¿Las mejores prácticas para desbloquear la cuenta de dominio de Windows?

1

Tenemos una configuración en la que si un usuario queda bloqueado de su máquina con Windows, su departamento o asistente de administrador puede desbloquear su cuenta. Se nos pide que ampliemos esto para que cualquier empleado pueda desbloquear la cuenta de otro empleado.

Nota: tenemos una secuencia de comandos que puede desbloquear a un usuario que se puede ejecutar si está en el grupo de seguridad de AD correcto.

Esto me parece una mala práctica. ¿Debería esto ser permitido? Si es así, ¿por qué?

    
pregunta Wayne In Yak 06.07.2016 - 20:02
fuente

1 respuesta

1

Definitivamente, permitir que cualquier usuario desbloquee a otro no es una buena práctica e implica el riesgo de que el uso del "script" pueda permitir que se realicen desbloqueos no autorizados potencialmente (por ejemplo, atacantes maliciosos que realizan adivinanzas de contraseña). Por ejemplo, si un atacante está adivinando contraseñas y bloqueando una cuenta y el propietario real le pide a un compañero de trabajo (que no sea IT / manager) que lo desbloquee, el intento de intrusión puede pasar desapercibido. Los administradores de TI "deben" estar entrenados para estar alertas ante bloqueos sospechosos con causas desconocidas.

Dicho esto, hay cierta validez en el comentario de que en una organización pequeña esto podría ser aceptable, pero no se adapta bien a una POV de seguridad en organizaciones más grandes. Si la organización va a seguir adelante con esta práctica, debería haber algún nivel de capacitación en conciencia de seguridad que acompañe su uso, y tal vez un procedimiento para la documentación manual de eventos o el registro automatizado (y la posterior revisión de dichos registros).

    
respondido por el HashHazard 06.07.2016 - 20:20
fuente

Lea otras preguntas en las etiquetas