Unire un computer Windows a un dominio ActiveDirectory è un compromesso.
Pro:
- Gestione client tramite oggetti Criteri di gruppo (GPO)
- Accesso Single Sign-On a risorse e servizi
- Ripristino credenziali (l'amministratore può reimpostare la password)
Contro:
- Mancanza di autonomia
- Devi essere collegato alla rete o su VPN per la prima autenticazione (può essere memorizzato nella cache in seguito)
- Attacchi di trust transitivi (endpoint di compromissione, pivot in servizi o sistemi, file system condivisi di cryptolock)
La gestione dei client e il single sign-on sono vantaggi significativi in un ambiente di lavoro o istituzionale. La gestione individuale dei client diventa rapidamente ingestibile anche con un numero ridotto di workstation distribuite. L'incoerenza genera problemi e vulnerabilità non documentate. La gestione dei client ti consente di applicare aspetti della tua politica di sicurezza scritta, come la complessità della password, le regole del firewall locale e le restrizioni del software.
Anche il Single Sign-On è molto vantaggioso. Significa essere in grado di gestire centralmente l'autenticazione dei servizi consentendo al personale di effettuare l'accesso una volta (idealmente) e di avere le proprie credenziali fornite in modo trasparente a tutte le risorse aziendali integrate. Senza questo si ottiene una proliferazione di credenziali gestite (probabilmente scarsamente) dai singoli servizi e utenti che riutilizzano le stesse password che portano a compromessi.
Anche il recupero delle credenziali è importante. Senza di esso una persona dello staff potrebbe essere lasciata senza accesso alla propria postazione di lavoro e potrebbe perdere il lavoro.
Penso che le conseguenze sulla sicurezza delle workstation non gestite superino i loro benefici. Dovrebbero essere fatte delle eccezioni per i membri del personale che dimostrano una dedizione a politiche di sicurezza definite e la volontà di consegnare la propria macchina per essere verificata. Una taglia unica infastidisce le persone e incoraggia le non conformità.