Windows / Dati sensibili / Impedire l'accesso tramite vari processi

Naviga le tue risposte
0

Credo che tu abbia effettuato l'accesso al tuo PC Windows come DOMINIO \ DUDE.NAME

e hai accesso a \ DOMAINFILES \ SECRET STUFF \ SUPER SECRETS.xlsx

qualsiasi processo eseguito può anche accedere a quel file - non esiste un modo semplice per "avviare il processo senza accedere a [inserire entità qui]".

Quindi, quando DUDE.NAME esegue, per un esempio casuale, un software di videoconferenza (che non richiede admin, quindi non sono admin), è ancora in esecuzione come account utente, e potrebbe effettivamente accedere alle cartelle di rete dietro le scene e rubare i dati.

Qual è la migliore pratica del settore per questo? Esegui semplicemente questo rischio? Trovo che i dirigenti desiderino accedere facilmente ai loro file segreti ma vogliono essere in grado di eseguire programmi che ottengono dal web. Forse scaricano "Easy Tax Calculator!" che non ha bisogno dell'amministratore, gira semplicemente come il loro account, fornisce loro un'interfaccia scadente abbastanza a lungo da eseguire codice in background per rubare i dati e inviarli via.

    
posta user72599 16.04.2015 - 16:00
fonte

2 risposte

1

La best practice è esattamente la stessa di ogni account con privilegi (amministratore, root, ecc.): non usarlo come account standard.

Tutto ciò che devi fare NON è concedere l'accesso all'account DUDE.NAME ai dati sensibili e utilizzare invece HIGHSEC.DUDE.NAME.

Puoi accoppiarlo efficacemente con una qualche forma di isolamento, se necessario. Ad esempio, è possibile richiedere all'utente di connettersi a un server di servizi termnial utilizzando l'account HIGHSEC.DUDE.NAME per accedere ai dati riservati.

    
risposta data 16.04.2015 - 16:11
fonte
1

Versione breve:

  1. Vuoi Controllo di accesso obbligatorio
  2. Le best practice per l'industria del mondo reale utilizzate da MAC sono rare
  3. L'uso dei bastioni è l'alternativa più comune ampiamente accessibile

Versione lunga:

La possibilità di applicare controlli a grana fine non solo agli utenti, ma i processi in grado di accedere ai dati si trovano generalmente solo nei sistemi di controllo degli accessi obbligatori. Tali sistemi sono storicamente utilizzati, ad esempio, per garantire che i dati con livelli di classificazione governativi / militari diversi non siano trapelati in modo inappropriato oltre i limiti di classificazione.

Questi sistemi sono generalmente visti solo negli appalti governativi, militari e della difesa dove la classificazione è presa molto seriamente. Le aziende "regolari" non supportano questo livello di burocrazia.

Sono disponibili varie implementazioni di MAC. Cisco Security Agent ti permetteva di fare esattamente questo; dì che \DOMAINFILES\SECRET STUFF\SUPER SECRETS.xlsx è accessibile solo a C:\Program Files\Microsoft Office\excel.exe e non a C:\Program Files\Microsoft Office\outlook.exe . Sfortunatamente, Cisco ha ucciso CSA: *

Una soluzione che vedrai è l'uso di host di bastion o di bastioni. Ad esempio, un'azienda potrebbe bloccare l'accesso alla propria banca da postazioni di lavoro regolari, ma consentirne l'accesso da un host bastion (RDP o Citrix) a cui i dipendenti devono accedere per eseguire transazioni sensibili (ad esempio, decine di migliaia di dollari). Il browser sul bastione viene utilizzato solo per questo scopo ed è quindi meno probabile che venga infettato da malware che catturerà e inoltrerà le credenziali della banca. Il browser desktop dell'utente può ancora essere utilizzato per navigare in Internet, con tutti i pericoli inerenti, senza timore di esporre le transazioni di valore superiore a malcode.

Potrebbe interessarti che i sistemi non tradizionali stiano giocando con altri concetti di accesso. In Android, ad esempio, ciascuna applicazione viene installata ed eseguita come un diverso ID utente e l'accesso attraverso gli ID applicazione non è concesso per impostazione predefinita.

    
risposta data 16.04.2015 - 17:18
fonte

Leggi altre domande sui tag

Come funziona la PKI per il lato client? Come posso scoprire chi c'è dietro un indirizzo Mac? [chiuso]