Consulenze tecnologiche e informatiche
Sapere sempre cosa succede in active directory

Sapere sempre cosa succede in active directory

La presenza di un’architettura Microsoft Active Directory fornisce molti vantaggi e automatismi, se configurata e ben usata, oggi vorrei affrontare l’argomento del controllo del database utenti.

Il database utenti è qualcosa che dormicchia sui controllori di dominio e a cui spesso non si pensa, salvo quando ci sono nuovi utenti da creare o vecchi utenti da cancellare.

Tuttavia possono verificarsi diverse situazioni per le quali è bene essere informati, abbiamo la scadenza delle password; il cambio delle password; la creazione di nuovi utenti; utenti che si bloccano; utenti inattivi; utenti scaduti e amministratori che si collegano.

Tutte queste situazioni possono essere controllate attraverso dei componenti e dei monitor Autotask Endpoint Managment (AEM) o pianificati nel server ed in entrambe i casi inviare delle e-mail di notifica ad un amministratore o agli utenti.

In questo contesto propongo dei componenti per il controllo di queste specifiche situazioni.

Mantenere sotto controllo lo stato degli utenti in Active Directory non è un’opzione

 

Perché dei controlli costanti e automatici sui profili

 

In questo caso non stiamo controllando il lavoro degli utenti, lo scopo è verificare che i loro profili siano correttamente operativi e che non ci siano profili sconosciuti e comparsi dal nulla.

Ma da quando i profili si creano da soli?!

In teoria mai, se la sicurezza dei sistemi e della rete è ben gestita non dovrebbe succedere.

Possiamo tuttavia avere server gestiti da diverse entità, che magari non si parlano, o un installatore di passaggio che ottiene dal cliente la password di admin per creare un utente da usare per un nuovo programma.

Mail di notifica di un accesso di amministratore

Mail di notifica di un accesso di amministratore

Oltre al caso peggiore di una vulnerabilità che sfruttata da un malware crea un profilo per farsi gli affari nostri.

Lo stesso installatore di passaggio potrebbe anche insistere nel localizzare la password di un profilo, ritenendo che sia 123456 o qualche variante simile, infilandosi nella policy di blocco del accesso, situazione che potrebbe capitare anche ad un utente.

Esistono poi i profili con la data di scadenza, quelli usati per un’attività temporanea, di cui ci si scorda la scadenza e finiscono bloccati mentre il collaboratore è ancora presente.

Abbiamo poi i collaboratori che si licenziano o vanno in malattia, di cui dovremmo bloccare il profilo, cosa che spesso non si fa. Questi utenti dopo un certo tempo ottengono uno stato di inattivo.

In questo caso la presenza di un controllo che segnala prontamente le varie situazioni può essere di aiuto per svolgere le opportune indagini e interventi.

 

Ti scade la password

 

Con le diverse versioni di sistemi operativi Microsoft attualmente sul mercato non sempre la notifica di scadenza della password è chiaramente visibile, e anche se lo è viene ancora più spesso ignorata fino a quando è troppo tardi.

La situazione è critica per i collaboratori che accedono a strumenti aziendali anche dall’esterno e attraverso dispositivi mobili, se i servizi aziendali usano l’unica password del profilo Active Directory, alla sua scadenza saranno bloccati.

Il collaboratore potrebbe non essere in grado di cambiare la propria password mentre si trova in trasferta a Camberra e dal ufficio nessuno lo può assistere a causa del fuso orario.

Uno specifico componente (messaggio e-mail di scadenza password con autotask) può inviare una mail giornaliera al collaboratore con il conto alla rovescia dei giorni mancanti alla scadenza della password e che prima la cambia meglio è.

Se l’utente va in blocco perché la password non è stata cambiata nonostante gli avvisi?

Non sta a noi correre per la trascuratezza degli altri.

Di questo componente abbiamo già parlato, importante da ricordare sono i suoi requisiti.

