پنج چالش اصلی مدیریت اکتیو دایرکتوری

مدیریت اکتیو دایرکتوری AD با چالش‌های فراوانی از جمله گزارش‌گیری و ممیزی، مدیریت و نظارت بر چرخه‌ی ساخت اشیاء اکتیو دایرکتوری، مانیتورینگ و ممیزی تغییرات و … روبه‌روست که در این مقاله به آنها خواهیم پرداخت.

مقدمه

از زمان ظهور اکیتودایرکتوری در ویندوز 2000 تا کنون، این سرویس به منظور مدیریت و امن‌سازی محیط‌های ویندوزی در سازمان‌ها استفاده شده است. هر چه گرایش و وابستگی سازمان‌ها به اکتیودایرکتوری بیشتر می‌شود، نقش اکتیو دایرکتوری به عنوان پایگاه‌ داده‌ای از اطلاعات حساس کاربران و همچنین دروازه‌ای به اطلاعات تجاری و حیاتی سازمان پررنگ‌تر می‌شود. بر این اساس، اکتیودایرکتوری یک سرویس جامع، متمرکز و قابل‌اطمینان را به منظور مدیریت بهتر کاربران، منابع و همچنین مدیریت دسترسی به برنامه‌های کاربردی و سرویس‌ها فراهم می‌کند.

همان‌طور که نقش اکتیو دایرکتوری در سازمان‌ها به طور روزافزونی افزایش می‌یابد، احتیاج به امن‌سازی داده‌هایی که در آن ذخیره می‌شود و داده‌هایی که امکان دسترسی به آنها هست بیشتر می‌شود. متاسفانه، ابزارهای توکار و آماده‌ی ویندوز کنترل بسیار محدود و اندکی را به منظور مدیریت دسترسی‌ها و مجوز‌ها فراهم می‌کنند. این امر مدیریت امن و مطمئن اکتیودایرکتوری را به یک چالش اساسی تبدیل کرده است. علاوه بر آن، ابزارهای ویندوز قابلیت چندانی در تولید گزارشات ندارند که این امر مواردی پرکاربرد (مانند مشاهده‌ی کاربران غیرفعال و …) و همچنین موارد مرتبط با امنیت (مانند بررسی و مشاهده‌ی فعالیت کاربران) را بسیار دشوار و حتی در مواردی ناممکن می‌سازد. در نتیجه، سازمان‌ها ناچار به استفاده از ابزارهای کمکی مانند نرم افزار مدیریت اکتیو دایرکتوری برنا، به منظور گزارش‌گیری از اکتیودایرکتوری، آسان‌سازی امور مدیریتی و … هستند که این امر همزمان موجب افزایش دسترس‌پذیری و امنیت سیستم‌ها خواهد شد.

اکتیودایرکتوری، به عنوان یک بخش مهم و اساسی از زیرساخت IT، باید به صورت حساب‌شده و دقیق مدیریت شود، که این امر شامل کنترل، امن‌سازی و ممیزی (Audit) می‌شود. با این حال، ابزارهای توکار و پیش‌فرض ویندوز امکانات کافی برای مدیریت و نظارت بر همه‌ی جنبه‌های اکتیو دایرکتوری را فراهم نمی‌کنند. در این مقاله ما به بررسی 5 مورد از چالش‌ برانگیزترین موارد مدیریتی در اکتیو دایرکتوری می‌پردازیم.

گزارش‌گیری و ممیزی بر اساس استانداردها (Compliance Audit)

به منظور برآورده کردن نیازمندی‌های ممیزی، سازمان‌ها باید بتوانند کنترل دقیقی بر امنیت داده‌های حیاتی و حساس داشته باشند. با این وجود، بدون ابزارهای کمکی، ممیزی و بررسی فعالیت کاربران کاری بسیار پیچیده و زمان‌گیر خواهد بود.

