mine ører. AD kan beholdes for legacy infrastruktur med diverse servere. Moderne identitetsløsninger som Azure AD for enheter og brukere. 

Har kjempet for dette i mange år. Brukerne ut av AD! Zero trust osv 😁

Endret 16. januar 2022 av DiskIT