管理者に昇格した権限用に2つのアカウントを与え、電子メールなどの日常的な使用のためにもう1つのアカウントを与えることの利点と欠点
Microsoftは、 このガイダンス で示されているように、管理アカウントを通常の使用アカウントから分離する必要性を長い間推進してきました
MSFTは、作成 ADMINSDUser 権限を作成して、通常のアカウントとは別の「クラス」に管理アカウントを置くことさえしました。彼らは意図的に、「管理者」 とActiveSyncのユーザーの両方になることを難しくしました
管理職の分離に関するこれらの設計上の決定のいずれも、簡単に、または何人かの賢い人の入力なしに行われたとは思いません。
私の質問は:
- 管理者は、デュアルアカウントを持つことの利点を打ち消すために、どのような悪い習慣をすることができますか?
- 例:メールの確認
- カジュアルなインターネットサーフィンではなく、問題のトラブルシューティング、診断、または検証のためにインターネットをサーフィンする
- 私たちは何から身を守っていますか?
- 悪意のあるWebサイトにアクセスしている可能性があることを管理者が知っている場合、おそらく隔離されたネットワーク/マシンでこれをテストする必要があるほど賢いでしょう。
- 管理者は通常、だまされてスクリプトを実行したり、他のユーザーが実行するような悪意のあるコード(ActiveX)を実行したりしません。
人の日常業務が管理であり、主に特権資格情報を使用したトラブルシューティングを扱っているとします。新しいタスクごとに「RunAs」を実行するように依頼することは、自滅的で非生産的なようです。
最後のアイデアをさらに一歩進めて、電子メール、ファイル、印刷サービスなどの非管理タスクにはRunAsを使用する方が良いでしょう。おそらく、仮想マシン、VDIなどを使用して、電子メールをチェックし、ネットワーク図を更新する必要があります。 (等)。
3。管理者が自分の特権資格情報を使用して自分のPCにサインインし、RunAsを非管理タスクに使用することは理にかなっていますか?
インターネットをサーフィンすることは組織にとってリスクです。通常、これはユーザーの機能が制限されていることである程度軽減されているため、エクスプロイトの機能は限られています。管理者が自分のアカウントを閲覧しているときは、アカウントに制限がないため、エクスプロイトが大きな影響を与える可能性があります。
悪意のあるWebサイトにアクセスしている可能性があることを管理者が知っている場合、おそらく隔離されたネットワーク/マシンでこれをテストする必要があるほど賢いでしょう。
悲しいことに、これは真実ではありません-管理者もまた人々です
管理者は通常、だまされてスクリプトを実行したり、他のユーザーが実行するような悪意のあるコード(ActiveX)を実行したりしません。
Webサイトを閲覧する以外の操作を必要としない攻撃はすでに存在しており、私が言ったように、管理者も(ほとんど)人です。
人の日常業務が管理であり、主に特権資格情報を使用したトラブルシューティングを扱っているとします。新しいタスクごとに「RunAs」を実行するように依頼することは、自滅的で非生産的なようです。
このため、アカウントではなくマシンで分離するケースを主張することができます。つまり、すべての管理タスクはインターネットなどに接続できない管理マシンで実行され、ユーザータイプのタスクはできる別のもの。
最後のアイデアをさらに一歩進めると、電子メール、ファイル、印刷サービスなどの非管理タスクにはRunAsのほうが良いでしょう。管理者が自分のPCにサインインするために特権資格情報を使用することは理にかなっていますか、および非管理タスクにRunAsを使用していますか?
RunAsの下向きは、管理者が忘れたり、すばやく簡単に何かをしたいだけの影響を受けやすくなります。
私はあなたの心の目で他に何もあなたがその論理的な分離を持っていない場合、あなたの管理者アカウントで無頓着ではないことを常に思い出させると思います。特権ユーザーは攻撃に対して無傷ではありません。
承認されていない、または潜在的に組織の危険性を高める可能性のあるサイトまたはアプリケーションをテストするための独立したラボがある場合...信じられないほど簡単に実行できない場合は、そのようには行われません。
人間の性質上、特権アカウントでログインしたままにしても意味がありません。これらの昇格された特権を必要としないプロセスの降格を停止するまでにどのくらいの時間がかかりますか。