حسابرسان و افراد ذینفع معمولاً درخواست اطلاعات دقیق از فعالیت کاربران دارای مجوز دارند. این سطح از جزئیات و اطلاعات، افراد مسئول و علاقه‌مند را قادر می‌سازد تا مشکلات را عیب‌یابی کرده و اطلاعات لازم برای بهبود کارایی و دسترس‌پذیری اکتیودایرکتوری را بدست آورند.

گزارش‌گیری و اعمال ممیزی در اکتیودایرکتوری همواره امری چالش‌برانگیز بوده است. قبل از ویندوز سرور 2008، هیچ قابلیتی در ویندوز برای گزارش‌گیری (با جزئیات بالا) وجود نداشت. با این حال، نسخه ویندوز سرور 2008 امکانات اندکی به منظور گزارش‌گیری مهیا کرده است. هر چند این رویکرد ضروری و امیدبخش است، این قابلیت هنوز در ویندوز بسیار ابتدایی و ناکافی است و جواب‌گوی چالش‌ها و نیازهای سازمان‌ها نیست.

بنابراین نیاز به استفاده از ابزارهای کمکی به منظور فراهم کردن گزارشات جامع و با جزئیات بالا در سازمان‌ها احساس می‌شود. گزارش‌گیری باید اطلاعاتی مانند تغییراتی که انجام شده است، فردی که تغییرات را انجام داده، زمانی که تغییرات رخ داده است و جایی که در آن تغییرات رخ داده است را در اختیار مدیریان قرار دهد. گزارش‌گیری باید به گونه‌ای باشد که اطلاعات کلی را به صورت چارت‌ها و نمودارهای گرافیکی در اختیار افراد ذینفع قرار دهد و در عین حال امکان استخراج اطلاعات دقیق و ریزشده را برای مدیران IT فراهم آورد.

بدون استفاده از راهکارهایی مانند نرم افزار مدیریت AD برنا، فرایند تهیه گزارش از AD پیچیده و زمان گیر بوده و مستلزم دانش اسکریپت نویسی در محیط PowerShell ویندوز است، در صورتی که با استفاده از برنا به صورت تحت وب در هر زمان دسترسی به گزارش های Active Directory امکان پذیر است.

مهیاسازی و فرآیندهای ایجاد، مدیریت و غیر فعال‌سازی کاربران

اکثر کاربران نیاز دارند تا با مشخصات کاربری خود به سیستم‌ها، منابع و نرم‌افزارهای متفاوتی دسترسی داشته باشند. حتی با وجود سیستم‌های قدرتمند امروزی، کاربران معمولاً باید تا چندین روز صبر کنند تا دسترسی لازم به آنها تخصیص داده شود. این امر طبیعتاً کارایی کارمندان را بسیار پایین می‌آورد.

مهیاسازی و پاکسازی کابران (User provisioning and deprovisioning) در اکتیودایرکتوری اغلب امری دستی و زمان‌گیر است. علاوه بر آن، در سازمان‌های بسیار بزرگ، امور مربوط به تنظیمات دسترسی کاربران بسیار زمان‌گیر است، خصوصاً هنگامی که سازمان با تغییر عمده‌ی پرسنل مواجه است.

در سازمان‌های بزرگ و با ساختار پیچیده، مهیاسازی کاربران ممکن است حتی چندین روز نیز طول بکشد. متاسفانه، هیچ راه‌کار اتوماسیون و سیاست خودکارسازی در اکتیودایرکتوری مهیا نشده است. توجه به این امر نیز ضروری است که انجام دستی این امور طاقت‌فرسا، خطای انسانی را بالا برده و در عین حال هیچ تضمینی وجود ندارد که کاربری دسترسی بیش از حد دریافت نکند. این اشتباهات غیرعمد خود می‌تواند باعت بروز مشکلات جدی در امنیت سازمان شود.

