NetIQ调查之如何保障微软AD安全

系统 Windows
本文展示了NetIQ主办的活动目录管理与安全的调查结果,有两个部分,一份关于调研结果的演示和分析;一份关于为何企业必须有能力成功并安全地管理、实施AD环境的讨论。

活动目录AD的管理与安全对于企业组织来说至关重要,下面是一份调查结果的演示、分析以及讨论。

本文展示了NetIQ主办的活动目录管理与安全的调查结果。活动目录(以下简称AD)管理与安全的调查,于2009年7月执行。这份研究提供了AD的管理与实施所面临的安全挑战方面的见解,检查企业IT组织中的AD的权属部门,表明企业安全组织对AD日益增长的影响。

调查概览

2009 NetIQ AD管理与安全调查由一个总的统计学问题和九个多项选择题目组成:六个问题允许单项答案,三个问题允许多项答案。这些问题是由NetIQ在微软AD方面的领先专家的帮助和监督下选定的。 调查的受访者包括277位唯一参与者,代表不同行业,包括但不限于教育、健康、金融和银行、政府以及制造业。

主要内容

本文分为两个主要部分:一份关于调研结果的演示和分析;一份关于为何企业必须有能力成功并安全地管理、实施AD环境的讨论。

这一调查结果和报告,分节阐明了对这些调研问题的应答。结果分为如下几个部分:

管理与实施AD: 检查分配给AD管理者的资源;这些团队达到业务需求的能力;用于实施、管理和保证AD安全的工具。

AD的挑战:企业深刻地体验到AD的实施、管理和安全方面的困扰与痛处,对此十分关注。

AD中的权限及影响: 判定并检查组织中在AD管理、实施和安全职责方面的委派。

文章的末尾对组织如何更有效地管理AD环境的实施和安全性提出了建议。此外,这个部分阐述了NetIQ怎样帮助企业的IT组织更好地交付符合业务目标的安全的AD服务。

调查参与者人员组成情况

AD已日益成为各种规模的组织中事实上的标准目录服务。为了保证我们的调查的答案与企业相关,因此只筛选出企业组织中的答题者。这样,调查结果有277份有效的答卷 - 图1显示出答题者所处的组织的规模构成情况。

NetIQ调查之如何保障微软AD安全
图1:参与调查的答题者所在组织内的雇员数量构成

调查结果和报告:

AD的管理与实施

AD从IT组织中的一种支持技术已经发展成为一种核心服务,它驱动着一个实体中的人和他们的设备的关键的信息。此章关注于企业如何分配资源帮助保证AD的成功管理、实施和安全。

为了确定组织中管理AD可用资源的基线,调查参与者被问到他们的组织中被分配的AD实施、管理和安全方面的人员数量。如图2所示,70%的受访者回答他们有10人或者更少的人员专门负责AD系统的维护和实施的安全。这与行业的总体的标准是一致的;而且,由于当前多数企业面临的经济压力,想要在近期改变这样的现状似乎不大可能:缩减的开支不可避免地会导致IT组织中更少的可用资源。AD看来也不例外。

NetIQ调查之如何保障微软AD安全
图2: 据调查反馈,AD实施、管理和安全方面的资源分配图

当被问及用什么工具来利用这些有限的资源来保证AD生产环境的实施、管理和安全时(见图3),几乎所有的受访者(96%)说他们信赖微软自身的工具。已有很好的证明,用自身工具管理AD是比较困难的,特别是扩展全面的域管理员特权的需求,不出意料的,几乎半数以上的受访者也相信第三方商业工具可以提升AD的管理和安全。接近四分之一的受访者同样相信自己开发的或开源的/免费的工具软件。

NetIQ调查之如何保障微软AD安全
图 3: 受访者组织中AD环境下使用的工具种类分布

在此次调查中,稍后将能够看到,AD团队变更的压力,特别是AD成为大的身份与访问管理(IAM)程序的一部分时,将会要求更为严格的安全控制和更好的性能以降低内部攻击的风险。这将因此不可避免地意味着对第三方商业工具的依赖日益增长,因为较之微软自身的及自己开发的解决方案,这些第三方的商业工具能够提供更为全面的安全和管理功能。

