In pratica? Nella maggior parte degli ambienti, interpretalo per includere:
- Programmi Windows eseguiti come amministratore
- Software UNIX con setuid o privilegi simili (che include su e sudo stessi che sono setuid).
Si intende che questo sia un criterio per impostare le autorizzazioni di accesso per le utilità?
Questo è un modo per raggiungere gli obiettivi.
Quali politiche hanno altre organizzazioni in quest'area?
Ho iniziato solo lasciando che gli amministratori di sistema accedessero ai sistemi operativi dei server e quindi permettessero loro solo di utilizzare utilità di sistema di qualsiasi tipo (questo dovrebbe implementare ISO27002: 2013, 9.4.4i, b e c). Questo sta diventando sempre più facile man mano che sempre più applicazioni vengono consegnate via HTTP.
Quindi l'indurimento del sistema, inclusa la rimozione di utility non necessarie, sarebbe una buona seconda attività prioritaria.
Cosa avrebbe dovuto effettivamente significare?
Ho fatto questa domanda ad almeno dieci revisori esterni e non ho ricevuto una risposta coerente.
Uno o due hanno suggerito che aveva più senso ai tempi di alcuni sistemi operativi mainframe, ma non ho visto molte prove primarie per questo. L'unico riferimento era:
link
Questo è per un link sistema e la pagina del manuale è datata 1991.
E si potrebbe facilmente sostenere che tutti i programmi su sistemi ben progettati (diversi dagli exploit) non possono "ignorare i controlli di sicurezza del sistema". Possono fare uso di privilegi avanzati consentiti dal sistema operativo, ma certamente non sovrascrivere i controlli.