Recentemente si è parlato di una media vulnerabilità nello strumento di sincronizzazione di AD con ENTRA di Microsoft. Questo deve porre l’attenzione ancor più a seguire le best practice inerenti l’isolamento e una gestione molto ristretta di questi servizi “delicati”
Come Azienda impegnata nella sicurezza ribadiremo sempre che le pratiche raccomandate dai singoli produttori non sono frutto di qualsivoglia di follia oppure eccesso di zelo, bensì si tratta di quegli accorgimenti che rendono una tecnologia funzionale o meno.
Non di meno Microsoft che ha fatto delle best practice e le knowledge base il proprio cavallo di battagli aper anni attraverso i canali MSDN e Technet e la stessa Microsoft ha sempre rimarcato la necessità di divere i ruoli di una qualsiasi macchina server e in aggiunta securizzarli al massimo grado.
Si tratta di raccomandazioni che i più esperti conoscono bene ma che talvolta per fretta oppure per pura leggerezza vengono tralasciate in virtù di un atteggiamento molto “fatalista”.
Chi non progetta la sicurezza, programma il fallimento
Kevin Mitnick
Il buon funzionamento delle agente di sincronizzazione dell’Active Directory™ locale verso Entra Active Directory™ dipende da pochi elementi che non fanno sconto a necessità di risparmio e che spesso e volentieri lo vedono essere installato su server dai mille e più ruoli.
Questo è assolutamente da evitare così come è bene che questo servizio sia gestito in maniera “restricted” per far sì che anche in caso di incidente sia sempre possibile risalire alla sorgente della minaccia.
