Proteja seu domínio: Contas de usuários para tarefas específicas.

Salve, profissionais de TI. Ao longo da semana, irei debater cinco dicas para ajudar a proteger seu domínio(Active Directory) sobre possíveis ataques. Na realidade, estas dicas são mais lembretes para nós, que no dia a dia, acabamos nos descuidando(pensando que com a gente não irá acontecer) e acontece. A primeira dica é: tentar o máximo manter um conta para cada tarefa especifica a ser realizada.

Muitas vezes acontecem(infelizmente) de profissionais de TI que trabalham em rede baseada em domínio, terem um único usuário para realizar todas as tarefas(instalar impressora em servidor de impressão, instalar softwares, modificar floresta, etc..), sendo que, este usuário acaba ficando pertencendo a vários grupos (adm. do domínio, esquema, empresa..) do domínio ao mesmo tempo. E isto é uma falha enorme de segurança. Uma vez que, o invasor conseguindo ter acesso a este usuário logado na estação, com poderes altíssimos no AD pode conseguir roubar suas credencias e fazer modificações/alterações no Active Directory deixando inutilizado. Ou pior, dependendo da permissão que o usuário tem, excluí-lo.

Então a dica é: ter uma conta associada a cada tarefa. Pense bem: para que irei ter um usuário como adm. do domínio, empresa e esquema ao mesmo tempo se não vou usar estes “poderes” toda hora? Uma vez que, 90% do dia iremos apenas fazer algo mais básico na empresa(instalar softwares, criar usuários…). Não seria mais fácil usar um usuário com poderes menores para realizar tais tarefas?! E uma vez precisando fazer alguma modificação mais elevada dar permissão a este ou logar com outro que tenha permissão de tal tarefa para realizar!? Então, mantenha usuários específicos para cada tarefa e use sempre o menor privilégio possível. Quando falamos em segurança, sempre temos que pensar e repensar. Outras dicas que posso mencionar, caso siga a ideia de ter outros usuários com permissões mais elevadas para realizar x tarefas, deixá-los desabilitados e quando precisar, habilite-os. Terminada a tarefa, desabilite-os. Também podemos aqui criar Logs para fazer a monitoração de quando estes usuários forem habilitados e desabilitados, assim saberemos quem habilitou e desabilitou e tomaremos as devidas precauções.

 

Autor
10492172_880959151956485_6663622487942318291_n
Nascido e residente de Fortaleza – CE, Diego Gouveia é graduado em 
Análise de Sistemas e escreve para diversas comunidades técnicas. 
Atualmente é técnico em Suporte e busca sempre aprender mais para 
o seu crescimento profissional. 
Redes Sociais:
images144fe2d09e86f4999f70f979161ffd09_400x400

 


 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s