私の会社のIT監査の結果、レポートには、Active Directoryに含まれている非個人ユーザーアカウントが多すぎるとの報告がありました。これにより、誤用や不正なユーザーアクセスのリスクが発生しました。
今日、会社のActive Directoryを確認したところ、非個人ユーザーアカウントがたくさんあることに気付きましたが、それらのほとんどは、サーバー上で実行する必要があるシステムに関連しているようです。それらを単に非アクティブ化すると、一部のアプリケーションが機能しなくなると思います。
これを潜在的なセキュリティリスクとみなしていますか?これらのシステムアカウントの1つでログインする方法はありますか?
非個人アカウントの2つのタイプを区別する必要があります。
汎用アカウントは、複数の人間がログインできるアカウントです。あなたは説明責任を失うので、これらは一般的に悪いです。ジョンとフレッドの両方にアクセス権があり、悪意のあるイベントが発生した場合、私たちの責任はジョンかフレッドですか?
サービスアカウントは、人間ではなくアプリケーションによって使用されます。これらが人間が使用できないように構成されている場合(通常、パスワードを厳しく制御することを意味します)、これらは大きなセキュリティリスクではありません。
セキュリティの問題は、「匿名」ユーザーアカウントの存在からではなく、実際にそれらを使用してアクションを実行することから発生します(その場合、ユーザーはもはや責任を負わないため、ログは「ボブがやった」ではなく「管理者がやった」と通知します")。一部のアカウントとしてログを記録することは、関連付けられたパスワードを知ってそれを使用することを意味します(ただし、対話型セッションでの使用を防ぐことでアカウントをロックダウンできます。これはGPOで行われます)。
監査人はつまらない反応を示しています。彼はそのようなアカウントを「多く」見たので、匿名アカウントに関する一般的な警告を吐き出しました。ただし、これは多少見当違いです。そのようなアカウントの数は問題ではありません。単一の匿名ユーザーアカウントは、説明責任を失うのに十分である可能性があります。監査人thoughtがこれらすべてのアカウントの存在が、匿名アカウントを使用する広範なローカルの伝統を何らかの形で示していることだけです。より完全な監査者はbehavioursを分析して、ユーザーが「Active Directoryユーザーとコンピューター」を無意識に起動してアカウントをカウントするのではなく、日常業務で非主格アカウントを実際に使用しているかどうかを確認します。
一般的には、非ユーザーアカウントを「ロックダウン」する必要がある場合があります。簡単な方法は、対応するパスワードを人間が知らないようにすることです。構成操作の一部としてパスワードを入力する必要がある場合は、パスワードを保管している金庫から取り出してください(紙に印刷されています)。このようなパスワードは記憶である必要はなく、入力頻度も低いため、長くて太くランダムなパスワードにすることができます。
通常、誰かが管理者をだますためにまったく同じ名前のユーザーを作成していない限り、OSユーザーでログインすることはできません。心配する必要はありませんが、これらのユーザーをときどき確認し、システムまたは疑わしいユーザーによって本当に使用されているかどうかを確認できます。
それにもかかわらず、IT監査担当者は正しいです。主格ユーザーの代わりに「一般ユーザー」を使用することは悪い習慣と考えられています。主な理由は、おそらく実際の人が何か悪いことをしたと推測することが不可能ではないにしても、非常に難しいことです。 。
彼らが尋ねるべきことは何ですか-一般的なアカウントはどのように管理され、それらが何のためにあるのか知っていますか?パスワードと対話型ログインが管理されている場合、その量は関係ありません。