¿Ver la política de grupo aplicada en una PC cliente no se considera una infracción de seguridad menor?

En general, en un entorno corporativo, las reglas bajo las cuales el personal debe operar deben ser muy transparentes, al igual que los controles que hacen cumplir estas reglas.

Ser capaz de ver la política de grupo rara vez es una violación de la seguridad, ya que no debería estar filtrando información que está destinada a permanecer oculta. La parte valiosa de la política es la aplicación de permisos y acceso, etc.

La seguridad a través de la oscuridad es generalmente algo malo en los entornos corporativos (como en muchos otros), ya que en realidad no proporciona seguridad contra los atacantes ni contra violaciones accidentales.

Los usuarios que no conocen sus permisos son, en el mejor de los casos, seguridad por oscuridad, y en realidad puede resultar un mayor riesgo para la seguridad, el resultado final. Los usuarios quieren hacer las cosas, eso es por lo que se les paga. Si no pueden, hay dos escenarios posibles:

a) Los usuarios se encuentran con problemas oscuros ("Guardé un archivo allí y allá, y simplemente desaparece"), intentan "resolverlos por su cuenta y se vuelven creativos, posiblemente introduciendo todo tipo de pesadillas de seguridad y mantenimiento. .

b) Los usuarios tienen problemas, pero pueden descubrir que carecen de permiso para hacer lo que quieren; por lo general, irán a ver a quien esté a cargo de la seguridad y solicitarán que se les otorguen los permisos adecuados, momento en el cual es posible intervenir y otorgar esos permisos de una manera sensata, o mostrarles la manera correcta de lograr sus objetivos .

Además, si poder ver los permisos efectivos propios hace que un sistema sea vulnerable, entonces los permisos son defectuosos o no se aplican correctamente. Después de todo, un atacante no necesita verificar los permisos, simplemente puede intentar hacer lo que quiere y ver si tiene éxito.