由于组织分配给AD实施、管理和安全方面的有限的资源,用自带的管理工具与生俱来的诸多问题,因此有40%的受访者指出他们非常努力地试图追赶业务需求的脚步(图4)。

NetIQ调查之如何保障微软AD安全
图4:受访者所在组织中AD的资源与业务需求进度匹配能力

AD 的权属及影响

下面这套问题检查过去三年内AD的归属部门、影响和责任方面的发展。

NetIQ调查之如何保障微软AD安全
图 8: AD使用中主要的归属部门分布

日常AD管理的归属历史性地落到了信息技术部门;受访者证实了这一点(见图8)。但是过去的3年已经发生了一些变化,因为企业的IT组织已经非常成熟,规则已经从数量和范围上都有了增长。

接近一半的IT组织越来越受到信息安全组织的影响。难怪他们最关心的基本上是基础的安全问题---推行策略、通过尽可能减少特权用户及访问来减少风险。由于更多的企业组织发现他们自己由于安全缺陷而被作为新闻报导,传统的AD管理者正被赋予任务,通过安全团队和他们开发的安全策略,同时改进关键业务数据在AD中的存储。

NetIQ调查之如何保障微软AD安全
图9:AD对信息安全的影响在近三年来的变化情况

倘若有预算紧缩和增加业务的要求,企业的IT组织便会有兴趣最大化他们现有投资的功能。扩展AD的能力、实现AD标准化、以AD为中心是所有企业组织可以实现让AD成为关键业务信息的首要存储裤。难怪76%的访者表明,AD通过信息安全组织的日益提高的影响的引导,在他们的组织中成为信息与逐步形成的IAM策略中起着重要乃至关键的作用(参阅图10)。

NetIQ调查之如何保障微软AD安全
图 10: AD在受访者的IAM策略中所处的地位

安全对AD有着关键的影响

当活跃的目录仍然被主要由IT 组织承认时,安全对活跃的目录的管理和行政的影响已经猛烈改变。 这变化影响s IAM 策略的积极的人名录在任何安全策略和企业的最关键的元素之一方面上演'的作用。

当AD仍然主要由IT组织掌管时,安全对AD实行和管理的影响发生着剧烈的改变。这一变化影响着AD在企业的安全策略和IAM策略中成为最关键要素之一。

由于被委以保护最有价值的业务资源的任务,安全组织认识到AD的强大能力。他们也看到了AD中如果缺少控制而与生俱来的风险。由于多数企业组织运用AD作为他们的IAM策略的关键组件之一,指导AD实施的策略将继续进一步确定并受到安全组织的影响。

行业最佳实践要求AD成为更广泛的安全策略中的中心要素,特别是它适合管理特权用户以降低防范内部攻击和数据破坏的风险。安全组织应该,也因此持续地努力着,去缩小(如果无法去除)AD作为一个脆弱的单点应用与其作为更强大的保证业务安全的方案:IAM中一个安全的核心组件这两者之间的距离。

有效的AD管理与安全的需求

对任何企业的IT组织来说,由于肩负着支持业务不断发展的要求的任务,安全、有效、高效的AD实施都是非常重要的。它一直是企业IT架构中最关键的要素之一---由于有限的自带的控制given the limited nature of native controls ---它也是最为脆弱的环节之一。当业务运营成本降低、效率要求急迫,他们不再是对日常AD管理负责的企业IT组织唯一的驱动力。

这个调查结果清晰地展示了当AD团队仍然坚定地作为大的IT运营团队中的一部分运营时,他们现在已渐渐被视为推行安全与法规遵从的一线部门。

这显示出一个危险的趋势。由于团队在检测基础的安全与合规要素存在的潜在重要变更方面表现出很少的信心,破坏,特别是由内部引起的破坏的风险,将持续增长。更糟糕的是,这种基本的安全的缺乏,将在组织基于现在的AD架构开始实施更广泛的IAM方案时更为严重。

