تشكل الحسابات المميزة مخاطر إضافية على Active Directory الخاص بك ,هناك بعض الحسابات التي تم تمييزها على أنها ذات امتيازات في أي مؤسسة. تختلف هذه الحسابات المميزة عن حسابات المستخدمين التقليدية في أنها تتمتع بالقدرة على إجراء أنشطة لا يستطيع المستخدمون العاديون القيام بها. اعتمادًا على طبيعة الحساب ، قد تتراوح الإجراءات من إنشاء حسابات مستخدمين جديدة إلى إيقاف تشغيل الخدمات ذات المهام الحرجة.
الحسابات المميزة هي أدوات حاسمة. لن يتمكن فريق تكنولوجيا المعلومات من العمل بدون هذه الحسابات. في الوقت نفسه ، يمكن للحسابات المميزة أن تعرض مخاطر أمنية جسيمة للأعمال التجارية.
الحساب المميز يشكل خطرا إضافيا.
ضع في اعتبارك إمكانية حصول المتسلل على كلمة مرور عادية للمستخدم ويمكنه تسجيل الدخول باسم هذا المستخدم. حتى إذا كان المخترق لديه إمكانية الوصول إلى بعض الموارد في تلك اللحظة ، فإنها مقيدة بحقوق المستخدم (أو عدم وجودها). بمعنى آخر ، سيكون المخترق قادرًا على تصفح الإنترنت ، وتشغيل بعض التطبيقات ، وقراءة البريد الإلكتروني للمستخدم ، ولكن هذا سيكون.
من الواضح أن حساب المستخدم المخترق يمثل مشكلة رئيسية ، ولكن هناك حدًا لما يمكن أن يفعله المتسلل بهذا الحساب. ومع ذلك ، لا يمكن ذكر ذلك في حالة حصول المتسلل على حق الوصول إلى حساب مميز. يتحكم المتسلل الذي لديه حق الوصول إلى حساب ذي امتيازات في جهاز كمبيوتر الضحية.
هذا يخلق معضلة للأفراد المسؤولين عن تأمين موارد تكنولوجيا المعلومات للمؤسسة. من ناحية أخرى ، فإن حسابات الامتياز مطلوبة للقيام بالمهام الإدارية اليومية. من ناحية أخرى ، تشكل هذه الروايات المتشابهة خطرًا وجوديًا على أمن المنظمة.
التخلص من الحسابات المميزة في عملك
تسعى المؤسسات جاهدة للتخفيف من المخاطر المرتبطة بالحسابات المميزة من خلال تطبيق أمان الثقة الصفري. يؤكد مفهوم أمان الثقة الصفرية أنه لا ينبغي الوثوق بأي شيء على الشبكة حتى يتم إثبات أنه جدير بالثقة.
تتوافق هذه الفكرة أيضًا مع فلسفة أخرى لتكنولوجيا المعلومات تُعرف باسم Least User Access (LUA). يشير LUA إلى مبدأ أن المستخدم يجب أن يكون لديه فقط الحقوق اللازمة لتنفيذ وظيفته. ينطبق هذا المبدأ أيضًا على متخصصي تكنولوجيا المعلومات.
يتم استخدام التحكم في الوصول المستند إلى الدور بشكل متكرر لتقييد الحسابات ذات الامتيازات لأداء وظيفة واحدة مميزة بدلاً من الوصول الكامل غير المحدود إلى الشركة بأكملها.
خيارات لإدارة الوصول المميز
هناك طريقة أخرى تحد الشركات من خلالها الحسابات المميزة وهي استخدام نظام إدارة الوصول المميز. تهدف إدارة الوصول المميز ، أو PAM كما هو معروف عمومًا ، إلى منع المحتالين من استغلال الحسابات المميزة.
يتم توفير حلول PAM من قبل مجموعة متنوعة من موردي التكنولوجيا ، يعمل كل منهم بطريقة مختلفة نوعًا ما. غالبًا ما تكون الحسابات التي تتمتع بامتيازات عادة محدودة بحيث تعمل مثل حساب مستخدم نموذجي. إذا احتاج المسؤول إلى إجراء عملية ذات امتياز (مهمة تتطلب امتيازات مرتفعة) ، فيجب على المسؤول طلب هذه الحقوق من نظام PAM. نتيجة لذلك ، يُسمح بالوصول المميز ، ولكن لفترة محدودة فقط ولغرض إنجاز المهمة المطلوبة.
على الرغم من أن PAM يحد من الحسابات ذات الامتيازات بطريقة تقلل من احتمالية تعرض هذه الحسابات للاستغلال ، إلا أنه لا يزال من الضروري حماية أي حساب ذي امتياز لمنع اختراقه.
إضافة طبقة أمان إضافية
سواء كنت تتبنى عدم الثقة أو تقلل من احتمالية إساءة استخدام الحسابات المميزة ، فإن مكتب المساعدة الخاص بك هو نقطة نهاية ضعيفة تتطلب طبقة إضافية من الحماية. يعد اعتماد مكتب الخدمات الآمنة Specops ، والذي يهدف إلى منع المتسلل من الاتصال بمكتب الخدمة وطلب إعادة تعيين كلمة المرور على حساب مميز (أو أي حساب آخر) كوسيلة للوصول إلى هذا الحساب ، إحدى الطرق للقيام بذلك.
يمكن للمستخدمين إعادة تعيين كلمات المرور الخاصة بهم في Secure Service Desk ، ولكن إذا اتصلوا بمكتب المساعدة لإعادة تعيين كلمة المرور ، فسيحتاج برنامج Secure Service Desk إلى إثبات هوية المتصل تمامًا قبل السماح بإعادة تعيين كلمة المرور. في الواقع ، حتى اكتمال إجراءات التحقق من الهوية ، لا يمكن لأخصائي مكتب المساعدة تغيير كلمة مرور المتصل.
يرسل أخصائي مكتب المساعدة رمزًا لمرة واحدة إلى جهاز محمول مرتبط بالحساب طوال هذه العملية. عندما يتلقى المتصل هذا الرمز ، فإنه يقرأه إلى فني مكتب المساعدة ، الذي يضعه في النظام. إذا كان الرمز دقيقًا ، يتم منح الفني الفرصة لإعادة تعيين كلمة المرور للحساب.
ومن الجدير بالذكر أيضًا أن Specops Secure Service Desk يرتبط تمامًا بجهود عدم الثقة ، حيث يُنظر إلى المتصلين بمكتب المساعدة الذين يطلبون إعادة تعيين كلمة المرور على أنهم غير جديرين بالثقة حتى يتم تحديد هويتهم. يمكنك تجربة مكتب الخدمات الآمنة Specops في Active Directory مجانًا هنا.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. تشكل الحسابات المميزة مخاطر إضافية على Active Directory الخاص بك