سازمان‌ها باید به دنبال راهکاری خودکار برای حل این مشکلات باشند. اتوماسیون خودکار اموری از این دست به همراه امکان تایید توسط فرد مسئول باعث کاهش زمان اجرای امور و همچنین کاهش چشم‌گیر بار کاری در مدیریت شبکه می‌شود. لازم به گفتن نیست که خودکارسازی این امور که کاهش تعامل انسانی را در پی خواهد داشت باعث کاهش ریسک‌های امنیتی خواهد شد. همچنین این امر موجب افزایش سرعت حذف مجوزهای کاربران و یا خود کاربران می‌شود که طبیعتاً امنیت سازمان را افزایش خواهد داد.

تفویض (Delegation) قابل‌اطمینان مجوزها

کاهش تعداد کاربرانی که مجوزهای مدیریتی (Administrative Privileges) در اکتیودایرکتوری دارند همواره یکی از چالش‌های اساسی مدیران شبکه بوده است. بسیاری از درخواست‌های کاربران نیاز به تعامل با اکتیودایرکتوری دارند که این در اکثر مواقع منجر به تخصیص مجوز مدیریتی به کارمندان IT یا دیگر بخش‌ها ‌می‌شود که بالقوه خطرات امنیتی به همراه خواهد داشت.

از آنجا که تنها دو سطح دسترسی برای کاربران ادمین وجود دارد (Domain Administrator Access و Enterprise Administrator Access)، این امر کنترل و نظارت بر عملکر آنها را بسیار سخت می‌کند و امکان محدودسازی دسترسی‌ها را فراهم نخواهد کرد. علاوه بر آن، زمانی که یک کاربر مجوز مدیریتی می‌گیرد، دیگر می‌تواند به اطلاعات حیاتی سازمان دسترسی پیدا کند و تغییراتی نامطلوب در اکتیودایرکتوری ایجاد کند. حال اگر این دسترسی به فردی با نیت خرابکارانه داده شود، امنیت کل سازمان به خطر خواهد افتاد.

این امر که یک مدیر شبکه به ناگاه متوجه حضور هزاران کاربر با مجوز دسترسی بیش از نیاز خود شود چندان هم غیرمتداول نیست. هر کاربر با مجوز مازاد، به طور بالقوه می‌تواند خطری برای امنیت سازمان محسوب شود. با در نظر گرفتن ضعف‌های امنیتی خود اکتیودایرکتوری، تصور آنکه یک کاربر با دسترسی مازاد تغییراتی بحرانی در اکتیودایرکتوری ایجاد کند چندان دور از ذهن نیست. در هنگام وقوع چنین مورادی، عیب‌یابی شبکه به یک کابوس تبدیل خواهد شد. همچنین ضعف اساسی ابزارهای اکتیودایرکتوری در فراهم کردن گزارشات و ممیزی، ردیابی و ساخت تصویر کلی از مشکل را تقریبا غیرممکن می‌سازد.

به منظور کاهش ریسک و خطرات امنیتی که به واسطه‌ی وجود کاربران با دسترسی مدیریتی و مازاد رخ می‌دهد، سازمان‌ها باید به دنبال راه حلی برای تفویض اختیارات به صورت محدودشده و قابل‌اطمینان باشند. این امر نه تنها موجب تفکیک وظایف می‌شود، بلکه باعث می‌شود تا سربار کارها و وظایف غیرحیاتی از دوش مدیران و مسئولان IT برداشته شود و به عهده افراد مربوطه قرار گیرد.

برای مثال، ممکن است مدیر شبکه بخواهد تا امکان ریست کردن رمز عبور کاربران به عهده‌ی کارمندی در بخش HR قرار بگیرد تا این درخواست‌ها سریع‌تر انجام شود و مدیران IT را درگیر خود نکند. امکان تفویض اختیار این امکان را به مدیران می‌دهد تا مجوزی مانند ریست کردن پسورد به فردی تخصیص داده شود در حالی که هیچ مجوز دیگر و مازادی به آن اختصاص نیابد.

