web-dev-qa-db-ja.com

ドメイン管理者にはどのようなセキュリティ要件がありますか?

Windowsネットワークの管理に関して、どのセキュリティポリシーとプロセスを使用していますか?例えば

  • スマートカード認証が必要/サポートしていますか?
  • 特定のワークステーションからのログインを制限しますか?
  • 管理者アカウントにより複雑なパスワードが必要ですか?
  • 使用ごとに2つのアカウント(admin、および標準アカウント)を発行しますか?
  • 管理者以外のアカウントがローカルで使用されることをポリシーまたはその他の方法で適用
  • 別のコンピューターの使用、または管理タスクのVM

等..

あなたの実践、あなたがどの業界にいるか、そしてあなたの会社/ビジネス/学校のおおよその大きさを知ることは役に立ちます。理想的には、この情報を使用して、ピア間のプラクティスを比較できます。

注:

あなたの現在の活動中の事業所に関するポリシーについて話し合う場合は、この調査に内密に返信することを検討してください。これには、「ログアウト」して、別のOpenIDを使用してログインする必要がある場合があります。

あなたは何がうまくいくかについて最高の裁判官になります。それまでの間、詳細についてはこちらをご覧ください。

匿名投稿をサポートする必要がありますか?

operating-systemswindowsprivileged-account
11
goodguys_activate

Info Secの人として公共部門と民間部門の両方で働いていたので、これに取り組む組織の数を確認する機会がありました。

Do you require/support Smart Card Authentication?

スマートカード認証を展開している組織をまだ見つけていません。

Restrict logins from a particular workstation?

これは基本的なビルディングブロックでなければなりませんが、多くのサイトはまだこの方法でアクセスを制限することに失敗しています。これに加えて、管理者権限を必要とする特定のアカウントも、必要な特定のサーバー/ワークステーションに制限する必要があります。過度に許容的な権限は、ドメインの侵害につながる可能性があります。

Require more complex passwords for Administrator accounts?

1つのサイトはこれに素晴らしいアプローチをしました、彼らは管理者アカウントに長いパスフレーズを使用しました。これには2つの目的がありました。 1つ目は、ブルートフォース攻撃(15ワードの文章に対して辞書やハッシュテーブルを用意するのは誰ですか)から保護し、2番目に、サポートチームが電話でパスワードを教えないようにするために使用されました。彼らはそうしていました。そのチームには、管理者パスワードを渡して、オフィスを離れたりユーザーを訪問したりする必要がないようにする長い歴史があります。

The use of a different computer, or VM for administrative tasks

管理の使用VLAN=またはその他の分離)は良いアプローチです。企業のLANから機密性の高いトラフィックとアクセスを排除することから始めます。

管理ツールの使用と更新に対処するためのアプローチも必要です。非推奨の管理ツールは、完全なドメインの侵害につながり、内部ネットワークで大量に発生する可能性があります。 「HP管理サービス」にパッチを適用したり、それを無効にすることを何回考えましたか?サポートチームにはいくつのリモート接続ツールが必要ですか?ターミナルサービス/ VNC/DameWareと他のリモートツールがすべて同じサーバーの同じネットワークで使用されているサイトに行ったことがある!

したがって、ここで取り上げるのは、管理ツールの使用に対するアプローチを確認し、不要なツールを無効にし、同じタスクを完了するために使用されるツールの重複を減らし、維持することを選択したツールにパッチを適用することです。

7
David Stubley

DavidとAviDも私の経験の大部分をカバーしました。私が与える唯一の追加は、全体を通してスマートカード認証を使用した大規模な政府部門向けです。

これは、アクティビティの絶対的な粒度に対する認識された要件を満たすために行われました。これらのカードは、場所への物理的アクセス、およびコンピューター端末への論理的アクセスに使用されました。残念ながら、この実装により不在をカバーすることが非常に困難になったため、スタッフはフレームワーク全体(カードの共有や複製など)を効果的に損なう一連の非公式手順を開発しました

それはやり過ぎであり、実際の要件に対しては面倒すぎるという議論がなされました。

YMMV-しかし、それは関連する基準点のようでした

3
Rory Alsop

これは実際には私の会社(very中小企業)には当てはまりませんが、これらは私がコンサルティングクライアントに通常行う推奨事項の1つです。

  • _Do you require/support Smart Card Authentication?_強く推奨されますが、デプロイされないことがよくあります。セキュリティの高い組織(大規模な銀行、軍など)では、実際には管理者のみが、部分的に展開されたスマートカードを見つけることがよくあります。
  • _Restrict logins from a particular workstation?_
  • _The use of a different computer, or VM for administrative tasks_
    これら2つは実際には一緒に機能します。これは、システムとネットワークのサイズ、複雑さ、および感度に大きく依存します。大規模なネットワーク/機密性の高いシステムの場合、これは通常必要です。また、すでに複雑なネットワーク、つまり「フラット」ではないネットワークは、賢明に実装する方が簡単です。
  • _Require more complex passwords for Administrator accounts?_絶対に、管理者には別の非常に厳密なパスワードポリシーが必要です。より長く、より複雑で、有効期限が短く、履歴が長くなります。また、ランダムなパスワード、またはより良いが複雑なパスフレーズが推奨されます。 (これは、次のポイントdiscourage oft-useにも関連しています。)
  • Issue two accounts per use (admin, and standard account)?繰り返しますが、より大規模なネットワーク/非常に安全な組織には、非常に推奨されます。小規模で感度の低いネットワークは、特に現在のWindowsバージョンのUACを考慮すると、この要件を無視できます。
  • _Enforce through policy or otherwise, that the non admin account is used locally_前と同じ、GPOは非常に簡単にデプロイできるメカニズムです(ただし、管理者は通常これをバイパスできます-デプロイ方法によって異なります)。
  • 言及しなかった追加のポイント:監査、つまりセキュリティログ。管理機能の使用、および一般的な管理者のアクション(SCLやローカル/ドメインセキュリティポリシーなど)について、より厳しい監査要件を設定する必要があります。
  • また、他の種類の監査、部外者/サードパーティは、上記のログと上記のすべての構成の両方を定期的に確認する必要があります。また、昇格された特権を持つすべてのユーザー。
  • 感度の高い組織では、多くの場合、二重制御が必要です。例えば。セキュリティ担当者がドアのロックを解除して物理的なアクセスを許可しない限り、管理者は機密サーバーにアクセスできません。 (軍事タイプの環境でよく見られます。)
  • 管理上の制限-原則として、管理者は「彼の」システムで何でもできるようになっていますが、OSの権限を制限できる製品(CAなど)があります。私はこれが多くの銀行/金融会社に配備されているのを見てきました。
2
AviD