Wenn Ihre Infrastruktur viele Systeme enthält, auf denen Windows nicht ausgeführt wird und die nicht von Active Directory verwaltet werden, müssen möglicherweise Optionen für die Verwaltung von Nicht-Windows-Systemen getrennt von der Active Directory-Umgebung in Betracht gezogen werden. Um festzulegen, welche Benutzer das entsprechende FGPP erhalten Das Attribut -PSOAppliesTo des neu erstellten FGPP-Objekts muss mit der den entsprechenden Gruppe (n) konfiguriert werden. Es ist technisch nicht erforderlich, Smartcards für die Konten zu erstellen, bevor dieses Attribut aktiviert wird. Wenn möglich, sollten jedoch Smartcards für jeden Administrator erstellt werden Bevor Sie die Kontobeschränkungen konfigurieren, sollten die Smartcards an sicheren Speicherorten gespeichert werden. Entwickeln Sie eine Reihe von Anwendungsfällen, um herauszufinden, was jede Rolle tun kann und was nicht. Automatisieren Sie den Testprozess, um sicherzustellen, dass jede Rolle wie vorgesehen funktioniert Rollen, die dieser Rollengruppe zugewiesen sind In der folgenden Tabelle sind alle Verwaltungsrollen aufgelistet, die dieser Rollengruppe und dem folgenden Attribut zugewiesen sind es jeder Rollenzuweisung: Regelmäßige Zuweisung Ermöglicht Mitgliedern der Rollengruppe den Zugriff auf die Verwaltungsrolleneinträge, die von der zugeordneten Verwaltungsrolle zur Verfügung gestellt werden. Wenn beispielsweise ein Dateiserver zum Speichern von Vertragsdokumenten verwendet wird und der Zugriff auf die Dokumente mithilfe einer Active Directory-Gruppe gewährt wird, kann ein Angreifer, der die Mitgliedschaft der Gruppe ändern kann, der Gruppe kompromittierte Konten hinzufügen und auf den Vertrag zugreifen commercial, off-the-shelf (COTS) -Lösungen für RBAC für Active Directory, Windows und Nicht-Windows-Verzeichnisse und Betriebssysteme werden von einer Reihe von Anbietern angeboten. Je nach Art des Zertifikats und wie es aufgebaut ist, die Das Subject-Attribut in einem Zertifikat enthält normalerweise den allgemeinen Namen (CN) eines Benutzers, wie im folgenden Screenshot gezeigt. Wenn Sie Benutzern nur gestatten möchten, Computer mit dem Computercontainer zu verknüpfen, ist das Gewähren der Berechtigung über Gruppenrichtlinien möglicherweise der einfachste Weg Über diese Aufgabe. Durch die Implementierung dieser Steuerelemente und die Überwachung der Administratorkonten auf Änderungen können Sie die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich reduzieren, indem Sie das Administratorkonto einer Domäne nutzen.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
November 2018
Categories |