Mejores prácticas en dominios de Windows: ¿Tener una cuenta de administrador separada o no?

1

En Linux, aplicamos los privilegios mínimos a través de sudo . Esto da lo mejor de ambos mundos: las contraseñas y las cuentas son para una persona , como deberían ser, no un rol. Pero disminuimos el riesgo y la exposición utilizando solo privilegios cuando los necesitamos.

Windows no suele tener un esquema similar, por lo que, para los administradores, hay dos opciones:

  1. Dales dos cuentas ( Mike y MikeAsAdmin ), una para uso general, una cuando necesiten privilegios.
  2. Dé privilegios completos a su única cuenta.

Microsoft ahora está presionando al # 1 como la mejor práctica. Tengo varias inquietudes: tener varias cuentas para la misma persona hace que sea más fácil perder una cuando, por ejemplo, el usuario abandona la organización. Si una cuenta no se usa mucho, facilita que los problemas pasen inadvertidos. En general, las cuentas y las contraseñas son para identificar a personas , no a roles . Y tampoco ha ganado mucha seguridad: si la cuenta de Mike se ve comprometida, se llevará rápidamente a MikeAsAdmin .

Esta pregunta se aplica a todo lo que carece de sudo , no solo Windows, sino también equipos de red, aplicaciones, bases de datos, servicios en la nube, etc. Para todos estos, ¿es la mejor práctica que el administrador tenga una segunda cuenta dedicada?

    
pregunta SRobertJames 11.07.2018 - 14:25
fuente

2 respuestas

3

La mejor práctica es abstraer a la persona de todos roles. Pero esto es difícil de realizar de forma nativa, como sugiere.

La forma de lograr esto es tener una capa de autorización entre el proceso de autenticación y todos los procesos de destino. Un "sudo universal", por así decirlo. Los productos y servicios existen para permitir esta abstracción interna a su red (herramientas de administración de acceso privilegiado, como Cyber Ark y Thycotic) y externamente (Cloud Service Brokers).

Todos funcionan en un sistema de inicio de sesión único y permiten que un usuario solicite y reciba permisos. Esto significa que el usuario obtiene una cuenta, pero el acceso dinámico es necesario para los servicios de destino. La mayoría de los servicios incluyen capas adicionales de análisis para otorgar permisos de acceso que agregan protección adicional a los procesos confidenciales (como cuentas raíz, etc.).

Pero si está preguntando cómo realizar la mejor práctica posible de forma nativa, la "defensa en profundidad" sigue siendo un modelo útil y aunque podría ser posible aprovechar el acceso de una cuenta a otra , separarlos significa que el acceso no es automático. Si el administrador de la cuenta de administrador recibe un ransomware de un correo electrónico personal, la empresa se cae. Si el administrador estaba en una cuenta de usuario, el daño es limitado.

    
respondido por el schroeder 11.07.2018 - 14:43
fuente
0

Soy partidario de usar dos cuentas separadas (solución # 1). Más allá de prevenir los errores de las heridas autoinfligidas, agrega una capa adicional para protegerse contra los ataques de phishing.

Si su administrador Mike tiene phishing y no tiene una cuenta separada, un atacante podría usar eso para ejecutar comandos de nivel de administrador en su red. Por ejemplo, el gran pirateo de Sony Entertainment provino de las credenciales de administrador de dominio de phishing: enlace

    
respondido por el Joe M 11.07.2018 - 18:24
fuente

Lea otras preguntas en las etiquetas