I sette problemi principali di Active Directory

Microsoft Active Directory (AD) è una soluzione affidabile e scalabile per la gestione di utenti, risorse e autenticazione in un ambiente Windows. Tuttavia, come qualsiasi strumento software, presenta delle limitazioni che possono essere difficili da superare. Ecco le sette principali sfide legate ad Active Directory e alcune opzioni per affrontarle:

Sfida #1. Active Directory dipende da Windows Server.

Anche se Active Directory è conforme al protocollo Lightweight Directory Access Protocol (LDAP), ci sono molte migliorie, estensioni e interpretazioni della specifica LDAP. I fornitori di software a volte scelgono di implementare aspetti facoltativi di LDAP che non sono supportati da Active Directory, quindi utilizzare i loro prodotti in un ambiente AD è difficile. Ad esempio, è tecnicamente possibile implementare Kerberos su Unix e poi stabilire trust con Active Directory, ma il processo è difficile e gli errori sono frequenti. Di conseguenza, molte organizzazioni si sentono costrette a limitarsi ai sistemi basati su Windows.

Sfida #2. Costi elevati di licenza e manutenzione.

Microsoft utilizza licenze di accesso client (CAL) per il sistema operativo Windows Server che sta alla base di Active Directory. A partire da Windows Server 2016, Microsoft è passata alla licenza per core: il prezzo ora parte da $6,156 per server con due processori da otto core ciascuno; il costo raddoppia se si utilizzano processori con 16 core. Questo può essere difficile da accettare, specialmente considerando che Open LDAP e ApacheDS sono entrambi gratuiti.

Sfida #3. Logging e auditing scomodi.

Molte cose in Active Directory richiedono una registrazione, monitoraggio e analisi adeguati. Ad esempio, è necessario essere in grado di tenere sotto controllo errori critici e modifiche agli oggetti AD e Group Policy, poiché possono influenzare sia le prestazioni che la sicurezza. Ma i log di AD sono molto tecnici e trovare i dati necessari richiede una ricerca e un filtraggio manuali noiosi o competenze avanzate di scripting PowerShell. Allo stesso modo, l'allerta e la generazione di report sono possibili solo attraverso una combinazione di complicati script PowerShell e Task Scheduler. Ogni registro eventi è limitato a 4GB, il che può portare a una rapida sovrascrittura del log e alla perdita di eventi importanti. Infine, il motore di ricerca PowerShell è obsoleto quindi le sue prestazioni sono scarse; per esempio, ogni volta che si leggono record filtrati per tempo, legge l'intero registro eventi sequenzialmente, record per record, fino a trovare il record richiesto. Questo costringe le aziende ad integrare SIEM e Active Directory auditing solutions per facilitare i processi di archiviazione e analisi dei log, spendendo soldi per cose che avrebbero potuto essere incluse in AD per progettazione.

Sfida #4. I crash di AD portano a inattività della rete.

Quando il tuo AD è offline, riscontrerai i seguenti problemi:

• Gli utenti verranno disconnessi dalle condivisioni di file non appena la loro sessione di autenticazione scadrà, di solito entro poche ore.
• Il software o l'hardware che si basa sull'autenticazione di Active Directory (come i siti IIS e i server VPN) non permetterà agli utenti di accedere. A seconda della configurazione, disconnetterà immediatamente gli utenti attuali oppure manterrà le sessioni esistenti fino al logout.
• Gli utenti saranno in grado di accedere ai computer che hanno utilizzato di recente, poiché avranno una password memorizzata nella cache o un biglietto di autenticazione. Tuttavia, chiunque non abbia mai usato un determinato PC prima, o lo abbia usato molto tempo fa, non sarà in grado di accedere fino a quando la connessione con il DC non sarà ripristinata. Alla fine, nessuno sarà in grado di accedere con un account di dominio, perché le autenticazioni memorizzate nella cache scadranno entro poche ore.
• I server Active Directory spesso svolgono il ruolo di server DNS e DHCP. In tal caso, mentre AD è offline, i computer avranno difficoltà ad accedere a Internet e persino alla rete locale stessa.

Per evitare questi problemi, le migliori pratiche consigliano di avere almeno due DC di Active Directory con failover attivo. In questo modo, se uno si guasta, è possibile reinstallare Windows Server, configurarlo come nuovo DC in un dominio esistente e replicare tutto indietro, senza alcun tempo di inattività. Tuttavia, questo comporta spese aggiuntive sia per l'hardware che per le licenze di AD.