  • deve poter comunicare con un server di posta in trust, questo perchè non integra un metodo di autenticazione e criptazione;
  • deve essere presente un domain controller;
  • gli utenti e le postazioni di lavoro devono essere iscritti in active directory;
  • deve esistere la policy di sicurezza delle password, viene usata per ottenere i dati di scadenza;
  • presenza del indirizzo e-mail del utente nel campo mail del profilo active directory, viene usato per spedire gli avvisi;
  • deve essere pianificato poco prima delle 24.
Parametri del componente di avviso di scadenza password

Parametri del componente di avviso di scadenza password

Verificate le condizioni non resta che configurarlo e pianificare l’esecuzione su un controllore di dominio.

  • DomainName– Richiede il nome del dominio locale ed è obbligatorio se il valore di Expire è zero.
  • Expire – Richiede il numero massimo di giorni di validità delle password, se impostato a 0 (zero) interroga il Group Policy (GPO) per determinare autonomamente il valore.
  • Threshold – Richiede i giorni di preavviso per la e-mail di avviso. Il minimo sono tre giorni. La mail viene inviata ogni giorno.
  • From – L’indirizzo e-mail che spedisce il messaggio, deve essere valido ed esistente.
  • SmtpServer – L’indirizzo del server SMTP che gestisce la spedizione.
  • Debug – Impostato a False spedisce la mail all’utente, impostato a True spedisce i messaggi ad uno specifico indirizzo.
  • DebugMail – L’indirizzo e-mail a cui spedire i messaggi durante il Debug.

 

Qualcuno ha cambiato la password

 

Talvolta il cambio della password crea uno stato di agitazione nel utente, che si ripercuote sui passaggi successivi, per questa ragione e per altre è comodo essere informati su chi ha fatto il cambio password.

Si tratta di un monitor che eseguo ogni 30 minuti e che cerca i profili per cui è stata cambiata la password nei 30 minuti precedenti.

Quando ricevo la notifica del cambio password e poco dopo la chiamata da un utente che ha problemi di accesso a qualche cosa, la mia attenzione si sposta prima di tutto sulla sincronizzazione delle credenziali e che stia usando la password corretta nelle varie applicazioni, con un considerevole risparmio di tempo per tutti. Anche perché l’utente non ti dirà mai di aver fatto il cambio password.

Anche questo monitor ha dei requisiti per funzionare.

  • deve poter comunicare con un server di posta in trust, questo perchè non integra un metodo di autenticazione e criptazione;
  • deve essere presente un domain controller;
  • gli utenti e le postazioni di lavoro devono essere iscritti in active directory.
Parametri del monitor di avviso di cambio delle password

Parametri del monitor di avviso di cambio delle password

Lo script e di conseguenza il componente richiede cinque parametri di configurazione, tutti obbligatori.

  • From– Richiede l’indirizzo del mittente del messaggio, deve essere una e-mail valida.
  • To– Richiede l’indirizzo di destinazione del messaggio e-mail creato.
  • Subject – Richiede l’oggetto della e-mail.
  • SmtpServer – Richiede l’indirizzo del mail server.
  • interval – Richiede il periodo temporale in cui cercare gli utenti con le password modificate. Il valore inserito deve coincidere con il valore di esecuzione del monitor ed è in minuti.

Il monitor invia un messaggio al destinatario con la lista dei profili individuati e solo se ne individua, è quindi inutile impostare il trigger di un allarme durante il normale funzionamento.

Il trigger del allarme è invece utile per il controllo dei parametri inseriti durante la prima esecuzione, infatti il controllo dei parametri innesca un allarme in caso di errori e chiude la procedura.

 

Un profilo nuovo o bloccato

 

La presenza di un nuovo profilo utente dovrebbe essere un’informazione nota all’amministratore di sistema e non solo a lui, semplicemente per evitare fastidiose situazioni e conflitti.

Esistono anche malware in grado di sfruttare delle vulnerabilità e infiltrare dei profili dedicati alle loro attività spionistiche, poi abbiamo l’installatore di qualche prodotto che ha bisogno di un utente sul server, ma senza dare spiegazioni si fa dare la password di emergenza dal responsabile della tutela dei dati e fa quello che vuole.

In un unico monitor è possibile controllare la presenza di nuovi utenti e di utenti bloccati per aver superato il numero massimo di tentativi di accesso con la password sbagliata.

Il profilo in blocco è una condizione altrettanto sgradevole, può indicare semplicemente che l’utente ha sbagliato troppe volte la password, magari l’ha cambiata poco prima e per sbloccare lo schermo sta usando meccanicamente quella vecchia.

