ヘルプデスクスタッフの管理者権限を管理する方法は?
私の質問は、大規模なActive Directory設定でヘルプデスクスタッフに管理者権限を発行することについてです。
ヘルプデスクのスタッフは通常、エンドユーザーにサポートを提供するために管理者権限を必要とします。これは、"Workstation Admins"グループを作成することで一般的に行われることを知っています( [1][2][3] を参照)。そして、そのグループを各PCのローカルAdministratorsグループに追加します。理想的には、ヘルプデスクスタッフは日常業務に低い特権のアカウントを使用し、必要な場合にのみ"Workstation Admins"アカウントを使用します。
システム管理者は通常同じことを行い、サーバーにアクセスするときはより高い特権を持つアカウントを使用します。サーバーは物理的および電子的に保護された信頼できるマシンであるため、これは理にかなっています。したがって、特権アカウントでサーバーにログインすることは基本的に安全です。
ただし、ヘルプデスクのスタッフは、おそらく常に無人のままにされ、毎日の電子メールやWebの閲覧に使用されていたマシンにログインします。これらのコンピューターは、サーバーと同じように信頼できません。ヘルプデスクのスタッフが、他の多くのコンピューターに対する管理者権限を持っているため、ネットワーク全体に広がるマルウェアペイロードを含むコンピューターにログインしていると想像するのは簡単です。
さらに悪いことに、悪意のあるユーザーは、コンピューターにキーロガーを設置し、ヘルプデスクの誰かにログインさせることで、実際のフィッシング詐欺を実行する可能性があります。
ヘルプデスクスタッフに大きなリスクを負わせずに必要なアクセス権を与える方法はありますか? (理想的なソリューションでは、認証にワンタイムパスワードを使用し、ログインしたユーザーはローカル管理者としてのみ承認されると想像できます。つまり、ヘルプデスクスタッフがすべてのコンピューターにアクセスできるようにしたいすべてのコンピューター。)
管理者が悪意のあるワークステーションで自分のパスワードを入力する場合、管理者はユーザー(またはハッカー)にパスワードをそのように見ているかどうかにかかわらず、事実上ユーザーに伝えます。これは非常によく知られており、使用されているエクスプロイト経路であり、IBMの現実の世界で使用されていることも目にしました。
ここには実際には2つのオプションしかありません。
ユーザーが他の誰かのワークステーションに自分のパスワードを入力することを許可しない
2要素認証を使用する
後でパスワードを変更することは重要ですが、それでもエクスプロイトウィンドウが残り、数分でもすでに長すぎます。 2要素認証が必要なため、安全なワークステーションに戻ってパスワードを変更する必要があります。
それでも、悪意のあるワークステーションが画面に表示されている以外の目的でセキュリティトークンを使用する、中間者攻撃の変種に対して脆弱であることに注意してください。これはオーケストレーションするのが難しい攻撃ではないので、真剣に取り組む価値があります。
軽減策1:管理者アカウントへのログインに2要素認証を使用します。
軽減策2:ヘルプデスクスタッフが携帯できるタブレットまたはネットブックを提供します。ユーザーのマシンにパスワードを入力する代わりに、タブレット/ネットブックにログインし、内部リモート管理サービスを使用してユーザーのマシンを管理できます。このワークフローをできるだけ簡単かつスムーズにしてください。
軽減策3:ヘルプデスクのスタッフに定期的に管理者パスワードを変更してもらいます(1週間に1度はやり過ぎないかもしれません)。
ワークステーションまたはサーバーで提供する必要のあるサポートの複雑さに応じて、大量のインシデントに対してある種のリモート管理ツールを使用することをお勧めします。これにより、管理者はサポートを提供するたびにマシンに直接ログインする必要がなくなります。
システムフロンティアをご覧になることをお勧めしますが、その会社を所有しています。 Windowsで簡単に実行できるより詳細な権限を委任できます。
どの製品や方法を選択する場合でも、それはサーバーであり、管理者が直接ログインしても基本的に安全であると考えてはいけません。ファイアウォールの外側にあるのと同じように、ファイアウォールの背後にも同じくらい危険です。 アイデア:Webブラウジング専用のマシンの場合、リモートで問題を解決できない場合は、自動ワイプおよび再構築ポリシーがありますか?