Миграция Active Directory — это объединение двух доменов в один. Разделение и передача части вашей Active Directory на новый домен (отделение) также является миграцией Active Directory. Миграции Active Directory включают перемещение пользователей, компьютеров и связанных приложений в новый домен.
Инструмент миграции Active Directory — это программное обеспечение, помогающее переносить соответствующие объекты.
Зачем бизнесу нужна миграция Active Directory?
Наиболее распространенный вариант использования миграции Active Directory — это компании, переживающие слияния, поглощения или продажу.
Когда одна компания покупает другую, стоимость обслуживания двух отдельных AD может оказаться высокой. Миграция Active Directory помогает в этом случае оптимизировать затраты на поддержание ИТ-инфраструктуры.
Кроме того, иногда компания может продать часть бизнеса, чтобы тот стал самостоятельной организацией. Именно здесь можно использовать миграцию Active Directory для разделения единого AD на две независимые части.
Основные проблемы в безопасности при миграции
Две основные проблемы, с которыми сегодня сталкиваются администраторы Active Directory в ходе проектов по консолидации и разделению домена Active Directory.
- С распространением гибридной Active Directory в корпоративных средах проекты миграции AD стало намного сложнее планировать и выполнять, а это означает, что ИТ-отделу необходимо корректировать стратегию, выбирать новые инструменты и методы и корректировать ожидания заинтересованных сторон.
- Безопасность AD имеет решающее значение при планировании консолидации или, наоборот, разделения AD.
По мнению экспертов, проект по слияниям и поглощениям — это прекрасная возможность улучшить состояние безопасности организации за счет тщательного анализа и планирования каждой области, затрагиваемой миграцией, такой как группы, объекты групповой политики, учетные записи и приложения. Принятие правильных решений до начала миграции означает, что целевой домен будет еще более защищен после завершения миграции.
Основы безопасности
Вот список пунктов, которые нужно учитывать, чтобы защитить и упростить процесс миграции AD:
- Очищение историю SID после завершения миграции. Если вы решите перенести SID на целевой объект, помните, что это временное решение, которое не всегда требуется, поэтому настройте веху проекта или контрольную точку, чтобы закрыть эту возможную уязвимость. Когда вы достигнете этого рубежа, вы сможете удалить существующую историю SID с помощью PowerShell.
- Избегайте или ограничивайте синхронизацию групп безопасности и рассылки. Вместо того, чтобы просто перемещать группу, вы можете проанализировать, для чего используется эта группа и совпадает ли текущее членство в этой группе с теми пользователями, которые должны иметь доступ к этому ресурсу. Прямое перемещение всех групп может открыть доступ для атак, поскольку эти группы могут быть вложены в другие группы, которые могут разрешать своим членам доступ к конфиденциальным данным.
- Контроль доступов. Некоторые современные сторонние инструменты миграции предоставляют варианты, при которых дополнительные доступы больше не требуются для многих аспектов процесса миграции AD. Сведите риски несанкционированного доступа к минимуму во время миграции, чтобы избежать дальнейшего воздействия.
- Анализ. Оцените, что работало в старой среде, чтобы определить, что следует включить при планировании структур и процессов в новой среде, избегая при этом переноса существующих пробелов в безопасности.
- Создайте группу критически важных активов перед миграцией . Создайте модель уровня Active Directory (AD), чтобы обозначить границы безопасности для защиты ваших наиболее важных активов до, во время и после миграции.
- Обновляйте политики паролей перед миграцией. Как и в случае с объектами групповой политики, политики паролей следует пересматривать, прежде чем внедрять какие-либо новые или обновленные стандарты в новой среде.
- Откажитесь от устаревших методов миграции AD. Вы должны развивать практику миграции, чтобы соответствовать требованиям гибридного подхода к AD.
- Пересмотрите политику групповых объектов. Политика, используемая в текущей среде не должна атоматически переноситься в целевую среду. Это может привести к уязвимости в безопасности.
- Работайте с паролями. Всегда используйте надежные пароли. Используйте решение для управления привилегированным доступом, чтобы создать надежные парольные фразы, чтобы сотрудникам не приходилось это делать.
- История SID. Помните, что без истории SID в худшем случае конечный пользователь должен будет пройти повторную аутентификацию. Это небольшая проблема, чтобы убедиться, что организация не открыта для возможных кибератак.
- Не переносите существующую историю SID . Устаревшая история SID должна быть очищена но если это не так, не переносите потенциальные бреши в системе безопасности, которые может использовать злоумышленник.
- Учетные записи. Отслеживайте учетные записи, в которые вы решили перенести последний SID, чтобы убедиться, что никакие вредоносные действия не атакуют эти учетные записи. У каждой организации будет свой набор критериев для идентификации этих учетных записей, например, по организационной единице, членству в группе или вручную через список знаний. Однако одним из возможных способов является создание списка с помощью PowerShell.
Обеспечьте надежную защиту Active Directory.
Сделайте привилегированный доступ и безопасность Active Directory своим главным приоритетом ри проведении миграции. Злоумышленники могут воспользоаться малейшей лазейкой, чтобы олучить доступ к учетным записям администратора домена.
Если у вас остались вопросы и вы хотите подключить к вашему процессу миграции AD экспертов Fanetech, просто свяжитесь с нами.