Come gestire i diritti di amministratore per il personale dell'helpdesk?

8

La mia domanda riguarda l'emissione di diritti amministrativi per il personale dell'helpdesk in un'ampia impostazione di Active Directory.

Il personale dell'help desk richiede in genere diritti amministrativi per fornire supporto agli utenti finali. So che questo è comunemente fatto (vedi [1] [2 ] [3] ) creando un gruppo "Workstation Admins" e aggiungendo quel gruppo al gruppo Administrators locale su ciascun PC. Idealmente, lo staff dell'helpdesk utilizzerà un account con privilegi ridotti per le attività quotidiane e utilizzerà il loro account "Workstation Admins" solo quando necessario.

Gli amministratori di sistema di solito fanno la stessa cosa e usano un account con privilegi più elevati quando accedono ai server. Questo ha senso perché i server sono macchine affidabili protette sia fisicamente che elettronicamente. Pertanto, l'accesso a un server con un account privilegiato è sostanzialmente sicuro.

Tuttavia, il personale dell'helpdesk accederà a macchine che probabilmente sono state lasciate incustodite e utilizzate per l'e-mail o la navigazione web quotidiana. Questi computer non possono essere considerati affidabili allo stesso modo dei server. È facile immaginare un membro del personale presso l'helpdesk che acceda a un computer che contiene un carico utile di malware che si diffonde immediatamente attraverso la rete perché ha diritti di amministratore su molti altri computer.

O peggio, un utente malintenzionato potrebbe eseguire una truffa di phishing nella vita reale avendo un keylogger sul proprio computer, quindi avere qualcuno dall'help desk accedere.

C'è un modo per fornire al personale dell'help desk l'accesso di cui hanno bisogno senza creare un rischio significativo? (Posso immaginare che una soluzione ideale utilizzi una password monouso per l'autenticazione, e l'utente connesso sarebbe autorizzato solo come amministratore locale. In altre parole, voglio che lo staff dell'helpdesk abbia accesso a QUALSIASI computer, non OGNI computer.

    
posta Nic 31.08.2012 - 05:11
fonte

3 risposte

2

Se un amministratore sta per digitare la sua password su una workstation ostile, allora sta effettivamente dicendo all'utente (o ad un hacker) la sua password, se la vede in quel modo oppure no. Questo è sicuramente un percorso di exploit ben noto e usato, e ho persino assistito ad esso utilizzato nel mondo reale in IBM.

Qui ci sono solo due opzioni:

  1. Non consentire agli utenti di digitare la propria password sulla workstation di qualcun altro

  2. Utilizza l'autenticazione a due fattori

In seguito la modifica della password è importante, ma lascia comunque una finestra di exploit e anche molti minuti sono già troppo lunghi. Richiedere l'autenticazione a due fattori ti dà il tempo necessario per tornare a una workstation sicura e cambiare la password.

Nota che, anche in questo caso, sei vulnerabile a una variante di un attacco man-in-the-middle in cui la workstation ostile usa il tuo token di sicurezza per scopi diversi da quello che vedi sullo schermo. Questo non è un attacco difficile da orchestrare, quindi vale la pena prenderlo sul serio.

    
risposta data 31.08.2012 - 09:28
fonte
3

Attenuazione 1: utilizzare l'autenticazione a due fattori, per accedere agli account admin.

Mitigazione 2: offri al personale dell'helpdesk un tablet o un netbook che possono portare con sé. Invece di digitare la loro password nel computer dell'utente, potevano accedere al loro tablet / netbook e utilizzare i servizi di amministrazione remota interni per amministrare la macchina dell'utente. Rendi questo flusso di lavoro il più semplice e privo di attriti possibile.

Mitigazione 3: chiedi al personale dell'helpdesk di cambiare regolarmente la password dell'amministratore (una volta alla settimana potrebbe non essere eccessivo).

    
risposta data 31.08.2012 - 06:16
fonte
0

A seconda della complessità del supporto che devono fornire su una workstation o un server, suggerirei di utilizzare alcuni strumenti di gestione remota per la maggior parte degli incidenti. In questo modo, gli amministratori non registrano direttamente in una macchina ogni volta che forniscono assistenza.

Raccomando di dare un'occhiata a System Frontier , ma sono il proprietario dell'azienda che lo produce. Ti consente di delegare più diritti granulari che possono essere facilmente eseguiti in Windows.

Indipendentemente dal tipo di prodotto o metodo scelto, non presumere che, poiché si tratta di un server, è praticamente sicuro che qualsiasi amministratore effettui l'accesso direttamente. Può essere altrettanto pericoloso dietro il tuo firewall in quanto è al di fuori di esso. Idea : forse per le macchine che sono solo per la navigazione web, hai un criterio di cancellazione automatica e di ricostruzione se i problemi non possono essere risolti in remoto?

    
risposta data 19.01.2013 - 16:12
fonte

Leggi altre domande sui tag