Ancora peggio può essere il tentativo di accesso da parte di una persona non autorizzata.

Anche questo monitor ha dei requisiti per funzionare.

  • deve poter comunicare con un server di posta in trust, questo perchè non integra un metodo di autenticazione e criptazione;
  • deve essere presente un domain controller;
  • gli utenti e le postazioni di lavoro devono essere iscritti in active directory.
Parametri del monitor di segnalazione di nuovi profili o profili bloccati

Parametri del monitor di segnalazione di nuovi profili o profili bloccati

Lo script e di conseguenza il componente richiede sei parametri di configurazione, tutti obbligatori.

  • From– Richiede l’indirizzo del mittente del messaggio, deve essere una e-mail valida.
  • To– Richiede l’indirizzo di destinazione del messaggio e-mail creato.
  • Subject– Richiede l’oggetto della e-mail.
  • SmtpServer– Richiede l’indirizzo del mail server.
  • interval– Richiede il periodo temporale in cui cercare gli utenti di nuova creazione. Il valore inserito deve coincidere con il valore di esecuzione del monitor ed è in minuti.
  • Disable – Se impostata a true disabilita i nuovi utenti Nel componente si consiglia di assegnare un valore di default a false.

Il monitor invia un messaggio al destinatario con la lista dei profili individuati e solo se ne individua, è quindi inutile impostare il trigger di un allarme durante il normale funzionamento.

Il trigger del allarme è invece utile per il controllo dei parametri inseriti durante la prima esecuzione, infatti il controllo dei parametri innesca un allarme in caso di errori e chiude la procedura.

L’esecuzione di questo monitor deve essere, per ovvie ragioni, più frequente. Per questo tipo di controllo non supero mai i 5 minuti.

 

Gli utenti non attivi

 

Questo monitor verifica lo stato degli utenti localizzando quelli disabilitati, scaduti e non attivi. I profili disabilitati sono quelli “spenti” da comando; gli utenti scaduti sono quelli creati con una data di fine attività e che hanno superato il loro ciclo di vita; gli inattivi sono quelli inutilizzati da diverso tempo, si tratta di uno stato non bloccante, il profilo è attivo e utilizzabile in qualsiasi momento.

Lo stato di bloccato e di disabilitato sono due condizioni diverse, il primo indica un blocco sopravvenuto per ragioni di sicurezza e il secondo un’azione voluta di sospensione del profilo, per questa ragione facciamo rientrare gli utenti disabilitati tra i non attivi generici.

Lo scopo di questo monitor è quello di mettere in evidenza i profili che potrebbero essere cancellati dal database, per questa ragione si tratta di un controllo che svolgo ogni 24 ore, un periodo inferiore sarebbe eccessivo e costituirebbe solo un carico in termini di query ad Active Directory.

Come per i precedenti anche questo monitor ha dei requisiti per funzionare.

  • deve poter comunicare con un server di posta in trust, questo perchè non integra un metodo di autenticazione e criptazione;
  • deve essere presente un domain controller;
  • gli utenti e le postazioni di lavoro devono essere iscritti in active directory.
Parametri del monitor di segnalazione di utenti non attivi

Parametri del monitor di segnalazione di utenti non attivi

Lo script e di conseguenza il componente richiede sei parametri di configurazione, tutti obbligatori.

  • From– Richiede l’indirizzo del mittente del messaggio, deve essere una e-mail valida.
  • To– Richiede l’indirizzo di destinazione del messaggio e-mail creato.
  • Subject– Richiede l’oggetto della e-mail.
  • SmtpServer– Richiede l’indirizzo del mail server.

Il monitor invia un messaggio al destinatario con la lista dei profili individuati e solo se ne individua, è quindi inutile impostare il trigger di un allarme durante il normale funzionamento.

Il trigger del allarme è invece utile per il controllo dei parametri inseriti durante la prima esecuzione, infatti il controllo dei parametri innesca un allarme in caso di errori e chiude la procedura.

