Linuxでは、Sudo
を使用して最小の権限を適用します。これにより、両方の利点が得られます。パスワードとアカウントはpersonの役割であり、本来の役割ではありません。しかし、必要なときにのみ特権を使用することにより、リスクと危険性を低減します。
Windowsには通常、同様のスキームがないため、管理者には2つのオプションがあります。
マイクロソフトは現在、ベストプラクティスとして#1を推進しています。いくつかの懸念があります。たとえば、同じユーザーに複数のアカウントがあると、たとえばユーザーが組織を辞めたときに、1つのアカウントを見逃しやすくなります。 1つのアカウントがあまり使用されない場合は、問題が気付かれにくくなります。一般に、アカウントとパスワードはpeopleを識別するためのものであり、rolesではありません。また、セキュリティもそれほど向上していません。Mikeアカウントが危険にさらされている場合、MikeAsAdminにすぐに誘導されます。
この質問は、Windowsだけでなく、ネットワーク機器、アプリケーション、データベース、クラウドサービスなど、Sudo
が不足しているものすべてに当てはまります。これらすべての場合、管理者が専用の2つ目のアカウントを持つことはベストプラクティスですか?
ベストプラクティスは、個人をallロールから抽出することです。ただし、これをネイティブで実行するのは難しいようです。
これを実現する方法は、認証プロセスとすべてのターゲットプロセスの間に認証レイヤーを配置することです。可能であれば、「ユニバーサルSudo」。この抽象化をネットワークの内部(Cyber ArkやThycoticなどの特権アクセス管理ツール)と外部(Cloud Service Brokers)に許可する製品とサービスが存在します。
これらはすべてシングルサインオンシステム上で動作し、ユーザーがアクセス許可を要求および受信できるようにします。つまり、ユーザーは1つのアカウントを取得しますが、サービスを対象とするために必要に応じて動的アクセスが可能です。ほとんどのサービスには、機密性の高いプロセス(rootアカウントなど)に追加の保護を追加するアクセス許可を付与するための追加の分析レイヤーが含まれています。
しかし、最善の方法をネイティブに実現する方法について質問している場合でも、「多層防御」は有用なモデルであり、可能であるアカウントから別のアカウントへのアクセスを活用してそれらを分離することは可能ですアクセスは自動ではないことを意味します。管理者アカウントの管理者が個人のメールからランサムウェアに襲われた場合、会社はダウンします。管理者がユーザーアカウントを使用していた場合、被害は限定的です。
私は2つの個別のアカウントを使用することを提案しています(ソリューション#1)。自己による傷によるミスを防ぐだけでなく、フィッシング攻撃から保護するための追加のレイヤーを追加します。
管理者のMikeがフィッシングされ、個別のアカウントを持っていない場合、攻撃者はそれを使用してネットワークで管理者レベルのコマンドを実行する可能性があります。たとえば、Sony Entertainmentの大きなハッキングはフィッシングドメイン管理者の認証情報によるものでした: https://www.tripwire.com/state-of-security/latest-security-news/sony-hackers-used-phishing-emails- to-breach-company-networks /