Gli utenti di AD non personali sono un rischio per la sicurezza?

Devi distinguere tra due tipi di account non personali:

• Account generici sono account a cui possono accedere più utenti. Questi sono generalmente cattivi man mano che si perde la responsabilità. Se John e Fred hanno entrambi accesso e si verifica un evento dannoso, a chi incolpiamo: John o Fred?

• Gli account di servizio sono utilizzati dalle applicazioni, non dagli umani. A condizione che siano configurati in modo che un essere umano non possa usarli (che in genere significa controllare strettamente la password), questi non rappresentano un grave rischio per la sicurezza.

I problemi di sicurezza non derivano dalla presenza di account utente "anonimi", ma dall'utente che li utilizza effettivamente per eseguire azioni (perché quindi l'utente non è più responsabile: i registri ti diranno "L'amministratore ha fatto" e non " Bob lo ha fatto "). Effettuare la registrazione come account significa semplicemente conoscere la password associata e utilizzarla (tuttavia, gli account possono essere bloccati impedendo il loro utilizzo per le sessioni interattive, operazione eseguita con GPO).

L'auditor sta avendo una reazione istintiva: ha visto "molti" tali account, e quindi ha vomitato l'avvertenza generica sugli account anonimi. Tuttavia, questo è in qualche modo fuorviato: il numero di tali account non è il problema; un singolo account utente anonimo può essere sufficiente per perdere la responsabilità. È solo che l'auditor pensò che la presenza di tutti questi account è in qualche modo indicativa di una diffusa tradizione locale di usare account anonimi. Un auditor più approfondito avrebbe analizzato i comportamenti , per verificare se gli utenti usassero effettivamente account non nominativi nei loro lavori giornalieri, invece di accendere irrimediabilmente "Utenti e computer di Active Directory" e contare i conti.

In generale, potresti voler "bloccare" gli account non utente; un modo semplice è assicurarsi che nessun essere umano conosca le password corrispondenti. Se la password deve essere inserita come parte di un'operazione di configurazione, la password deve essere recuperata dalla cassastrong in cui è conservata (stampata su carta). Poiché tali password non devono essere ricordate e non vengono digitate di rado, possono essere lunghe, grasse e casuali.

Di solito non è possibile accedere con un utente del sistema operativo a meno che qualcuno non abbia creato un utente con lo stesso nome per ingannare l'amministratore. Non dovresti preoccuparti di questo, ma puoi controllare questi utenti di volta in volta e controllare se sono realmente utilizzati dal sistema o da un utente sospetto.

Tuttavia, i revisori IT hanno ragione, è considerata una cattiva pratica utilizzare "utenti generici" invece di utenti nominativi, il motivo principale è che a volte sarà molto difficile se non impossibile indovinare quale persona reale ha fatto qualcosa di presumibilmente male.

Quello che dovrebbero essere è: come sono gestiti gli account generici e sai a cosa servono? L'importo è irrilevante se vengono gestite password e login interattivo.