مانیتورینگ و ممیزی تغییرات

به منظور فراهم آوردن محیطی امن و فرمان‌پذیر که در آن کاربران از محدوده‌ی دسترسی و مجوزهای خود فراتر نمی‌روند، کلیه‌ی تغییرات باید مدیریت و نظارت شود تا فعالیت‌ها وتغییرات غیرمجاز که تاثیر منفی بر سازمان دارند سریعاً شناسایی شوند. از این رو ممیزی و مانیتورینگ، یک فرایند ضروری و مهم در تشخیص و محدودسازی تغییرات غیرمجاز در اکتیودایرکتوری به شمار می‌رود.

ابزارهای توکار اکتیودایرکتوری امکان تعقیب، ممیزی، گزارش‌گیری و تولید پیغام هشدار برای تغییرات مهم را ندارند. علاوه بر آن، ممیزی و گزارش‌گیری بلادرنگ از تغییرات پیکربندی اکتیو دایرکتوری (مانند تغییرات GPOها)، تغییرات اعمال روزانه و تغییرات حیاتی گروه‌ها در این ابزارها وجود ندارد. این امر موجب افزایش تاثیر ریسک‌های امنیتی می‌شود-زیرا زمانی که اتفاق بیافتند، کاهش و محدود کردن تاثیرات منفی و نامطلوب آن تنها به توانایی فردی شما در تشخیص و عیب‌یابی آنها بستگی خواهد داشت و خود اکتیودایرکتوری چندان کمکی به شما نخواهد کرد.

توجه داشته باشید که تغییری که در اکتیودایرکتوری رخ می‌دهد و تشخیص داده نمی‌شود، می‌تواند تاثیرات شدیداً مخربی داشته باشد. برای مثال، اگر فردی بتواند سطح دسترسی خود را افزایش داده و بتواند هویت کاربری خود را تغییر دهد گویی که یک فرد ارشد در دپارتمان مالی است، می‌تواند به منابع مالی سازمان دست پیدا کند. در صورت پنهان ماندن این موضوع در اکتیودایرکتوری، حتی ممکن است تا مدت‌ها چنین عمل غیرقانونی نمایان نشود.

برای کاهش ریسک‌هایی از این نوع، یک سازمان باید به دنبال راه‌حلی باشد که مونیتورینگ تغییرات را به صورت جامع پشتیبانی کند. این نرم‌افزار همچنین باید امکان تشخیص تغییرات به صورت بلادرنگ، آگاه‌سازی هوشنمد، ممیزی متمرکز و گزارش‌گیری با جزئیات بالا را پشتیبانی کند. یک ابزار با چنین قابلیت‌هایی امکان تشخیص سریع تغییرات غیرمجاز، شناسایی عامل آن و حل بهینه و کارامد آن را برای مدیران فراهم خواهد کرد قبل از آنکه اثرات منفی بر روی سازمان بگذارد.

حفظ جامعیت (Integrity) داده‌ها از طریق مدیریت اکتیو دایرکتوری

اغلب سازمان‌ها توجه خاصی به داده‌هایی که در اکتیودایرکتوری ذخیره می‌شوند دارند تا از برآورده شدن نیاز‌هایشان اطمینان یابند، خصوصاً اگر نرم‌افزارهای دیگری از این اطلاعات استفاده می‌کنند.

یکی از نکات بسیار مهم در جامعیت داده‌ها، کامل بودن اطلاعات است. برای مثال، اگر کاربری به یک دپارتمان جدید در شهری دیگر انتقال یابد، سیستم HR سازمان باید به گونه‌‌ای بروز رسانی شود تا مشخصات و اطلاعت جدید جایگزین اطلاعات قبلی شوند. اما اگر مدیر شبکه اقدام به به‌روزرسانی این اطلاعات نکند، سیستم HR از عدم تغییر این اطلاعات آگاهی نخواهد یافت. برای مثال ممکن است این سیستم از آدرس یا کد پستی برای ارسال فیش‌ها حقوقی استفاده نماید. اکتیودایرکتوری هیچ کنترل و نظارتی بر روی داده‌هایی در آن وارد می‌شود ندارد و مدیر شبکه می‌تواند داده‌ها را در هر قالب دلخواه وارد کند و یا فیلدهایی را خالی بگذارد.

