Provjeravate li neaktivne korisničke račune u Active Directory-ju?
Active Directory je još uvijek ključni element infrastrukture IT sustava većine organizacija. To je imenička usluga koja pruža mehanizme provjere autentičnosti i autorizacije za sve zaposlenike.
Međutim, često zanemaren aspekt administracije Active Directoryja je redovita provjera ovlaštenja korisničkih računa kako bi se otkrili neaktivni računi. Upravo ti računi često povećavaju površinu napada i zlonamjerni akteri ih mogu koristiti za infiltraciju u mreže.
Tijekom vremena količina neaktivnih ili zastarjelih računa raste. Stoga nije ni čudo što Microsoft navodi da je više od 10% korisničkih računa u Active Directoryju otkriveno kao neaktivno, na temelju korisnikove posljednje promjene lozinke ili zadnje prijave. Zastarjeli korisnički računi u Active Directoryju predstavljaju značajan sigurnosni rizik ne samo zbog vanjskih prijetnji, već i zbog rizika od zlouporabe pristupa od strane bivših zaposlenika.
Svaki korisnički račun sadrži atribut Active Directory PasswordLastSet, koji bilježi zadnji put kada je korisnik promijenio lozinku. Međutim, ovaj atribut nije dovoljan da se utvrdi koji je korisnički račun doista neaktivan, posebno zato što se redovito resetiranje lozinke sada smatra zastarjelom praksom vrlo niske vrijednosti. Još davne 2003. Microsoft je uveo novi atribut LastLogonTimeStamp, koji se replicira kroz sve domenske kontrolere svaki put kada se vrijednost atributa ažurira (iako ne odmah kada se netko prijavi u sustav).
LastLogonTimeStamp je stoga standard za provjeru zastarjelih računa u Active Directory-u. Da biste ih pronašli, jedan pristup je korištenje Powershell skripte koja se periodički izvršava (scheduled task), te ispisuje neaktivne račune:
$d = [DateTime]::Today.AddDays(-180)
Get-ADUser -Filter '(LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}
U gornjem primjeru, skripta provjerava račune koji nisu imali nijedan događaj prijave u zadnjih 180 dana.
Nažalost, Microsoft Active Directory ne pruža niti izlaže funkcionalnost za automatsko izvođenje ovakvih kritičnih provjera, tako da je na svakoj organizaciji da ima dobar postupak offboardinga zaposlenika, ali i da putem ovakve skripte ili sličnih mehanizama redovito potvrđuje koristi li se svaki račun u AD-u.
Više informacija potražite u Microsoftovim vodiču na ovu temu.