top of page
    • Sep 5, 2022

Provjeravate li neaktivne korisničke račune u Active Directoryju?

Active Directory je i dalje ključni element infrastrukture IT sistema većine organizacija. To je usluga imenika koja pruža mehanizme provjere autentičnosti i autorizacije za sve zaposlenike.

Međutim, često zanemaren aspekt administracije Active Directory-a je redovna provjera ovlaštenja korisničkih naloga za otkrivanje neaktivnih naloga. Ovi nalozi često povećavaju površinu napada i mogu ih koristiti zlonamjerni akteri za infiltriranje u mreže.


S vremenom, količina neaktivnih ili zastarjelih računa raste. Stoga nije ni čudo što Microsoft navodi da je više od 10% korisničkih naloga u Active Directoryju otkriveno kao neaktivno, na osnovu posljednje promjene lozinke ili posljednjeg prijavljivanja korisnika. Zastarjeli korisnički nalozi u Active Directory-u predstavljaju značajan sigurnosni rizik ne samo zbog vanjskih prijetnji, već i zbog rizika od zloupotrebe pristupa od strane bivših zaposlenih.


Svaki korisnički nalog sadrži Active Directory PasswordLastSet atribut, koji bilježi posljednji put kada je korisnik promijenio svoju lozinku. Međutim, ovaj atribut nije dovoljan da bi se utvrdilo koji korisnički nalog je zaista neaktivan, posebno zato što se redovno resetovanje lozinke sada smatra zastarjelom praksom veoma niske vrednosti. Još 2003. godine, Microsoft je predstavio novi LastLogonTimeStamp atribut, koji se replicira na sve kontrolere domena svaki put kada se vrijednost atributa ažurira (iako ne odmah kada se neko prijavi u sistem).


LastLogonTimeStamp je stoga standard za provjeru zastarjelih računa. Da biste ih pronašli, jedan pristup je korištenje Powershell skripte koja se povremeno izvršava (scheduled task) i ispisuje neaktivne račune:

$d = [DateTime]::Today.AddDays(-180)

Get-ADUser -Filter '(LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}

U gornjem primjeru, skripta provjerava račune koji nisu imali nijedan događaj prijave u posljednjih 180 dana.


Nažalost, Microsoft Active Directory ne pruža niti izlaže funkcionalnost za automatsko obavljanje takvih kritičnih provjera, tako da je na svakoj organizaciji da ima dobru proceduru offboardinga zaposlenika, ali i da redovno potvrđuje da li se svaki račun u AD-u koristi kroz takve skripte.


Za više informacija pogledajte Microsoftov vodič na ovu temu.

Latest news

bottom of page