Active Directory (AD) 可帮助 IT 管理员分层存储组织的资源,包括用户、组以及计算机和打印机等设备,这有助于管理员集中创建基于帐户和组的规则,并通过创建不合规的自动日志来强制执行和确保合规性。
不时清理AD是保持其安全和清洁的典型特征,由于组织是动态实体,因此定期扫描已离职或更改职责的员工的帐户以消除目录中的多余足迹非常重要,这些帐户构成了安全风险,因为黑客可能会利用它们渗透到网络中。
通过定期清理 AD 可以避免这种情况和类似情况,这包括查看访问权限、帐户和组以撤消访问权限、禁用旧的或不活跃的帐户和组,以及监视相对较新的帐户的活动,删除非活动帐户可以节省维护它们所花费的时间,并减少查找活动帐户所需的时间,从而使目录有效运行。
AD 清理:定期分析账户
保持干净的AD的第一步是定期检查它,在开始审查之前,最好列出活动用户帐户。这将有助于将活动帐户映射到员工 ID,确保可以快速将帐户和组识别为非活动、未使用和重复帐户。这些易受攻击的帐户很容易成为威胁参与者的目标。
- 删除已禁用的帐户
- 删除不活跃、未使用和重复的帐户
- 监控新帐户的创建
- 对密码过期的帐户执行操作
- 管理组
删除已禁用的帐户
IT 管理员通常选择禁用临时休假或长假员工的用户帐户。在选择删除这些帐户之前,他们还会备份这些帐户中的凭据和数据。攻击者可能会使用这些禁用的帐户入侵网络并获取对关键资源的访问权限。因此,应定期检查和定期监控这些被禁用的帐户是否有任何活动,并在必要时将其删除。审计员或第三方供应商等用户需要一个临时帐户,该帐户将在以后删除。建立定期查看这些帐户的策略有助于管理和删除此类临时帐户。
删除不活跃、未使用和重复的帐户
尽管 IT 团队在员工离开组织时禁用和删除了员工的用户帐户,但不时查找未使用的帐户非常重要,最佳做法是先备份数据,某些帐户在未使用的情况下创建和放弃,但可以通过评估上次登录时间戳来检测这些帐户。通常,