Utilizzare l'amministratore locale o l'amministratore di dominio per aumentare i privilegi su una macchina per scopi amministrativi?

3

Ormai spero che, a meno che non ci siano circostanze attenuanti, tutti gli utenti (inclusi gli utenti amministrativi) utilizzano un account di basso livello per le loro attività quotidiane e aumentano le loro autorizzazioni per eseguire attività amministrative.

Ovviamente le attività basate sul dominio devono utilizzare un account di dominio, ma software & l'installazione del driver può essere eseguita tramite l'amministratore locale.

Pensare in termini di prevenzione del movimento laterale attraverso una rete, significa elevare a un dominio o account locale l'opzione più sicura?

    
posta DKNUCKLES 06.07.2016 - 15:01
fonte

1 risposta

2

rischio

Due vettori di attacco da tenere a mente qui:

  • Se un utente malintenzionato compromette l'account Amministratore locale e utilizza una password comune con altri sistemi nell'ambiente, è un rischio per la sicurezza a causa della condivisione delle credenziali.
  • Se un utente elabora un account di amministratore di dominio, le sue credenziali sono disponibili in testo normale (durante la sessione di accesso) e successivamente disponibili in un modulo memorizzato nella cache. Nota: le credenziali memorizzate nella cache possono o non possono essere disponibili, ma sono abilitate per impostazione predefinita in Windows e memorizzano 10 degli ultimi utenti loggati . Quindi il rischio per la sicurezza è che se le credenziali DA vengono compromesse, il movimento laterale coinvolge il dominio intero .

Soluzione

Conosci il detto sulle opinioni ... (inserisci cliché qui) , ma ecco la mia raccomandazione ai clienti.

  • Randomizza la password dell'amministratore locale per tutti i sistemi nel dominio (ricerca Microsoft LAPS per maggiori informazioni) e persino i sistemi non nel dominio.
  • Utilizza l'amministratore locale per le modifiche a livello di sistema (patch, aggiornamento, installazione, ecc.)
  • Imposta gli account di amministratore del dominio su solo in grado di accedere ai controller di dominio per ridurre il rischio di lasciare le credenziali nell'ambiente.
  • Facoltativamente, crea un "Power IT User" per le attività di amministrazione sui server all'interno dell'ambiente che non è un amministratore di dominio, se gli utenti si bloccano sulla necessità di accedere come amministratore locale ogni volta. Assicurati di disabilitare le credenziali memorizzate nella cache e assicurati che gli utenti si disconnettano al termine.
risposta data 06.07.2016 - 15:50
fonte

Leggi altre domande sui tag