top of page
    • Sep 5, 2022

Da li proveravate neaktivne korisničke naloge u Active Directory-ju?

Active Directory je i dalje ključni element infrastrukture IT sistema većine organizacija. To je usluga imenika koja obezbeđuje mehanizme autentifikacije i autorizacije za sve zaposlene.

Međutim, često zanemaren aspekt administracije Active Directory-ja je redovna provera ovlašćenja korisničkih naloga za otkrivanje neaktivnih naloga. Ovi nalozi često povećavaju površinu napada i mogu ih koristiti zlonamerni akteri za infiltriranje u mreže.


Vremenom, količina neaktivnih ili zastarelih naloga raste. Stoga nije ni čudo što Microsoft navodi da je više od 10% korisničkih naloga u Active Directory-ju otkriveno kao neaktivno, na osnovu poslednje promene lozinke ili poslednjeg prijavljivanja korisnika. Zastareli korisnički nalozi u Active Directory-ju predstavljaju značajan bezbednosni rizik ne samo zbog spoljnih pretnji, već i zbog rizika zloupotrebe pristupa od strane bivših zaposlenih.


Svaki korisnički nalog sadrži atribut Active Directory PassvordLastSet, koji beleži poslednji put kada je korisnik promenio svoju lozinku. Međutim, ovaj atribut nije dovoljan da bi se utvrdilo koji korisnički nalog je zaista neaktivan, posebno zato što se redovno resetovanje lozinke sada smatra zastarelom praksom veoma niske vrednosti. Još 2003. godine, Microsoft je predstavio novi LastLogonTimeStamp atribut, koji se replicira na sve kontrolere domena svaki put kada se vrednost atributa ažurira (iako ne odmah kada se neko prijavi na sistem).


LastLogonTimeStamp je stoga standard za proveru zastarelih naloga. Da biste ih pronašli, jedan pristup je da koristite Powershell skriptu koja se periodično izvršava (scheduled task) i štampa neaktivne naloge:

$d = [DateTime]::Today.AddDays(-180)

Get-ADUser -Filter '(LastLogonTimestamp -lt $d)' -Properties PasswordLastSet,LastLogonTimestamp | ft Name,PasswordLastSet,@{N="LastLogonTimestamp";E={[datetime]::FromFileTime($_.LastLogonTimestamp)}}

U gornjem primeru, skripta proverava naloge koji nisu imali nijedan događaj prijave u poslednjih 180 dana.


Nažalost, Microsoft Active Directory ne pruža niti izlaže funkcionalnost za automatsko obavljanje takvih kritičnih provera, tako da je na svakoj organizaciji da ima dobar postupak offboardinga zaposlenika, ali i da putem ovakve skripte redovno potvrđuje da li se svaki nalog u AD-u koristi.


Za više informacija pogledajte Microsoftov vodič na ovu temu.

Latest news

bottom of page