Unisci un computer al dominio o no?

3

Se un computer sulla rete è utilizzato da una sola persona che accede utilizzando un account locale, nessun noe effettuerà l'accesso utilizzando un account di dominio, quali sono i pro e i contro di unirsi / non partecipare a questo computer per il dominio da un punto di sicurezza?

    
posta Wayne In Yak 21.11.2015 - 01:10
fonte

1 risposta

1

Unire un computer Windows a un dominio ActiveDirectory è un compromesso.

Pro:

  • Gestione client tramite oggetti Criteri di gruppo (GPO)
  • Accesso Single Sign-On a risorse e servizi
  • Ripristino credenziali (l'amministratore può reimpostare la password)

Contro:

  • Mancanza di autonomia
  • Devi essere collegato alla rete o su VPN per la prima autenticazione (può essere memorizzato nella cache in seguito)
  • Attacchi di trust transitivi (endpoint di compromissione, pivot in servizi o sistemi, file system condivisi di cryptolock)

La gestione dei client e il single sign-on sono vantaggi significativi in un ambiente di lavoro o istituzionale. La gestione individuale dei client diventa rapidamente ingestibile anche con un numero ridotto di workstation distribuite. L'incoerenza genera problemi e vulnerabilità non documentate. La gestione dei client ti consente di applicare aspetti della tua politica di sicurezza scritta, come la complessità della password, le regole del firewall locale e le restrizioni del software.

Anche il Single Sign-On è molto vantaggioso. Significa essere in grado di gestire centralmente l'autenticazione dei servizi consentendo al personale di effettuare l'accesso una volta (idealmente) e di avere le proprie credenziali fornite in modo trasparente a tutte le risorse aziendali integrate. Senza questo si ottiene una proliferazione di credenziali gestite (probabilmente scarsamente) dai singoli servizi e utenti che riutilizzano le stesse password che portano a compromessi.

Anche il recupero delle credenziali è importante. Senza di esso una persona dello staff potrebbe essere lasciata senza accesso alla propria postazione di lavoro e potrebbe perdere il lavoro.

Penso che le conseguenze sulla sicurezza delle workstation non gestite superino i loro benefici. Dovrebbero essere fatte delle eccezioni per i membri del personale che dimostrano una dedizione a politiche di sicurezza definite e la volontà di consegnare la propria macchina per essere verificata. Una taglia unica infastidisce le persone e incoraggia le non conformità.

    
risposta data 26.11.2015 - 01:30
fonte

Leggi altre domande sui tag