保护数据、使系统可用性最大化,并且保证和证明合规是各个IT组织都很关键的驱动力。保证最有价值的业务资产的安全必须达到一个领先的水平,企业的IT组织现在必须要识别、最小化、定位出弱点与威胁。

#p#

结论和建议

担负着安全有效地支持发展的业务要求的任务,企业的IT组织应该采取前瞻性的方法来应用AD。要保持组织级和行业级的合规,这是唯一的方法,能够帮助保证关键和敏感的业务信息以一种支持业务的方式存储—以便减轻在一个不确定的商业环境中的风险。

要前瞻性地、安全地实施AD,NetIQ建议:企业IT组织采用能够改进AD安全的第三方的解决方案。这些管理AD的先进的手段帮助企业IT组织通过推行策略、最小化特权用户、控制未经许可的变更(无论是蓄意的还是无意的),来满足增长的安全及行业的要求。

为了帮助组织更有效地实现AD的安全,同时控制保证合规的成本并最终达到更大的业务目标的要求,NetIQ具有如下的关键功能和好处:

检测及审计AD变更---NetIQ的AD管理解决方案提供对AD做出的变更的实时检测和确认,允许企业决定变更是否可以被批准。通过个性化的设置,报警可以被升级,操作可以被记录下来并报告出来,以前瞻性地定位到无意的变更。

特权的安全委派--- NetIQ解决方案提供基于规则的和基于视图的两种方式的特权委派,使得管理员管理访问权限非常容易。这帮助用户实现一套受限制的任务,以他们的许可权限为基础,实现用户自助服务,这样减少了帮助台和其他人力管理的工作量。

报告授权情况及安全配置---利用NetIQ AD管理解决方案,企业能够做出详细的报告,说明哪些雇员可以做出影响业务的变更,有效地减少不必要的由管理员用超级用户特权做的工作。

自动化AD中的IT流程 运用NetIQ Aegis中强大的自动化能力以及NetIQ DRA软件,企业能够自动化执行AD中常规的操作任务。这帮助组织最小化管理员错误的机会,大大提升了数据完整性,并使数据污染的可能减至最低。运用这一前瞻性方法实现AD安全实施的企业IT组织将有能力持续地、有效节省成本地达到不断发展的业务的要求。这些特性也将帮助企业IT组织保证行业及业务合规所要求的安全的AD环境。

资源的限制和业务需求带来挑战

当来自经济方面的挑战要求技术能够支持动态的业务环境时,最突出的不满来自于对业务需求的无能为力。当组织运用微软自带的工具来保护企业中最具价值的业务信息库:AD的时候,他们唯一无法忍受的是依赖微软自带工具时所带来的额外的风险。

上述反馈很显然地告诉我们,相较于更广泛的IT基础设施的管理组织的规模而言,AD团队还停留在很小的规模,特别是企业中的组织。这些小团队艰苦地努力,以便保持与业务的不断变化相一致的脚步,因此可能被迫陷入日益被动的境地。这样最终将会投入更多在更具战略性的程序上,这些程序能保证更好的AD的全面安全性,并会将这一至关重要的技术更好地定位,以达到业务不断变更的要求-----这我们将在下一章看到。

AD面临的挑战

下一组调查问题试图解答这样的疑问,那就是这些与微软自带工具相关的资源的限制和约束在哪里影响着AD的安全管理和实施。调查受访者被问及管理和实施安全的AD环境的策略及业务上的挑战。

企业IT组织及其在AD方面的人员在努力地追赶业务需求的脚步,理所当然地,IT组织也在为保持一个安全的包含用户身份和业务资产等企业关键业务信息的存储环境而努力。如图5所示,超过一半的答题者举例说明他们在管理安全的AD环境时的巨大挑战,来自于以可控的方法管理组策略以及维护合适的用户许可方面。简言之,调查受访者最担忧的是那些本不该有权访问关键业务和敏感信息的用户所做出的未经许可的变更的威胁。