 

Administrator in azione

 

Per concludere può essere utile sapere quando un profilo del gruppo administrators  entra in azione, i motivi possono essere diversi, dal determinare come mai a volte alcune impostazioni cambiano e nessuno ne sa nulla al rendersi conto che un hacker ha violato la sicurezza e recepito una delle password più importanti.

Ha la sua utilità anche nel fatto che ci permette di rammentare che qualche servizio usa ancora un particolare utente di amministrazione e deve essere migrato sul giusto profilo, ovviamente per fare questo sarà necessario risalire a chi o cosa ha chiesto l’accesso attraverso i log di audit.

Per fare questo tipo di controllo potremmo usare i log di sistema cercando l’accesso del profilo, oppure usare in modo mirato i valori di ultimo accesso legati al profilo utente in Active Directory, la seconda opzione è più rapida e comporta un minor carico del sistema, permettendo di eseguire il monitor anche ogni minuto.

I parametri del profilo che memorizzano le date di accesso sono due: LastLogonDate e LastLogon.

In LastLogonDate è conservata l’informazione in modo formattato (15/05/2017 11.47.19), tuttavia questo dato non è sempre attendibile; in LastLogon troviamo invece la data nel formato timestamp (131393152393152416) e questo secondo valore è attendibile.

Le informazioni delle date di Logon non si sincronizzano tra i controlli di dominio, ognuno contiene solo la data di accesso che ha gestito, quindi per avere un’informazione valida lo script deve individuare ed interrogare tutti i controlli di dominio della rete e determinare la data più recente.

Come per i precedenti anche questo monitor ha dei requisiti per funzionare.

  • deve poter comunicare con un server di posta in trust, questo perchè non integra un metodo di autenticazione e criptazione;
  • deve essere presente un domain controller;
  • gli utenti e le postazioni di lavoro devono essere iscritti in active directory.
Parametri del monitor di segnalazione di accesso di amministratori

Parametri del monitor di segnalazione di accesso di amministratori

Lo script e di conseguenza il componente richiede sei parametri di configurazione, tutti obbligatori.

  • From– Richiede l’indirizzo del mittente del messaggio, deve essere una e-mail valida.
  • To– Richiede l’indirizzo di destinazione del messaggio e-mail creato.
  • Subject– Richiede l’oggetto della e-mail.
  • SmtpServer– Richiede l’indirizzo del mail server.
  • interval– Richiede il periodo temporale in cui cercare gli accessi degli administrators. Il valore inserito deve coincidere con il valore di esecuzione del monitor ed è in minuti.

Il monitor invia un messaggio al destinatario con la lista dei profili individuati e solo se ne individua, è quindi inutile impostare il trigger di un allarme durante il normale funzionamento.

Il trigger del allarme è invece utile per il controllo dei parametri inseriti durante la prima esecuzione, infatti il controllo dei parametri innesca un allarme in caso di errori e chiude la procedura.

 

Dove mandare le notifiche

 

Ovviamente ad una casella di posta.

Per alcune segnalazione potrebbe essere interessante inviare le comunicazioni ad una casella PEC agganciata ad un sistema di conservazione digitale, che ne attesta la validità legale per 10 anni, contro i sei mesi tipici. In effetti la PEC diventa carta straccia in meno di un anno, ma questo è un altro discorso.

Il messaggio così recapitato diventa una traccia certa del evento, che per quanto può valere potrebbe essere sfruttato come elementi di prova in un dibattimento, poi sarà onere del giudice valutarne l’attendibilità e l’accettazione.

 

Scarica da qui i componenti

 

Se sei interessato ad approfondire questi contenuti o ad avere nella tua aziende questi strumenti o i prodotti menzionati, contattaci attraverso la pagina di contatto di questo sito, o se preferisci cercami attraverso la pagina FaceBook o il mio profilo Linkedin.

Per essere informato sui nuovi articoli e contenuti puoi anche iscriverti alle nostre newsletter.

 

Categorie
Archivi
Count per Day
  • 358Questo articolo:
  • 143062Totale letture:
  • 45Letture odierne:
  • 171Letture di ieri:
  • 21 novembre 2016Dal:
Iscriviti alla Newsletter
Iscriviti alla nostra newsletter ed unisciti ai nostri iscritti.

Seleziona lista (o più di una):




Trattamento dei dati