Administrators Rights.

Administrators Rights. Limitiamo i danni!

Administrators Rights. Limitiamo i danni!

Se hai una lunga lista di utenti con diritti amministrativi, c’è una buona probabilità che tu abbia offerto un eccessivo numero di privilegi agli account che non ne hanno bisogno. Il personale IT non ha alcun controllo sugli amministratori locali o sui loro desktop. Ciò può portare all’abuso di privilegi, che è una delle principali cause di perdita di dati, minacce interne e tempi di fermo di sistemi e applicazioni essenziali per le operazioni aziendali.

Esistono tre passaggi che è possibile eseguire per gestire il gruppo Administrators locale per fornire maggior sicurezza.

Administrators Rights. Rimuovere il domain user account.

Il primo step per proteggere il gruppo Administrators locale consiste nel rimuovere l’account utente di dominio dal gruppo Administrators locale. Prima di farlo, è necessario considerare l’impatto della rimozione dei privilegi di amministratore da parte dell’utente. Ci possono essere diverse applicazioni aziendali che richiedono i privilegi di amministratore per accedere. Potrebbero inoltre esserci attività di sistema che l’utente non può eseguire senza i dovuti privilegi. Inoltre, l’utente non sarà in grado di installare applicazioni dato che richiedono i privilegi di amministratore.

La soluzione perfetta è utilizzare le Group Policy Preferences (GPP) per rimuovere gli account utente di dominio. Passare a Configurazione utente> Preferenze> Impostazioni pannello di controllo> Utenti e gruppi locali> Nuovo> Gruppo locale per aprire la finestra di dialogo Proprietà nuovo gruppo locale come illustrato nella figura 1. Selezionando Rimuovi l’utente corrente, è possibile influire su tutti gli account utente che rientrano nell’ambito della gestione dell’oggetto Criteri di gruppo.

Administrators Rights. Aggiungi il Domain Admins global group e il local Administrator account.

La prossima cosa che devi fare è assicurarsi che il Domain Admins global group e l’account Administrator locale siano entrambi aggiunti al gruppo Administrators locale in ogni desktop.

Come fare?

Molte aziende utilizzano le Restricted Group policy per fare ciò. Il problema con questa operazione è che il Restricted Group policy sovrascriverà l’appartenenza al gruppo locale esistente e imposterà l’appartenenza su qualsiasi cosa sia stata configurata per ultima. Ciò significa che quando la policy si aggiorna, l’appartenenza al gruppo locale aderirà a quanto definito nel Gruppo con restrizioni. Idealmente, si sta aderendo a un modello con privilegi minimi e la maggior parte degli utenti non avrà accesso alla gestione del gruppo Administrators locale.

Utilizzando Local Users e Groups policy citati al Passaggio 1, non solo puoi rimuovere l’utente che ha effettuato l’accesso, ma anche aggiungere i due account principali che ti assicureranno di avere i privilegi amministrativi corretti impostati su ciascun desktop come mostrato nella Figura 2

Administrators Rights. Rimuovere account specifici?

Un altro passo importante nella protezione del gruppo Administrators locale è garantire che solo gli account necessari siano membri. Spesso, è possibile che alcuni gruppi siano stati aggiunti dal dominio al gruppo Administrators locale per eseguire attività o completare progetti. Una volta che questi gruppi non sono più necessari nel gruppo Administrators locale, è possibile rimuoverli utilizzando la nuova politica Utenti e gruppi locali.

Nella finestra delle proprietà del nuovo gruppo locale mostrato nella Figura 2, è possibile includere anche gli account nella policy che è necessario rimuovere. Selezionare l’opzione Rimuovi da questo gruppo quando si aggiungono gli account al criterio come mostrato nella Figura 3.

Avrete ora il controllo completo sull’appartenenza al gruppo Administrators locale, garantendo una sicurezza ottimale.

La gestione delle Group Policy utilizzando solo gli strumenti nativi di AD obbliga gli amministratori a destreggiarsi tra più console, operazione banale e che richiede tempo. ADManager Plus è uno strumento di gestione e reporting di Active Directory basato sul Web che consente di gestire gli oggetti Criteri di gruppo (GPO) per più domini in pochi clic. Fornisce inoltre report GPO preconfigurati che recuperano rapidamente le informazioni relative agli oggetti Criteri di gruppo.

Administrators Rights. In sintesi.

I team IT non hanno alcun controllo su un desktop quando l’utente ha privilegi amministrativi locali. Tuttavia, è importante riprendere il controllo dei desktop e proteggere il gruppo Administrators locale, che è possibile realizzare utilizzando le Group Policy Preferences. L’utilizzo degli strumenti nativi forniti da Active Directory è difficile e richiede molto tempo. ADManager Plus di ManageEngine è una soluzione completa che consente di gestire GPO in pochi clic.

Installa e prova subito la versione demo gratuita: https://www.manageengine.it/ad-manager/ Se vuoi avere maggiori informazioni di carattere tecnico o commerciale, puoi contattare gli specialisti Bludis allo 0643230077 o inviare una e-mail a sales@bludis.it

Written by:

Bludis è il distributore ufficiale in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

MODIFICA CONSENSI