Best practice sui domini Windows: per avere un account amministratore separato o no?

1

Su Linux, imponiamo il minimo privilegio tramite sudo . Questo offre il meglio di entrambi i mondi: password e account sono per una persona , come dovrebbero essere, non un ruolo. Ma riduciamo il rischio e l'esposizione utilizzando solo i privilegi quando ne abbiamo bisogno.

Windows in genere non ha uno schema simile, e quindi, per gli amministratori, ci sono due opzioni:

  1. Dai loro due account ( Mike e MikeAsAdmin ), uno per uso generale, uno quando hanno bisogno di privilegi.
  2. Assegna i privilegi completi al loro unico e solo account.

Microsoft sta spingendo il numero 1 come best practice. Ho diverse preoccupazioni: avere più account per la stessa persona rende facile perdere uno quando, ad esempio, l'utente lascia l'organizzazione. Se un account non verrà utilizzato molto, renderà più semplice passare inosservati i problemi. In generale, gli account e le password servono per identificare persone , non ruoli . Inoltre, non hai acquisito molta sicurezza: se l'account Mike è compromesso, ti condurrà piuttosto rapidamente a MikeAsAdmin .

Questa domanda si applica a tutto ciò che manca di sudo , non solo di Windows, ma di apparecchiature di rete, applicazioni, database, servizi cloud, ecc .: per tutti questi è la migliore pratica per l'amministratore di avere un secondo account dedicato?

    
posta SRobertJames 11.07.2018 - 14:25
fonte

2 risposte

3

La migliore pratica è estrapolare la persona dai ruoli tutti . Ma questo è difficile da eseguire in modo nativo, come suggerisci.

Il modo per farlo è avere un livello di autorizzazione tra il processo di autenticazione e tutti i processi di destinazione. Un "sudo universale", se vuoi. Esistono prodotti e servizi per consentire questa astrazione interna alla rete (strumenti di gestione degli accessi privilegiati, come Cyber Ark e Thycotic) ed esternamente (Cloud Service Brokers).

Funzionano tutti su un sistema Single Sign-On e consentono a un utente di richiedere e ricevere autorizzazioni. Ciò significa che l'utente ottiene un account, ma l'accesso dinamico come richiesto per i servizi di destinazione. La maggior parte dei servizi include livelli aggiuntivi di analisi per concedere autorizzazioni di accesso che aggiungono ulteriore protezione ai processi sensibili (come gli account di root, ecc.).

Ma se stai chiedendo come realizzare la migliore pratica possibile in modo nativo, la "difesa in profondità" è ancora un modello utile e anche se potrebbe essere possibile sfruttare l'accesso da un account all'altro separarli significa che l'accesso non è automatico. Se l'amministratore dell'account amministratore viene colpito da ransomware da un'e-mail personale, la società si arresta. Se l'amministratore era su un account utente, il danno è limitato.

    
risposta data 11.07.2018 - 14:43
fonte
0

Sono un sostenitore dell'uso di due account separati (soluzione n. 1). Oltre a prevenire gli errori delle ferite autoinflitte, aggiunge un ulteriore livello per proteggersi dagli attacchi di phishing.

Se il tuo amministratore Mike è phishing e non ha un account separato, un utente malintenzionato potrebbe utilizzarlo per eseguire i comandi di livello admin sulla tua rete. Ad esempio, il grande hack di Sony Entertainment derivava dalle credenziali di amministratore di dominio phishing: link

    
risposta data 11.07.2018 - 18:24
fonte