Sete principais problemas do Active Directory

Microsoft Active Directory (AD) é uma solução confiável e escalável para gerenciar usuários, recursos e autenticação em um ambiente Windows. No entanto, como qualquer ferramenta de software, possui limitações que podem ser difíceis de superar. Aqui estão os sete principais desafios com o Active Directory e algumas opções para abordá-los:

Desafio #1. O Active Directory depende do Windows Server.

Embora o Active Directory seja compatível com o Lightweight Directory Access Protocol (LDAP), existem muitos aprimoramentos, extensões e interpretações da especificação LDAP. Os fornecedores de software às vezes optam por implementar aspectos opcionais do LDAP que não são suportados pelo Active Directory, tornando o uso de seus produtos em um ambiente AD difícil. Por exemplo, é tecnicamente possível implementar Kerberos em Unix e, em seguida, estabelecer confianças com o Active Directory, mas o processo é complicado e erros são frequentes. Como resultado, muitas organizações se sentem obrigadas a se limitar a sistemas baseados em Windows.

Desafio #2. Custos elevados de licença e manutenção.

A Microsoft utiliza licenças de acesso para clientes (CALs) para o sistema operacional Windows Server que está na base do Active Directory. Desde o Windows Server 2016, a Microsoft passou para a licença por núcleo: os preços começam agora em $6,156 para servidores com dois processadores de oito núcleos cada; o custo dobra se você usar processadores com 16 núcleos. Isso pode ser difícil de aceitar, especialmente considerando que o Open LDAP e o ApacheDS são ambos gratuitos.

Desafio #3. Registros e auditorias inconvenientes.

Muitas coisas no Active Directory precisam de um registro, monitoramento e análise adequados. Por exemplo, você precisa ser capaz de se manter informado sobre erros críticos e mudanças nos objetos do AD e Group Policy, pois eles podem afetar tanto o desempenho quanto a segurança. Mas os registros do AD são muito técnicos por natureza, e encontrar os dados necessários exige uma busca e filtragem manual tediosa ou habilidades avançadas de script em PowerShell. Da mesma forma, o alerta e o relatório só são possíveis por meio de uma combinação de scripts complicados do PowerShell e do Agendador de Tarefas. Cada registro de evento é limitado a 4GB, o que pode levar a uma rápida substituição do log e perda de eventos importantes. Finalmente, o motor de busca do PowerShell está desatualizado, então seu desempenho é fraco; por exemplo, toda vez que você lê registros filtrados por tempo, ele lê o registro de eventos inteiro sequencialmente, registro por registro, até encontrar o registro que você solicitou. Isso obriga as empresas a integrar SIEM e Active Directory auditing solutions para facilitar os processos de armazenamento e análise de logs, gastando dinheiro em coisas que poderiam ter sido incluídas no AD por design.

Desafio #4. Quedas do AD levam a inatividade da rede.

Quando seu AD estiver offline, você enfrentará os seguintes problemas:

• Os usuários serão desconectados dos compartilhamentos de arquivos assim que a sessão de autenticação expirar, geralmente dentro de algumas horas.
• Softwares ou hardwares que dependem da autenticação do Active Directory (como sites IIS e servidores VPN) não permitirão que as pessoas façam login. Dependendo da configuração, ou expulsará imediatamente os usuários atuais ou manterá as sessões existentes até o logout.
• Os usuários poderão fazer login nos computadores que usaram recentemente, pois terão uma senha armazenada em cache ou um bilhete de autenticação. No entanto, qualquer pessoa que não tenha usado um determinado PC antes, ou que o tenha usado há muito tempo, não poderá fazer login até que a conexão com o DC seja restaurada. Eventualmente, ninguém poderá fazer login com uma conta de domínio, porque as autenticações armazenadas em cache expirarão em algumas horas.
• Os servidores de Active Directory frequentemente desempenham o papel de servidores DNS e DHCP. Nesse caso, enquanto o AD estiver offline, os computadores terão dificuldades para acessar a internet e até mesmo a própria rede local.

Para evitar esses problemas, as melhores práticas recomendam ter pelo menos dois DCs do Active Directory com failover configurado. Assim, se um falhar, você pode simplesmente reinstalar o Windows Server nele, configurá-lo como um novo DC em um domínio existente e replicar tudo de volta, sem nenhum tempo de inatividade. No entanto, isso implica em despesas extras tanto para o hardware quanto para a licença do AD.

