Trattare con amministratori non fidati in un dominio Windows

La risposta è semplice: non consentire gli amministratori di dominio . Dare accesso a funzioni specifiche a persone specifiche che sono nel lavoro amministrativo. Il gruppo "Domain Admin" dovrebbe essere vuoto con avvisi quando un utente viene aggiunto a questo gruppo.

In piccoli team, questo potrebbe essere un po 'complicato, ma è possibile includere persone al di fuori del personale dell'amministratore IT per la supervisione, ed è possibile creare uno schema per assicurarsi che il personale riceva solo una parte dei privilegi necessari per evitare manomissioni.

1. Fornisci la gestione delle password a un utente che può accedere solo a una singola macchina e verifica se altri utenti accedono a quella macchina.
2. Consenti l'accesso al registro a una persona a qualcuno che non può modificare gli account utente
3. Questo è il principio del "Privilegio minimo" al lavoro, che è il modo in cui gestisci qualsiasi livello di "sfiducia"

1- Is it possible to force actions like "reset password" to require the approval of more than a single administrator?

È una buona idea separare la creazione di utenti dalla reimpostazione della password, è possibile assegnare la creazione dell'utente a un amministratore e lasciare la password resettata ad Help Desk, per esempio.

Nella directory attiva non è necessario l'amministratore di dominio per creare utenti, è possibile creare un gruppo di utenti con accesso all'account specifico, che è bello su AD, le autorizzazioni sono molto dettagliate.

2- Is it possible to audit actions in way that the domain admin cannot tamper with them?

Sì, se non si dispone di una soluzione di registrazione (poiché potrei consigliarvi di avere un server di registro) è possibile configurare un server di file con solo autorizzazioni di amministratore e configurare il server in modo da mettere i file di registro lì, questo è un opzione. Utilizzare anche le impostazioni dell'oggetto Criteri di gruppo per controllare la verifica del computer Windows.

3- Do you suggest any other approach to deal with environments with untrusted admins?

• Utilizza l'autenticazione a due fattori.
• Usa il software del registratore di sessione e il keylogger.
• registra tutto in un server separato, crittografato e a prova di manomissione.

Compagno Sadaeq,

Uno dei principi fondamentali della sicurezza è che non è possibile proteggere un sistema dall'amministratore del sistema stesso. Questo perché l'amministratore ha i mezzi per modificare / controllare il sistema, in modo che possa sempre trovare un modo per accedere a qualsiasi cosa desideri.

Il mio consiglio è di consigliare al cliente di ridurre il numero dei propri amministratori di dominio a un numero davvero esiguo di persone di cui possono fidarsi. Come suggerito dal compagno Schroeder, è sempre meglio delegare altre parti della gestione del sistema ad altri amministratori delegati sulla base di un buon modello di delega.

Una cosa da tenere a mente sulla delega in Active Directory è assicurarsi che gli account di Domain Admin non si trovino nella stessa OU di altri account, perché se è così, e hai delegato l'amministrazione di tale OU a un amministratore delegato, tale amministratore delegato potrebbe utilizzare l'ereditarietà della permissione per concedere sufficienti autorizzazioni all'account amministratore di dominio per reimpostare la password dell'amministratore di dominio e accedere come amministratore del dominio. (Questo concetto non è nuovo ed è noto come "Escalation di privilegi di Active Directory")

Quindi, compagno, il mio suggerimento è di ridurre il numero di Domain Admins delegando tutte le altre attività (ad es. creazione di account, gestione OU, gestione dell'effettivo di gruppo) ad altri amministratori delegati e solo a quelle persone di cui si può completamente fidarsi. (Come suggerito da altri compagni, né la registrazione né il controllo proteggono un sistema da un amministratore di dominio perché un amministratore di dominio può disattivarli entrambi.)

Buona fortuna a te.