"Als K-12-Umgebung ist unsere Active Directory [AD]-Implementierung im Vergleich zu einem normalen Unternehmensnetzwerk ein wenig einzigartig", sagt John Hallenberger, Systemadministrator und Projektleiter für den Fox C-6 Schulbezirk. "Benutzer werden so gut wie täglich hinzugefügt und entfernt. Dinge wie die Erzwingung komplexer Passwörter und die Multi-Faktor-Authentifizierung [MFA] sind ebenfalls eine Herausforderung, vor allem bei jüngeren Schülern; sie haben andere Erwartungen an die Sicherheit.
Zusätzlich zu den 12.00 Schülern und ihren Eltern beschäftigt Fox C-6 etwa 2.200 Mitarbeiter, darunter Lehrkräfte, Verwaltungsangestellte, Busfahrer und Hausmeister. AD ist die Grundlage für die Dienste und Technologien des Bezirks, einschließlich Identitäts- und Zugriffsmanagement (IAM), Office 365, Microsoft Azure und Google Gmail. Hallenberger und sein Team sind für die Wartung des gesamten Technologiepakets verantwortlich.
Wie zu erwarten, ist dies leichter gesagt als getan.
Keine Finanzierung? Kein Problem!
"Wir haben nicht viele Mittel für die Sicherheit zur Verfügung", gibt Hallenberger zu. "In unserem Active Directory gibt es viele Übergänge, und es war schon immer eine Herausforderung, den Überblick über die Entitäten zu behalten, die deaktiviert werden müssen. Und damit sind wir nicht allein. Es gibt viele Schulen und Organisationen, die nicht einmal einen eigenen Sicherheitsbeauftragten haben, geschweige denn ein ganzes Team.
Als der Vertreter von Dell den Schulbezirk über das kostenlose Purple Knight AD-Sicherheitsbewertungstool kontaktierte, war Hallenberger sofort fasziniert. Er sah die Möglichkeit, neue Einblicke in das Netzwerk des Schulbezirks zu gewinnen - Einblicke, die dem Schulbezirk andernfalls vielleicht verwehrt geblieben wären. Kurze Zeit später begann Fox C-6 mit der Durchführung von Purple Knight Scans.
"Was mir wirklich auffiel, war die Tatsache, dass wir bei unserem ersten Scan nur 66% erreichten", erinnert sich Hallenberger. "Das Programm hat wirklich gute Arbeit geleistet, indem es uns auf einfache Dinge hingewiesen hat, an die man nicht unbedingt denken würde, und uns geholfen hat, einige Lücken zu schließen. Anfangs haben wir Purple Knight etwa sechs Mal laufen lassen und mit jedem Scan eine andere Reihe von Problemen gelöst."
Sehen Sie sich Hallenbergers Gespräch mit Petri IT Knowledgebase über die Erfahrungen von Fox C-6 mit Purple Knight an, um Sicherheitslücken im Active Directory zu identifizieren und der Distriktleitung zu helfen, die Wichtigkeit der Behebung dieser Lücken zu verstehen.
Zu den Änderungen, die der Distrikt vorgenommen hat, gehören:
- Ein rationalisierter Onboarding- und Offboarding-Prozess
- Automatisierte Erstellung und Abschreibung von Studentenkonten über PowerShell
- Anpassungen der Richtlinienverwaltung, insbesondere der Gruppenrichtlinien
- Prozesse und Richtlinien im Einklang mit den relevanten ISO-Rahmenwerken
Beweisen Sie die Notwendigkeit mit Purple Knight
Heute verwendet der Schulbezirk Purple Knight nicht mehr. Stattdessen haben sie die Semperis Directory Services Protector (DSP) und Active Directory Forest Recovery (ADFR) Lösungen eingesetzt. Anstatt einzelne Scans durchzuführen, überwacht Fox C-6 nun seine AD-Bereitstellung rund um die Uhr und 365 Tage die Woche auf Bedrohungen. Und, was noch wichtiger ist, der Distrikt verfügt über die notwendigen Tools, um Angriffe auf Active Directory zu beheben und sich davon zu erholen.
"Neben der Identifizierung und Behebung von Schwachstellen ist die Berichterstattung von Purple Knighthervorragend geeignet, um Lücken zu identifizieren und den Verantwortlichen zu erklären", sagt Hallenberger. "Wir haben auf den kostenpflichtigen Service von Semperis aufgerüstet, weil er eine Menge zusätzlicher Funktionen bietet, aber ich würde Purple Knight jedem mit einer Active Directory-Umgebung wärmstens empfehlen. Es ist eine unschätzbare Ressource, und es ist großartig, dass sie kostenlos ist.
"Das Schöne an diesem Tool ist, dass es Ihnen nicht nur Ihre Schwachstellen anzeigt, sondern auch Links zu Artikeln über deren Behebung enthält", erklärt er abschließend. "Jemand, der sich mit Sicherheit nicht so gut auskennt, kann lernen, wie man Probleme mit Active Directory behebt. Für uns war das wirklich gut."