"Sendo um ambiente de ensino básico e secundário, a nossa implementação do Active Directory [AD] é um pouco diferente da aparência de uma rede empresarial normal", afirma John Hallenberger, administrador de sistemas e líder de projecto do distrito escolar Fox C-6. "Os utilizadores são adicionados e removidos praticamente todos os dias. Coisas como a imposição de palavras-passe complexas e a autenticação multifactor [MFA] também são um desafio, especialmente com os alunos mais novos; existem expectativas diferentes sobre o que é a segurança para eles."
Para além de 12.000 alunos e respectivos pais, a Fox C-6 emprega cerca de 2.200 funcionários, incluindo professores, administradores, condutores de autocarros e guardas. O AD é a base dos serviços e da tecnologia do distrito, incluindo a gestão de identidade e acesso (IAM), o Office 365, o Microsoft Azure e o Google Gmail. Hallenberger e a sua equipa são responsáveis pela manutenção de toda a pilha tecnológica.
Como seria de esperar, isto é mais fácil de dizer do que de fazer.
Não tem financiamento? Não há problema!
"Não temos toneladas de fundos disponíveis para a segurança", admite Hallenberger. "Há muita transição no nosso Active Directory, e manter o controlo das entidades que precisam de ser desactivadas sempre foi um desafio. E não somos os únicos; há muitas escolas e organizações que podem nem sequer ter uma pessoa dedicada à segurança, quanto mais uma equipa inteira."
Quando o representante da Dell do distrito escolar os contactou sobre a ferramenta de avaliação de segurança gratuita Purple Knight AD gratuita, Hallenberger ficou imediatamente intrigado. Ele viu uma oportunidade de obter novas informações sobre a rede do distrito - informações que, de outra forma, poderiam estar fora do alcance do distrito escolar. Pouco tempo depois, a Fox C-6 começou a efectuar análises em Purple Knight .
"O que mais me chamou a atenção foi o facto de só termos obtido 66% no nosso primeiro exame", recorda Hallenberger. "Fez realmente um bom trabalho ao apontar coisas simples em que não se pensaria necessariamente e ajudou-nos a colmatar algumas lacunas. Inicialmente, executámos o Purple Knight cerca de seis vezes diferentes, resolvendo um conjunto diferente de problemas em cada análise."
Assista à conversa de Hallenberger com a Petri IT Knowledgebase sobre a experiência da Fox C-6 usando o site Purple Knight para identificar - e ajudar a liderança do distrito a entender a importância de corrigir - as falhas de segurança do Active Directory.
As alterações efectuadas pelo distrito incluem:
- Um processo simplificado de integração e desintegração
- Criação e depreciação automatizadas de contas de estudantes através do PowerShell
- Ajustamentos à gestão de políticas, nomeadamente à política de grupo
- Processos e políticas alinhados com os quadros ISO relevantes
Comprovar a necessidade com Purple Knight
Hoje em dia, o distrito escolar já não utiliza o Purple Knight. Em seu lugar, eles implantaram o Semperis's Directory Services Protector (DSP) e Active Directory Forest Recovery (ADFR) da Semperis. Agora, em vez de executar varreduras individuais, o Fox C-6 monitora a implantação do AD em busca de ameaças 24 horas por dia, 7 dias por semana, 365 dias por ano. E, o que é mais importante, o distrito tem as ferramentas necessárias para corrigir e se recuperar de ataques direcionados ao Active Directory.
"Além de identificar e corrigir vulnerabilidades, os relatórios do Purple Knightsão excelentes para identificar e explicar as lacunas à liderança", diz Hallenberger. "Actualizámos para o serviço pago da Semperis porque oferece muitas funcionalidades adicionais, mas recomendo vivamente o Purple Knight a qualquer pessoa com um ambiente Active Directory. É um recurso inestimável, e é óptimo que seja gratuito."
"Um dos aspectos positivos da ferramenta é que não só mostra as vulnerabilidades, como também liga a artigos sobre como resolvê-las", conclui. "Alguém que não esteja tão familiarizado com a segurança pode aprender a resolver problemas com o Active Directory. Para nós, tem sido muito bom."
Saiba mais sobre a segurança do Active Directory
