Quali requisiti di sicurezza avete per gli amministratori di dominio?

Avendo lavorato in entrambi i settori pubblico e privato come un utente di Info Sec, ho avuto l'opportunità di vedere quante organizzazioni si avvicinano a questo e qui ci sono alcune mie osservazioni;

Do you require/support Smart Card Authentication?

Devo ancora trovare un'organizzazione che abbia implementato l'autorizzazione per smart card.

Restrict logins from a particular workstation?

Questo dovrebbe essere un elemento di base, ma molti siti non riescono ancora a limitare l'accesso in questo modo. Inoltre, gli account specifici che richiedono i privilegi di amministratore dovrebbero essere limitati ai server / workstation specifici richiesti. I diritti eccessivamente permissivi possono portare a compromessi del dominio.

Require more complex passwords for Administrator accounts?

Un sito ha avuto un approccio fantastico a questo, hanno usato una lunga pass phrase per gli account admin. Questo ha servito due obiettivi. Uno - È protetto dagli attacchi di forza bruta (chi avrà un dizionario o un hash table per una frase di quindici parole?) E in secondo luogo è stato usato per impedire al team di supporto di fornire la password al telefono, come sarebbe ovvio stavano facendo così. Quella squadra aveva una lunga storia di divulgazione delle password degli amministratori per impedire loro di dover lasciare il loro ufficio e visitare gli utenti!

The use of a different computer, or VM for administrative tasks

L'uso di una VLAN di gestione o di un'altra segregazione è un buon approccio. Il traffico sensibile e l'accesso lontano dalla rete aziendale sono un inizio.

Dovresti anche avere un approccio per affrontare l'uso e l'aggiornamento degli strumenti di gestione. Strumenti di gestione obsoleti possono portare a un completo compromesso del dominio e a una prolifica rete interna. Quante volte hai pensato di riparare il tuo 'HP Management Service' o addirittura di spegnerlo? Quanti strumenti di connessione remota servono al tuo team di supporto? Sono stato sul posto dove Servizi Terminal / VNC / DameWare e altri strumenti remoti erano tutti in uso sulla stessa rete per gli stessi server!

Quindi portarsi via sarebbe rivedere il tuo approccio all'uso di strumenti di gestione, disabilitare quelli che non ti servono, ridurre la sovrapposizione degli strumenti utilizzati per completare la stessa attività e correggere quelli che hai scelto di mantenere.

David e AviD hanno coperto anche la maggior parte delle mie esperienze, l'unica aggiunta che darò è per un grande dipartimento governativo che ha utilizzato l'autenticazione delle smart card in tutto il mondo.

Questo è stato fatto per soddisfare un requisito percepito per granularità assoluta sulle attività. Queste schede sono state utilizzate per l'accesso fisico alle posizioni e l'accesso logico ai terminali dei computer. Sfortunatamente l'implementazione ha reso molto difficile coprire le assenze così il personale ha sviluppato una serie di procedure non ufficiali che hanno effettivamente minato l'intero quadro (condivisione e clonazione di carte, ecc.)

Si è affermato che era eccessivo e troppo oneroso per i requisiti effettivi.

YMMV - ma sembrava un punto di riferimento pertinente

Questo non vale per la mia azienda ( molto piccola impresa), ma questi sono tra i consigli che di solito rivolgo ai miei clienti di consulenza:

• Do you require/support Smart Card Authentication? Altamente raccomandato, ma spesso non distribuito. In org ad alta sicurezza (ad es. Grandi banche, militari, ecc.) Puoi trovare spesso smart card parzialmente implementate, solo per gli amministratori.
• Restrict logins from a particular workstation?
• The use of a different computer, or VM for administrative tasks
  Queste due cose vanno di pari passo, e ciò dipenderebbe molto dalle dimensioni, dalla complessità e dalla sensibilità dei sistemi e della rete. Per una rete più ampia / sistemi sensibili, di solito è necessario. Anche una rete già complessa, cioè non "piatta", sarebbe più semplice da implementare in modo sensato.
• Require more complex passwords for Administrator accounts? Assolutamente, per gli amministratori è necessaria una politica di password separata e molto più rigida. Più lunga, più complessa, con scadenze più brevi e una cronologia più lunga. Sono incoraggiate anche password casuali o passphrase più complesse. (Questo è anche collegato al prossimo punto, per scoraggiare spesso l'uso.)
• Issue two accounts per use (admin, and standard account)? Ancora, per reti più grandi / organizzazioni altamente sicure, molto consigliato. Le reti più piccole e meno sensibili possono rinunciare a questo requisito, specialmente considerando UAC nelle attuali versioni di Windows.
• Enforce through policy or otherwise, that the non admin account is used locally Come il precedente, e GPO è un meccanismo molto facile da implementare (sebbene gli amministratori di solito possano ignorarlo - dipende da come viene distribuito).
• Punti aggiuntivi che non hai menzionato: AUDIT, cioè i registri di sicurezza. I requisiti di controllo più severi dovrebbero essere posti sull'uso delle funzioni amministrative e sulle azioni dell'amministratore in generale (ad esempio tramite SCL e politica di sicurezza locale / di dominio).
• Anche l'altro tipo di controllo, outsider / terze parti dovrebbe rivedere periodicamente sia i registri sopra, sia tutte le configurazioni di cui sopra. Anche tutti gli utenti con privilegi elevati.
• Nelle organizzazioni altamente sensibili, è spesso richiesto il doppio controllo. Per esempio. l'amministratore non può accedere al server sensibile, a meno che il responsabile della sicurezza non sblocchi la porta e gli conceda l'accesso fisico. (Spesso visto in ambienti di tipo militare.)
• Restrizioni amministrative - mentre in linea di principio l'amministratore è abilitato a fare qualsiasi cosa sul "suo" sistema, ci sono prodotti (ad esempio da CA) che possono limitare le sue autorizzazioni del sistema operativo. Ho visto questo schierato in numerose banche / società finanziarie.