Použitie atribútu manažéra v Active Directory (AD) na obnovenie hesla

Vytváranie pracovných postupov okolo overovania obnovenia hesla môže byť pre organizácie náročné, najmä preto, že mnohé presunuli prácu v dôsledku globálnej pandémie COVID-19.

Keďže počet kybernetických útokov proti podnikom exploduje a na vine sú často ohrozené prihlasovacie údaje, spoločnosti musia posilniť bezpečnosť pri resetovaní hesiel na používateľských účtoch.

Ako môžu organizácie posilniť bezpečnosť obnovenia hesla pre vzdialených pracovníkov? Jeden bezpečnostný pracovný postup môže zahŕňať schválenie manažérom predtým, ako technici IT helpdesku môžu zmeniť heslo vzdialeného pracovníka. Týmto spôsobom je do procesu zapojený manažér používateľa.

Okrem toho sa niektoré organizácie môžu rozhodnúť, že umožnia samotným manažérom meniť heslá koncových používateľov. Ako sa to dá nakonfigurovať v Active Directory? Existuje tiež bezproblémovejšie riešenie na vyžiadanie súhlasu manažéra na obnovenie hesla?

Prečo je dôležité zabezpečiť obnovenie hesla

Uplynulý rok nepochybne priniesol veľa výziev pre zamestnancov IT asistenčných pracovísk, vrátane podpory pracovnej sily obsahujúcej najmä vzdialených pracovníkov. Jedným z problémov spojených so vzdialenými zamestnancami je bezpečnostný problém súvisiaci s resetovaním hesla.

Kyberzločinci čoraz častejšie využívajú útoky na identitu na kompromitáciu prostredia. Často poskytuje „cestu najmenšieho odporu“ do prostredia. Ak dôjde k ohrozeniu platných poverení, je to často najjednoduchší spôsob napadnutia a kompromitácie kritických obchodných údajov a systémov.

Keďže zamestnanci pracujú na diaľku, technici IT helpdesku, ktorí podporujú odomykanie účtov a zmeny hesiel, už nemajú osobnú interakciu so zamestnancami pracujúcimi „vo vnútri“ lokálneho prostredia.

Organizácie môžu byť dostatočne veľké na to, aby IT technici osobne nepoznali každého zamestnanca, ktorý môže pracovať na diaľku. Zavádza možnosť útočníka vydávať sa za legitímneho zamestnanca a pracovníkov helpdesku sociálneho inžinierstva s cieľom obnoviť legitímne heslo účtu.

Okrem toho môže napadnuté klientske zariadenie koncového používateľa viesť k nelegitímnemu resetovaniu hesla účtov koncových používateľov.

Správcovia IT, ktorí si uvedomujú nové hrozby pre identitu, ktorým dnes organizácie čelia, môžu chcieť získať manažérsky súhlas na obnovenie hesla k účtu zamestnancov. Táto úloha môže byť dokonca delegovaná na manažérov koncových používateľov pracujúcich v ich oddeleniach. Ako možno rýchlo nakonfigurovať obnovenie hesla vedúcimi oddelení pomocou vstavaných funkcií v službe Active Directory?

Delegovanie povolení na obnovenie hesla v službe Active Directory

Microsoft Active Directory obsahuje funkciu, ktorá umožňuje delegovanie povolenia pre určitých používateľov alebo skupiny na vykonávanie veľmi podrobných úloh. Tieto úlohy zahŕňajú obnovenie hesla. Ak chcete nakonfigurovať delegovanie povolení na obnovenie hesla, môžete postupovať podľa nižšie uvedeného postupu.

Začíname konfigurovať možnosti kontroly delegovania v službe Active Directory

Spustí sa Delegovanie kontrolného sprievodcu, ktorá najprv umožňuje vybrať používateľa alebo skupinu, ktorej chcete prideliť povolenia. Tu kliknete Pridať… pridať používateľa alebo skupinu. Skupinu zobrazenú nižšie sme už pridali – DLGRP_PasswordReset, lokálna skupina domény vytvorená v Active Directory. Ako osvedčený postup je vždy lepšie použiť skupiny na správu delegovania povolení. Umožňuje rýchlo a jednoducho pridávať alebo odoberať konkrétnych používateľov bez toho, aby ste museli zakaždým prejsť sprievodcom delegovania povolení.

Vyberte používateľov a skupiny, ktorí prevezmú povolenia

Na Úlohy pre delegáta obrazovka, pod Delegujte nasledujúce bežné úlohy, vyberte si Obnovte používateľské heslá a vynútite zmenu hesla pri ďalšom prihlásení možnosť. Kliknite Ďalšie.

Výberom možnosti Obnoviť používateľské heslá a vynútiť zmenu hesla pri ďalšom prihlásení

Dokončite sprievodcu delegovaním ovládacích prvkov.

Dokončite Sprievodcu delegovaním kontroly

Pridelenie manažérov na obnovenie hesiel

Pomocou postupu uvedeného vyššie môžu správcovia pridávať manažérov do skupiny s delegovaným povolením na obnovenie hesiel. Umožňuje poukázať na konkrétneho používateľa alebo skupinu na delegovanie povolení na obnovenie hesiel.

