Artikel top billede

(Foto: Computerworld)

Papirkurven i Azure Active Directory kan ikke redde dig fra en it-katastrofe

Klumme: Hvis en virksomhed skal kunne operere i skyen med tillid, skal man have mulighed for at gendanne virksomhedens miljø, når der foretages uønskede ændringer. Papirkurven tilbyder en delvis løsning på dette behov, men er kun en del af et større Azure AD-sikkerhedspuslespil.

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Muligheden for at spole en fejl tilbage har nok sparet de fleste it-administratorer for mindst én stressfremkaldende hovedpine i løbet af deres karriere.

Her har papirkurven i virksomhedens on-premise Active Directory – som styrer digitale identiteter og brugerrettigheder i en organisation – reddet mange it-administratorer, der blot kunne gå i papirkurven og herfra gendanne de utilsigtet slettede objekter, uden at skulle besvære sig med finde og installere en sikkerhedskopi.

I on-premise Active Directory er alt i papirkurven tilgængelig i hele 180 dage. En Guds gave altså, hvis man har begået en fejl-

Men, men…

Hvis man, som de fleste, har migreret hele eller dele af sin it-infrastruktur op i skyen, så styres brugerrettigheder fra Azure Active Directory og ikke Microsofts on-premise AD-løsning.

Den gode nyhed er at også Azure AD har en papirkurv-funktion. Den dårlige nyhed er, at den kun gælder i 30 dage, hvorefter alt slettes og ikke kan findes frem igen.

Der er en række signifikante forskelle på papirkurven (Recycle Bin) i on-premise AD og Azure AD (der bruges i skyen), som er vigtige at kende. Det væsentligste du skal vide er, at selv om papirkurven er nyttig, så kan den ikke dække jeres behov for sikkerhedskopiering og genoprettelse af Azure AD-ressourcer.

For at forstå hvorfor, må vi forbi papirkurvens funktionalitet.

It-katastrofen kan undgås, hvis du kender de vigtige forskelle på on-premise og cloud AD

Før jeres virksomhed flytter til Azure AD, bør I først vurdere, hvordan dette påvirker sikkerhed, databackup og overholdelse af regler.

Selv om papirkurven kan virke som en relativt lille funktionel mulighed, så er virkeligheden den, at uden papirkurven så er det en manuel og tidskrævende proces at gendanne slettede objekter.

Både lokalt og i skyen gør papirkurven livet så meget lettere.

Hvad et skift til skyen betyder for papirkurvens funktionalitet i Azure AD:

  • Tilbageførsel af utilsigtede sletninger - Vi begår alle sammen fejl. Ligesom i dit lokale on-premise AD-miljø giver papirkurven i Azure AD administratoren mulighed for at gendanne brugerobjekter i tilfælde af utilsigtet sletning.

  • Ikke alle objekter er beskyttede – Med papirkurv-funktionen i Azure AD kan man gendanne brugerobjekter, programobjekter og Office 365-grupper.

    Men hvis du sletter en indstilling, kan Azure AD papirkurven ikke hjælpe.

    Hvis du bruger Azure AD-synkronisering og ved et uheld sletter et on-premise AD-brugerobjekt, vil det tilsvarende brugerobjekt i Azure AD også blive slettet i forbindelse med den næste synkroniseringscyklus.

  • Brugerobjekter forbliver ikke i en soft-slettet tilstand i 180 dage ligesom det gør i on-premise AD - I Azure opbevares slettede objekter kun i 30 dage og denne tidsgrænse kan ikke forlænges.

    Efter 30 dage bliver objekterne slettet for altid. Det er en væsentlig forskel.

  • Ændrede objektattributter kan ikke genoprettes - Mens et brugerobjekt kan rulles tilbage efter utilsigtet sletning via papirkurv-funktionen, så kan specifikke attributter ikke rulles tilbage.

    Den eneste måde at gendanne ændrede attributter på er via sikkerhedskopier, hvilket bringer os til det næste punkt.

Papirkurven er kun en delvis løsning

Papirkurven er ikke en erstatning for sikkerhedskopier. Det er blot her man begynder.

Funktionaliteten i papirkurven kan være nok til at genoprette visse, men ikke alle, fejl i forbindelse med slettede objekter.

Hvis I har brug for at gendanne oplysninger som f.eks. ændrede attributter eller gendanne visse typer objekter, så dur papirkurven ikke.

I tilfælde af et ransomware-angreb er papirkurven ikke til nogen nytte, hvis f.eks. brugerkonti er kompromitteret.

Derudover gør det faktum, at den kun kan bruges til at gendanne en specifik type objekt, der maksimalt har været slettet i 30 dage, at den ikke er et levedygtigt alternativ til backup og gendannelse.

Hvis et it-angreb omfatter sletning af brugere, vil de it-kriminelle sandsynligvis bruge papirkurven til at afslutte arbejdet.

Denne endegyldige sletning gør det umuligt at gendanne brugerobjektet uden en sikkerhedskopi. Og det er mere end sandsynligt, at en it-kriminel også vil ændre indstillinger, f.eks. ændre rolletildelinger, slå multifaktorgodkendelse fra og ændre politikker for betinget adgang.

Uden ét samlet sted, hvor AD-administratorer kan evaluere hver ændret indstilling, er de overladt til deres egen hukommelse og skal manuelt rette alle ændrede konfigurationer.

At undlade at overvåge aktiviteten på tværs af AD-miljøer, altså både on-premise og i skyen, og undlade at implementere en effektiv backup- og genoprettelsesstrategi er en opskrift på en it-katastrofe.

Hvis en virksomhed skal kunne operere i skyen med tillid, skal man have mulighed for at gendanne virksomhedens miljø, når der foretages uønskede ændringer. Papirkurven tilbyder en delvis løsning på dette behov, men er kun en del af et større Azure AD-sikkerhedspuslespil.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




CIO
Årets CIO 2022: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?