Situatie
In cadrul companiei sunt utilizate atat conturi Locale, cat si conturi Active Directory (AD). Ambele tipuri de conturi folosesc acelasi format de denumire: Nume.NumeFamilie. Din cauza faptului ca au acelasi format si aceeasi conventie de naming, Domain Controller-ul (DC) nu poate diferentia in mod corect conturile in anumite scenarii de autentificare.
In consecinta, contul de AD este blocat in mod repetat, generand incidente de securitate si intreruperi operationale pentru utilizatori.
Solutie
Problema principala este conflictul de identitate intre conturile Locale si cele de AD, cauzat de:
• Folosirea aceluiasi naming convention (Nume.NumeFamilie)
• Existenta simultana a doua surse de autentificare (Local si AD)
• Lipsa unei politici clare de Identity Management
• Posibila memorare a credentialelor vechi in servicii, task-uri programate sau aplicatii
Impactul problemei:
• Blocarea repetata a conturilor AD
• Cresterea numarului de incidente IT
• Timp pierdut pentru echipa de suport
• Risc de securitate prin utilizarea conturilor Locale
• Lipsa de trasabilitate si control centralizat
Mai jos sunt solutiile posibile, structurate pe categorii.
A. Solutii Tehnice Recomandate
• Implementarea unui naming convention diferit pentru conturile Locale
Exemplu:
o local.Nume.NumeFamilie
o Nume.NumeFamilie.local
o Prefix clar: L_Nume.NumeFamilie
Aceasta solutie permite diferentierea clara intre conturile Locale si cele AD.
• Dezactivarea autentificarii locale unde nu este necesara
o Prin Group Policy se poate restrictiona logarea locala
o Limitarea conturilor Locale doar la conturi tehnice sau break-glass
• Auditarea sistemelor pentru credentiale salvate
o Verificare servicii Windows
o Task-uri programate
o Aplicatii care folosesc credentiale hardcodate
o Credential Manager
• Implementarea unui sistem centralizat de Identity and Access Management
o Control unitar al conturilor
o Eliminarea duplicarii identitatilor
o Politici clare de lifecycle (creare, modificare, stergere)
• Monitorizare avansata a evenimentelor de autentificare
o Corelarea evenimentelor de tip account lockout
o Identificarea sursei exacte a autentificarilor gresite
B. Solutie Recomandata (Strategica)
Renuntarea la conturile Locale si pastrarea exclusiva a conturilor AD.
Aceasta este solutia cea mai corecta din punct de vedere al securitatii si al guvernantei IT, deoarece:
• Permite autentificare centralizata
• Ofera control si audit unitar
• Reduce riscul de conflicte de identitate
• Simplifica administrarea
• Elimina blocarile recurente cauzate de ambiguitate
Conturile Locale ar trebui pastrate doar in scenarii exceptionale:
• Conturi break-glass
• Sisteme izolate fara conectivitate la domeniu
• Situatii de disaster recovery
C. Solutie Nerecomandata
Redenumirea conturilor Locale existente fara schimbarea strategiei generale.
Aceasta solutie este considerata nerecomandata deoarece:
• Rezolva doar simptomul, nu cauza
• Mentine existenta dubla a identitatilor
• Nu elimina riscul operational pe termen lung
• Creste complexitatea administrativa.
Leave A Comment?