Desafio #5. AD está suscetível a ser hackeado.

Porque o Active Directory é o serviço de diretório mais popular, existem muitas técnicas e estratégias para hackeá-lo. Uma vez que não pode ser localizado em uma DMZ, o servidor AD geralmente tem uma conexão com a internet, o que dá aos atacantes a oportunidade de obter as chaves do seu reino remotamente. Uma fraqueza particular é que o Active Directory utiliza o protocolo de autenticação Kerberos com arquitetura de criptografia simétrica; a Microsoft já corrigiu muitas de suas vulnerabilidades, mas novas continuam sendo descobertas e exploradas.

Desafio #6. O AD carece de capacidades de gestão GUI.

A Microsoft agrupa várias utilidades com o AD, como Active Directory Users and Computers (ADUC) e Group Policy Management Console (GPMC), para ajudar as organizações a gerenciar dados e políticas dentro do diretório, mas essas ferramentas são bastante limitadas. Por exemplo, inserir parâmetros de objeto em massa requer script PowerShell; não há alertas; e a geração de relatórios é limitada à exportação para um arquivo .txt. As capacidades de AD delegation também são limitadas, então as organizações frequentemente recorrem à divisão de domínios para criar limites para o acesso administrativo, o que cria uma infraestrutura de diretório que é difícil de gerenciar. Para contornar esses problemas, as organizações frequentemente usam soluções de terceiros que permitem gerenciar o AD em massa e controlar quem pode administrar o quê de uma maneira mais granular do que as ferramentas nativas do AD tools. Isso lhes dá um melhor controle sobre a gestão de acesso de identidade e objeto e gerenciamento de contas. Ferramentas de gerenciamento de AD de Third- party AD management tools podem automatizar operações em torno da criação, remoção, modificação de contas, grupos e Group Policy, bem como ajudar com investigações de bloqueio de conta.

Desafio #7. O AD não oferece um portal de autoatendimento para os usuários finais.

Muitas vezes faz sentido permitir que os usuários realizem certas ações por conta própria, como editar seus próprios perfis e redefinir suas senhas caso as esqueçam. No entanto, o Active Directory exige acesso administrativo para essas operações, então os funcionários são forçados a ligar para o suporte de TI para resolver seus problemas menores, o que atrasa os fluxos de trabalho dos negócios e aumenta os custos do helpdesk. Todos esses problemas podem ser resolvidos por meio de ferramentas adicionais de gerenciamento de autoatendimento, mas isso é mais um item no orçamento, além do que você já pagou pelo AD.

O Active Directory é uma ferramenta excelente e continua evoluindo, embora lentamente. Se você deseja integrar o Active Directory ao seu ambiente, saiba que gastará uma grande parte do seu orçamento nisso, e ainda mais se quiser melhorar a funcionalidade de gerenciamento e relatórios do AD. Obviamente, os administradores de sistema podem escrever scripts ou programas personalizados para contornar as limitações das ferramentas nativas e automatizar e aprimorar o gerenciamento do AD usando interfaces e frameworks de script fornecidos pela Microsoft ou outras partes. No entanto, isso exige habilidades avançadas e uma quantidade considerável de tempo para escrever, manter e executar os scripts, e para trabalhar com a saída deles a fim de obter informações acionáveis, o que pode levar a uma resposta atrasada a problemas de segurança graves. E claro, você ainda está sujeito às limitações básicas do AD, como sobrescrita de arquivos de log e falta de delegação. Rotatividade.

Como resultado, muitas organizações recorrem a soluções de terceiros que melhoram e automatizam a auditoria, gestão e relatórios do AD. Procure uma solução que ofereça visibilidade em toda a sua infraestrutura, incluindo não apenas o AD, mas também o Exchange, servidores de arquivos e SharePoint, e que também se integre com SIEMs e sistemas Unix e Linux. Certifique-se de que ela permite controlar quem pode administrar o quê de maneira mais granular do que as ferramentas nativas do AD, e que automatize operações relacionadas à criação, remoção e modificação de contas, grupos e Política de Grupo. Ganha pontos extras se a solução oferecer capacidades de autoatendimento. E, claro, assegure-se de que ela possa capturar e armazenar um histórico de auditoria completo por anos para apoiar investigações de segurança e cumprir com requisitos regulatórios.