L'amministratore locale su Windows può disporre di autorizzazioni limitate?

0

Guardando un sacco di diversi software di sicurezza su Windows, molti di essi si basano su alcune impostazioni del computer che possono probabilmente essere sostituite da un amministratore locale.

Ad es. alcuni software DLP eseguono alcune impostazioni che impediscono a un utente di utilizzare un'unità USB. Tuttavia, penso che un amministratore locale possa sempre ignorarlo? Un prodotto whitelist dipende da una lista bianca firmata da una fonte attendibile. Tuttavia, il truststore del prodotto è probabilmente memorizzato da qualche parte a livello locale, quindi puoi probabilmente aggiungere un certificato di fiducia e aggiungere un elenco firmato dal tuo cert.

Quindi la domanda qui è - questi prodotti possono prevenire l'uso improprio accidentale - ma possono davvero proteggere un amministratore locale malevolo? Ci sono impostazioni che possono essere impostate a livello di dominio su Windows che limitano le autorizzazioni su un amministratore locale e lo rendono un po 'più difficile?

    
posta user93353 17.02.2014 - 09:06
fonte

1 risposta

1

Un bel po 'di software aziendale cerca di farlo. Ad esempio, il firewall o il software VPN possono avere la configurazione bloccata da un amministratore centrale e un amministratore locale non può modificare le impostazioni tramite la GUI.

Tuttavia, questo non impedisce a un aggressore determinato di accedere come amministratore locale: può comunque modificare direttamente il registro o i file di configurazione. Non mi è mai piaciuto questo approccio, ma in un ambiente di lavoro pratico, molti utenti hanno bisogno dei diritti di amministratore o interferiscono con loro nel lavoro.

Una variazione interessante su questo approccio è di restringere strongmente il sistema operativo host e non fornire affatto i diritti di amministratore. Ma gli utenti esperti possono eseguire un SO guest all'interno di una macchina virtuale, e sono autorizzati a disporre di tutti i diritti su questo. Non l'ho visto implementato in un ambiente commerciale, ma penso che l'idea abbia un merito.

    
risposta data 17.02.2014 - 11:20
fonte

Leggi altre domande sui tag