Quasi tutte le organizzazioni di medie e grandi dimensioni soffrono di un’espansione incontrollata degli account. La distinzione fra account “utente” e “di servizio” è essenziale perché la proliferazione non gestita causa un aumento della superficie di attacco sia delle utenze “standard” che di quelle legate ad account privilegiati.
In generale, la gestione delle identità secondo buone prassi è necessaria in tutti gli ambienti e sistemi: AWS e G-Suite, ma in Active Directory questo problema è critico perché si assiste a “foreste” di account cresciute a un livello tale che gli account non possono più essere gestiti manualmente.
Per gli esperti di sicurezza informatica, gli account di servizio possono essere equiparati a una “bomba a orologeria” a causa dei maggiori privilegi di accesso ad essi associati, tuttavia, anche la mancata gestione delle evoluzioni degli account utente costituisce un concreto rischio di security. Il monitoraggio dell’account e i controlli di gestione prevengono attività non autorizzate che possono portare alla perdita dei dati coperti.
Se implementati correttamente, questi controlli consentono ai proprietari e agli amministratori delle risorse di analizzare con precisione chi ha accesso ai dati coperti e di rilevare l’eventuale accesso inappropriato prima che si verifichino eventi di perdita di dati.
Introduzione alla gestione degli account utente con Active Directory
Il sistema di Active Directory (AD) è presente in molte organizzazioni in tutto il mondo per fornire servizi di rete in modo che utenti e computer possano autenticarsi facilmente ed essere autorizzati ad accedere alle risorse di rete o ad accedere ai sistemi Windows. AD consente, inoltre, agli amministratori di sistema e ai team dell’infrastruttura di gestire le reti di computer aziendali. AD, infatti, abilita l’accesso di utenti e di computer a diverse risorse di rete: cassette postali, stampanti, file condivisi, risorse in cloud tramite Single Sign-On.
Active