Ako už bolo spomenuté, pri vytváraní delegovania povolení v službe Active Directory je vždy osvedčeným postupom priradiť ho skupine, aj keď povolenia delegujete jednému používateľovi. Ak to urobíte týmto spôsobom, spravovanie životného cyklu delegovania povolení je oveľa jednoduchšie.

Prostriedok skupiny Active Directory je však v tomto kontexte dosť statický. Mimo servera Microsoft Exchange Server a dynamické distribučné skupiny, Active Directory nemá zabudovaný natívny spôsob vytvárania dynamický bezpečnostné skupiny ktoré sú vyplnené na základe atribútov Active Directory.

Existuje spôsob, ako mať dynamické bezpečnostné skupiny v Active Directory pomocou skriptovaného prístupu? Áno, existuje. Pomocou prostredia PowerShell a get-aduser cmdlet a niekoľkých ďalších cmdlet PowerShell súvisiacich so službou Active Directory, môžete v službe Active Directory efektívne vyhľadávať používateľov so špecifickými charakteristikami a potom týchto používateľov pridať alebo odstrániť z konkrétnych skupín.

Na dosiahnutie tohto cieľa môžete vytvoriť vlastné skripty PowerShell. Niekoľko zdrojov vám však môže rýchlo pomôcť pri pridávaní a odstraňovaní používateľov zo skupín zabezpečenia na základe polohy používateľa, atribútov a ďalších funkcií pomocou prispôsobeného skriptu PowerShell.

Zamyslime sa nad prípadom použitia súvisiacim s manažérskym schválením obnovenia hesla. Predpokladajme, že ste chceli udeliť manažérom povolenia na obnovenie hesiel. V takom prípade by ste mohli vykonať nejaké skriptovanie PowerShell v spojení so sprievodcom delegovaním a mať automatizovaný proces na pridávanie a odstraňovanie manažérov zo služby Active Directory do skupiny nakonfigurovanej na obnovenie hesla.

Všimnite si na to nasledujúce zdroje prostredia PowerShell:

Nižšie je uvedený príklad založený na Windows OSHub kód, ako by ste mohli použiť PowerShell a vyhľadať „Manager“ v titul atribút.

Môžete naplánovať spustenie vyššie uvedeného skriptu PowerShell v naplánovaných intervaloch s naplánovanou úlohou na dynamické pridávanie alebo odstraňovanie používateľov zo skupiny delegovaných povolení na obnovenie hesla.

Specops uReset – Lepší prístup k schvaľovaniu manažérov na obnovenie hesla

Softvér Specops poskytuje oveľa lepší automatizovaný prístup, ktorý umožňuje manažérovi schvaľovať obnovenie hesla. Specops uReset je plne vybavené riešenie samoobslužného resetovania hesla (SSPR), ktoré umožňuje koncovým používateľom bezpečne resetovať svoje heslá.

Tiež s Specops uReset môžete pridať schopnosť pre Identifikácia manažéra. Keď sa používateľ overí pomocou identifikácie manažéra, žiadosť o overenie sa odošle jeho manažérovi vo forme textovej správy alebo e-mailovej komunikácie. Manažér používateľa potom musí potvrdiť identitu používateľa na schválenie žiadosti o obnovenie hesla.

Dramaticky zvyšuje bezpečnosť funkcie obnovenia hesla, pretože sú zapojené dve osoby. Pomáha tiež poskytnúť pracovný tok riadenia zmien pre požiadavky na obnovenie hesla a audit trail.

Spoločnosť Specops vyžaduje dve požiadavky, aby mohla používať schválenie manažéra:

  • Každý používateľský účet musí mať priradeného manažéra v Active Directory.
  • Každý účet správcu musí mať k svojmu účtu v Active Directory priradenú e-mailovú adresu/číslo mobilného telefónu, aby mohol od používateľov prijímať žiadosti o overenie.

Ak chcete priradiť manažéra pomocou PowerShell všetkým členom skupiny Active Directory, môžete použiť nasledujúci kód Powershell.

get-aduser -filter “department -eq ‘Accounting’ -AND samaccountname | set-aduser -manager jdoe

V administrácii Specops uReset Služby identity konfiguráciu, môžete konfigurovať Identifikácia manažéra. Môžete si vybrať medzi e-mailovými a textovými upozorneniami.

Konfigurácia identifikácie manažéra v Specops uReset

Zabaliť sa

Zabezpečenie obnovenia hesla je kritickou oblasťou zabezpečenia, ktorú musia organizácie riešiť pri zabezpečení účtov vzdialených koncových používateľov. Aj keď môžete použiť skriptovaný prístup PowerShell na vytvorenie dynamických skupín zabezpečenia služby Active Directory, jeho údržba môže byť problematická a nie je veľmi dobre škálovateľná.

Specops uReset poskytuje jednoduchý spôsob implementácie samoobslužného resetovania hesla (SSPR) s dodatočnými bezpečnostnými kontrolami, ako je schválenie manažérom. Pomocou Specops uReset môžu podniky jednoducho vyžadovať, aby manažéri schválili žiadosti o obnovenie hesla pre koncových používateľov.

Získajte viac informácií o samoobslužnom resetovaní hesla Specops uReset s funkciami schvaľovania manažérom.