Sfida #5. AD è soggetto a rischio di hacking.

Poiché Active Directory è il servizio di directory più popolare, esistono numerose tecniche e strategie per hackerarlo. Dato che non può essere posizionato in una DMZ, il server AD di solito ha una connessione internet, il che offre agli attaccanti l'opportunità di accedere da remoto alle chiavi del tuo regno. Una particolare debolezza è che Active Directory utilizza il protocollo di autenticazione Kerberos con un'architettura crittografica simmetrica; Microsoft ha già corretto molte delle sue vulnerabilità, ma continuano a essere scoperte e sfruttate nuove.

Sfida #6. AD manca di capacità di gestione GUI.

Microsoft include diversi strumenti insieme ad AD, come ad esempio Active Directory Users and Computers (ADUC) e Group Policy Management Console (GPMC), per aiutare le organizzazioni a gestire i dati e le politiche all’interno della directory, ma questi strumenti sono piuttosto limitati. Ad esempio, l’inserimento massivo dei parametri degli oggetti richiede l’uso di script PowerShell; non esistono funzioni di avviso; e la reportistica è limitata all’esportazione in un file .txt. AD delegation le funzionalità sono anch’esse limitate, quindi le organizzazioni spesso ricorrono alla suddivisione dei domini per creare confini di accesso amministrativo, il che genera un’infrastruttura di directory difficile da gestire. Per aggirare questi problemi, le organizzazioni utilizzano spesso soluzioni di terze parti che consentono di gestire AD in blocco e di controllare chi può amministrare cosa, in modo più granulare rispetto agli strumenti nativi AD tools. Questo offre un controllo migliore sulla gestione delle identità, dell’accesso agli oggetti e degli account. Third- party AD management tools di terze parti possono automatizzare le operazioni relative alla creazione, rimozione e modifica di account, gruppi e Criteri di gruppo, oltre ad aiutare nelle indagini sui blocchi degli account.

Sfida #7. AD non offre un portale self-service per gli utenti finali.

Spesso è logico permettere agli utenti di eseguire determinate azioni da soli, come modificare i propri profili e reimpostare le password se le dimenticano. Tuttavia, Active Directory richiede l'accesso amministrativo per queste operazioni, quindi i dipendenti sono costretti a chiamare il help desk IT per risolvere i loro piccoli problemi, il che ritarda i flussi di lavoro aziendali e aumenta i costi del helpdesk. Tutti questi problemi possono essere risolti tramite ulteriori strumenti di gestione self-service, ma questo rappresenta un'altra voce di spesa, oltre a ciò che è già stato pagato per AD.

Active Directory è uno strumento fantastico e continua a evolversi, sebbene lentamente. Se desideri integrare Active Directory nel tuo ambiente, sappi che spenderai una grossa parte del tuo budget per esso, e ancora di più se vuoi una migliore funzionalità di gestione e reportistica di AD. Ovviamente, gli amministratori di sistema possono scrivere script o programmi personalizzati per ovviare alle carenze degli strumenti nativi e automatizzare e migliorare la gestione di AD utilizzando interfacce di scripting e framework forniti da Microsoft o altre parti. Tuttavia, ci vogliono competenze avanzate e una discreta quantità di tempo per scrivere, mantenere ed eseguire gli script, e per lavorare attraverso il loro output per ottenere informazioni utilizzabili, il che può portare a una risposta ritardata a gravi problemi di sicurezza. E ovviamente sei ancora soggetto a limitazioni di base di AD come la sovrascrittura dei file di log e la mancanza di delega. Turnover.

Di conseguenza, molte organizzazioni si rivolgono a soluzioni di terze parti che migliorano e automatizzano l'auditing, la gestione e la generazione di report di AD. Cerca una soluzione che offra visibilità su tutta l'infrastruttura, inclusi non solo AD ma anche Exchange, i server dei file e SharePoint, e che si integri anche con i SIEM e i sistemi Unix e Linux. Assicurati che ti permetta di controllare chi può amministrare cosa in modo più granulare rispetto agli strumenti nativi di AD, e che automatizzi le operazioni relative alla creazione, rimozione, modifica di account, gruppi e Group Policy. Aggiungi punti bonus se la soluzione offre capacità di self-service. E naturalmente assicurati che possa catturare e conservare una traccia di audit completa per anni per supportare le indagini di sicurezza e conformarsi ai requisiti normativi.