به منظور حصول اطمینان از داده‌های ذخیره شده در اکتیودایرکتوری، سازمان‌ها باید از یک راه‌حل جامع که هم امکان تعیین قالب ورود داده‌ها را به کاربران می‌دهد و هم کامل بودن داده‌ها را بررسی می‌کند استفاده کنند. با استفاده از چنین قابلیت‌هایی، شما می‌توانید از آلودگی و بی‌نظمی اطلاعات جلوگیری کرده و از یکنواختی (Uniformity) و کامل بودن اطلاعات خود اطمینان حاصل کنید.

در نرم افزار مدیریت AD برنا، امکان بسیار مفیدی با عنوان “الگو های ایجاد کاربر” وجود دارد که با استفاده از آن می توان فیلد های ضروری و مقادیر و تنظیمات پیش فرض ایجاد کاربر جدید در دامین را تعیین نمود. به این روش فرآیند ایجاد و مهیا سازی دسترسی های کاربران به شکلی استاندارد و مطابق با نیاز های سازمان انجام خواهد شد.

نتیجه‌گیری

مدت‌ها است که اکتیو دایرکتوری به عنوان یکی از اجزاء جدایی‌ناپذیر زیرساخت IT سازمان‌ها شناخته می‌شود. از این رو، کنترل و نظارت دقیق و قابل ‌اطمینان و همچنین محافظت و استفاده ایمن از آن از اهمیت بالایی برخوردار است. برای بسیاری از سازمان‌ها، اطلاعات موجود در اکتیودایرکتوری به همان ‌اندازه یا بیشتر از اطلاعات حساب بانکی و اطلاعات شخصی افراد اهمیت دارد که این نیازمند مدیریت و نظارت دقیق آن است.

از آنجایی که ابزارهای پیش‌فرض و توکار ویندوز امکان مدیریت منظم و امن اکتیو دایرکتوری را فراهم نمی‌کنند، سازمان‌ها باید به دنبال یک راه‌حل جامع، قابل‌اطمینان و بهینه به منظور برطرف کردن چالشه‌های ذکر شده باشند. این راه‌حل باید در عین حال که امینت اکتیودایرکتوری را تضمین می‌کند، کارامد و ساده باشد تا خود به سرباری برای مدیران تبدیل نشود.

در این مقاله، 5 چالش اصلی مدیریت اکتیو دایرکتوری مورد بررسی قرار گرفتند. داناپرداز با معرفی محصول مدیریت اکتیودایرکتوری خود، برنا، امکان مقابله با چالش‌های فوق را به صورت ایمن و بهینه فراهم کرده است. برنا همچنین هزینه و پیچیدگی‌های مربوط به مدیریت اکتیو دایرکتوری را به طور چشم‌گیری کاهش می‌دهد.

سوالات متداول

1. چالش های مدیریت اکتیو دایرکتوری چیست؟
   گزارش‌گیری و ممیزی بر اساس استانداردها – مهیاسازی و فرآیندهای ایجاد، مدیریت و غیر فعال‌سازی کاربران – تفویض (Delegation) قابل‌اطمینان مجوزها و …. .
2. گزارش‌گیری و ممیزی بر اساس استانداردها چیست؟
   به منظور برآورده کردن نیازمندی‌های ممیزی، سازمان‌ها باید بتوانند کنترل دقیقی بر امنیت داده‌های حیاتی و حساس داشته باشند. با این وجود، بدون ابزارهای کمکی، ممیزی و بررسی فعالیت کاربران کاری بسیار پیچیده و زمان‌گیر خواهد بود.