NetIQ调查之如何保障微软AD安全
图 5: 与AD安全和管理有关的关键的IT挑战重要性排名

限制用户访问,控制变更,是来自业务需求的重要反响。当被问及AD与业务相关的安全问题方面他们最担忧的是什么时,52%的答题者举出推行时的策略,42%的答题者举出不能达到合规的要求(图6)。

NetIQ调查之如何保障微软AD安全
图 6: 与AD安全有关的关键的业务问题重要性排名

企业的组织现在强烈地意识到了风险的存在,并且在驱动着IT遵从政策,保证合规;他们最终将如何保证他们的关键资产在多变的业务环境下的安全。

AD的变更以及管理变更是企业的组织首要关注的;然而,相当多的受访者指出他们对于他们能否快速检测到未经许可的变更并不是很自信。如图7所示,少于四分之一的受访者指出他们能够快速发现未经许可的特权升级、组策略更改,或者组成员变化。未经许可的变更---恰恰是让受访者担忧的---也是他们对于自己的检测能力缺乏自信的原因。如果未经许可的变更不能被发现,那么这些变更---蓄意的或偶然的---将会有可能导致严重的风险和业务信息的暴露,这是企业绝对难以承受的。

NetIQ调查之如何保障微软AD安全
图7:在检测AD环境的变更能力方面受访者信心水平分布图

策略与变更管理是关键

在此文章我们看到,AD管理团队中最主要关注点在维护策略与合规方面。控制用户许可和访问权限被特别突出地予以关注,因为一个有很高权限的用户可以执行那些能导致业务暴露于严重风险之下的变更。

由于主要的防范内部攻击的手段是有效的管理部署在组策略中的许可,所以保证这些控制一直都在并与企业的风险管理和安全策略相一致是最起码的要求。

然而,说到要能够迅速地发现对这些安全指标的任何变更,就不那么有信心了。

如果业务不能即时地检测到组策略和用户许可的变更,那么严重的破坏(特别是蓄意的、有训练并了解内情的人发起的破坏)的风险将会极端严重。

理想的组策略管理方案既要保证简易的、顺畅的管理,也要将变更检测与其他安全事件管理方案相集成,例如安全信息与事件管理(SIEM)技术。没有这样的能力的话,对组策略的变更便会一直处于无法被检测到的状态,并会始终在用户操作和访问安全方面有关键的潜在危险。

简言之,在AD团队的安全目标与推行这些目标的能力之间,是存在着潜在的危险断层的。

NetIQ调查之如何保障微软AD安全的内容的详述希望能够对读者有所帮助。

【编辑推荐】

  1. 两台域控制器如何实现AD迁移?
  2. Active Directory迁移工具ADMT
  3. 升级和卸载域AD:实现域网络管理一
  4. 升级和卸载域AD:实现域网络管理二
  5. 用ADSI实现自动化的活动目录操作方法

 

责任编辑:韩亚珊 来源: 赛迪网
相关推荐

2018-10-12 15:50:02

2018-10-11 15:20:02

2009-10-28 11:30:47

微软云安全保障措施

2022-09-08 15:36:07

物联网安全物联网网络

2021-02-20 09:39:55

微软SolarWinds黑客

2023-06-30 17:18:09

2023-05-23 12:28:04

2013-11-12 09:56:03

系统服务安全TCP wrapper企业安全

2013-12-02 15:54:34

2018-09-10 21:14:48

2019-08-01 14:44:31

云存储安全网络

2013-05-17 11:03:26

2018-07-18 06:42:40

2016-11-02 00:00:18

物联网数据安全

2009-09-08 13:45:00

2021-12-21 22:58:31

云计算云安全数字化转型

2021-09-13 15:44:52

智慧城市大数据安全

2022-09-20 07:31:40

CISOAPI安全安全基础设施

2020-10-14 11:30:10

PHP网络安全加密
点赞
收藏

51CTO技术栈公众号